Installieren von Kaspersky Security for Virtualization 6.x Agentless in einer virtuellen Infrastruktur unter Verwaltung von VMware NSX-V Manager
Der Artikel bezieht sich auf:
- Kaspersky Security for Virtualization 6.1 Agentless
- Kaspersky Security for Virtualization 6.0 Agentless
Vor der Installation prüfen Sie Folgendes:
- SVM-Images stammen aus einer vertrauenswürdigen Quelle. Die Anleitung ist im Artikel.
- Für jeden Hypervisor sind die Einstellungen Agent VM Settings (das Netzwerk und der Speicher für virtuelle Dienstmaschinen und SVM) angepasst. Detaillierte Informationen über die Anpassung der Einstellungen Agent VM Settings finden Sie in der Dokumentation von VMware.
Um Kaspersky Security for Virtualization 6.x Agentless in einer Infrastruktur unter Verwaltung des VMware NSX-V Manager zu installieren, führen Sie 9 Schritte weiter unten in der Konsole VMware vSphere Client aus.
1. Stellen Sie den Dienst Guest Introspection bereit
In einer Infrastruktur unter Verwaltung des Servers VMware vCenter Server und VMware NSX-V Manager stellen Sie auf jedem Cluster von VMware-Hypervisoren, auf dem SVMs mit der Komponente „Schutz vor bedrohlichen Dateien“ verteilt sind, den Dienst Guest Introspection bereit:
- Gehen Sie auf Networking and Security → Installation and Upgrade → Service Deployment.
- Klicken Sie auf Add, um den Assistenten zur Bereitstellung von Netzwerkdiensten und Schutzdiensten für virtuelle Maschinen zu starten.
- Wählen Sie den Dienst Guest Introspection und klicken Sie auf Next.
- Wählen Sie einen oder mehrere VMware-Cluster, auf denen Sie eine SVM mit der Komponente „Schutz vor bedrohlichen Dateien“ installieren möchten. Klicken Sie auf Next.
- Bei Bedarf ändern Sie die Standard-Netzwerkeinstellungen und wählen Sie einen Speicher für die virtuellen Maschinen mit dem Dienst Guest Introspection, die auf den ausgewählten VMware-Clustern installiert werden sollen, aus.
- Wählen Sie ein Netzwerk, das die virtuellen Maschinen mit dem Dienst Guest Introspection verwenden sollen, und einen Speicher zur Bereitstellung von virtuellen Maschinen mit diesem Dienst.
- Um die Einstellungen der Zuweisung von IP-Adressen für virtuelle Maschinen anzupassen, klicken Sie auf das entsprechende Symbol in der Spalte IP Assignment.
-
Wählen Sie Use IP Pool und klicken Sie auf Add.
-
Konfigurieren Sie das Pool statischer Adressen und klicken Sie auf Save.
-
Wählen Sie das hinzugefügte Pool statischer Adressen und klicken Sie auf OK.
-
Der Name des ausgewählten Pools wird in der Spalte IP Assignment angezeigt: Klicken Sie auf Next.
- Prüfen Sie, dass alle Einstellungen richtig angegeben sind. Klicken Sie auf Finish.
Daraufhin wird das Fenster des Assistenten geschlossen, in der Spalte Installation Status werden Informationen über den aktuellen Status der Bereitstellung des Dienstes Guest Introspection angezeigt.
- Warten Sie auf den Abschluss der Bereitstellung des Dienstes Guest Introspection.
- Gehen Sie auf Hosts and Clusters.
- Prüfen Sie, dass die virtuellen Maschinen mit dem Dienst Guest Introspection erfolgreich auf jedem Hypervisor des ausgewählten Clusters bereitgestellt sind.
Der Dienst Guest Introspection wird auf jedem Hypervisor innerhalb eines Clusters bereitgestellt.
2. Bereiten Sie Hypervisoren VMware ESXi zur Bereitstellung des Schutzes vor Netzwerkbedrohungen vor
Installieren Sie die Komponenten von VMware NSX:
- Gehen Sie auf Networking and Security → Installation and Upgrade → Host Preparation.
