Intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware

L'intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware requiert les composants suivants :

• VMware vCenter Server. Le composant est destiné à l'administration et à la gestion centralisée de l'infrastructure virtuelle VMware. Il intervient dans le déploiement de Kaspersky Security. Le serveur d'intégration reçoit du VMware vCenter Server les informations sur l'infrastructure virtuelle VMware nécessaires au fonctionnement de l'application.
• VMware NSX Manager. Le composant assure l'enregistrement et le déploiement des services de Kaspersky Security.
• Filtre virtuel (VMware DVFilter). Le composant permet d'intercepter les paquets réseau dans le trafic entrant et sortant des machines virtuelles protégées.
• Guest Introspection Thin Agent. Ce composant assure la collecte d'informations sur les machines virtuelles et la transmission des fichiers pour l'analyse à l'application Kaspersky Security. Pour que l'application Kaspersky Security puisse protéger les machines virtuelles, il faut installer et activer le pilote Guest Introspection Thin Agent sur ces dernières.

  Guest Introspection Thin Agent fait partie du paquet VMware Tools. Les informations relatives à l'installation de VMware Tools figurent dans la documentation des produits VMware.

• Service Guest Introspection et Guest Introspection ESXi Module. Les composants permettent la communication entre Guest Introspection Thin Agent installé sur la machine virtuelle, et la SVM.

Le composant Antivirus fichiers interagit avec l'infrastructure virtuelle VMware de la manière suivante :

1. L'utilisateur ou une application quelconque ouvre, enregistre ou exécute des fichiers sur une machine virtuelle protégée par Kaspersky Security.
2. Guest Introspection Thin Agent intercepte les informations sur ces événements et les envoie au service Guest Introspection.
3. Le service Guest Introspection transmet les informations sur les événements reçus au composant Antivirus fichiers installé sur la SVM.
4. Le composant Antivirus fichiers analyse les fichiers que l'utilisateur ou une application quelconque ouvre, enregistre ou lance sur la machine virtuelle protégée :
   • Si les fichiers ne contiennent pas de virus ou d'autres applications malveillantes, Kaspersky Security octroie l'accès à ces fichiers.
   • Si les fichiers contiennent des virus ou d'autres applications malveillantes, Kaspersky Security exécute l'action définie dans les paramètres du profil de protection attribué à cette machine virtuelle. Par exemple, Kaspersky Security peut désinfecter ou bloquer le fichier.

L'interaction entre le composant Détection des menaces réseau et l'infrastructure virtuelle VMware dépend du mode du traitement du trafic que vous avez choisi lors de l'enregistrement du service de protection du réseau (Kaspersky Network Protection). Si vous avez choisi le mode standard de traitement du trafic, le composant Détection des menaces réseau interagit avec l'infrastructure virtuelle VMware selon le schéma suivant :

1. Le filtre virtuel (VMware DVFilter) intercepte les paquets réseau dans le trafic entrant et sortant des machines virtuelles protégées et les envoie au composant Détection des menaces réseau installé sur la SVM.
2. Le composant Détection des menaces réseau exécute les actions suivantes :
   • Il vérifie si les paquets réseau manifeste des activités caractéristiques des attaques réseau :
     • Si aucune attaque réseau n'est détectée, Kaspersky Security autorise le transfert du paquet réseau à la machine virtuelle.
     • En cas de détection d'une activité caractéristique des attaques réseau, Kaspersky Security exécute l'action définie dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
   • Recherche dans les paquets réseau la présence éventuelle d'une activité réseau suspecte qui pourrait indiquer une intrusion dans l'infrastructure protégée :
     • Si aucune activité réseau suspecte n'est détectée, Kaspersky Security autorise le transfert du paquet réseau à la machine virtuelle.
     • Si une activité réseau suspecte est détectée, Kaspersky Security exécute l'action reprise dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
   • Il analyse l'ensemble des adresses Internet présentes dans les paquets réseau par rapport à la base des adresses Internet malveillantes ou de phishing :
     • Si l'adresse Internet ne figure pas dans la base des adresses Internet malveillantes ou de phishing, Kaspersky Security autorise l'accès à cette adresse Internet.
     • Si l'adresse Internet figure dans la base des adresses Internet malveillantes ou de phishing, Kaspersky Security exécute l'action définie dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou autorise l'accès à l'adresse Internet.

Si lors de l'enregistrement du service de protection du réseau (Kaspersky Network Protection) vous aviez choisi le mode de surveillance, le composant Détection des menaces réseau obtient une copie du trafic des machines virtuelles. Si des signes des intrusions ou des tentatives de l'accès à des adresses Internet malveillantes sont détectés, Kaspersky Security n'entreprend pas les actions de prévention des menaces mais transmet seulement les informations sur les événements au serveur d'administration de Kaspersky Security Center.