Comment installer Kaspersky Security for Virtualization 6.x Agentless dans l’infrastructure gérée par VMware NSX-V Manager
Les informations s'appliquent à :
- Kaspersky Security for Virtualization 6.1 Agentless,
- Kaspersky Security for Virtualization 6.0 Agentless.
Avant de procéder à l'installation assurez-vous que :
- Les images de la machine virtuelle de protection (SVM) proviennent d'une source de confiance. Pour les instructions, consultez cet article.
- les paramètres Agent VM Settings – réseau et stockage des machines virtuelles de services et de la SVM – sont configurés pour chaque hyperviseur. Pour en savoir plus sur la configuration des paramètres Agent VM Settings, consultez la documentation de VMware.
Pour installer Kaspersky Security for Virtualization 6.x Agentless dans l’infrastructure gérée par VMware NSX-V Manager, ouvrez la console VMware vSphere Client et suivez les 9 étapes décrites ci-dessous.
1. Déployez le service Guest Introspection
Dans l'infrastructure gérée par le serveur VMware vCenter Server et VMware NSX-V Manager, déployez le service Guest Introspection sur chaque cluster des hyperviseurs VMware sur lequel le déploiement de la SVM dotée du module Protection contre les fichiers malicieux est prévu.
- Accédez à Networking and Security → Installation and Upgrade → Service Deployment.
- Cliquez sur Add pour lancer l’assistant de déploiement des services réseau et services de protection des machines virtuelles.
- Sélectionnez le service Guest Introspection et cliquez sur Next.
- Sélectionnez un ou plusieurs clusters VMware sur lesquels vous souhaitez installer la SVM avec la Protection contre les fichiers malicieux. Cliquez sur Next.
- Le cas échéant, modifiez les paramètres réseau définis par défaut et indiquez un stockage pour les machines virtuelles de service Guest Introspection qui seront installées sur les clusters VMware sélectionnés.
- Sélectionnez un réseau qui sera utilisé par les machines virtuelles de service Guest Introspection et un stockage pour le déploiement des machines virtuelles de service.
- Si vous souhaitez configurer les paramètres d’attribution des adresses IP pour les machines virtuelles de service, cliquez sur l'icône correspondante dans la colonne IP assignment.
Sélectionnez Use IP Pool et cliquez sur Add.
Configurez le pool d’adresses IP et cliquez sur Save.
Sélectionnez le pool d’adresses IP créé et cliquez sur OK.
Le nom du pool d'adresses IP sélectionné s'affichera dans la colonne IP Assignment. Cliquez sur Next.
- Assurez-vous que tous les paramètres sont corrects. Cliquez sur Finish.
La fenêtre de l’assistant sera fermée. Dans la colonne Installation Status, l’information sur l’état actuel du déploiement du service Guest Introspection s’affiche.
- Patientez jusqu’à ce que le déploiement du service Guest Introspection se termine.
- Accédez à la section Hosts and Clusters.
- Assurez-vous que le déploiement des machines virtuelles de service Guest Introspection a réussi sur tous les hyperviseurs faisant partie du cluster sélectionné.
Le service Guest Introspection est déployé sur chaque hyperviseur faisant partie du cluster.
2. Préparez les hyperviseurs VMware ESXi pour le déploiement de la protection contre les menaces réseau
Installez les composants VMware NSX .
- https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vcenter.install.doc/GUID-CE128B59-E236-45FF-9976-D134DADC8178.htmlAccédez à Networking and Security → Installation and Upgrade → Host Preparation.
- Sélectionnez le cluster contenant les hyperviseurs sur lesquels le déploiement de la machine virtuelle de protection dotée du module Protection contre les menaces réseau est prévu.
- Cliquez sur Actions → Install.
- Cliquez sur Yes.
Les informations sur l’état de la préparation des hyperviseurs s’afficheront à l’écran.
- Patientez jusqu’à ce que la préparation des hyperviseurs soit terminée.
Dans le bloc Hosts vous trouverez les informations sur les composants Vmware NSX installés.
3. Prenez connaissance des informations sur la licence NSX for vSphere
Le fonctionnement du module Protection contre les menaces réseau requiert une licence active pour NSX for vSphere Advanced ou NSX for vSphere Enterprise.
