Подготовка к развертыванию

В этом разделе описаны шаги, которые вам нужно выполнить перед развертыванием Kaspersky Security Center Linux.

Планирование развертывания Kaspersky Security Center Linux

Этот раздел содержит информацию об оптимальных вариантах развертывания компонентов Kaspersky Security Center Linux в сети организации в зависимости от следующих критериев:

• общего количества устройств;
• наличия организационно или географически обособленных подразделений (офисов, филиалов);
• наличия обособленных сетей, связанных узкими каналами;
• необходимости доступа к Серверу администрирования из интернета.

Типовые способы развертывания системы защиты

В этом разделе описаны типовые способы развертывания системы защиты в сети организации с помощью Kaspersky Security Center.

Необходимо обеспечить защиту системы от несанкционированного доступа всех видов. Перед установкой приложения на устройство рекомендуется установить все доступные обновления безопасности для операционной системы и обеспечить физическую защиту Серверов администрирования и точек распространения.

Вы можете развернуть систему защиты в сети организации с помощью Kaspersky Security Center, используя следующие схемы развертывания:

• Развертывание системы защиты с помощью Kaspersky Security Center Web Console.

  Установка приложений "Лаборатории Касперского" на клиентские устройства и подключение клиентских устройств к Серверу администрирования происходит автоматически с помощью Kaspersky Security Center.

• Развертывание системы защиты вручную с помощью автономных инсталляционных пакетов, сформированных в Kaspersky Security Center.

  Установка приложений "Лаборатории Касперского" на клиентские устройства и рабочее место администратора производится вручную, параметры подключения клиентских устройств к Серверу администрирования задаются при установке Агента администрирования.

  Этот вариант развертывания рекомендуется применять в случаях, когда невозможно провести удаленную установку.

Kaspersky Security Center не поддерживает развертывание с использованием групповых политик Microsoft Active Directory.

О планировании развертывания Kaspersky Security Center Linux в сети организации

Один Сервер администрирования может обслуживать до 50 000 устройств (с PostgreSQL или Postgres Pro в качестве СУБД). Если общее количество устройств в сети организации превышает 50 000, следует разместить в сети организации несколько Серверов администрирования, объединенных в иерархию для удобства централизованного управления.

Если в составе организации есть крупные географически удаленные офисы (филиалы) с собственными администраторами, целесообразно разместить в этих офисах Серверы администрирования. В ином случае такие офисы следует рассматривать как обособленные сети, связанные узкими каналами, см. раздел "Типовая конфигурация: несколько крупных офисов с собственными администраторами".

При наличии обособленных сетей, связанных узкими каналами, в целях экономии трафика в таких сетях следует назначить один или несколько Агентов администрирования точками распространения (см. таблицу для расчета количества точек распространения). В этом случае все устройства обособленной сети будут получать обновления с таких "локальных центров обновлений". Точки распространения могут загружать обновления как с Сервера администрирования (поведение по умолчанию), так и с размещенных в интернете серверов "Лаборатории Касперского", см. раздел "Типовая конфигурация: множество небольших изолированных офисов".

В разделе "Типовые конфигурации Kaspersky Security Center Linux" приведены подробные описания типовых конфигураций Kaspersky Security Center Linux. При планировании развертывания следует, в зависимости от структуры организации, выбрать наиболее подходящую типовую конфигурацию.

На этапе планирования развертывания следует рассмотреть необходимость задания Серверу администрирования специального сертификата X.509. Задание сертификата X.509 для Сервера администрирования может быть целесообразно в следующих случаях (неполный список):

• для инспекции SSL трафика посредством SSL termination proxy или для использования Reverse Proxy;
• для интеграции с инфраструктурой открытых ключей (PKI) организации;
• для задания желательных значений полей сертификата;
• для обеспечения желаемой криптографической стойкости сертификата.

Выбор структуры защиты организации

Выбор структуры защиты организации определяют следующие факторы:

• Топология сети организации.
• Организационная структура.
• Число сотрудников, отвечающих за защиту сети, и распределение обязанностей между ними.
• Аппаратные ресурсы, которые могут быть выделены для установки компонентов управления защитой.
• Пропускная способность каналов связи, которые могут быть выделены для работы компонентов защиты в сети организации.
• Допустимое время выполнения важных административных операций в сети организации. К важным административным операциям относятся, например, распространение обновлений антивирусных баз и изменение политик для клиентских устройств.

При выборе структуры защиты рекомендуется сначала определить имеющиеся сетевые и аппаратные ресурсы, которые могут использоваться для работы централизованной системы защиты.

