Integration der Komponenten von Kaspersky Security mit einer virtuellen VMware-Infrastruktur

Um die Komponenten von Kaspersky Security in eine virtuelle VMware-Infrastruktur zu integrieren, sind folgende Komponenten erforderlich:

• VMware vCenter Server. Diese Komponente dient der Administration und der zentralisierten Verwaltung der virtuellen VMware-Infrastruktur. Sie ist an der Verteilung von Kaspersky Security beteiligt. Der Integrationsserver erhält vom VMware vCenter Server die Informationen über die virtuelle VMware-Infrastruktur, die für die Programmausführung erforderlich sind.
• VMware NSX Manager. Diese Komponente gewährleistet die Registrierung und Verteilung der Dienste von Kaspersky Security.
• Virtueller Filter (VMware DVFilter). Mit dieser Komponente werden Netzwerkpakete im ein- und ausgehenden Datenverkehr der geschützten virtuellen Maschinen abgefangen.
• Guest Introspection Thin Agent. Die Komponente erfasst Daten auf virtuellen Maschinen und überträgt zu untersuchende Dateien an Kaspersky Security. Damit Kaspersky Security virtuelle Maschinen schützen kann, muss auf diesen virtuellen Maschinen Guest Introspection Thin Agent installiert und aktiviert sein.

  Guest Introspection Thin Agent gehört zum VMware Tools-Paket. Informationen zur Installation und zum Update der VMware Tools finden Sie in der Dokumentation zu den VMware-Produkten.

• Der Dienst Guest Introspection und Guest Introspection ESXi Module. Diese Komponenten gewährleisten die Interaktion zwischen dem auf der virtuellen Maschine installierten Guest Introspection Thin Agent und der SVM.

Die Interaktion der Komponente „Datei-Anti-Virus“ mit einer virtuellen VMware-Infrastruktur verläuft nach folgendem Schema:

1. Der Benutzer oder ein beliebiges Programm öffnet, speichert oder startet Dateien auf einer virtuellen Maschine, die von Kaspersky Security geschützt wird.
2. Guest Introspection Thin Agent fängt die Informationen über diese Ereignisse ab und übermittelt sie an den Dienst Guest Introspection.
3. Der Dienst Guest Introspection übermittelt die Informationen über die erhaltenen Ereignisse an die auf der SVM installierte Komponente „Datei-Anti-Virus“.
4. Die Komponente Datei-Anti-Virus untersucht alle Dateien, die der Benutzer oder ein Programm auf einer geschützten virtuellen Maschine öffnet, speichert oder startet:
   • Werden in den Dateien keine Viren oder andere Schadsoftware gefunden, so erlaubt Kaspersky Security den Zugriff auf diese Dateien.
   • Werden in Dateien Viren oder Schadsoftware gefunden, so führt Kaspersky Security die Aktion aus, die in den Einstellungen des Schutzprofils festgelegt ist, das dieser virtuellen Maschine zugewiesen ist. Beispiel: Kaspersky Security desinfiziert oder blockiert die Datei.

Die Interaktion der Komponente „Erkennen von Netzwerkbedrohungen“ mit der virtuellen VMware-Infrastruktur ist abhängig vom Modus der Verarbeitung des Datenverkehrs, den Sie bei der Registrierung des Dienstes zum Schutz des Netzwerks (Kaspersky Network Protection) ausgewählt haben. Wenn Sie den Standardmodus der Verarbeitung des Datenverkehrs ausgewählt haben, interagiert die Komponente „Erkennen von Netzwerkbedrohungen“ nach dem folgenden Schema mit der virtuellen VMware-Infrastruktur:

1. Der virtuelle Filter (VMware DVFilter) fängt im ein- und ausgehenden Datenverkehr der geschützten virtuellen Maschinen Netzwerkpakete ab und leitet diese an die Komponente „Erkennen von Netzwerkbedrohungen“ um, die auf der SVM installiert ist.
2. Die Komponente „Erkennen von Netzwerkbedrohungen“ führt folgende Aktionen aus:
   • Untersuchung von Netzwerkpaketen auf für Netzwerkangriffe typische Aktivitäten:
     • Wird kein Netzwerkangriff erkannt, so erlaubt Kaspersky Security eine Umleitung des Netzpakets an die virtuelle Maschine.
     • Werden Aktivitäten erkannt, die für Netzwerkangriffe typisch sind, so führt Kaspersky Security die Aktion aus, die in den Einstellungen der Richtlinie festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Es untersucht Netzwerkpakete auf das Vorhandensein von verdächtiger Netzwerkaktivität, die ein Merkmal für das Eindringen in die geschützte Infrastruktur sein kann:
     • Wird keine verdächtige Netzwerkaktivität erkannt, so erlaubt Kaspersky Security eine Umleitung des Netzpakets an die virtuelle Maschine.
     • Wird eine verdächtige Netzwerkaktivität erkannt, so führt Kaspersky Security jene Aktion aus, die in den Einstellungen der Richtlinie angegeben ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Untersuchung aller Webadressen innerhalb von Netzwerkpaketen mithilfe der Datenbank für bösartige Webadressen bzw. Phishing-Adressen:
     • Wenn die Webadresse nicht in der Datenbank für bösartige Webadressen bzw. Phishing-Adressen gefunden wurde, erlaubt Kaspersky Security den Zugriff auf diese Webadresse.
     • Wenn die Webadresse in der Datenbank für bösartige Webadressen bzw. Phishing-Adressen gefunden wurde, führt Kaspersky Security die Aktion aus, die in den Einstellungen der Richtlinie festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt den Zugriff auf eine Webadresse.

Wenn Sie bei der Registrierung des Dienstes zum Schutz des Netzwerks (Kaspersky Network Protection) den Überwachungsmodus ausgewählt haben, erhält die Komponente „Erkennen von Netzwerkbedrohungen“ eine Kopie des Datenverkehrs der virtuellen Maschinen. Wenn Merkmale für das Eindringen oder die versuchten Zugriffe auf bösartige Webadressen erkannt wurden, führt Kaspersky Security keine Aktionen zur Verhinderung der Bedrohungen aus, sondern übergibt die Informationen über die Ereignisse lediglich an den Administrationsserver von Kaspersky Security Center.