Провайдер, поставь мой антивирус на VDI

    Среди наших клиентов есть компании, которые используют решения Kaspersky как корпоративный стандарт и самостоятельно управляют антивирусной защитой. Казалось бы, им не очень подходит сервис виртуальных рабочих столов, в котором за антивирусом следит провайдер. Сегодня покажу, как заказчики могут сами управлять защитой без ущерба для безопасности виртуальных рабочих столов.

    В прошлом посте мы уже рассказали в целом, как защищаем виртуальные рабочие столы заказчиков. Антивирус в рамках сервиса VDI помогает усилить защиту машин в облаке и самостоятельно ее контролировать.

    В первой части статьи покажу, как мы управляем решением в облаке, и сравню показатели «облачного» Kaspersky с традиционным Endpoint Security. Вторая часть будет про возможности самостоятельного управления.




    Как мы управляем решением


    Вот как выглядит архитектура решения в нашем облаке. Для антивируса мы выделяем два сетевых сегмента:

    • клиентский cегмент, где находятся виртуальные рабочие места пользователей,
    • менеджмент-сегмент, где находится серверная часть антивируса.

    Менеджмент-сегмент остается под контролем наших инженеров, заказчик не имеет доступа к этой части. Менеджмент-сегмент включает в себя главный сервер администрирования KSC, который содержит файлы лицензий, ключи для активации клиентских рабочих мест.

    Вот из чего состоит решение в терминах «Лаборатории Касперского».

    • На виртуальные рабочие столы пользователей ставится легкий агент (LA). Он не занимается проверками файлов, а отправляет их на SVM и ждет «вердикта сверху». В результате ресурсы пользовательского рабочего стола не тратятся на антивирусную активность, а сотрудники не жалуются, что «VDI тормозит». 
    • Проверяет отдельная виртуальная машина защиты (Security virtual machine, SVM). Это выделенное устройство безопасности, на котором размещаются базы данных вредоносного ПО. Во время проверок нагрузка возлагается на SVM: через нее легкий агент общается с сервером.
    • Kaspersky security center (KSC) управляет виртуальными машинами защиты. Это консоль с настройками задач и политик, которые будут применяться на конечных устройствах.



    Эта схема работы обещает экономию до 30% аппаратных ресурсов пользовательской машины по сравнению с антивирусом на компьютере пользователя. Посмотрим, что на практике.

    Для сравнения взял свой рабочий ноутбук с установленным Kaspersky Endpoint Security, запустил проверку и посмотрел на потребление ресурсов:

     

    А вот та же самая ситуация на виртуальном рабочем столе со схожими характеристиками в нашей инфраструктуре. Памяти ест примерно одинаково, но загрузка ЦП ниже в два раза:



    Сам KSC тоже довольно требовательный к ресурсам. Мы выделяем под него
    достаточно, чтобы и администратору было комфортно работать. Смотрите сами:



    Что остается под контролем заказчика

    Итак, с задачами на стороне провайдера разобрались, теперь предоставим заказчику управление антивирусной защитой. Для этого мы создаем дочерний сервер KSC и выносим его в клиентский сегмент:



    Зайдем в консоль на клиентском KSC и посмотрим, какие настройки будут у заказчика по дефолту.

    Мониторинг. На первой вкладке видим панель мониторинга. Сразу понятно, на какие проблемные места стоит обратить внимание: 



    Перейдем дальше к статистике. Несколько примеров, что здесь можно посмотреть.

    Здесь администратор сразу увидит, если на каких-то машинах не установилось обновление
    или возникла другая проблема, связанная с ПО на виртуальных рабочих столах. Их
    обновление может сказаться на безопасности всей виртуальной машины:



    В этой вкладке можно проанализировать найденные угрозы до конкретной найденной угрозы на защищаемых устройствах:



    В третьей вкладке есть все возможные варианты преднастроенных отчетов. Заказчики могут создать свои отчеты из шаблонов, выбрать, какая информация будет отображаться. Можно настроить отправку на почту по расписанию или просматривать отчеты локально с сервера
    администрирования (KSC).   


     
    Группы администрирования. Справа видим все управляемые устройства: в нашем случае – виртуальные рабочие столы под управлением сервера KSC.

    Их можно объединять в группы, чтобы создать общие задачи и групповые политики для разных подразделений или для всех пользователей одновременно.