Для анализа сетевой и аппаратной инфраструктуры рекомендуется следующий порядок действий:

1. Определить следующие параметры сети, в которой будет развертываться защита:
   • число сегментов сети;
   • скорость каналов связи между отдельными сегментами сети;
   • число управляемых устройств в каждом из сегментов сети;
   • пропускную способность каждого канала связи, которая может быть выделена для функционирования защиты.
2. Определить допустимое время выполнения ключевых операций администрирования для всех управляемых устройств.
3. Проанализировать информацию из пунктов 1 и 2, а также данные нагрузочного тестирования системы администрирования. На основании проведенного анализа ответить на следующие вопросы:
   • Возможно ли обслуживание всех клиентов одним Сервером администрирования или требуется иерархия Серверов администрирования?
   • Какая аппаратная конфигурация Серверов администрирования требуется для обслуживания всех клиентов за время, определенное в пункте 2?
   • Требуется ли использование точек распространения для снижения нагрузки на каналы связи?

После ответа на перечисленные вопросы вы можете составить набор допустимых структур защиты организации.

В сети организации можно использовать одну из следующих типовых структур защиты:

• Один Сервер администрирования. Все клиентские устройства подключены к одному Серверу администрирования. Роль точки распространения выполняет Сервер администрирования.
• Один Сервер администрирования с точками распространения. Все клиентские устройства подключены к одному Серверу администрирования. В сети выделены клиентские устройства, выполняющие роль точек распространения.
• Иерархия Серверов администрирования. Для каждого сегмента сети выделен отдельный Сервер администрирования, включенный в общую иерархию Серверов администрирования. Роль точки распространения выполняет главный Сервер администрирования.
• Иерархия Серверов администрирования с точками распространения. Для каждого сегмента сети выделен отдельный Сервер администрирования, включенный в общую иерархию Серверов администрирования. В сети выделены клиентские устройства, выполняющие роль точек распространения.

Типовые конфигурации Kaspersky Security Center Linux

В этом разделе описаны следующие типовые конфигурации размещения компонентов Kaspersky Security Center Linux в сети организации:

• один офис;
• несколько крупных географически распределенных офисов с собственными администраторами;
• множество небольших географически распределенных офисов.

Типовая конфигурация: один офис

В сети организации может быть размещен один или несколько Серверов администрирования. Количество Серверов может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от общего количества управляемых устройств.

Один Сервер администрирования может обслуживать не более чем 50 000 устройств (с PostgreSQL или Postgres Pro в качестве СУБД). Нужно учесть возможность увеличения количества управляемых устройств в ближайшем будущем: может оказаться желательным подключение несколько меньшего количества устройств к одному Серверу администрирования.

Серверы администрирования могут быть размещены как во внутренней сети, так и в демилитаризованной зоне, в зависимости от того, нужен ли доступ к Серверам администрирования из интернета.

Если Серверов несколько, рекомендуется объединить их в иерархию. Наличие иерархии Серверов администрирования позволяет избежать дублирования политик и задач, работать со всем множеством управляемых устройств, как если бы они все управлялись одним Сервером администрирования (то есть выполнять поиск устройств, создавать выборки устройств, создавать отчеты).

Типовая конфигурация: несколько крупных офисов с собственными администраторами

При наличии нескольких крупных удаленных офисов следует рассмотреть возможность размещения Серверов администрирования в каждом из офисов. По одному или по несколько Серверов администрирования в каждом офисе, в зависимости от количества клиентских устройств и доступного аппаратного обеспечения. В таком случае каждый из офисов может быть рассмотрен как "Типовая конфигурация: один офис". Для упрощения администрирования все Серверы администрирования следует объединить в иерархию, возможно, многоуровневую.

При наличии сотрудников, которые перемещаются между офисами вместе с устройствами (ноутбуками), в политике Агента администрирования следует создать профили подключения Агента администрирования. Обратите внимание, что профили подключения Агента администрирования поддерживают только устройства с операционными системами Windows и macOS.

Типовая конфигурация: множество небольших удаленных офисов

Эта типовая конфигурация предусматривает один главный офис и множество небольших удаленных офисов, которые могут связываться с главным офисом через интернет. Каждый из удаленных офисов находится за Network Address Translation (далее также NAT), то есть подключение из одного удаленного офиса в другой невозможно, офисы изолированы друг от друга.

В главном офисе следует поместить Сервер администрирования, а в остальных офисах назначить по одной или по несколько точек распространения. Так как связь между офисами осуществляется через интернет, целесообразно создать для точек распространения задачу Загрузка обновлений в хранилища точек распространения, так, чтобы точки распространения загружали обновления не с Сервера администрирования, а непосредственно с серверов "Лаборатории Касперского", локальной или сетевой папок.

