Kaspersky Security for Virtualization Overview
Idéia da Virtualização Executar um sistema operacional como um programa dentro de outro sistema operacional Executar vários sistemas operacionais no mesmo computador Vantagens Deployment rápido de ambientes de testes e de produção Padronização de drivers Uso eficientes de recursos Rápida recuperação de desastres Alta disponibilidade e balanceamento de carga KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Conceitos chaves Sistema operacional guest Máquina virtual () Hardware Tipo 1: executado como um sistema operacional, interage diretamente com o hardware Datacenter, pool de recursos, cluster hypervisors unidos em um sistema dinâmico de alocação de recursos: alta disponibilidade, balanceamento de carga ware ESXi, Microsoft Hyper-V, Citrix XenServer Tipo 2: executado como um programa dentro de um sistema operacional ware Workstation, VirtualBox, VirtualPC, Parallels Hardware Hardware Hardware Hardware Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
de Máquinas Virtuais Máquinas virtuais precisam de proteção? - Elas estão isoladas e são menos vulneráveis a ameaças - Elas podem ser facilmente recriadas ou recuperadas de um estado anterior Com certeza! - Servidores virtuais funcionam continuamente, não é tão simples recriar ou recuperá-los - Em muitos casos, máquinas virtuais são tão vulneráveis a ameaças quanto computadores comuns - Ameaças modernas podem afetar mesmo máquinas virtuais não-persistentes, com uma vida útil curta Opções de proteção 1. Usar ferramentas comuns: a proteção funciona totalmente dentro da 2. Servidor de Dedicado: nenhuma ferramenta de proteção é instalada nas s 3. Abordagem híbrida: a proteção funciona parcialmente no servidor dedicado e parcialmente dentro da KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Protegendo s como Computadores Comuns (Kaspersky Endpoint Security) Uma ferramenta de proteção comum é instalada em cada Várias cópias do motor e das vacinas do anti-vírus executam simultaneamente no mesmo host O mesmo arquivo é varrido em todas as s KES KES KES KES KES Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Protegendo s como Computadores Comuns: Prós e Contras Ferramenta de proteção completa Utilização não-otimizada de recursos Mesma solução para s e PCs Não depende da plataforma de virtualização (hypervisor) Tempestades de atualização, varredura e boot KES KES KES KES KES Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Integração com o (Kaspersky Security for Virtualization 2.0) Todas as s do host usam o mesmo motor de anti-virus e vacinas: Servidor de Cache compartilhado evita varredura duplicada em arquivos iguais em s diferentes Dentro do hypervisor, os arquivos são transferidos dentro da RAM, muito rápido Servidor de API Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Integração com o (Kaspersky Security for Virtualization 2.0) s não precisam de antivírus Uso eficiente de recursos Sem tempestades Somente ware limitada Anti-vírus de arquivo e bloqueador de ataque de rede Gerenciamento e monitoramento limitados Servidor de API Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Abordagem híbrida (Kaspersky Security for Virtualization 3.0 Light Agent) Alguns componentes de proteção são executados dentro da e fornecem proteção avança Alguns componentes de proteção são executados em uma no host e usam cache único, que ajuda a evitar varreduras duplicadas Servidor de LA LA LA LA Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Abordagem híbrida (Kaspersky Security for Virtualization 3.0 Light Agent) completa Uso eficiente de recursos Sem tempestades Suporte a ware ESXi, Microsoft Hyper-V e Citrix XenServer Light Agent e Network Agent precisam ser instalados Estrutura de rede precisa ser considerada Balanceamento de Carga precisa ser considerado Servidor de LA LA LA LA Hardware KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Componentes do KSV 3.0 Servidor de Uma especial que varre arquivos recebidos pelos LA. Também responsável por distribuir licenças e vacinas. Inclui um NA Gerenciamento Varredura de Arquivos Gerenciamento KSC e NetAgent Console única de gerenciamento