    Как только заказчик создал виртуальную машину в приватном облаке, она сразу определяется в сети, и Kaspersky отправляет ее в нераспределенные устройства:



    На нераспределенные устройства не распространяются групповые политики. Чтобы не раскидывать виртуальные рабочие столы по группам вручную, можно использовать правила. Так мы автоматизируем перенос устройств в группы.

    Например, виртуальные рабочие столы с Windows 10, но без установленного агента администрирования попадут в группу VDI_1, а с Windows 10 и установленным агентом, попадут в группу VDI_2. По аналогии с этим, устройства можно также автоматически распределять на основе их доменной принадлежности, по расположению в разных сетях и по определенным тегам, которые клиент может задать исходя из своих задач и потребностей самостоятельно. 

    Для создания правила просто запускаем мастер распределения устройств по группам:



    Групповые задачи. С помощью задач KSC автоматизирует выполнение определенных правил в определенное время или с наступлением определенного момента, к примеру: выполнение проверки на вирусы выполняется в нерабочее время или при «простое» виртуальной машины, что, в свою очередь, снижает нагрузку на ВМ. В этом разделе удобно по расписанию запускать проверки на виртуальных рабочих столах внутри группы, а также обновлять вирусные базы. 

    Вот полный список доступных задач:



    Групповые политики. С дочернего KSС заказчик может самостоятельно распространять защиту на новые виртуальные рабочие столы, обновлять сигнатуры, настраивать исключения
    для файлов и сетей, строить отчеты, а также управлять всеми видами проверок своих машин. В том числе – ограничивать доступ до конкретных файлов, сайтов или хостов.



    Политики и правила главного сервера можно включить обратно, если что-то пойдет не так. В самом плохом случае при неверной настройке легкие агенты потеряют связь с SVM и оставят виртуальные рабочие столы без защиты. Наши инженеры тут же получат уведомление об этом и смогут включить наследование политик с главного сервера KSC.

    Это основные настройки, о которых я хотел рассказать сегодня. 
    DataLine
    Экосистема ИТ-сервисов

    Comments 22

      0
      Он не занимается проверками файлов, а отправляет их на SVM и ждет «вердикта сверху».

      Только файлы? А если троян уже в памяти (ранее был неизвестен защите)? И прочие места, где водится бесфайловая нечисть
        0
        В контексте статьи я имел в виду запущенную задачу сканирования системы. Чтобы ее не нагружать, подозрительные файлы проверяются на стороне SVM. Легкий агент самодостаточный и может на лету определить вирус при попадании в систему – по имеющейся базе, которую он получает от SVM.
          0
          Это понятно, но опять речь о файлах. Вредоносная программа на момент проникновения может быть не известна базам антивируса и запущена (на момент проникновения по статистике антивирусу известно хорошо если процентов 50 вредоносных программ (с учетом эвристики)). Соответственно нужно проверять не только файлы. память, процессы и тд и и тп. Как обстоит дело с этим?
            0
            Вы верно подметили, для подобных проблем в касперском предусмотрен эвристический метод проверки поведения той или иной сущности. Также есть возможность проверки файлов с использованием облачной среды обмена KSN, в том числе, неизвестными угрозами и их сигнатурами.

