Comment installer Kaspersky Security for Virtualization 6.x Agentless dans l’infrastructure gérée par VMware NSX-T Manager
Avant de procéder à l'installation assurez-vous que :
- Les images de la machine virtuelle de protection (SVM) proviennent d'une source de confiance. Pour les instructions, consultez cet article.
- les paramètres Agent VM Settings – réseau et stockage des machines virtuelles de services et de la SVM – sont configurés pour chaque hyperviseur. Pour en savoir plus sur la configuration des paramètres Agent VM Settings, consultez la documentation de VMware.
- En cas d’utilisation du commutateur du type N-VD une seule interface réseau physique est réservée sur chaque hyperviseur pour la configuration de N-VDS.
Pour installer Kaspersky Security for Virtualization 6.x Agentless dans l’infrastructure gérée par VMware NSX-V Manager, ouvrez la console web de VMware NSX Manager et suivez les étapes décrites ci-dessous.
1. Enregistrez l’outil de gestion de l’infrastructure virtuelle NSX
Enregistrez VMware vCenter Server en tant qu’outil de gestion de l’infrastructure virtuelle NSX
- Accédez à la section System → Fabric → Compute Managers.
- Cliquez sur Add.
- Spécifiez le compte utilisateur pour la connexion de VMware NSX-T Manager à VMware vCenter Server et les paramètres de connexion. Cliquez sur Add.
Une fois l’enregistrement terminé; les états suivants s’affichent dans le tableau pour le VMware vCenter Server ajouté :
- Registration Status : Registered ;
- Connection Status : Up.
2. Créez un profil du nœud de transport NSX
- Accédez à la section System → Fabric → Profiles.
- Accédez à l’onglet Transport Node Profiles et cliquez sur Add.
- Spécifiez les paramètres :
- Name : nom de votre choix pour le nouveau profil du noeud de transport NSX.
- Type : type de commutateur. Si vous souhaitez utiliser un commutateur de type VDS, créez préalablement Distributed Virtual Switch dans votre Datacenter.
- Mode : Standаrd.
- Name : spécifiez le nom selon le type de commutateur sélectionné. Si vous avez sélectionné N-VDS : un nom du commutateur de votre choix qui sera créé suite à l’application du profil du nœud de transport NSX sur les hyperviseurs Vmware ESXi. Si vous avez sélectionné VDS : le nom de VMware vCenter Server et le nom de Distributed Virtual Switch.
- Transport Zone : la zone de transport NSX du type Overlay à laquelle les machines virtuelles protégées sont connectées.
- Uplink Profile : nsx-default-uplink-hostswitch-profile.
- IP Assignment (TEP) : mode de désignation des adresses IP dans votre infrastructure virtuelle : via le protocole DHCP ou avec l’utilisation d’un pool statique des adresses IP. Si vous utilisez des pools des adresses IP, préconfigurez et sélectionnez un pool d’adresses IP pour les points d'extrémité du tunnel sur les hyperviseurs.
- Teaming Policy Uplink Mapping : si vous avez sélectionné le type de commutateur N-VDS, spécifiez l’interface réseau physique qui sera utilisée pour la création du commutateur N-VDS suite à l’application du profil du nœud de transport NSX sur les hyperviseurs VMware ESXi.
- Cliquez sur Add.
Le profil du nœud de transport est créé.
3. Préparez les hyperviseurs VMware ESXi pour le déploiement de la protection
Installez les composants VMware NSX .
- Accédez à la section System → Fabric → Nodes.
- Accédez à l’onglet Host Transport Nodes.
- Dans le menu déroulant Managed By sélectionnez VMware vCenter Server que vous avez ajouté.
- Sélectionnez le cluster avec les hyperviseurs sur lesquels vous voulez déployer la SVM.
- Cliquez sur Configure NSX.
- Sélectionnez le profil du nœud de transport NSX créé à l’étape 2.
- Cliquez sur Apply et patientez jusqu’à ce que la préparation des hyperviseurs soit terminée.