da proteção e agente de comunicação, idêntico ao do KES 10. KSC Agent Servidor de LA KSC Agent Servidor KSC KSV 3.0 Light Agent Ferramenta de proteção quase idêntica ao KES 10: mesmas opções e componentes, exceto criptografia. A diferença é que arquivos são enviados ao Servidor de para varredura, que além de enviar os resultado também é responsável por distribuir licenças e vacinas. KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Servidor de Light Agent Light KES Agent 10 Motor principal file.exe file.exe Varredura Anti-Virus de Arquivos Link scan file.exe file.exe Anti-Virus de Email Anti-Virus da Web Link Link DB de Links DB de Vacinas file.exe Anti-Virus de IM Link BSS Inspetor do Sistema Bloqueador de Ataque de Rede DB de Ataques Firewall Controles Regras Servidor de KES LA KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Como os arquivos são varridos N máquinas virtuais Kaspersky Security for Virtualization 3.0 N máquinas virtuais template KES KES KES Servidor de template LA LA LA file.exe file.exe file.exe file.exe file.exe file.exe file.exe N máquinas virtuais N varreduras file.exe file.exe file.exe file.exe Cache compartilhado N máquinas virtuais 1 varredura KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Como as atualizações são distribuidas Graças ao pequeno volume das vacinas distribuídas para as máquinas virtuais, não existem tempestades quando os Light Agents se atualizam num cenário de VDI 3 As vacinas do LA são copiadas para a pasta compartilhada 2 A tarefa de atualização distribui as vacinas para os Servidores de Banco de dados do Servidor de KSC Agent Banco de dados do LA Servidor de LA KSC Agent LA 4 LA automaticamente baixa as vacinas KSC Agent LA KSC Agent Servidor KSC 1 As vacinas são baixadas no repositório do KSC KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Como os Light Agents se conectam ao Srv Para varrer arquivos, o Light Agent precisa se conectar ao Srv Light Agents não armazenam o endereço do Srv, eles escutam o multicast dos servidores Multicast Se possível, o LA se conecta ao Srv executando no mesmo host Servidor de Objetos para varrer Licença, vacinas LA Caso contrário, o LA se conecta ao Srv menos carregado
Kaspersky Security for Virtualization Deployment do Srv
Estágios de Deployment da Servidor de 1 2 3 4 5 6 Light Agent 4 1 2 3 4 5 6 7 1. Instalar KSC 2. Instalar o plugin para o Srv. 3. (opcional) Criar uma política para o Srv. 4. Instalar o Srv. (a quantidade necessária) 5. Instalar a licença no Srv. 6. Criar uma tarefa de atualização para o Srv. 1. Instalar o plugin para o Light Agent 2. Criar um pacote de instalação do Light Agent 3. Criar políticas, tarefas para o Light Agent s persistentes 4. Instalar o Light Agent e o NetAgent s não-persistentes Instalação no template 4. Instalar NetAgent com suporte a VDI 5. Instalar Light Agent 6. Recriar o template 7. Recriar as s KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Servidor de Servidor de Planejamento 1. Servidor do KSC para instalar os Srv e Light Agents, distribuir atualizações, gerenciar a proteção, etc 2. Um Srv por hypervisor Servidor de Servidor de KSC 3. Srv precisam estar acessíveis via rede para todas as máquinas virtuais
O que você precisa para a instalação O quê Por quê Onde conseguir KSC Administration Server KSV 3.0 Protection Server plugin Necessário para o deployment, atualização e gerenciamento Necessário para executar a instalação, ativação e update do Srv KSV 3.0 Protection Server Image KSV 3.0 Light Agent distribution KSV 3.0 Light Agent Plugin Necessário para instalar o Srv Necessário para criar o pacote de instalação do Light Agent Necessário para instalar e gerenciar o Light Agent www.kaspersky.com/productupdates/security-center www.kaspersky.com/productupdates/virtualization-securitylight-agent
Requerimentos de Sistema para o Srv Plataformas Suportadas ware ESXi 5.5 ware ESXi 5.1 u2 Microsoft Hyper-V Server 2008 R2 Microsoft Hyper-V Server 2012 XenServer 6.0.2, 6.1 Requerimento de Infra DHCP
Selecionando o vcenter - Especifique o vcenter e selecione os hosts ESXi para instalação - Não é possível instalar em um host ESXi que não esteja conectado ao um vcenter
