Работа в облачном окружении

В этом разделе представлена информация о развертывании и обслуживании Kaspersky Security Center в облачных окружениях, таких как Amazon Web Services, Microsoft Azure и Google Cloud.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в приложении на территории США.

О работе в облачном окружении

Kaspersky Security Center 15.1 не только работает с физическими устройствами, но также предоставляет возможность для работы в облачном окружении. Kaspersky Security Center работает со следующими виртуальными машинами:

• Инстансы Amazon EC2 (далее также инстансы). Инстанс Amazon EC2 это виртуальная машина, которая создана на основе платформы Amazon Web Services (AWS). Kaspersky Security Center использует AWS API (Application Programming Interface, программный интерфейс приложения).
• Виртуальные машины Microsoft Azure. Kaspersky Security Center использует API Azure.
• Инстансы виртуальных машин Google Cloud. Kaspersky Security Center использует API Google.

Вы можете развернуть Kaspersky Security Center на инстансе или на виртуальной машине для управления защитой устройств в облачном окружении и пользоваться специальными возможностями Kaspersky Security Center для работы в облачном окружении. Эти возможности включают:

• опрос инстансов, находящихся в облачном окружении, средствами API;
• использование инструментов API для установки Агента администрирования и приложений безопасности на устройствах в облачном окружении;
• поиск устройств по признаку принадлежности к определенному облачному сегменту.

Вы также можете использовать инстанс или виртуальную машину, на которых развернут Сервер администрирования Kaspersky Security Center, для защиты физических устройств (например, если такой облачный сервер оказывается выгоднее в обслуживании и содержании, чем физический). В этом случае работа с Сервером администрирования будет устроена так же, как если бы Сервер администрирования был установлен на физическом устройстве.

В Kaspersky Security Center, развернутом с платного Amazon Machine Image (AMI) (в AWS) или используемом на основе подписки с ежемесячной тарификацией в зависимости от объема услуг (в Azure), возможности Системного администрирования активируются автоматически, но Управление мобильными устройствами не может быть активировано.

Сервер администрирования устанавливается совместно с Консолью администрирования. Kaspersky Security для Windows Server также автоматически устанавливается на устройство, на котором установлен Сервер администрирования.

Вы можете настроить Kaspersky Security Center, используя мастер настройки облачного окружения, с учетом специфики работы в облачном окружении.

Сценарий: развертывание в облачном окружении

В этом разделе описан сценарий развертывания Kaspersky Security Center для работы в облачном окружении, таком как Amazon Web Services, Microsoft Azure и Google Cloud.

После завершения сценария развертывания Сервер администрирования Kaspersky Security Center и Консоль администрирования будут запущены и настроены с параметрами по умолчанию. На выбранных инстансах Amazon EC2 или виртуальных машинах Microsoft Azure будет развернута антивирусная защита под управлением Kaspersky Security Center. В дальнейшем вы можете настраивать Kaspersky Security Center более подробно, создавать сложную структуру групп администрирования, создавать для групп различные политики и задачи.

Развертывание Kaspersky Security Center для работы в облачных окружениях состоит из следующих шагов:

1. Подготовка.
2. Развертывание Сервера администрирования.
3. Установка антивирусных приложений "Лаборатории Касперского" на виртуальные устройства, которые необходимо защитить.
4. Настройка параметров загрузки обновлений.
5. Настройка параметров работы с отчетами о состоянии защиты устройств.

Для первоначальной настройки существует мастер настройки облачного окружения. Мастер запускается автоматически при первом развертывании Kaspersky Security Center из готового образа. Вы можете запустить мастер в любой момент. Также вы можете самостоятельно выполнить все действия, которые выполняет мастер.

Рекомендуется отвести на развертывание Сервера администрирования Kaspersky Security Center в облачном окружении не менее часа, а всего на развертывание защиты в облачном окружении – не менее одного рабочего дня.

Развертывание Kaspersky Security Center в облачном окружении состоит из следующих этапов:

1. Планирование конфигурации облачных сегментов

   Ознакомьтесь с работой Kaspersky Security Center в облачном окружении. Спланируйте, где будет развернут Сервер администрирования (внутри или вне облачного окружения); определите сколько облачных сегментов вы планируете защищать. Если вы планируете разместить Сервер администрирования вне облачного окружения, либо если вы планируете защищать более 5000 устройств, то вам потребуется установить Сервер администрирования вручную.

   Для работы с Google Cloud Сервер администрирования можно установить только вручную.

2. Планирование ресурсов

   Убедитесь, что выполнены все условия, необходимые для развертывания.

3. Подписка на Kaspersky Security Center в виде готового образа

   Выберите один из готовых образов AMI в магазине AWS Marketplace или выберите использование ежемесячных счетов за использование SKU в магазине Azure Marketplace, оплатите в соответствии с правилами магазина, если необходимо (или используйте модель BYOL), и используйте образ для развертывания инстанса Amazon EC2 или виртуальной машины Microsoft Azure с установленным приложением Kaspersky Security Center.

   Этот этап необходим, только если вы планируете разместить Сервер администрирования на инстансе или виртуальной машине внутри облачного окружения и при этом планируете разворачивать защиту не более чем 5000 устройств. Иначе этот этап не нужен, и вместо него вам нужно вручную установить Сервер администрирования, Консоль администрирования и СУБД.

   Этот шаг недоступен для Google Cloud.

4. Определение местоположения СУБД

   Определение, где будет расположена СУБД.

   Если вы планируете использовать базу данных вне облачного окружения, убедитесь, что у вас есть рабочая база данных.