Les hyperviseurs sont prêts pour le déploiement de la protection.
4. Vérifiez la présence de la licence NSX Data Center
Une des licences suivantes doit être active pour utiliser le module Protection contre les menaces réseau :
- NSX Data Center Advanced,
- NSX Data Center Enterprise Plus,
- NSX Data Center for Remote Office Branch Office,
- NSX for vSphere Advanced,
- NSX for vSphere Enterprise.
Par défaut une licence standard NSX for vSphere est ajoutée lors du déploiement de VMware NSX-T Manager. Sous la licence standard, la fonction Network Service Insertion (Third Party Integration) indispensable pour activer la Protection contre les menaces réseau sur les hyperviseur VMware ESXi est indisponible.
Pour consulter les informations sur les licences utilisées, accédez à la section System → Licenses.
Si aucune des licences citées ci-dessus n’est présente dans la liste, ajoutez-en une à l’aide de l’assistant d’ajout des licences.
5. Créez un segment NSX pour la protection des machines virtuelles contre les menaces réseau
- Accédez à la section Networking → Segments.
- Cliquez sur Add Segment.
- Dans la colonne Segment Name spécifiez le nom pour le nouveau segment NSX.
- Dans la colonne Transport Zone sélectionnez la zone de transport NSX dans laquelle vous avez créé le profil du nœud de transport NSX à l’étape 2.
- Cliquez sur Save.
Le segment NSX est créé. Connectez-y les interfaces réseau des machines virtuelles à protéger contre les menaces réseau. Pour ce faire, allez dans les propriétés d’une machine virtuelle à protéger dans la console VMware vSphere Client.
6. Enregistrez les services de Kaspersky Security for Virtualization Agentless dans VMware NSX-T Manager
- Publiez tous les fichiers images des SVMs dotées de Kaspersky Security for Virtualization 6.x Agentless sur un serveur de fichiers avec l'accès réseau via HTTP ou HTTPS. Vous pouvez utiliser le serveur Web IIS intégré dans Windows.
- Installez les composants de Kaspersky Security for Virtualization Agentless : le plugin d’administration, la Console du Serveur d’intégration et le Serveur d’intégration. Pour les instructions, consultez l'aide en ligne.
- Configurez les paramètres de connexion du Serveur d'intégration au serveur VMware vCenter Server. Pour les instructions, consultez l'aide en ligne.
- Spécifiez les paramètres nécessaires pour l’enregistrement et le déploiement des services de Kaspersky Security for Virtualization 6.x Agentless dans l’assistant accessible depuis la Console du Serveur d’intégration. Pour les instructions, consultez l'aide en ligne.
Les services de Kaspersky Security for Virtualization 6.x Agentless sont enregistrés dans VMware NSX-V Manager.
7. Vérifiez la liste des services enregistrés
Le Serveur d’intégration sera enregistré dans VMware NSX Manager en tant que Kaspersky Service Manager. Il enregistrera les services de Kaspersky Security for Virtualization 6.x Agentless dans VMware NSX Manager.
Pour consulter la liste des services enregistrés :
- Accédez à la section System → ServiceDeployments.
- Accédez à l'onglet Catalog.
- Vérifiez si les services Kaspersky File Antimalware Protection et Kaspersky Network Protection sont présents dans la liste. Si les services manquent, répétez l’étape 6.
8. Déployez la SVM dotée du module Protection contre les fichiers malicieux
Pour déployer la SVM dotée du module Protection contre les fichiers malicieux sur les hyperviseurs VMware ESXi, déployez le service Kaspersky File Antimalware Protection sur les clusters Vmware :
- Accédez à la section System → Service Deployment.
- Accédez à l'onglet Deployment.
- Dans le champ Partner Service sélectionnez Kaspersky File Antimalware Protection.
- Cliquez sur Deploy Service.
- Définissez les paramètres du déploiement :
- Service Deployment Name : nom du déploiement de votre choix.
- Compute Manager : VMware vCenter Server auquel VMware NSX-T Manager est connecté.