- Wählen Sie einen Cluster mit den Hypervisoren, auf denen Sie eine SVM mit der Komponente „Schutz vor Netzwerkbedrohungen“ bereitstellen möchten.
- Klicken Sie auf Actions → Install.
- Klicken Sie auf Yes.
Daraufhin werden Informationen über den Fortschritt der Vorbereitung der Hypervisoren angezeigt.
- Warten Sie, bis die Vorbereitung der Hypervisoren abgeschlossen ist.
Im Abschnitt Hosts finden Sie Informationen über installierte Komponenten von VMware NSX.
3. Lesen Sie die Informationen über die Lizenz für NSX for vSphere
Die Funktion der Komponente „Schutz vor Netzwerkbedrohungen“ erfordert eine gültige Lizenz für NSX for vSphere Advanced oder NSX for vSphere Enterprise.
Die Standardlizenz für NSX for vSphere wird standardmäßig bei Verbindung des VMware NSX-V Manager mit dem VMware vCenter Server hinzugefügt. Wenn diese Lizenz verwendet wird, ist die Funktion Network Service Insertion (Third Party Integration), die für die Aktivierung des Schutzes vor Netzwerkbedrohungen auf Hypervisoren VMware ESXi nötig ist, nicht verfügbar.
So rufen Sie Informationen über verwendete Lizenzen ab:
- Klicken Sie auf Menu → Administration.
- Gehen Sie auf Licenses → Assets → Solutions.
Wenn die Liste keine Lizenz für NSX for vSphere Advanced oder NSX for vSphere Enterprise enthält, dann fügen Sie eine Lizenz mithilfe des Assistenten zum Hinzufügen von Lizenzen hinzu.
4. Registrieren Sie die Dienste von Kaspersky Security im VMware NSX-V Manager
So registrieren Sie die Dienste von Kaspersky Security im VMware NSX Manager:
- Veröffentlichen alle Dateien von SVM-Images mit den Komponenten von Kaspersky Security for Virtualization 6.x Agentless auf dem Dateiserver mit Netzwerkzugriff über HTTP oder HTTPS. Sie können den IIS-Webserver, der in Windows integriert ist, verwenden.
- Installieren Sie die Komponenten von Kaspersky Security: Plug-in zur Programmverwaltung, Konsole des Integrationsservers und Integrationsserver. Die Anleitung ist in der Onlinehilfe.
- Passen Sie die Einstellungen für die Verbindung des Integrationsservers mit dem VMware vCenter Server an. Die Anleitung ist in der Onlinehilfe.
- Geben Sie alle für die Registrierung und Bereitstellung der Dienste von Kaspersky Security for Virtualization 6.x Agentless erforderlichen Parameter im Assistenten, der über die Konsole des Administrationsserver gestartet wird, ein. Die Anleitung ist in der Onlinehilfe.
Die Dienste von Kaspersky Security werden im VMware NSX-V Manager registriert.
5. Rufen Sie die Liste registrierter Dienste ab
Der Integrationsserver registriert die Dienste von Kaspersky Security for Virtualization 6.x Agentless im VMware NSX Manager. Der Integrationsserver wird im VMware NSX Manager als Kaspersky Service Manager registriert.
Um die Liste der registrierten Dienste abzurufen, gehen Sie auf Networking and Security → Service Definitions → Services.
In der Tabelle sehen Sie Folgendes:
- Name ist der Name des Dienstes des Schutzes für das Dateisystem (Kaspersky File Antimalware Protection) oder des Dienstes des Netzwerkschutzes (Kaspersky Network Protection).
- Version ist die Version des SVM-Images, dessen Pfad Sie in der Konsole des Integrationsservers angegeben haben.
- Service Manager ist der Name des Kaspersky Service Manager (des in VMware NSX-V Manager registrierten Integrationsservers).
Um die Liste der registrierten Dienste abzurufen, gehen Sie auf Networking and Security → Service Definitions → Services.
In der Tabelle sehen Sie Folgendes:
- Name ist der Name des Kaspersky Service Manager (des in VMware NSX-V Manager registrierten Integrationsservers).
- Vendor ID ist der Name von KasperskyLab.