   Если вы планируете использовать Amazon Relational Database Service (RDS), создайте базу данных с RDS в облачном окружении AWS.

   Если вы планируете использовать СУБД Microsoft Azure SQL, создайте базу данных со службой базы данных Azure в облачном окружении Microsoft Azure.

   Если вы планируете использовать Google MySQL, создайте базу данных в Google Cloud (подробнее см. в документации https://cloud.google.com/sql/docs/mysql).

5. Установка Сервера администрирования и Консоли администрирования (на основе Microsoft Management Console и/или Консоли на основе веб-интерфейса) на выбранных устройствах вручную

   Установите Сервер администрирования, Консоль администрирования и СУБД на выбранные устройства так, как описано в основном сценарии установки Kaspersky Security Center.

   Этот этап необходим, если вы планируете разместить Сервер администрирования вне облачного окружения или если вы планируете разворачивать защиту более чем 5000 устройств. Затем убедитесь, что ваш Сервер администрирования соответствует требованиям к оборудованию. Иначе этот этап не нужен и достаточно подписки на Kaspersky Security Center в виде готового образа в магазине AWS Marketplace, в магазине Azure Marketplace или в Google Cloud.

6. Обеспечение прав для работы Сервера администрирования с облачными-службами API

   В AWS перейдите в Консоль управления AWS и создайте IAM-роль или учетную запись IAM-пользователя. Созданная IAM-роль (либо учетная запись IAM-пользователя) позволит Kaspersky Security Center работать с AWS API: опрашивать облачные сегменты и разворачивать защиту.

   В Azure, создайте подписку и ИД приложения с паролем. Kaspersky Security Center использует эти учетные данные для работы в Azure API: опрашивать облачные сегменты и разворачивать защиту.

   В Google Cloud зарегистрируйте проект, получите идентификатор проекта и закрытый ключ. Kaspersky Security Center использует эти учетные данные для опроса облачных сегментов с помощью Google API.

7. Создание IAM-роли для защищаемых инстансов (только для AWS)

   Создайте в Консоли управления AWS IAM-роль, которая определяет набор разрешений для выполнения запросов к AWS. Созданную роль вы впоследствии будете назначать новым инстансам. IAM-роль нужна для установки приложений на инстансы с помощью Kaspersky Security Center.

8. Подготовка базы данных с помощью Amazon Relational Database Service или Microsoft Azure SQL

   Если вы планируете использовать базу данных Amazon Relational Database Service (RDS), создайте инстанс базы данных Amazon RDS и корзина S3, где будет храниться резервная копия базы данных. Вы можете пропустить этот этап, если вам нужна база данных на том же экземпляре EC2, где установлен Сервер администрирования, или если вы хотите, чтобы ваша база данных находилась в другом месте.

   Если вы планируете использовать Microsoft Azure SQL, создайте учетную запись хранилища и базу данных в Microsoft Azure.

   Если вы планируете использовать Google MySQL, создайте базу данных в Google Cloud (подробнее см. в документации https://cloud.google.com/sql/docs/mysql).

9. Лицензирование Kaspersky Security Center для работы в облачном окружении

   Убедитесь, что у вас есть лицензия для работы Kaspersky Security Center в облачном окружении, и предоставьте код активации либо файл ключа, чтобы приложение добавило его в хранилище лицензий. Этот этап может быть завершен во время настройки облачного окружения.

   Этот этап обязателен, если вы используете Kaspersky Security Center, установленный из бесплатного готового образа AMI по модели BYOL, или если вы устанавливаете Kaspersky Security Center самостоятельно без использования образов AMI. В каждом из этих случаев для активации Kaspersky Security Center вам нужна лицензия на приложение Kaspersky Security для виртуальных сред или на приложение Kaspersky Hybrid Cloud Security.

   Если вы используете Kaspersky Security Center, установленный из готового образа, то этот этап является необязательным и соответствующее окно мастера настройки облачного окружения не отображается.

10. Аутентификация в облачном окружении

    Укажите в Kaspersky Security Center ваши учетные данные AWS, Azure или Google Cloud, чтобы Kaspersky Security Center мог работать с необходимыми разрешениями. Этот этап может быть завершен при авторизации в облачном окружении.

11. Получение Сервером администрирования сведений об устройствах в облачном сегменте путем опроса облачного сегмента

    Запустите опрос облачного сегмента. В облачном окружении AWS Kaspersky Security Center получит адреса и имена всех инстансов, доступ к которым обеспечивают права IAM-роли или права IAM-пользователя. В облачном окружении Microsoft Azure Kaspersky Security Center получит адреса и имена всех виртуальных машин, доступ к которым обеспечивают права роли Читатель.

    В дальнейшем вы можете с помощью Kaspersky Security Center устанавливать приложения "Лаборатории Касперского" и других производителей на обнаруженные инстансы или виртуальные машины.

    Kaspersky Security Center запускает опрос регулярно, поэтому, если появятся новые инстансы или виртуальные машины, то они будут обнаружены автоматически.

12. Объединение всех устройств сети в группу администрирования Cloud

    Переместите все обнаруженные инстансы или виртуальные машины в группу администрирования Управляемые устройства\Cloud, чтобы они стали доступными для централизованного управления. Если вы хотите разбить устройства на подгруппы, например, в зависимости от того, какая операционная система на них установлена, вы можете создать несколько групп администрирования внутри группы Управляемые устройства\Cloud. Вы можете настроить автоматическое перемещение всех устройств, которые будут обнаружены во время регулярных опросов, в группу Управляемые устройства\Cloud.