- Cluster : le cluster Vmware sur lequel le déploiement de la SVM dotée du module Protection contre les fichiers malicieux est prévu.
- Data Store : stockage pour le déploiement de la SVM.
- Deployment Specification : type de configuration des SVM dotées du module Protection contre les fichiers malicieux à déployer sur les hypervisuers : Small, Medium ou Large. Pour en savoir plus sur les configurations, consultez l’aide en ligne).
- Deployment template : KSV_DeploymentTemplate.
- Dans la colonne Networks.cliquez sur Set.
- Configurez les paramètres réseau :
- Dans la colonne Network de l’interface réseau eth0 spécifiez le réseau que les SVM utiliseront et dans le champ Network Type spécifiez le mode de désignation des adresses IP.
- Pour utiliser une adresse IP statique, dans la colonne IP Pool spécifiez un pool d’adresses IP.
Pour créez un pool, cliquez sur Manage IP Pools et configurez un pool qui sera utilisé pour la désignation des adresses IP des SVM. - Cochez la case en regard de l’interface réseau eth1.
- Cliquez sur Save.
- Cliquez sur Save pour démarrer le déploiement de la SVM.
- Patientez jusqu’à ce que le déploiement du service Kaspersky File Antimalware Protection soit terminé. Si le déploiement du service Kaspersky File Antimalware Protection a réussi, vous verrez l’état Up dans la colonne Status.
- Accédez à l'onglet Service Instances.
- Assurez-vous que le déploiement des SVMs a réussi sur tous les hyperviseurs faisant partie du cluster sélectionné.
Les SVM dotées du composant Protection contre les fichiers malicieux sont déployées.
Vous pouvez également vérifiez l’état des SVMs déployées dans la console VMware vSphere Client.
9. Déployez la SVM dotée du composant Protection contre les menaces réseau
Pour déployer les SVM dotées du module Protection contre les menaces réseau sur les hyperviseurs Vmware ESXi :
- Accédez à la section System → Service Deployments.
- Accédez à l'onglet Deployment.
- Dans la liste déroulante Partner Service sélectionnez le service Kaspersky Network Protection.
- Cliquez sur Deploy Service.
- Définissez les paramètres du déploiement :
- Service Deployment Name : nom du déploiement de votre choix.
- Compute Manager : VMware vCenter Server auquel VMware NSX-T Manager est connecté.
- Deployment Type : mode de déploiement de la SVM doté du module Protection contre les menaces réseau.
Si le mode Host Based est sélectionné, les SVM seront déployées sur chaque hyperviseur faisant partie du cluster VMware sélectionné. Lorsqu’un nouvel hyperviseur est ajouté dans le cluster, une SVM y sera également déployée.
Si le mode Clustered est sélectionné, vous devez spécifier le nombre des SVM à déployer dans le cluster sélectionné dans le champ Clustered Deployment Count. Dans le champ Host vous pouvez spécifiez l’hyperviseur sur lequel ces SVMs seront déployées. Si l’option Any est sélectionnée dans le champ Host, les hyperviseurs sur lesquels les SVM seront déployées sont sélectionnés automatiquement. - Cluster : le cluster Vmware sur lequel le déploiement de la SVM dotée du module Protection contre les fichiers malicieux est prévu.
- Data Store : stockage pour le déploiement de la SVM.
- Deployment Specification : configuration des SVM dotées du module Protection contre les menaces réseau à déployer sur les hypervisuers (pour en savoir plus sur les configurations, consultez l’aide en ligne).
- Deployment template : KSVNS_DeploymentTemplate.
- Cliquez sur Set dans le champ Networks.
- Configurez les paramètres réseau :
- Dans la colonne Network de l’interface réseau eth0 spécifiez le réseau que les SVM utiliseront.
- Dans la colonne Network Type dans la ligne avec l’interface réseau eth0 spécifiez le mode de désignation des adresses IP.