- Vendor Name ist der Name von AO Kaspersky Lab.
6. Richten Sie NSX-Gruppen ein
Fügen Sie zur Sicherheitsgruppe NSX alle virtuellen Maschinen, die Sie mithilfe von Kaspersky Security for Virtualization 6.x Agentless schützen möchten, hinzu. Dazu erstellen Sie NSX-Gruppen und passen Sie die Regeln für das Hinzufügen virtueller Maschinen zur Gruppe anhand der folgenden Methoden an:
- Dynamisches Hinzufügen. Die Gruppe umfasst alle virtuellen Maschinen, die die angegebenen Kriterien erfüllen.
- Auswahl von verwalteten VMware-Objekten. Sie können Objekte auswählen, die zur Gruppen hinzugefügt werden sollen, z. B. das Objekt Datacenter, den Cluster VMware, das Ressourcenpool sowie einzelne virtuelle Maschinen. Standardmäßig gehören alle untergeordneten Objekte eines angegebenen verwalteten VMware-Objekts zur Gruppe. Dabei können Sie einzelne verwaltete VMware-Objekte angeben, die aus der NSX-Gruppe ausgeschlossen werden sollen.
Sie können diese Methoden beim Anpassen der Regeln für das Hinzufügen virtueller Maschinen zur NSX-Gruppe kombinieren. Z. B. Sie können dynamisches Hinzufügen virtueller Maschinen zur Gruppe nach einem bestimmten Kriterium anpassen und VMware-Verwaltungsobjekte, die aus der Gruppe ausgeschlossen werden sollen, angeben.
So richten Sie eine NSX-Gruppe ein:
- Gehen Sie auf Networking and Security → Service Composer → Security Groups.
- Klicken Sie auf Add.
- Geben Sie einen Name für die neue NSX-Gruppe ein, z. B. „Kaspersky Security Group“ oder „Protected by Kaspersky“.
- Klicken Sie auf Next.
- Wenn Sie dynamisches Hinzufügen virtueller Maschinen zur Gruppe anpassen möchten, gehen Sie zum Schritt Define dynamic membership im Fenster des Assistenten über und gehen Sie wie folgt vor:
- Klicken Sie auf Add.
- Passen Sie Kriterien für das Hinzufügen virtueller Maschinen zur Gruppe an. Um z. B. alle virtuellen Maschinen mit Windows zur Gruppe hinzuzufügen, können Sie das Kriterium Computer OS Name, Contains, Windows.
- Klicken Sie auf Next.
- Wenn Sie verwaltete VMware-Objekte, die zur NSX-Gruppe gehören sollen, angeben möchten, gehen Sie zum Schritt Select objects to include über und gehen Sie wie folgt vor:
- Wählen Sie den Typ von Objekten im Feld Object Type aus.
- Verschieben Sie in die Liste Selected Objects die verwalteten VMware-Objekte, die Sie zur Gruppe hinzufügen möchten.
- Klicken Sie auf Next.
- Wenn Sie verwaltete VMware-Objekte, die aus der Sicherheitsgruppe von NSX ausgeschlossen werden sollen, angeben möchten, gehen Sie zum Schritt Select objects to exclude über.
- Wählen Sie den Typ von Objekten im Feld Object Type aus.
- Verschieben Sie in die Liste Selected Objects die verwalteten VMware-Objekte, die Sie aus der Gruppe ausschließen möchten.
- Klicken Sie auf Next.
- Wenn Sie alle angegebenen Parameter überprüfen möchten, gehen Sie zum Schritt Ready to complete über.
- Prüfen Sie, dass alle Einstellungen richtig angegeben sind. Klicken Sie auf Finish.
- Gehen Sie zu Hosts and Clusters über und prüfen Sie, dass die zu schützenden virtuellen Maschinen zur NSX-Gruppe hinzugefügt sind.
- Prüfen Sie, dass der Nanme der NSX-Gruppe für jede virtuelle Maschine, die die Kriterien für das Hinzufügen zur Gruppe erfüllen, auf der Registerkarte Summary im Abschnitt Security Group Membership angegeben ist.