13. Связь устройств в сети с Сервером администрирования с помощью Агента администрирования

    Установите Агента администрирования на устройствах в облачном окружении. Компонент Kaspersky Security Center обеспечивает связь устройства с Сервером администрирования. Параметры Агента администрирования автоматически настраиваются по умолчанию.

    Вы можете установить Агент администрирования на каждое устройство локально. Вы также можете установить Агент администрирования на устройства удаленно, с помощью Kaspersky Security Center. Или вы можете пропустить этот этап и установить Агент администрирования вместе с последними версиями приложений безопасности.

14. Установка последних версий приложений безопасности на устройства сети

    Выберите устройства, на которые вы хотите установить приложения безопасности, и установите на эти устройства последние версии приложений безопасности. Вы можете произвести установку либо удаленно, с помощью Kaspersky Security Center на Сервере администрирования, либо локально.

    Возможно, вам придется создать инсталляционные пакеты для этих приложений вручную.

    Для инстансов и виртуальных машин под управлением Linux предназначено приложение Kaspersky Endpoint Security для Linux.

    Для инстансов и виртуальных машин под управлением Windows предназначено приложение Kaspersky Security для Windows Server.

15. Настройка параметров обновлений

Задача Поиск уязвимостей и требуемых обновлений создается автоматически при запуске настройки облачного окружения. Вы также можете создать ее вручную. Эта задача обеспечивает автоматический поиск и загрузку необходимых обновлений приложений для последующей установки на устройства в сети средствами Kaspersky Security Center.

После завершения настройки облачной среды рекомендуется выполнить следующий этап:

1. Настройка работы с отчетами

   Вы можете просматривать отчеты на вкладке Мониторинг в рабочей области узла Сервер администрирования. Вы можете получать отчеты по электронной почте. Отчеты на вкладке Мониторинг доступны по умолчанию. Чтобы настроить получение отчетов по электронной почте, укажите адреса электронной почты, на которые будут приходить отчеты, и настройте формат отчетов.

Результаты

После завершения сценария вы можете убедиться, что первоначальная настройка прошла успешно:

• Вы можете подключиться к Серверу администрирования с помощью Консоли администрирования или с помощью Kaspersky Security Center Web Console.
• На управляемых устройствах установлены и работают последние версии приложений безопасности "Лаборатории Касперского".
• Kaspersky Security Center создал для всех управляемых устройств политики и задачи по умолчанию.

Предварительные условия для развертывания Kaspersky Security Center в облачном окружении

Перед началом развертывания Kaspersky Security Center в облачном окружении, таком как Amazon Web Services или Microsoft Azure, убедитесь, что у вас имеется:

• доступ в интернет;
• одна из следующих учетных записей:
  • учетная запись Amazon Web Services (для работы с AWS);
  • учетная запись Microsoft (для работы с Azure);
  • учетная запись Google (для работы с Google Cloud);
• Одно из следующих:
  • лицензия на Kaspersky Security для виртуальных сред;
  • лицензия на Kaspersky Hybrid Cloud Security;
  • средства на приобретение такой лицензии (Kaspersky Security для виртуальных сред или Kaspersky Hybrid Cloud Security);
  • средства на оплату в магазине Azure Marketplace готового образа;
• руководства к последним версиям приложений Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server.

Аппаратные требования для Сервера администрирования в облачном окружении

Для развертывания в облачных окружениях требования к Серверу администрирования и серверу базы данных такие же, как и к физическому Серверу администрирования (в зависимости от того, каким количеством устройств вы хотите управлять). Дополнительную информацию см. в документации к облачному окружению.

Варианты лицензирования в облачном окружении

Работа в облачном окружении не входит в базовую функциональность Kaspersky Security Center и требует лицензии.

В Kaspersky Security Center доступно два варианта лицензирования для работы в облачном окружении:

• Платный образ AMI (в Amazon Web Services) или использование ежемесячных счетов за использование SKU (в Microsoft Azure).

  Такой вариант лицензирования Kaspersky Security Center предоставляет также лицензию для Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server. Платить нужно в соответствии с правилами используемого облачного окружения.

  Эта модель позволяет вам управлять не более чем 200 клиентскими устройствами для одного Сервера администрирования.

• Готовый бесплатный образ с использованием собственной лицензии по модели BYOL (Bring Your Own License).

  Для лицензирования Kaspersky Security Center в AWS или Azure необходима лицензия на использование одного из приложений:

  • Kaspersky Security для виртуальных сред
  • Kaspersky Hybrid Cloud Security

  Эта модель позволяет вам управлять до 100 000 клиентских устройств для одного Сервера администрирования. Эта модель также позволяет вам управлять устройствами вне облачного окружения AWS, Azure или Google.

  Вы можете выбрать модель BYOL в любом из следующих случаев:

  • у вас уже есть действующая лицензия на Kaspersky Security для виртуальных сред;
  • у вас уже есть действующая лицензия на Kaspersky Hybrid Cloud Security;
  • вы хотите приобрести лицензию непосредственно перед развертыванием Kaspersky Security Center.

  На этапе первоначальной настройки Kaspersky Security Center запрашивает у вас код активации или файл ключа.

  При выборе BYOL вам не нужно будет оплачивать использование Kaspersky Security Center через магазин Azure Marketplace или AWS Marketplace.

В обоих случаях возможности Системного администрирования активируются автоматически, но Управление мобильными устройствами не может быть активировано.

Вы можете столкнуться с ошибкой при попытке активировать функцию Поддержка облачного окружения с использованием лицензии Kaspersky Hybrid Cloud Security.