- Pour utiliser une adresse IP statique, spécifiez un pool des adresses IP dans la colonne IP Pool. Pour créez un pool, cliquez sur Manage IP Pools et configurez un pool qui sera utilisé pour la désignation des adresses IP des SVM.
- Cochez la case en regard de l’interface réseau eth1.
- Cliquez sur Save.
- Cliquez sur à droite de la liste déroulante Service Segments.
- Cliquez sur Add Segment. Spécifiez le nom du segment du service NSX de votre choix et la zone de transport NSX. Cliquez sur Save.
- Cliquez sur Close.
- Sélectionnez le segment du service NSX créé dans le champ Service Segments.
- Cliquez sur Save pour démarrer le déploiement de la SVM.
- Patientez jusqu’à ce que le déploiement du service Kaspersky Network Protection soit terminé. Si le déploiement du service Kaspersky Network Protection a réussi, vous verrez l’état Up dans la colonne Status.
- Accédez à l'onglet Service Instances.
- Assurez-vous que le déploiement des SVMs a réussi sur tous les hyperviseurs faisant partie du cluster sélectionné.
Les SVM dotées du composant Protection contre les menaces réseau sont déployées.
Vous pouvez également vérifiez l’état des SVMs déployées dans la console VMware vSphere Client.
10. Configurez les groupes NSX
Ajoutez les machines virtuelles à protéger par Kaspersky Security for Virtualization 6.x Agentless dans un ou plusieurs groupes NSX. Pour ce faire, créez des groupes NSX et configurez les règles d’ajout des machines virtuelles dans le groupe en utilisant les méthodes suivantes :
- Ajout dynamique des machines virtuelles dans le groupe NSX. Le groupe reprend toutes les machines virtuelles qui répondent aux critères définis.
- Ajout des machines virtuelles indiquées dans le groupe NSX.
Vous pouvez combiner ces modes lors de la configuration des règles d’ajout des machines virtuelles dans le groupe NSX. Par exemple, vous pouvez configurer l’ajout dynamique des machines virtuelles dans le groupe selon un critère spécifique et indiquer les machines virtuelles à ajouet dans le groupe.
Pour configurer un groupe NSX .
- Accédez à la section Inventory → Groups.
- Cliquez sur Add Group.
- Tapez le nom du niveau groupe NSX. Par exemple, Kaspersky Security Group ou Protégé par Kaspersky.
- Cliquez sur Set Members.
- Si vous souhaitez utiliser l’ajout dynamique des machines virtuelles dans le groupe :
- Accédez à l’onglet Membership Criteria.
- Cliquez sur Add Criteria.
Configurez les critères d’ajout des machines virtuelles dans le groupe. Par exemple, pour inclure dans le groupe toutes les machines virtuelles tournant sous Windows, utilisez le critère suivant : Virtual Machine – OS Name – Contains – Windows.
- Si vous souhaitez spécifier les machines virtuelles à inclure dans le groupe NSX :
- Accédez à l'onglet Members.
- Dans la liste déroulante Category sélectionnez Virtual Machines.
Sélectionnez les machines virtuelles à ajouter dans le groupe.
- Cliquez sur Apply → Save.
- Cliquez sur View Members et assurez-vous que les machines virtuelles que vous souhaitez protéger font partie du groupe NSX
Les groupes NSX sont configurés.
11. Configurez les stratégies NSX pour les protection contre les fichiers malicieux
Pour protéger les machines virtuelles faisant partie du groupe NSX contre les fichiers malicieux, créez un profil du service NSX pour le service Kaspersky File Antimalware Protection et configurez la stratégie NSX pour le groupe NSX :
- Accédez à la section Security → Endpoint Protection Rules.
- Accédez à l'onglet Service Profiles.
- Dans la liste déroulante Partner Service sélectionnez le service Kaspersky File Antimalware Protection.
- Cliquez sur Add Service Profile et spécifiez les paramètres :
- Service Profile Name : nom du profil du service NSX de votre choix.
- Vendor Template : modèle Default Configuration.