Die NSX-Gruppen werden eingerichtet.
7. Passen Sie NSX-Richtlinien an
Um virtuelle Maschinen, die zur NSX-Gruppe hinzugefügt sind, zu schützen, passen Sie eine NSX-Richtlinie an und wenden Sie sie auf die NSX-Gruppe an:
- Gehen Sie auf Networking and Security → Service Composer → Security Policies.
- Klicken Sie auf Add.
- Geben Sie einen Namen für die NSX-Richtlinie ein und klicken Sie auf Next.
- Wenn Sie die Komponente „Schutz vor bedrohlichen Dateien“ verwenden möchten, klicken Sie auf Add.
- Geben Sie einen beliebigen Namen ins Feld Name ein, wählen Sie in der Pop-up-Liste Service Name den Dienst Kaspersky File Antimalware Protection und klicken Sie auf OK.
Im Fenster des Assistenten zur Erstellung der Richtlinie werden Informationen über den Dienst Kaspersky File Antimalware Protection angezeigt.
- Wenn Sie den Schutz vor Netzwerkbedrohungen verwenden möchten, gehen Soe zum Schritt Network Introspection Services über.
- So fügen Sie die Untersuchung des ausgehenden Datenverkehrs auf virtuellen Maschinen hinzu:
-
Klicken Sie auf Add.
- Geben Sie einen beliebigen Namen ins Feld Name ein, in der Pop-up-Liste Service Name wählen Sie den Dienst Kaspersky Network Protection.
- Setzen Sie den Schalter Redirect to service auf Yes.
-
Wählen Sie Policy's Security Groups im Abschnitt Source und Any im Abschnitt Destination.
- Klicken Sie auf OK.
-
- So fügen Sie die Untersuchung des eingehenden Datenverkehrs auf virtuellen Maschinen hinzu:
- Klicken Sie auf Add.
- Geben Sie einen beliebigen Namen ins Feld Name ein, in der Pop-up-Liste Service Name wählen Sie den Dienst Kaspersky Network Protection.
- Setzen Sie den Schalter Redirect to service auf Yes.
-
Wählen Sie Any im Abschnitt Source und Policy's Security Groups im Abschnitt Destination.
- Klicken Sie auf OK.
Im Fenster des Assistenten zur Erstellung der Richtlinie werden Informationen über den Dienst Kaspersky Network Protection angezeigt.
- Beenden Sie den Assistenten zur Erstellung der NSX-Richtlinie.
- Gehen Sie auf Security Policies und wählen Sie die erstellte Richtlinie. Klicken Sie auf Apply.
- Wählen Sie die NSX-Gruppe, die die zu schützenden virtuellen Maschinen enthält, und klicken Sie auf Apply.
Auf der Registerkarte Security Policies in der Spalte Status wird der Wert Successful für die erstellte Richtlinie angezeigt. Und in der Spalte Applied on SGs wird die Anzahl an NSX-Gruppen angezeigt, auf die diese Richtlinie angewendet wird.
Die NSX-Richtlinie wird auf die NSX-Gruppe angewendet.
8. Verteilen Sie die SVM mit der Komponente „Schutz vor bedrohlichen Dateien“
SVMs mit der Komponente „Schutz vor bedrohlichen Dateien“ werden auf Hypervisoren VMware ESXi bei Verteilung des Dienstes zum Schutz des Dateisystems (Kaspersky File Antimalware Protection) auf VMware-Clustern bereitgestellt.
So stellen Sie den Dienst Kaspersky File Antimalware Protection bereit:
- Gehen Sie auf Networking and Security → Installation and Upgrade → Service Deployment.
- Klicken Sie auf Add.
- Wählen Sie den Dienst Kaspersky File Antimalware Protection aus und klicken Sie auf Next.
- Wählen Sie einen oder mehrere VMware-Cluster, auf denen Sie eine SVM mit der Komponente „Schutz vor bedrohlichen Dateien“ installieren möchten. Klicken Sie auf Next.
- Bei Bedarf ändern Sie die Standardeinstellungen für alle SVMs, die auf den Hypervisoren innerhalb des ausgewählten VMware-Clusters installiert werden sollen.