После подписки на Kaspersky Security Center вы получаете Amazon Elastic Compute Cloud (Amazon EC2) или виртуальную машину Microsoft Azure с Сервером администрирования Kaspersky Security Center. Инсталляционные пакеты Kaspersky Security для Windows Server и Kaspersky Endpoint Security для Linux доступны на Сервере администрирования. Вы можете установить эти приложения на устройствах в облачном окружении. Вам не нужно активировать эти приложения по лицензии.

Если управляемое устройство не видимо в сети Сервера администрирования более недели, приложение безопасности (Kaspersky Security для Windows Server или Kaspersky Endpoint Security для Linux) на этом устройстве перейдет в режим ограниченной функциональности. Чтобы активировать приложение снова, вам нужно сделать устройство, на котором установлено приложение безопасности, видимым в сети Сервера администрирования снова.

Параметры базы данных для работы в облачном окружении

У вас должна быть база данных для работы с Kaspersky Security Center. При развертывании Kaspersky Security Center в AWS, в Microsoft Azure или Google Cloud у вас есть три параметра:

• Создайте локальную базу данных на одном устройстве с Сервером администрирования. Kaspersky Security Center поставляется вместе с базой данных SQL Server Express, которая может поддерживать до 5000 управляемых устройств. выберите этот параметр, если базы данных SQL Server Express Edition достаточно для ваших потребностей.
• Создайте базу данных с Relational Database Service (RDS) в облачном окружении AWS или со службой базы данных Azure в облачном окружении Microsoft Azure. Выберите этот параметр, если вы хотите использовать СУБД, отличную от SQL Express. Ваши данные будут перенесены внутри облачного окружения, где они останутся, и у вас не будет никаких дополнительных затрат. Если вы уже работаете с Kaspersky Security Center локально и имеете некоторые данные в своей базе данных, вы можете перенести свои данные в новую базу данных.

  Для работы на платформе Google Cloud можно использовать только Cloud SQL для MySQL.

• Используйте существующий сервер базы данных. Выберите этот параметр, если вы уже используете сервер базы данных и хотите использовать его для Kaspersky Security Center. Если этот сервер расположен все облачного окружения, ваши данные будут перенесены через интернет, что может привести к дополнительным расходам.

Процедура развертывания Kaspersky Security Center в облачном окружении имеет специфические шаги для создания (выбора) базы данных.

Работа в облачном окружении Amazon Web Services

В этом разделе описано, как подготовиться к работе с Kaspersky Security Center в Amazon Web Services.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

О работе в облачном окружении Amazon Web Services

Вы можете приобрести Kaspersky Security Center в магазине приложений AWS Marketplace в виде образа AMI (Amazon Machine Image) – готового образа предварительно настроенной виртуальной машины. Вы можете подписаться на платный готовый образ AMI или BYOL AMI и на основе этого образа создать инстанс Amazon EC2 с установленным Сервером администрирования Kaspersky Security Center.

Для работы с платформой AWS, и в частности для того, чтобы приобретать приложения в AWS Marketplace и создавать инстансы, вам потребуется учетная запись в Amazon Web Services. Вы можете создать бесплатную учетную запись на сайте https://aws.amazon.com/ru. Вы также можете использовать существующую учетную запись Amazon.

Если вы подписались на образ AMI, доступный в магазине приложений AWS Marketplace, то вы получаете инстанс с готовым к работе Kaspersky Security Center. Вам не нужно устанавливать приложение самостоятельно. Сервер администрирования Kaspersky Security Center в этом случае устанавливается на инстанс без вашего участия. После установки вы можете запустить Консоль администрирования и подключиться к Серверу администрирования, чтобы начать работу с Kaspersky Security Center.

О том, что такое образы AMI и как работает магазин приложений AWS Marketplace, см. на странице справки AWS Marketplace. О работе с платформой AWS, об использовании инстансов и о связанных с ними понятиях см. в документации Amazon Web Services.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание IAM-роли и учетных записей IAM-пользователя для инстансов Amazon EC2

В этом разделе описано, какие действия необходимо выполнить, чтобы обеспечить корректную работу Сервера администрирования. Эти действия включают работу с сервисами AWS, с IAM-ролями (Identity and Access Management) и учетными записями пользователей. Также описано, какие действия должны быть выполнены с клиентскими устройствами, чтобы установить на них Агент администрирования и затем защитные приложения Kaspersky Security для Windows Server и Kaspersky Endpoint Security для Linux.

Обеспечение прав для работы Сервера администрирования Kaspersky Security Center с AWS

Стандарты работы в облачном окружении Amazon Web Services рекомендуют, чтобы специальная IAM-роль была назначена экземпляру Сервера администрирования для работы со службами AWS. Создайте в консоли AWS IAM-роль, которая определяет набор разрешений для выполнения запросов к сервисам AWS. IAM-роль обеспечивает права на опрос облачных сегментов и на установку приложений на инстансы.

После того как вы создадите IAM-роль и назначите ее на Сервер администрирования, вы сможете разворачивать защиту инстансов, пользуясь этой ролью и не предоставляя Kaspersky Security Center никакой дополнительной информации.

Однако в следующих случаях может быть целесообразно отказаться от создания IAM-роли для Сервера администрирования:

• Если устройства, защитой которых вы планируете управлять, являются инстансами EC2 внутри облачного окружения Amazon Web Services, а Сервер администрирования находится вне него.
• Если вы планируете управлять защитой инстансов не только внутри вашего облачного сегмента, но и внутри других облачных сегментов, созданных под другой учетной записью в AWS. В таком случае вам понадобится IAM-роль только для защиты вашего облачного сегмента. Для защиты другого облачного сегмента IAM-роль не понадобится.