La licence standard pour NSX for vSphere s'ajoute par défaut à la connexion de VMware NSX-V Manager au serveur VMware vCenter Server. Sous la licence standard, la fonction Network Service Insertion (Third Party Integration) indispensable pour activer la Protection contre les menaces réseau sur les hyperviseur VMware ESXi est indisponible.
Pour consulter les informations sur les licences utilisées :
- Cliquez sur Menu → Administration.
- Accédez à Licenses → Assets → Solutions.
Si les licences NSX for vSphere Advanced ou NSX for vSphere Enterprise manquent dans la liste, ajoutez une licence à l’aide de l’assistant d'ajout des licences.
4. Enregistrez les services de Kaspersky Security for Virtualization 4.0 Agentless dans VMware NSX-V Manager
Pour enregistrer les services de Kaspersky Security for Virtualization Agentless dans VMware NSX-V Manager :
- Publiez tous les fichiers images des SVMs dotées de Kaspersky Security for Virtualization 6.x Agentless sur un serveur de fichiers avec l'accès réseau via HTTP ou HTTPS. Vous pouvez utiliser le serveur Web IIS intégré dans Windows.
- Installez les composants de Kaspersky Security for Virtualization Agentless : le plugin d’administration, la Console du Serveur d’intégration et le Serveur d’intégration. Pour les instructions, consultez l'aide en ligne.
- Configurez les paramètres de connexion du Serveur d'intégration au serveur VMware vCenter Server. Pour les instructions, consultez l'aide en ligne.
- Spécifiez les paramètres nécessaires pour l’enregistrement et le déploiement des services de Kaspersky Security for Virtualization 6.x Agentless dans l’assistant accessible depuis la Console du Serveur d’intégration. Pour les instructions, consultez l'aide en ligne.
Les services de Kaspersky Security for Virtualization 6.x Agentless sont enregistrés dans VMware NSX-V Manager.
5. Consultez la liste des services enregistrés
L'enregistrement des services de Kaspersky Security for Virtualization 6.x Agentless dans VMware NSX Manager est effectué à l'aide du Serveur d'intégration. Le Serveur d'intégration est enregistré dans VMware NSX Manager en tant que Kaspersky Service Manager.
Pour consulter la liste des services enregistrés, accédez à Networking and Security → Service Definitions → Services.
Les informations suivantes sont disponibles dans le tableau :
- Name : nom du service : service de protection contre les fichiers malicieux (Kaspersky File Antimalware Protection) et/ou service de protection contre les menaces réseau (Kaspersky Network Protection) ;
- Version : version de l’image de la machine virtuelle de protection dont le chemin d'accès est spécifié dans la Console du Serveur d'intégration ;
- Service Manager : nom de Kaspersky Service Manager (Serveur d'intégration enregistré dans VMware NSX-V Manager).
Pour consulter la liste Service Managers, accédez à Networking and Security → Service Definitions → Service Manager.
Les informations suivantes sont disponibles dans le tableau :
- Name : Kaspersky Service Manager (Serveur d'intégration enregistré dans VMware NSX-V Manager) ;
- Vendor ID : Kaspersky Lab ;
- Vendor Name : AO Kaspersky Lab.
6. Configurez les groupes NSX
Ajoutez les machines virtuelles à protéger par Kaspersky Security for Virtualization 6.x Agentless dans un ou plusieurs groupes NSX. Pour ce faire, créez des groupes NSX et configurez les règles d’ajout des machines virtuelles dans le groupe en utilisant l'une des méthodes ci-dessous :
- Dynamique. Le groupe reprend toutes les machines virtuelles qui répondent aux critères définis.
- Sélection des objets d'administration de VMware. Vous pouvez sélectionner les objets qui doivent faire partie du groupe. Par exemple, un objet Datacenter, un cluster VMware, un pool de ressources, des machines virtuelles. Par défaut, tous les objets enfants de l'objet de gestion VMware indiqué sont inclus dans le groupe. Vous pouvez indiquer des objets de gestion VMware spécifiques à exclure du groupe NSX.
Vous pouvez combiner ces modes lors de la configuration des règles d’ajout des machines virtuelles dans le groupe NSX. Par exemple, vous pouvez configurer l’ajour dynamique des machines virtuelles dans le groupe selon un critère spécifique et indiquer les objets de gestion VMware à exclure du groupe.
Pour configurer un groupe NSX .
- Accédez à Networking and Security → Service Composer → Security Groups.
- Cliquez sur Add.