Если в удаленном офисе часть устройств не имеет прямого доступа к Серверу администрирования (например, доступ к Серверу администрирования осуществляется через интернет, но доступ в интернет есть не у всех устройств), то точки распространения следует переключить в режим шлюза. В таком случае Агенты администрирования на устройствах в удаленном офисе будут подключаться (с целью синхронизации) к Серверу администрирования не напрямую, а через шлюз.

Поскольку Сервер администрирования, скорее всего, не сможет опрашивать сеть в удаленном офисе, целесообразно возложить выполнение этой функции на одну из точек распространения.

Сервер администрирования не сможет посылать уведомления на порт 15000 UDP управляемым устройствам, размещенным за NAT в удаленном офисе. Для решения этой проблемы вы можете включить в свойствах устройств, являющихся точками распространения, режим постоянного соединения с Сервером администрирования (флажок Не разрывать соединение с Сервером администрирования). Этот режим доступен, если общее количество точек распространения не превышает 300. Используйте push-серверы, чтобы обеспечить постоянную связь между управляемым устройством и Сервером администрирования. Дополнительную информацию см. в разделе: Включение push-сервера.

Выбор СУБД

В таблице ниже перечислены допустимые варианты СУБД и рекомендации и ограничения их использования.

Рекомендации и ограничения СУБД

Сведения о том, как установить выбранную СУБД, см. в документации к ней.

Рекомендуется выключить задачу инвентаризации программного обеспечения и выключить (в параметрах политики Kaspersky Endpoint Security) уведомления Сервера администрирования о запуске приложений.

Если вы решили установить СУБД PostgreSQL или Postgres Pro, убедитесь, что вы указали пароль для суперпользователя. Если пароль не указан, Сервер администрирования может не подключиться к базе данных.

Если вы установите MySQL, MariaDB, PostgreSQL или Postgres Pro используйте рекомендуемые параметры, чтобы обеспечить правильную работу СУБД.

Если вы используете СУБД PostgreSQL, MariaDB или MySQL, на вкладке События может отображаться неполный список событий для выбранного клиентского устройства. Это происходит, когда СУБД хранит очень большое количество событий. Вы можете увеличить количество отображаемых событий, выполнив одно из следующих действий:

• Удалить ненужные события.
• Сократить срок хранения ненужных событий.

Чтобы увидеть полный список событий, зарегистрированных на Сервере администрирования для устройства, используйте Отчеты.

Предоставление доступа к Серверу администрирования из интернета

В ряде случаев необходимо предоставить доступ к Серверу администрирования из интернета:

• Регулярное обновление баз, модулей приложений и приложений "Лаборатории Касперского".
• Обновление приложений сторонних производителей

  По умолчанию Сервер администрирования не требует подключения к интернету для установки обновлений приложений Microsoft на управляемые устройства. Например, управляемые устройства могут загружать обновления приложений Microsoft непосредственно с серверов обновлений Microsoft или с Windows Server со службами Microsoft Windows Server Update Services (WSUS), развернутыми в сети вашей организации. Сервер администрирования должен быть подключен к интернету в следующих случаях:

  • Когда вы используете Сервер администрирования в роли WSUS-сервера.
  • Для установки обновлений приложений сторонних производителей, отличных от приложений Microsoft.
• Закрытие уязвимостей в приложениях сторонних производителей

  Подключение Сервера администрирования к интернету необходимо для выполнения следующих задач:

  • Составление списка рекомендуемых исправлений уязвимостей в приложениях Microsoft. Список формируется и регулярно обновляется специалистами "Лаборатории Касперского".
  • Закрытие уязвимостей в приложениях сторонних производителей, отличных от приложений Microsoft.
• Для управления устройствами (ноутбуками) автономных пользователей.
• Для управления устройствами, находящимися в удаленных офисах.
• При взаимодействии с главным или подчиненными Серверами администрирования, находящимися в удаленных офисах.
• Для управления мобильными устройствами.

В этом разделе рассмотрены типичные способы обеспечения доступа к Серверу администрирования из интернета. Во всех случаях предоставления доступа к Серверу администрирования из интернета может понадобиться задать Серверу администрирования специальный сертификат.

Доступ из интернета: Сервер администрирования в локальной сети

Если Сервер администрирования располагается во внутренней сети организации, вы можете сделать порт Сервера администрирования 13000 TCP доступным извне с помощью механизма "Port Forwarding".