В этих случаях вам потребуется создать не IAM-роль, а учетную запись IAM-пользователя, от имени которого Kaspersky Security Center будет работать с сервисами AWS. Прежде чем начинать работу с Сервером администрирования, создайте учетную запись IAM-пользователя с ключом доступа AWS IAM (далее также ключ доступа IAM).

Для создания IAM-роли либо IAM-пользователя требуется Консоль управления AWS. Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Создание IAM-роли для Сервера администрирования

Прежде чем разворачивать Сервер администрирования, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки приложений на инстансы. Подробнее см. в справке AWS в разделах об IAM-ролях.

Чтобы создать IAM-роль для Сервера администрирования:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В разделе Роли создайте роль со следующими правами:
   • AmazonEC2ReadOnlyAccess, если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать приложения на инстансы EC2 с помощью AWS API.
   • AmazonEC2ReadOnlyAccess и AmazonSSMFullAccess, если вы планируете и запускать опрос облачных сегментов, и устанавливать приложения на инстансы EC2 с помощью AWS API. В этом случае вам понадобится также назначить на защищаемые инстансы EC2 IAM-роль с правами AmazonEC2RoleforSSM.

Вам потребуется назначить эту роль на инстанс EC2, который вы будете использовать в качестве Сервера администрирования.

Созданная роль доступна для всех приложений на Сервере администрирования. Поэтому любое приложение, работающее на Сервере администрирования, имеет возможность опрашивать облачные сегменты либо устанавливать приложения на инстансы EC2 внутри облачного сегмента.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание учетной записи IAM-пользователя для работы Kaspersky Security Center

Учетная запись IAM-пользователя необходима для работы с Kaspersky Security Center, если Серверу администрирования не назначена IAM-роль с правами на обнаружение устройств и установку приложений на инстансы. Эта же учетная запись или другая учетная запись также требуется для резервного копирования задачи данных Сервера администрирования, если вы используете корзину S3. Вы можете создать одну учетную запись IAM-пользователя с требуемыми правами или две разные учетные записи.

Для IAM-пользователя автоматически создается ключ доступа IAM, который вам потребуется предоставить Kaspersky Security Center на этапе первоначальной настройки. Ключ доступа IAM состоит из ID ключа доступа и секретного ключа. Подробнее о сервисе IAM см. на следующих справочных страницах AWS:

• http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html;
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.

Чтобы создать учетную запись IAM-пользователя с необходимыми правами:

1. Откройте Консоль управления AWS и войдите под своей учетной записью.
2. В списке служб AWS выберите IAM (как показано на рисунке ниже).

   

   Список сервисов в AWS Management Console

   Откроется окно, содержащее список имен пользователей и меню, с помощью которого вы сможете работать с инструментом.

3. Перейдите к областям консоли, использующим учетные записи пользователей, и добавьте новое имя пользователя или имена.
4. Для пользователей, которых вы добавили, укажите следующие параметры AWS:
   • Тип доступа: Programmatic Access.
   • Границы разрешений не установлены.
   • Разрешения:
     • ReadOnlyAccess - если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать приложения на инстансы EC2 с помощью AWS API;
     • ReadOnlyAccess и AmazonSSMFullAccess – если вы планируете и запускать опрос облачных сегментов, и устанавливать приложения на инстансы EC2 с помощью AWS API. В этом случае вам нужно назначить защищаемым инстансам EC2 IAM-роль с правами AmazonEC2RoleforSSM.

     После добавления разрешений внимательно их просмотрите. В случае ошибки выбора параметров перейдите к предыдущему экрану и выполните выбор параметров снова.

5. После того как вы создали учетную запись, отобразится таблица с ключом доступа IAM нового IAM-пользователя. ID ключа доступа отобразится в столбце Access key ID. Секретный ключ отобразится в столбце Secret access key в виде звездочек. Чтобы посмотреть секретный ключ, нажмите Show.

Созданная учетная запись отобразится в списке учетных записей IAM-пользователей, соответствующих вашей учетной записи в AWS.

При развертывании Kaspersky Security Center в облачном сегменте вам потребуется указать, что вы пользуетесь учетной записью IAM-пользователя, и предоставить Kaspersky Security Center идентификатор ключа доступа и секретный ключ доступа.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание IAM-роли для установки приложений на инстансы Amazon EC2

Прежде чем разворачивать защиту на инстансах EC2 средствами Kaspersky Security Center, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки приложений на инстансы. Дополнительную информацию см. в разделах справки AWS, описывающих IAM-роли.

IAM-роль необходима для того, чтобы назначать ее на все инстансы EC2, на которые вы планируете устанавливать приложения безопасности с помощью Kaspersky Security Center. Если вы не назначите инстансу IAM-роль, обладающую необходимыми правами, установка приложений средствами AWS API на этот инстанс завершится с ошибкой.

Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Чтобы создать IAM-роль для установки приложений на инстансы:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В меню слева выберите пункт Roles.
3. Нажмите на кнопку Create Role.
4. В отобразившемся списке сервисов выберите EC2 и затем в списке Select Your Use case еще раз EC2.
5. Нажмите на кнопку Далее: Права.
6. В отобразившемся списке установите флажок напротив пункта AmazonEC2RoleforSSM.
7. Нажмите на кнопку Далее: Просмотр.
8. Введите имя и описание IAM-роли и нажмите на кнопку Create role.