            На данный момент проблем с актуальностью баз со стороны касперского не наблюдалась и ранее неизвестные угрозы касперский отрабатывал на ура.
              0
              Нет. Эвристики проверяют файл до старта. И я написал, что эвристики не помогают. Это миф. Давайте не будем заниматься пропагандой. На необнаружение вредоносный файл проверяется на сервисах типа вирустотал. И атакуют тем, что там не обнаруживается. И такого не менее 30-40 процентов от созданного в день злоумышленниками. Предотвращается их запуск превентивной (поведенческой) защитой.
              Ни одна антивирусная программа в мире не может знать все до одной вредоносные программы в момент проникновения
              Соответственно вопрос остается. Каким образом выявить вредоносную программу, пропущенную при запуске проверкой базами и не обнаруженную по поведению? В обычном антивирусе это выявляет тот же антируткит проверкой процессов после очередного обновления. А в легком агента?
                0
                Легкий агент по компонентам защиты ничем не отличается от «полноразмерного» решения для настольных ПК, ноутбуков и т.д. Исходя из этого, действовать он будет в точности как и kaspersky endpoint security, поскольку в проверке по умолчанию включен пункт «выполнять поиск программ, предназначенных для скрытия следов вредоносной программы в системе (руткитов)». Соответственно, Легкий агент так же следит за запущенными в системе процессами, как и его старший собрат.
                  0
                  Во избежание хочу сказать, что ни в коем случае не хочу сказать, что продукт Касперского плохой. По сути мы обсуждаем преимущества и недостатки архитектуры легкого агента.
                  А теперь к вопросу. Итого у нас получается, что легкий агент имеет возможность проверять как файлы, так и процессы со всякими секторами. Поскольку априори существуют неизвестные на момент запуска/проникновения вредоносные программы, то как минимум раз в полчаса/час — после прихода обновления все виртуальные машины должны проверить все запущенные процессы, а также по хорошему все файлы, которые нужны для работы процесса. Тоесть передать память на проверку во внешнюю виртуальную машину. И если в случае файлов можно проверить файл, одинаковый для всех виртуальных машин один раз на все машины, то процессы скорее всего так не проверишь. И тут возникает вопрос. Проверка локальным антивирусом процессов скорее всего быстрее, чем облачным, так как в случае облачного раз в час (примем так, хотя процесс может быть заражен в любой момент каким бесфайловым троем) нужно передать объекты на проверку в центральную машину. Соответственно центральная машина должна быть нехилой мощности, прямо пропорциональной количеству обслуживаемых виртуальных машин — ибо вставать им в очередь на проверку не очень хорошая идея
                  Прав я или нет?
                    0
                    Не совсем так. Дело в том, что виртуальная машина защиты (SVM) — это что-то в роде Appliance. Развертывание происходит на саму виртуализацию, используемую для создания VDI. Конечная нагрузка на эту систему будет зависеть от количества подключаемых Легких агентов.

                    Но даже вариант с перегрузом по количеству Легких агентов предусмотрен. Нагрузка автоматически распределяется между множеством SVM по алгоритмам балансировки в KSC. Можно управлять балансировкой вручную, например, ограничивать определенные SVM и указывать жесткую привязку Легкого агента к одной или нескольким выделенным машинам защиты.

                    Замечаний по работе такой системы у нас не возникло, в большинстве случаев используем автоматическую балансировку нагрузки на SVM. В дальнейшем планируем еще одну статью по сравнению Легкого агента с Endpoint, которая расставит все точки над Й!)
                      0
                      Как оно реализовано это то как раз понятно. Я верю, что все работает. У касперских профессионалы сидят. Вопрос исключительно в сравнении общей нагрузки на систему при легком агента или обычном антивирусе
                      Смотрите. Когда антивирус проверяет файл, то он в общем случае проверяет его не весь целиком байт за байтом. Грубо говоря идет проверка от точки входа и по всем возможным местам расположения вредоносного кода. Тоесть при обычном антивирусе зачитывается только часть файла. При облачном файл передается сначала по сети (целиком! — а он может быть большим и это какая-никакая, а задержка), а потом еще и проверяется
                      Но в случае файлов двойная работа компенсируется тем, что можно сначала посчитать контрольную сумму файла и передать ее. Если файл с такой суммой проверялся, то его можно не передавать. Тоесть в случае файлов легкий агент выгоден в однородной среде с виртуальными машинами с одинаковыми ОС и приложениями.
                      Но в случае процессов все поиному. Как я понимаю контрольную сумму не передашь и нужно передать всю память (?). И поскольку на всех виртуалках задачи разные, то тут надо передавать со всех машин на проверку. А памяти сейчас процессы жрут много.
                      И второй нюанс. Насколько я слышал в случае ядра и баз Касперского они не все размещаются в памяти, а лежат на диске и отображаются в память по необходимости. Тоесть жесткий диск нагружается, а не память. А если нагружается жесткий диск, то какая в сущности разница где его дергать — на обычной виртуалке или на центральной
                      Сорри за вопросы, просто все это не особо освещается, а интересно
                        0
                        Вопросы это всегда хорошо! Задавать их очень даже нужно! Постараемся ответить в следующей части статьи, в которой сравним Легкий агент с Endpoint security. Если есть еще вопросы по этой теме — пишите. Соберем все и напишем подробный ответ.

