Integration der Komponenten von Kaspersky Security mit einer virtuellen VMware-Infrastruktur

Zur Integration der Komponenten von Kaspersky Security in eine virtuelle VMware-Infrastruktur ist Folgendes erforderlich:

• Server zur Verwaltung der virtuellen Infrastruktur (VMware vCenter Server, VMware Cloud Director). Diese Komponente dient der Administration und der zentralisierten Verwaltung der virtuellen VMware-Infrastruktur. Sie ist an der Verteilung von Kaspersky Security beteiligt. Der Integrationsserver erhält vom Server zur Verwaltung der virtuellen Infrastruktur die Informationen über die virtuelle VMware-Infrastruktur, die für die Programmausführung erforderlich sind.
• VMware NSX Manager. Die Komponente gewährleistet die Vorbereitung der VMware ESXi Hypervisoren für die Verteilung der Schutzkomponenten, die Registrierung und die Verteilung der Dienste von Kaspersky Security.
• Virtueller Filter. Die Komponente ermöglicht, ein- und ausgehende Netzwerkpakete im Datenverkehr geschützter virtueller Maschinen abzufangen. In einer von VMware NSX-V Manager verwalteten Infrastruktur übernimmt die Technologie VMware DVFilter die Rolle des virtuellen Filters. In einer von VMware NSX-T Manager verwalteten Infrastruktur übernimmt die Technologie VMware Network Service Insertion (SI) Service Chaining die Rolle des virtuellen Filters.
• Guest Introspection Thin Agent. Die Komponente erfasst Daten auf virtuellen Maschinen und überträgt zu untersuchende Dateien an Kaspersky Security. Damit Kaspersky Security virtuelle Maschinen schützen kann, muss auf diesen virtuellen Maschinen die Komponente Guest Introspection Thin Agent installiert und aktiviert sein. Auf virtuellen Maschinen mit Windows-Betriebssystemen übernimmt der NSX File Introspection-Treiber die Rolle von Guest Introspection Thin Agent. Der NSX File Introspection-Treiber ist im VMware Tools-Paket enthalten. Weitere Informationen finden Sie in der Dokumentation zu VMware-Produkten.

• Dienst Guest Introspection. Die Komponenten gewährleisten die Interaktion zwischen der auf der virtuellen Maschine installierten Komponente Guest Introspection Thin Agent und der SVM. In einer von VMware NSX-T Manager verwalteten Infrastruktur übernimmt das Guest Introspection ESXi Module die Rolle des Dienstes Guest Introspection. In einer von VMware NSX-V Manager verwalteten Infrastruktur übernehmen die virtuelle Maschine des Dienstes "Guest Introspection" und das Guest Introspection ESXi Module die Rolle des Dienstes Guest Introspection.

Die Interaktion der Komponente "Schutz vor bedrohlichen Dateien" mit einer virtuellen VMware-Infrastruktur verläuft nach folgendem Schema:

1. Der Benutzer oder ein beliebiges Programm öffnet, speichert oder startet Dateien auf einer virtuellen Maschine, die von Kaspersky Security geschützt wird.
2. Die Komponente Guest Introspection Thin Agent fängt die Informationen über diese Ereignisse ab und übermittelt sie an den Dienst Guest Introspection.
3. Der Dienst Guest Introspection übermittelt die Informationen über die erhaltenen Ereignisse an die auf der SVM installierte Komponente "Schutz vor bedrohlichen Dateien".
4. Wenn in der aktiven Richtlinie von Kaspersky Security die Komponente "Schutz vor bedrohlichen Dateien" aktiviert ist, untersucht diese Komponente alle Dateien, die ein Benutzer oder ein Programm auf einer geschützten virtuellen Maschine öffnet, speichert oder startet:
   • Werden in den Dateien keine Viren oder andere Schadsoftware gefunden, so erlaubt Kaspersky Security den Zugriff auf diese Dateien.
   • Werden in Dateien Viren oder Schadsoftware gefunden, so führt Kaspersky Security die Aktion aus, die in den Einstellungen des Schutzprofils festgelegt ist, das dieser virtuellen Maschine zugewiesen ist. Beispiel: Kaspersky Security desinfiziert oder blockiert die Datei.