- Wählen Sie ein Netzwerk, das SVMs anwenden sollen, und einen Speicher zur Bereitstellung einer SVM mit der Komponente „Schutz vor bedrohlichen Dateien“ aus.
- Um die Einstellungen der Zuweisung von IP-Adressen für virtuelle Maschinen anzupassen, klicken Sie auf das entsprechende Symbol in der Spalte IP Assignment.
-
Wählen Sie Use IP Pool und klicken Sie auf Add.
-
Konfigurieren Sie das Pool statischer Adressen und klicken Sie auf Save.
-
Wählen Sie das hinzugefügte Pool statischer Adressen und klicken Sie auf OK.
-
Der Name des ausgewählten Pools wird in der Spalte IP Assignment angezeigt: Klicken Sie auf Next.
- Prüfen Sie, dass alle Einstellungen richtig angegeben sind. Klicken Sie auf Finish.
Daraufhin wird das Fenster des Assistenten geschlossen, in der Spalte Installation Status werden Informationen über den aktuellen Status der Bereitstellung des Dienstes Kaspersky File Antimalware Protection angezeigt.
- Warten Sie, bis die Bereitstellung des Dienstes Kaspersky File Antimalware Protection abgeschlossen wird.
- Gehen Sie auf Hosts and Clusters.
- Prüfen Sie, dass die SVMs erfolgreich auf jedem Hypervisor des ausgewählten Clusters bereitgestellt sind.
SVMs mit der Komponente „Schutz vor bedrohlichen Dateien“ werden bereitgestellt.
9. Stellen Sie SVMs mit der Komponente „Erkennen von Netzwerkbedrohungen“ bereit
SVMs mit der Komponente „Erkennen von Netzwerkbedrohungen“ werden auf Hypervisoren VMware ESXi bei Verteilung des Dienstes zum Netzwerkschutz (Kaspersky Network Protection) auf VMware-Clustern bereitgestellt.
So stellen Sie den Dienst Kaspersky Network Protection bereit:
- Gehen Sie auf Networking and Security → Installation and Upgrade → Service Deployment.
- Klicken Sie auf Add.
- Wählen Sie den Dienst Kaspersky Network Protection aus und klicken Sie auf Next.
- Wählen Sie einen oder mehrere VMware-Cluster, auf denen Sie eine SVM mit der Komponente „Erkennen von Netzwerkbedrohungen“ installieren möchten. Klicken Sie auf Next.
- Bei Bedarf ändern Sie die Standardeinstellungen für alle SVMs, die auf den Hypervisoren innerhalb des ausgewählten VMware-Clusters installiert werden sollen.
- Wählen Sie ein Netzwerk, das SVMs anwenden sollen, und einen Speicher zur Bereitstellung einer SVM mit der Komponente „Erkennen von Netzwerkbedrohungen“ aus.
- Um die Einstellungen der Zuweisung von IP-Adressen für virtuelle Maschinen anzupassen, klicken Sie auf das entsprechende Symbol in der Spalte IP Assignment.
-
Wählen Sie Use IP Pool und klicken Sie auf Add.
-
Konfigurieren Sie das Pool statischer Adressen und klicken Sie auf Save.
-
Wählen Sie das hinzugefügte Pool statischer Adressen und klicken Sie auf OK.
-
Der Name des ausgewählten Pools wird in der Spalte IP Assignment angezeigt: Klicken Sie auf Next.
- Prüfen Sie, dass alle Einstellungen richtig angegeben sind. Klicken Sie auf Finish.
Daraufhin wird das Fenster des Assistenten geschlossen, in der Spalte Installation Status wird der Status der Bereitstellung des Dienstes Kaspersky Network Protection angezeigt.
- Warten Sie, bis die Bereitstellung des Dienstes Kaspersky Network Protection abgeschlossen wird.
- Gehen Sie auf Hosts and Clusters.
- Prüfen Sie, dass die SVMs erfolgreich auf jedem Hypervisor des ausgewählten Clusters bereitgestellt sind.
SVMs mit der Komponente „Erkennen von Netzwerkbedrohungen“ werden bereitgestellt.