- Cliquez sur Save.
- Accédez à l’onglet Rules et cliquez sur Add Policy.
- Dans la colonne Name entrez le nom de la stratégie de votre choix, sélectionnez la stratégie et cliquez sur Add Rule.
- Dans la colonne Name entrez le nom de la règle de votre choix et dans le champ Select Groups cliquez sur .
- Sélectionnez un ou plusieurs groupes NSX auxquels les machines virtuelles protégées apartiennent. Cliquez sur Apply.
- Dans le champ Select Service Profiles cliquez sur .
- Sélectionnez le profil du service Kaspersky File Antimalware Protection créé précédemment et cliquez sur Save.
- Cliquez sur Publish.
La stratégie NSX est appliquée au groupe NSX.
12. Configurez les stratégies NSX pour la protection contre les menaces réseau
Pour protéger les machines virtuelles faisant partie du groupe NSX contre les menaces réseau, suivez les étapes ci-dessous.
Étape 1. Créez le profil du service NSX pour le service Kaspersky Network Protection
- Accédez à la section Security → Network Introspection Settings.
- Accédez à l'onglet Service Profiles.
- Dans la liste déroulante Partner Service sélectionnez le service Kaspersky Network Protection.
- Cliquez sur Add Service Profile et spécifiez les paramètres :
- Service Profile Name : nom du profil du service NSX de votre choix.
- Vendor Template : modèle Default Configuration.
- Cliquez sur Save.
Étape 2. Créez une chaîne des services NSX
- Accédez à la section Security → Network Introspection Settings.
- Accédez à l'onglet Service Chains.
- Cliquez sur Add Chain et spécifiez les paramètres suivants :
- Name : nom de la chaîne des services NSX de votre choix.
- Service Segments : segment du service NSX indiqué lors du déploiement de la SVM dotée du module Protection contre les menaces réseau.
- Reverse Path : vérifiez que la case Inverse Forward Path est cochée.
- Failure Policy : Allow.
- Cliquez sur Set Forward Path.
- Cliquez sur Add profile in sequence et sélectionnez le profil du service Kaspersky Network Protection créé précédemment.
- Cliquez sur Add → Save.
- Cliquez sur Save pour enregistrer la chaîne des services NSX.
Étape 3. Configurez une stratégie pour le groupe NSX
- Accédez à la section Security → Network Introspection (E-W), cliquez sur Add Policy et spécifiez les paramètres :
- Name : nom de la stratégie de votre choix.
- Redirect To : sélectionnez la chaîne des services NSX créée précédemment.
- Cliquez sur Publish.
- Vérifiez le trafic entrant des machines virtuelles :
- Sélectionnez la stratégie créée et cliquez sur Add Rule.
- Dans le champ Name spécifiez le nom de la règle de votre choix et dans le champs Destinations cliquez sur .
- Sélectionnez un ou plusieurs groupes NSX auxquels les machines virtuelles protégées appartiennent et cliquez sur Apply.
- Cliquez sur le bouton dans le champ Applied To.
- Sélectionnez Groups en tant que type d’objet auquel la règle s’applique, puis sélectionnez un ou plusieurs groupes NSX auxquels les machines virtuelles protégées appartiennent et cliquez sur Apply.
- Cliquez sur Publish.
- Vérifiez le trafic sortant des machines virtuelles :
- Sélectionnez la stratégie créée et cliquez sur Add Rule.
- Dans champ Name spécifiez le nom de la règle de votre choix et dans le champ Sources cliquez sur .
- Sélectionnez un ou plusieurs groupes NSX auxquels les machines virtuelles protégées appartiennent et cliquez sur Apply.
- Cliquez sur le bouton dans le champ Applied To.
- Sélectionnez Groups en tant que type d’objet auquel la règle s’applique, puis sélectionnez un ou plusieurs groupes NSX auxquels les machines virtuelles protégées appartiennent et cliquez sur Apply.
- Cliquez sur Publish.
La stratégie NSX est appliquée au groupe NSX.