- Tapez le nom du niveau groupe NSX. Par exemple, Kaspersky Security Group ou Protégé par Kaspersky.
- Cliquez sur Next.
- Pour configurer l’ajout dynamique des machines virtuelles dans le groupe, passez à l’étape Define dynamic membership de l’assistant et procédez comme suit :
- Cliquez sur Add.
- Configurez les critères d’ajout des machines virtuelles dans le groupe. Par exemple, pour inclure dans le groupe toutes les machines virtuelles tournant sous Windows, utilisez le critère suivant : Computer OS Name – Contains – Windows.
- Cliquez sur Next.
- Si vous souhaitez spécifier les objets de gestion VMware à inclure dans le groupe NSX, passez à l’étape Select objects to include et procédez comme suit :
- Sélectionnez le type d'objet dans le champ Object Type.
- Déplacez les objets de gestion VMware à inclure dans le groupe dans la liste Selected Objects.
- Cliquez sur Next.
- Si vous souhaitez spécifier les objets de gestion VMware à exclure du groupe NSX, passez à l’étape Select objects to exclude et procédez comme suit :
- Sélectionnez le type d'objet dans le champ Object Type.
- Déplacez les objets de gestion VMware à exclure du groupe dans la liste Selected Objects.
- Cliquez sur Next.
- Pour vérifier tous les paramètres indiqués, passez à l’étape Ready to complete de l’assistant.
- Assurez-vous que tous les paramètres sont corrects. Cliquez sur Finish.
- Accédez à Hosts and Clusters et assurez-vous que les machines virtuelles que vous souhaitez protéger font partie du groupe NSX
- Assurez-vous que pour chaque machine virtuelle qui correspond aux critères d’ajout dans le groupe, le nom du groupe NSX s’affiche sous l'onglet Summary, dans le bloc Security Group Membership.
Les groupes NSX sont configurés.
7. Configurez les stratégies NSX
Pour protéger les machines virtuelles qui font partie du groupe NSX, configurez une stratégie NSX et appliquez-la au groupe NSX :
- Accédez à Networking and Security → Service Composer → Security Policies.
- Cliquez sur Add.
- Entrez le nom de la stratégie NSX et cliquez sur Next.
- Si vous souhaitez utiliser le composant Protection contre les fichiers malicieux, cliquez sur Add.
- Saisissez un nom de votre choix dans le champ Name. Dans la liste déroulante Service Name sélectionnez le service Kaspersky File Antimalware Protection et cliquez sur OK.
Dans l'Assistant de création de la stratégie les informations sur le service Kaspersky File Antimalwar Protection s'afficheront.
- Si vous souhaitez utiliser le composant Protection contre les menaces réseau, passez à l’étape Network Introspection Services.
- Pour analyser le trafic sortant des machines virtuelles :
Cliquez sur Add.
- Saisissez un nom de votre choix dans le champ Name. Dans la liste déroulante Service Name sélectionnez le service Kaspersky Network Protection.
- Définissez la valeur Yes.pour le paramètre Redirect to service.
Dans le bloc Source sélectionnez Policy's Security Groups et dans le bloc Destination sélectionnez Any.
- Cliquez sur OK.
- Pour analyser le trafic entrant des machines virtuelles :
- Cliquez sur Add.
- Saisissez un nom de votre choix dans le champ Name. Dans la liste déroulante Service Name sélectionnez le service Kaspersky Network Protection.
- Définissez la valeur Yes.pour le paramètre Redirect to service.
Dans le bloc Source, sélectionnez Any et, dans le bloc Destination, sélectionnez Policy's Security Groups.
- Cliquez sur ОК.
Dans l'Assistant de création de la stratégie les informations sur le service Kaspersky Network Protection s'afficheront.
- Quittez l’assistant de création d’une stratégie NSX.
- Accédez à l'onglet Security Policies et sélectionnez la stratégie créée. Cliquez sur Apply.
- Sélectionnez le groupe NSX contenant les machines virtuelles protégées et cliquez sur Apply.
Sous l’onglet Security Policies, dans le champ Status, l'état Successful s’affichera en regard de la stratégie NSX créée. Le nombre des groupes NSX auxquels cette stratégie s’applique s’affichera dans le champ Applied on Sgs.
La stratégie NSX est appliquée au groupe NSX.