Die Interaktion der Komponente "Schutz vor Netzwerkbedrohungen" mit der virtuellen Infrastruktur hängt vom Modus der Verarbeitung des Datenverkehrs ab, in der die Komponente ausgeführt wird. Wenn der Standardmodus der Verarbeitung des Datenverkehrs verwendet wird, interagiert die Komponente "Schutz vor Netzwerkbedrohungen" nach dem folgenden Schema mit der virtuellen VMware-Infrastruktur:

1. Ein virtueller Filter erfasst ein- und ausgehende Netzwerkpakete im Datenverkehr geschützter virtueller Maschinen und leitet sie an die auf dem SVM installierte Komponente "Schutz vor Netzwerkbedrohungen" weiter.
2. Wenn in der aktiven Richtlinie von Kaspersky Security der Schutz vor Netzwerkbedrohungen aktiviert ist, kann die Komponente "Schutz vor Netzwerkbedrohungen" gemäß den Schutz-Einstellungen die Netzwerkpakete auf Aktivitäten untersuchen, die für Netzwerkangriffe typisch sind, sowie auf verdächtige Netzwerkaktivität, die ein Merkmal für das Eindringen in die geschützte Infrastruktur sein kann; ferner kann sie alle Webadressen in Anfragen über das HTTP-Protokoll auf Zugehörigkeit zu Kategorien von Webadressen untersuchen, die in den Einstellungen zur Untersuchung von Webadressen angegeben sind.

   Wenn im Netzwerkpaket kein Netzwerkangriff oder keine verdächtige Netzwerkaktivität festgestellt wird und die Webadresse zu keiner der Kategorien von Webadressen gehört, die für die Erkennung ausgewählt wurden, erlaubt Kaspersky Security die Übertragung des Netzwerkpakets.

   Wenn eine Netzwerkbedrohung erkannt wird, führt Kaspersky Security die folgenden Aktionen aus:

   • Werden Aktivitäten erkannt, die für Netzwerkangriffe typisch sind, so führt Kaspersky Security die Aktion aus, die in den Einstellungen der Richtlinie festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Wird eine verdächtige Netzwerkaktivität erkannt, so führt Kaspersky Security die Aktion aus, die in den Richtlinieneinstellungen festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Wenn eine Webadresse zu einer oder mehreren Kategorien von Webadressen gehört, die zur Erkennung ausgewählt wurden, führt Kaspersky Security die in den Richtlinieneinstellungen angegebene Aktion aus. Beispiel: Kaspersky Security blockiert oder erlaubt den Zugriff auf eine Webadresse.

Wenn Kaspersky Security in einer von VMware NSX-V Manager verwalteten Infrastruktur verteilt wurde und der Netzwerkschutz im Überwachungsmodus ausgeführt wird, interagiert die Komponente "Schutz vor Netzwerkbedrohungen" nach dem folgenden Schema mit der virtuellen Infrastruktur:

1. Der virtuelle Filter übergibt der Komponente "Schutz vor Netzwerkbedrohungen" eine Kopie des Datenverkehrs der virtuellen Maschinen.
2. Wenn in der aktiven Richtlinie von Kaspersky Security der Schutz vor Netzwerkbedrohungen aktiviert ist, kann die Komponente "Schutz vor Netzwerkbedrohungen" gemäß den Schutz-Einstellungen genau wie bei der Ausführung im Standardmodus Netzwerkpakete und Webadressen untersuchen. Falls jedoch Merkmale für das Eindringen oder den versuchten Zugriff auf gefährliche oder unerwünschte Webadressen erkannt werden, führt Kaspersky Security keine Aktion zur Abwehr von Bedrohungen aus, sondern übergibt lediglich die Informationen über die erkannten Bedrohungen an den Kaspersky Security Center Administrationsserver.