                        Скажу лишь, что SVM — это централизованный механизм проверки, и все машины, подключенные к определенной SVM, пополняют свою базу знаний за счет других ВМ, работающих в этой связке :)
                          0
                          пополняют свою базу знаний за счет других ВМ, работающих в этой связке

                          Ну вот и вопрос с пожеланием. Очень хочется поменьше маркетинга, побольше графиков сравнений, так как насколько мне известно база знаний это чисто контрольные суммы общих файлов, проверенных ранее. Ибо искусственным интеллектом собственным машины не обладают
                            0
                            Да, конечно, соберем больше информации для следующей статьи, где сравним два решения и расскажем все в подробностях.
                              0
                              Спасибо!
                                0
                                Рады стараться :)
        0

        Упало/не устанавливается соединение агента из ВМ с серверами Касперского ( приведенными в статье). Как поведет себя в этих случаях ВМ/юзеровская сессия протокола( VMware Blast/PCoIP, Citrix HDX… не знаю, что Вы предоставляете, сорри). Если при провижмнинге ВМ используется что-то типа AppVolumes, а агент не может проверить(см.выше) подключаемые файлы из AppVolumes, какое поведение ВМ?

          0
          В момент потери связи с KSC и соответственно с SVM Легкий агент будет опираться на политику, полученную до потери связи. Легкий агент самодостаточный, чтобы работать без взаимодействия с виртуальной машиной защиты. Она нужна ему для эластичности, чтобы в момент штатных задач не перегружать и без того нагруженную ВМ.

          По факту Легкий агент маловероятно сможет потерять связь с SVM. Она является чем то вроде Appliance для среды виртуализации — живет непосредственно на самой виртуализации и контролирует ее.
            0

            Я спрашивал о поведении ВМ и сессии, а не агента. Придется сообщить, что маловероятная потеря связи агента и серверов Касперского раньше случалась. В этом случае накрывался весь VDI. Похоже, что этот сценарий не тестировался у Вас

              0

              Если я вас правильно понимаю и под сессией в данном ответе вы представляете в целом доступность виртуальной машины при обрыве связи. То проблем с доступностью ВМ не наблюдалось. Приватное облако и все ВМ по отдельности остаются доступными. Поправьте, если я вас понял некорректно

          0
          Я только на КДП узнал, что какой-то из «касперских» может быть не «медленным-тяжелым».

          Сужу, конечно, только по своему опыту.
            0
            Да, Легкий агент на самом деле намного упрощает жизнь ОС и виртуальной машине в целом за счет передачи нагрузки на выделенные машины защиты (SVM).
              0
              У меня один вопрос: если все эти годы (да какой там, десятилетия) маркетинг Касперского утверждал, про вот те, старые, «медленные-тяжелые» антивирусы — что они на самом-то деле отличный-быстрые-шустрые, и с каждым релизом все шустрее и быстрее работают. А теперь, когда они («ни разу не было, и вот оно!») говорят, что «умный-гибкий» (наконец-то!) появился, то какова цена тем «правдивым» (прежним) заявлениям? А новым?

              Правда, про быстроту нового я зря ловлю на слове, среди слов «умный-гибкий» слова «быстрый» или «легкий» по прежнему нет. Есть только усложнение лицензирования, и большее число точек отказа, но куда без этого?

              А что мы выносим проверку наружу, так и раньше проверка (делаясь локально, т.е. убирая часть стадий из проверки) была небыстрой и ресурсоемкой, чем же это ускорит проверку сейчас — алгоритмически всё стало только сложнее?

              Одно, наверное, может быть разумно — не проверять по многу раз и на многих ВМ файлы, уже проверенные на одной ВМ (по контрольной сумме). Но это не спасет от самозашифрованных с рандомными каждый раз ключами вирусов, а таковых всё больше.
                0
                Полноразмерное решение Endpoint стало действительно меньше нагружать систему. Для обычного современного ПК или ноутбука работа Endpoint давным-давно не в напряг, и при проверках его активность не сказывается в худшую сторону на системе. Чтобы не быть голословным, в следующий раз соберу несколько примеров нагрузки на современную систему при проверке.

                В статье идет речь о решении для виртуальных сред, где все характеристики, грубо говоря, нужно умножать на два, так как виртуализация дает о себе знать. Поэтому предлагается решение на базе Легкого агента, который часть нагрузки переносит на выделенные машины защиты (SVM).

                Endpoint в свою очередь, стал более гибким в настройках, что позволяет экономить ресурсы в зависимости от правил. К примеру, есть параметр: «Уступать ресурсы другим программам». Если он включен, Endpoint будет уступать ресурсы другим программам, запущенным параллельно проверке. Есть другой вариант: «Выполнять проверку при простое компьютера». В таком случае проверка будет выполняться, пока система бездействует. И таких тонкостей в новых решениях от Касперского — много!

          Only users with full accounts can post comments. Log in, please.