Доступ из интернета: Сервер администрирования в демилитаризованной зоне

Если Сервер администрирования располагается в демилитаризованной зоне сети организации, у него отсутствует доступ во внутреннюю сеть организации. Как следствие, возникают следующие ограничения:

• Сервер администрирования не может самостоятельно обнаруживать новые устройства.
• Сервер администрирования не может выполнять первоначальное развертывание Агента администрирования посредством принудительной установки на устройства внутренней сети организации.

  Речь идет только о первоначальной установке Агента администрирования. Последующие обновления версии Агента администрирования или установка приложения безопасности уже могут быть выполнены Сервером администрирования.

Обратите внимание, что Kaspersky Security Center Linux не поддерживает развертывание с использованием групповых политик Microsoft Windows.

Вы можете использовать точки распространения, расположенные в сети организации. Для выполнения первоначального развертывания на устройствах без Агента администрирования следует предварительно установить Агент администрирования на одно из устройств и назначить это устройство точкой распространения. В результате первоначальная установка Агента администрирования на прочие устройства будет выполняться Сервером администрирования через эту точку распространения.

Для успешной отправки уведомлений управляемым устройствам, размещенным во внутренней сети организации, на порт 15000 UDP, следует покрыть всю сеть предприятия точками распространения. В свойствах назначенных точек распространения установите флажок Не разрывать соединение с Сервером администрирования. В результате Сервер администрирования будет иметь постоянную связь с точками распространения, а точки распространения смогут посылать уведомления на порт 15000 UDP устройствам, размещенным во внутренней сети организации (это может быть IPv4-сеть или IPv6-сеть).

О точках распространения

Устройства с установленным Агентом администрирования могут быть использованы в качестве точки распространения. В этом режиме Агент администрирования может распространять обновления, которые могут быть получены как с Сервера администрирования, так и с серверов "Лаборатории Касперского". В последнем случае настройте загрузку обновлений для точки распространения.

Размещение точек распространения в сети организации преследует следующие цели:

• Уменьшение нагрузки на Сервер администрирования.
• Оптимизация трафика.
• Предоставление Серверу администрирования доступ к устройствам в труднодоступных частях сети организации. Наличие точки распространения в находящейся за NAT (по отношению к Серверу администрирования) сети позволяет Серверу администрирования выполнять следующие действия:
  • отправлять уведомления на устройства через UDP в IPv4-сети или IPv6-сети;
  • опрос IPv4-сети или IPv6-сети;
  • выполнять первоначальное развертывание;
  • использовать в качестве push-сервера.

Точка распространения назначается на группу администрирования. В этом случае областью действия точки распространения будут устройства, находящиеся в этой группе администрирования и всех ее подгруппах. При этом устройство, являющееся точкой распространения, не обязано находиться в группе администрирования, на которую она назначена.

Вы можете сделать точку распространения шлюзом соединений. В этом случае, устройства, находящиеся в области действия точки распространения, будут подключаться к Серверу администрирования не напрямую, а через шлюз. Данный режим полезен в сценариях, когда между Сервером администрирования и управляемыми устройствами невозможно прямое соединение.

Если вы используете устройство под управлением Linux в качестве точки распространения, настоятельно рекомендуется увеличить ограничения дескрипторов файлов для службы klnagent, так как, если в область действия точки распространения входит много устройств, может не хватить максимального количества файлов, которые могут быть открыты по умолчанию.

Увеличение ограничения дескрипторов файлов для службы klnagent

Если область распространения точки распространения под управлением Linux включает в себя большое количество устройств, ограничения на количество открываемых файлов (дескрипторов файлов), которое было установлено по умолчанию, может быть недостаточно. Чтобы этого избежать, вы можете увеличить ограничение дескрипторов файлов для службы klnagent.

Чтобы увеличить ограничение дескрипторов файлов для службы klnagent

1. На устройстве под управлением Linux, которое выполняет роль точки распространения, откройте файл /lib/systemd/system/klnagent64.service и укажите жесткие и мягкие ограничения дескрипторов файлов в параметре LimitNOFILE раздела [Service]:

   LimitNOFILE=<мягкое ограничение ресурсов>:жесткое ограничение ресурсов>

   Например, LimitNOFILE=32768:131072. Обратите внимание, что мягкие ограничения дескрипторов файлов должны быть меньше или равны жесткому ограничению.

2. Выполните следующую команду, чтобы убедиться, что параметры указаны правильно:

   systemd-analyze verify klnagent64.service

   Если параметры указаны неверно, эта команда может вывести одну из следующих ошибок:

   • /lib/systemd/system/klnagent64.service:11: Не удалось проанализировать значение ресурса, пропущено: 32768:13107

     Если эта ошибка возникла, значит, символы в строке LimitNOFILE указаны неверно. Вам нужно проверить и исправить введенную строку.