   Созданная роль отобразится в списке ролей с именем и описанием, которые вы ввели.

В дальнейшем вы можете использовать созданную IAM-роль при создании новых инстансов EC2, которые вы будете защищать с помощью Kaspersky Security Center, а также ассоциировать ее с уже существующими инстансами.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Работа с Amazon RDS

В этом разделе описывается, какие действия необходимо выполнить, чтобы подготовить базу данных Amazon Relational Database Service (RDS) для Kaspersky Security Center, поместить ее в группу параметров, создать IAM-роль для работы с базой RDS, подготовить корзину S3 для хранения данных и перенести базу данных в существующую базу RDS.

Amazon Relational Database Service (Amazon RDS) это веб-сервис, который помогает пользователям AWS настраивать, управлять и масштабировать реляционную базу данных в облачном окружении AWS. Вы можете использовать базу данных Amazon RDS для работы с Kaspersky Security Center.

Вы можете работать со следующими базами данных:

• Microsoft SQL Server
• SQL Express Edition
• Aurora MySQL 5.7
• Standard MySQL 5.7

Создание инстанса Amazon RDS

Если вы хотите использовать Amazon RDS в качестве СУБД, вы можете создать инстанс базы данных Amazon RDS. В этом разделе описано, как выбрать SQL Express Edition; если вы хотите работать с Aurora MySQL или Standard MySQL (версии 5.7, 8.0), вам нужно выбрать одно из этих ядер.

Чтобы создать инстанс базы данных Amazon RDS:

1. Откройте Консоль управления AWS https://console.aws.amazon.com и войдите под своей учетной записью.
2. Используя интерфейс AWS, создайте базу данных со следующими параметрами:
   • Ядро: Microsoft SQL Server, SQL Express Edition.
   • Версия ядра базы данных: SQL Server 2014 12.00.5546.0v1.
   • Класс экземпляра базы данных: db.t2.medium.
   • Тип хранилища: General purpose.
   • Размер хранилища: минимум 50 ГиБ.
   • Группа безопасности: та же группа, в которую входит инстанс EC2 с установленным Сервером администрирования Kaspersky Security Center.

   Создайте идентификатор, имя пользователя и пароль для экземпляра RDS.

   Вы можете оставить значения всех параметров по умолчанию. Или измените значения параметров, заданных по умолчанию, если вы хотите настроить инстанс Amazon RDS. Подробную информацию смотрите на справочных страницах AWS.

3. На последнем шаге AWS отображает результат процесса. Если вы хотите просмотреть подробную информацию инстанса Amazon RDS, нажмите на View DB instance details. Если вы хотите перейти к следующему действию, создайте группы параметров для инстанса Amazon RDS.

Создание инстанса Amazon RDS занимает несколько минут. После того как инстанс создан, вы можете использовать его для работы с данными Kaspersky Security Center.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание группы параметров для инстанса Amazon RDS

Вам нужно поместить инстанс Amazon RDS в группу параметров.

Чтобы создать группу параметров для инстанса Amazon RDS:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В меню выберите пункт Службы.

   Отобразится список доступных служб (см. рис. ниже).

   

   Список сервисов в AWS Management Console

3. В списке выберите RDS.
4. В левой панели нажмите на Option groups.
5. Нажмите на кнопку Create group.
6. Создайте группу параметров со следующими параметрами (если вы выбрали SQL Server на шаге создания инстанса Amazon RDS):
   • Ядро: SQLserver-ex.
   • Основная версия ядра: 12.00.

   Если вы выбрали базу данных, отличную от SQL, на этапе создания инстанса Amazon RDS, выберите соответствующее ядро.

Группа создана и отображается в списке групп.

После создания группы параметров поместите инстанс Amazon RDS в эту группу параметров.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Изменение группы параметров

Заданная по умолчанию конфигурация группы параметров, в которую вы поместили инстанс Amazon RDS, не достаточна для работы с базой данных Kaspersky Security Center. Необходимо добавить параметры в группу параметров и создать IAM-роль для работы с базой данных.

Чтобы изменить группу параметров и создать IAM-роль:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В меню выберите пункт Службы.

   Отобразится список доступных служб (см. рис. ниже).

   

   Список сервисов в AWS Management Console

3. В списке выберите RDS.
4. В левой панели нажмите на Option groups.

   Отобразится список групп параметров.

5. Выберите группу параметров, в которую вы поместили инстанс Amazon RDS, и нажмите на кнопку Добавить параметр.

   Откроется окно Добавить параметр.

6. В разделе IAM-роль выберите параметр Create a new role / Yes и введите имя новой IAM-роли.

   Роль создана с набором прав по умолчанию. Позже вы можете изменить эти права.

7. В разделе корзины S3 выполните одно из следующих действий:
   • Если инстанс корзины Amazon S3 для резервной копии не создан, перейдите по ссылке Создать корзину S3 и создайте корзину S3, используя интерфейс AWS.
   • Если вы уже создали инстанс корзины Amazon S3 для резервной копии данных Сервера администрирования, выберите требуемую корзину S3 из раскрывающегося меню.
8. Чтобы завершить добавление параметров, нажмите на кнопку Добавить параметр в нижней части страницы.

Вы изменили группу параметров и создали IAM-роль для работы с базы RDS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Изменение прав IAM-роли для инстанса базы данных Amazon RDS

После того, как вы добавили параметры в группу параметров, вам необходимо назначить требуемые права IAM-роли, созданной для работы с инстансом базы данных Amazon RDS.