8. Déployez la SVM dotée du composant Protection contre les fichiers malicieux
Les machines virtuelles de protection dotées du module Protection contre les fichiers malicieux sont déployées sur les hyperviseurs VMware ESXi suite au déploiement du service de Protection contre les fichiers malicieux (Kaspersky File Antimalware Protection) sur les clusters VMware.
Pour déployer le service Kaspersky File Antimalware Protection :
- Accédez à Networking and Security → Installation and Upgrade → Service Deployment.
- Cliquez sur Add.
- Dans le tableau sélectionnez le service Kaspersky File Antimalware Protection et cliquez sur Next.
- Sélectionnez un ou plusieurs clusters VMware sur lesquels vous souhaitez installer la Protection contre les fichiers malicieux. Cliquez sur Next.
- Le cas échéant, modifiez les paramètres définis par défaut pour toutes les machines virtuelles de protection qui seront déployées sur les hyperviseurs du cluster sélectionné.
- Sélectionnez un réseau qui sera utilisé par les machines virtuelles de protection et un stockage pour le déploiement des machines virtuelles de protection dotées du module Protection contre les fichiers malicieux.
- Si vous souhaitez configurer les paramètres d’attribution des adresses IP pour les machines virtuelles de service, suivez le lien Change dans le champ IP assignment.
Sélectionnez Use IP Pool et cliquez sur Add.
Configurez le pool d’adresses IP et cliquez sur Save.
Sélectionnez le pool d’adresses IP créé et cliquez sur OK.
Le nom du pool d'adresses IP sélectionné s'affichera dans la colonne IP Assignment. Cliquez sur Next.
- Assurez-vous que tous les paramètres sont corrects. Cliquez sur Finish.
La fenêtre de l’assistant se fermera. Dans la console VMware vSphere Web Client, dans la colonne Installation Status, l’information sur l’état actuel du déploiement du service Kaspersky File Antimalware Protection s’affiche à l’écran.
- Patientez jusqu’à ce que le déploiement du service Kaspersky File Antimalware Protection soit terminé.
- Accédez à la section Hosts and Clusters.
- Assurez-vous que le déploiement des SVMs a réussi sur tous les hyperviseurs faisant partie du cluster sélectionné.
Les SVM dotées du composant Protection contre les fichiers malicieux sont déployées.
9. Déployez la SVM dotée du composant Protection contre les menaces réseau
Les machines virtuelles de protection dotées du composant Protection contre les menaces réseau sont déployées sur les hyperviseurs VMware ESXi suite au déploiement du service de protection réseau (Kaspersky Network Protection) sur les clusters VMware.
Pour déployer le service Kaspersky Network Protection :
- Accédez à Networking and Security → Installation and Upgrade → Service Deployment.
- Cliquez sur Add.
- Dans le tableau sélectionnez le service Kaspersky Network Protection et cliquez sur Next.
- Sélectionnez un ou plusieurs clusters VMware sur lesquels vous souhaitez installer la Protection contre les menaces réseau. Cliquez sur Next.
- Le cas échéant, modifiez les paramètres définis par défaut pour toutes les machines virtuelles de protection qui seront déployées sur les hyperviseurs du cluster sélectionné.
- Sélectionnez un réseau qui sera utilisé par les machines virtuelles de protection et un stockage pour le déploiement des machines virtuelles de protection dotées du composant Protection contre les menaces réseau.
- Si vous souhaitez configurer les paramètres d’attribution des adresses IP pour les machines virtuelles de service, suivez le lien Change dans le champ IP assignment.
Sélectionnez Use IP Pool et cliquez sur Add.
Configurez le pool d’adresses IP et cliquez sur Save.
Sélectionnez le pool d’adresses IP créé et cliquez sur OK.
Le nom du pool d'adresses IP sélectionné s'affichera dans la colonne IP Assignment. Cliquez sur Next.
- Assurez-vous que tous les paramètres sont corrects. Cliquez sur Finish.
La fenêtre de l’assistant sera fermée. Dans la console VMware vSphere Web Client, dans la colonne Installation Status, l’information sur l’état actuel du déploiement du service Kaspersky Network Protection s’affiche à l’écran.
- Patientez jusqu’à ce que le déploiement du service Kaspersky Network Protection soit terminé.
- Accédez à la section Hosts and Clusters.
- Assurez-vous que le déploiement des SVMs a réussi sur tous les hyperviseurs faisant partie du cluster sélectionné.
Les SVM dotées du composant Protection contre les menaces réseau sont déployées.