   • /lib/systemd/system/klnagent64.service:11: Мягкие ограничения ресурсов выбраны выше жесткого ограничения, пропущено: 32768:13107

     Если эта ошибка возникла, мягкое ограничение введенных вами дескрипторов файлов превышает жесткое ограничение. Вам нужно проверить введенную строку и убедиться, что мягкое ограничение дескрипторов файлов меньше или равно жесткому ограничению.

3. Выполните следующую команду, чтобы перезагрузить процесс systemd:

   systemctl daemon-reload

4. Выполните следующую команду, чтобы перезапустить службу Агента администрирования:

   systemctl restart klnagent

5. Выполните следующую команду, чтобы убедиться, что указанные параметры применяются правильно:

   less /proc/<nagent_proc_id>/limits

   где параметр <nagent_proc_id> является идентификатором процесса Агента администрирования. Вы можете выполнить следующую команду, чтобы получить идентификатор:

   ps -ax | grep klnagent

Для точки распространения с операционной системой Linux количество открываемых файлов увеличено.

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Рекомендуется не отключать автоматическое назначение точек распространения. При включенном автоматическом назначении точек распространения Сервер администрирования назначает точки распространения, если число клиентских устройств достаточно велико, и определяет их конфигурацию.

Использование специально выделенных точек распространения

Если вы планируете использовать в качестве точек распространения какие-то определенные устройства (например, выделенные для этого серверы), то можно не использовать автоматическое назначение точек распространения. В этом случае убедитесь, что устройства, которые вы хотите назначить точками распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения отключена или по другим причинам недоступна, то управляемые устройства из области действия этой точки распространения могут обращаться за обновлениями к Серверу администрирования.

Виртуальные Серверы администрирования

В рамках физического Сервера администрирования можно создать несколько виртуальных Серверов администрирования, во многом подобных подчиненным Серверам. По сравнению с моделью разделения доступа, основанной на списках контроля доступа (ACL), модель виртуальных Серверов более функциональна и предоставляет большую степень изоляции. В дополнение к структуре групп администрирования, предназначенной для назначения устройствам политик и задач, каждый виртуальный Сервер администрирования имеет собственную группу нераспределенных устройств, собственные наборы отчетов, выборки устройств и события, инсталляционные пакеты, правила перемещения и т. д. Функциональность виртуальных Серверов администрирования может быть использована как поставщиками услуг (xSP) для максимальной изоляции разных заказчиков друг от друга, так и крупными организациями со сложной структурой и большим количеством администраторов.

Виртуальные Серверы во многом подобны подчиненным Серверам администрирования, однако имеют следующие отличия:

• виртуальный Сервер не имеет большинства глобальных параметров и собственных TCP-портов;
• у виртуального Сервера не может быть подчиненных Серверов;
• у виртуального Сервера не может быть собственных виртуальных Серверов;
• на физическом Сервере администрирования видны устройства, группы, события и объекты с управляемых устройств (элементы карантина, реестра приложений и прочее) всех его виртуальных Серверов;
• виртуальный Сервер может сканировать сеть только посредством подключенных к нему точек распространения.

Сетевые параметры для взаимодействия с внешними сервисами

Kaspersky Security Center Linux использует следующие сетевые параметры для взаимодействия с внешними сервисами.

Сетевые параметры

Для корректного взаимодействия Kaspersky Security Center Linux с внешними службами соблюдайте следующие рекомендации:
- Незашифрованный сетевой трафик должен быть разрешен на портах 443 и 1443 на сетевом оборудовании и прокси-сервере вашей организации.
- При взаимодействии Сервера администрирования с серверами обновлений "Лаборатории Касперского" и серверами Kaspersky Security Network необходимо избегать перехвата сетевого трафика с подменой сертификатов (

Чтобы загрузить обновления по протоколу HTTP или HTTPS с помощью утилиты klscflag:

1. Запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag находится в директории, в которой установлен Сервер администрирования. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.
2. Если вы хотите загружать обновления по протоколу HTTP, выполните одну из следующих команд под учетной записью root:
   • На устройстве, на котором установлен Сервер администрирования:

     klscflag -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1

   • На точку распространения:

     klscflag -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1

   Если вы хотите загружать обновления по протоколу HTTPS, выполните одну из следующих команд под учетной записью root:

   • На устройстве, на котором установлен Сервер администрирования:

     klscflag -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0

   • На точку распространения:

     klscflag -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0