Чтобы назначить требуемые права IAM-роли, которую вы создали для работы с инстансом базы данных Amazon RDS:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В списке служб выберите IAM.

   Откроется окно, содержащее список имен пользователей и меню, с помощью которого вы сможете работать с инструментом.

3. В меню выберите Роли.
4. В списке IAM-ролей выберите роль, которую вы создали во время добавления параметров в группу параметров.
5. Используя интерфейс AWS, удалите политику sqlNativeBackup-<date>.
6. Используя интерфейс AWS назначьте политику AmazonS3FullAccess роли.

IAM-роль получает требуемые права для работы с Amazon RDS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Подготовка корзины Amazon S3 для базы данных

Если вы планируете использовать базу данных Amazon Relational Database System (Amazon RDS), вам потребуется создать инстанс корзины Buzz Amazon Simple Storage Service (Amazon S3), в котором будет храниться обычная резервная копия данных. Подробную информацию об Amazon S3 и корзинах S3 см. в справке Amazon. Подробную информацию о создании инстанса Amazon S3, см. в справке Amazon S3.

Чтобы создать корзину Amazon S3:

1. Убедитесь, что Консоль управления AWS открыта и вы вошли под вашей учетной записью.
2. В списке служб AWS выберите S3.
3. Перейдите в консоль, чтобы создать корзину, и следуйте далее указаниям мастера.
4. Выберите такой же регион, в котором расположен ваш Сервер администрирования (или будет расположен).
5. На последнем шаге убедитесь, что новая корзина появилась в списке корзин.

Корзина S3 создана и отображается в списке корзин. Вы можете указать корзину при добавлении параметра в группу параметров. Вы можете также указать адрес вашей корзины S3 в Kaspersky Security Center при создании задачи Резервное копирование данных Сервера администрирования в Kaspersky Security Center.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Перенос базы данных в Amazon RDS

Развернуть все | Свернуть все

Вы можете перенести вашу базу данных Kaspersky Security Center с локального устройства на инстанс Amazon S3, который поддерживает Amazon RDS. Для этого вам необходимы корзина S3 для базы RDS и учетная запись IAM-пользователя с правами AmazonS3FullAccess для этой корзины S3.

Чтобы перенести базу данных:

1. Убедитесь, что вы создали инстанс RDS (подробную информацию см. на справочных страницах Amazon RDS).
2. На вашем физическом Сервере администрирования (локальном), запустите утилиту резервного копирования "Лаборатории Касперского" для данных Сервера администрирования.

   Убедитесь, что файл называется backup.zip.

3. Скопируйте файл backup.zip на инстанс EC2, на котором установлен Сервер администрирования.

   Убедитесь, что на инстансе EC2, на котором установлен Сервер администрирования, достаточно свободного дискового пространства. В окружении AWS вы можете добавить дисковое пространство для вашего инстанса, чтобы выполнить процесс переноса базы данных.

4. Снова запустите утилиту резервного копирования "Лаборатории Касперского" в неинтерактивном режиме на Сервере администрирования в AWS.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

5. На шаге Выберите действие выберите пункт Выполнить восстановление данных Сервера администрирования и нажмите на кнопку Далее.
6. На шаге Параметры восстановления нажмите на кнопку Обзор рядом с полем Папка для хранения резервных копий.
7. В открывшемся окне Войти в онлайн-хранилище заполните следующие поля и нажмите на кнопку ОК:
   • Имя корзины S3

     Имя корзины Amazon S3.

   • Папка резервных копий данных

     Укажите расположение папки, предназначенной для хранения резервных копий.

   • ID ключа доступа

     Ключ доступа AWS IAM, принадлежащий IAM-пользователю с правами использования корзины Amazon S3 (права AmazonS3FullAccess).

   • Секретный ключ

     Секретный ключ AWS IAM, принадлежащий IAM-пользователю с правами использования корзины Amazon S3 (права AmazonS3FullAccess).

8. Выберите параметр Перенести из локальной резервной копии данных. Станет доступна кнопка Обзор.
9. Нажмите на кнопку Обзор и выберите на Сервере администрирования AWS папку, в которую вы поместили файл backup.zip.
10. Нажмите на кнопку Далее и завершите процедуру.

Данные будут храниться в базе RDS с использованием корзины S3. Вы можете использовать эту базу данных для дальнейшей работы с Kaspersky Security Center в окружении AWS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Работа в облачном окружении Microsoft Azure

В этом разделе представлена информация о том, как развернуть и поддерживать Kaspersky Security Center в облачном окружении, предоставленном платформой Microsoft Azure, и как развернуть защиту на виртуальных машинах внутри облачного окружения.

В Kaspersky Security Center, который был развернут с использованием подписки с ежемесячной тарификацией в зависимости от объема услуг, возможности Системного администрирования активируются автоматически, но Управление мобильными устройствами не может быть активировано.

О работе в Microsoft Azure

Чтобы работать с платформой Microsoft Azure, в частности для покупки приложений в магазине Azure Marketplace и создания виртуальных машин, вам потребуется подписка Azure. Перед развертыванием Сервера администрирования создайте ID приложения в Azure с правами, необходимыми для установки приложений на виртуальные машины.

Если вы приобрели образ Kaspersky Security Center в магазине Azure Marketplace, вы можете развернуть виртуальную машину с готовым образом AMI Сервера администрирования Kaspersky Security Center. Вам нужно выбрать параметры виртуальной машины, но вам не нужно устанавливать приложения самостоятельно. После установки вы можете запустить Консоль администрирования и подключиться к Серверу администрирования, чтобы начать работу с Kaspersky Security Center.

