Kaspersky Security для виртуальных сред 6.0 Защита без агента

Интеграция компонентов Kaspersky Security с виртуальной инфраструктурой VMware

Для интеграции компонентов Kaspersky Security с виртуальной инфраструктурой VMware требуется следующее:

• Сервер управления виртуальной инфраструктурой (VMware vCenter Server, VMware vCloud Director). Компонент предназначен для администрирования и централизованного управления виртуальной инфраструктурой VMware. Компонент участвует в развертывании Kaspersky Security. Сервер интеграции получает от сервера управления виртуальной инфраструктурой информацию о виртуальной инфраструктуре VMware, необходимую для работы программы.
• VMware NSX Manager. Компонент обеспечивает регистрацию и развертывание служб Kaspersky Security.
• Виртуальный фильтр (VMware DVFilter). Компонент позволяет перехватывать входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин.
• Драйвер Guest Introspection (NSX File Introspection Driver). Компонент обеспечивает сбор информации на виртуальных машинах и передачу файлов на проверку программе Kaspersky Security. Чтобы программа Kaspersky Security имела возможность защищать виртуальные машины, на этих виртуальных машинах требуется установить NSX File Introspection Driver. См. подробнее в документации к продуктам VMware.

• Служба Guest Introspection и Guest Introspection ESXi Module. Компоненты обеспечивают взаимодействие между драйвером Guest Introspection, установленным на виртуальной машине, и SVM.

Компонент Защита от файловых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Пользователь или какая-либо программа открывает, сохраняет или запускает файлы на виртуальной машине, которая находится под защитой Kaspersky Security.
2. Драйвер Guest Introspection перехватывает информацию об этих событиях и отправляет службе Guest Introspection.
3. Служба Guest Introspection передает информацию о полученных событиях компоненту Защита от файловых угроз, установленному на SVM.
4. Компонент Защита от файловых угроз проверяет файлы, которые пользователь или какая-либо программа открывает, сохраняет или запускает на защищенной виртуальной машине:
   • Если в файлах не обнаружены вирусы или другие вредоносные программы, Kaspersky Security разрешает доступ к этим файлам.
   • Если в файлах обнаружены вирусы или другие вредоносные программы, Kaspersky Security выполняет то действие, которое указано в параметрах профиля защиты, назначенного этой виртуальной машине. Например, Kaspersky Security лечит или блокирует файл.

Взаимодействие компонента Защита от сетевых угроз с виртуальной инфраструктурой VMware зависит от режима обработки трафика, который вы выбрали при регистрации службы сетевой защиты (Kaspersky Network Protection). Если вы выбрали стандартный режим обработки трафика, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Виртуальный фильтр (VMware DVFilter) перехватывает входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин и перенаправляет их компоненту Защита от сетевых угроз, установленному на SVM.
2. Компонент Защита от сетевых угроз проверяет сетевые пакеты на наличие активности, характерной для сетевых атак, и подозрительной сетевой активности, которая может быть признаком вторжения в защищаемую инфраструктуру, а также проверяет все веб-адреса в запросах по протоколу HTTP на принадлежность к категориям веб-адресов, которые требуется обнаруживать в соответствии с параметрами проверки веб-адресов.

   Если в сетевом пакете не обнаружена сетевая атака или подозрительная сетевая активность и веб-адрес не принадлежит ни к одной из категорий веб-адресов, выбранных для обнаружения, Kaspersky Security разрешает произвести передачу сетевого пакета.

   Если сетевая угроза обнаружена, Kaspersky Security выполняет следующие действия:

   • Если обнаружена активность, характерная для сетевых атак, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если обнаружена подозрительная сетевая активность, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если веб-адрес принадлежит к одной или нескольким категориям веб-адресов, выбранным для обнаружения, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или разрешает доступ к веб-адресу.

Если при регистрации службы сетевой защиты (Kaspersky Network Protection) вы выбрали режим мониторинга, компонент Защита от сетевых угроз получает копию трафика виртуальных машин. При обнаружении признаков вторжений или попыток доступа к опасным или нежелательным веб-адресам Kaspersky Security не предпринимает действий по предотвращению угроз, а только передает информацию о событиях на Сервер администрирования Kaspersky Security Center.