Selecionando a imagem do Srv - O Srv é instalado como um virtual appliance - A imagem pode ser baixada do site da Kaspersky
Selecionando os hosts - O instalador lista todos os hosts do vcenter - É possível instalar em 2 ou mais hosts paralelamente
Parâmetros do Srv - Para cada host, o administrador pode selecionar o nome do Srv, a rede e o local de armazenamento - A rede virtual deve ter DHCP habilitado e permitir a conexão com o KSC - A rede do Srv deve estar acessível a todas as s
Parâmetros de acesso do Srv - O usuário root é utilizado somente para diagnósticos - O usuário klconfig é utilizado para alterar as configurações do Srv
Acesso de leitura ao vcenter - Utilizado pelo Srv para verificar se o licenciamento está de acordo
Sumário da instãlação - Antes da instalação é possível verificar as configurações
Progresso e Resultado da instalação - Progresso em tempo real de cada host
Configuração inicial Ferramentas de proteção precisam ser: Ativadas Atualizadas regularmente Para o KES, essas ações são automatizadas pelo Quick Start Wizard do KSC. Para o KSV, é preciso criar tarefas para: Ativar a licença no Srv Atualizar as vacinas no Srv
Ativação do KSV 3.0 - Sem a ativação da licença, a atualização não funciona e a proteção é ineficiente - A distribuição automática através do KSC não é suportada; é necessário criar uma tarefa
Selecionando o Método de Ativação - É possível ativar com: - Código de ativação - Chave de licença - Licença já adicionada no repositório do KSC
Selecionando o Método de Ativação - O instalador verifica: - Se a licença é do KSV - Se a licença é válida
Atualização do Srv - Somente o Srv tem uma tarefa de atualização (e de rollback) - Os Light Agents recebem atualizações automaticamente através do Srv - A tarefa de atualização não tem opções além do agendamento
LA Considerar a Estrutura de Rede Outra subnet? Multicast Servidor de Objetos para varrer Licença, vacinas LA O Srv usa multicast para informar sua disponibilidade Por padrão, o Srv está conectado a somente uma rede virtual s podem estar localizadas em subnets físicas e virtuais diferentes Ás vezes, o multicast pode não passar por roteadores O Srv deve estar acessível por todas as redes onde as s podem residir
Considerar a Estrutura de Rede Outra subnet Multicast LA Servidor de LA Proxy IGMP Método 1: configure a liberação do multicast através dos routers e switches (proxy IGMP)
Considerar a Estrutura de Rede Outra subnet Multicast LA NIC NIC Servidor de NIC LA NIC Método 2: adicione interfaces de rede ao Srv
Kaspersky Security for Virtualization Deployment do Light Agent
Estágios de Deployment da Servidor de 1 2 3 4 5 6 Light Agent 4 1 2 3 4 5 6 7 1. Instalar KSC 2. Instalar o plugin para o Srv. 3. (opcional) Criar uma política para o Srv. 4. Instalar o Srv. (a quantidade necessária) 5. Instalar a licença no Srv. 6. Criar uma tarefa de atualização para o Srv. 1. Instalar o plugin para o Light Agent 2. Criar um pacote de instalação do Light Agent 3. Criar políticas, tarefas para o Light Agent s persistentes 4. Instalar o Light Agent e o NetAgent s não-persistentes Instalação no template 4. Instalar NetAgent com suporte a VDI 5. Instalar Light Agent 6. Recriar o template 7. Recriar as s KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Requerimentos e cenários Requerimentos de Sistema Windows XP, Vista, 7, 8 Windows 2003, 2003 R2, 2008, 2008 R2, 2012 Instalação em s persistentes: Instalação através do KSC NetAgent padrão Instalação em s não-persistentes (VDI): Modificação do template da Habilitar otimização para VDI no NetAgent KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Criação do Pacote de Instalação para o Light Agent Tipo de pacote: Kaspersky Lab application As vacinas não precisam ser copiadas para o pacote, pois serão distribuídas pelo Srv O pacote pode ser criado através do EXE baixado do site KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started
Instalando o KSV 3.0 LA em s persistentes Usar o KSC, através de uma tarefa de instalação O Network Agent precisa ser instalado também KL 002.98: Kaspersky Endpoint Security for Windows. Getting Started