Вы также можете использовать виртуальную машину Azure с развернутым на нем Сервером администрирования Kaspersky Security Center для защиты физических устройств (например, если такой облачный сервер оказывается выгоднее в обслуживании и содержании, чем физический). В этом случае работа с Сервером администрирования будет устроена так же, как если бы Сервер администрирования был установлен на физическом устройстве. Если вы не планируете использовать инструменты Azure API, ID приложения в Azure вам не нужен. В этом случае подписки Azure достаточно.

Создание подписки, идентификатора приложения и пароля

Для работы с Kaspersky Security Center в окружении Microsoft Azure вам нужны подписка Azure, ID приложения в Azure и пароль приложения в Azure. Вы можете использовать существующую подписку, если у вас она уже есть.

Подписка Azure предоставляет владельцу доступ к Microsoft Azure Platform Management Portal и сервисам Microsoft Azure. Владелец может использовать Microsoft Azure Platform, чтобы управлять службами, такими как Azure SQL и Azure Storage.

Чтобы создать подписку Microsoft Azure,

Перейдите по ссылке https://learn.microsoft.com/en-us/azure/cost-management-billing/manage/create-subscription и следуйте инструкциям.

Подробная информация о создании подписки доступна на сайте Microsoft. Вы получите идентификатор подписки, который затем предоставите Kaspersky Security Center вместе с ID приложения и паролем.

Чтобы создать и сохранить ID приложения и пароль Azure:

1. Перейдите по ссылке https://portal.azure.com и убедитесь, что выполнен вход.
2. Следуя инструкциям на странице справки, создайте ID приложения.
3. В свойствах приложения перейдите в раздел Keys.
4. В разделе Keys заполните поля Description и Expires и оставьте поле Value пустым.
5. Нажмите на кнопку Сохранить.

   После того как вы нажмете на кнопку Save, система автоматически заполнит поле Value длинной последовательностью символов. Эта последовательность символов является вашим паролем приложения в Azure (например, yXyPOy6Tre9PYgP/j4XVyJCvepPHk2M/UYJ+QlfFvdU=). Описание отображается так, как вы его указали.

6. Скопируйте пароль и сохраните его, чтобы позже вы смогли предоставить ID приложения и пароль в Kaspersky Security Center.

   Вы можете скопировать пароль только при его создании. Позже пароль больше не будет отображаться, и вы не сможете его восстановить.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Назначение роли для ID приложения в Azure

Если требуется только обнаружить виртуальные машины с помощью процесса обнаружения устройств, ID приложения в Azure должна быть назначена роль Читатель (Reader). Если требуется не только обнаружить виртуальные машины, но и развернуть защиту на виртуальных машинах, вашему ID приложения в Azure должна быть назначена роль Участник виртуальных машин (Virtual Machine Contributor).

Следуйте инструкциям, приведенным на веб-сайте Microsoft, чтобы назначить роль для ID приложения в Azure.

Развертывание Сервера администрирования в Microsoft Azure и выбор базы данных

Чтобы развернуть Сервер администрирования в окружении Microsoft Azure:

1. Войдите в Microsoft Azure, используя свою учетную запись.
2. Перейдите на портал Azure.
3. В левой части панели нажмите на зеленый значок плюса.
4. Напишите "Kaspersky Hybrid Cloud Security" в поле поиска меню.

   Kaspersky Hybrid Cloud Security – это комбинация Kaspersky Security Center и двух приложений безопасности для защиты инстансов: Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server.

5. В списке результатов выберите Kaspersky Hybrid Cloud Security или Kaspersky Hybrid Cloud Security (BYOL).

   В правой части экрана отобразится информационное окно.

6. Прочитайте информацию и нажмите на кнопку Создать в информационном окне.
7. Заполните требуемые поля. Используйте подсказки и справку, чтобы получить информацию и помощь.
8. При выборе размера выберите один из трех параметров.

   В большинстве случаев 8 ГБ оперативной памяти достаточно. В Azure вы можете увеличить размер оперативной памяти и других ресурсов на виртуальной машине в любое время.

9. При выборе базы данных выберите один из следующих вариантов, в соответствии с вашим планом:
   • Локальная. Если вам нужна база данных на той же виртуальной машине, на которой будет развернут Сервер администрирования. Kaspersky Security Center поставляется с базой данных SQL Server Express. Выберите этот параметр, если базы данных SQL Server Express достаточно для ваших потребностей.
   • Новая. Если вы хотите создать новую базу RDS в окружении Azure. выберите этот параметр, если вы хотите использовать СУБД, отличную от SQL Server Express. Ваши данные будут перенесены в облачное окружение, где они останутся, и у вас не будет никаких дополнительных затрат.
   • Существующая. Если вы хотите использовать существующий сервер базы данных. В этом случае вам нужно указать его месторасположение. Если сервер вне окружения Azure, ваши данные будут перенесены через интернет, что может привести к дополнительным расходам.
10. При вводе идентификатора подписки используйте подписку, созданную ранее.

После развертывания вы можете подключиться к Серверу администрирования с помощью RDP. Вы можете использовать Консоль администрирования для работы с Сервером администрирования.

Работа с Azure SQL

В этом разделе описаны действия, необходимые для подготовки базы данных Microsoft Azure к использованию Kaspersky Security Center, а также для подготовки учетной записи хранения Azure и переноса существующей базы данных в Azure SQL.

База данных SQL это универсальная служба управления реляционными базами данных в Microsoft Azure.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание учетной записи хранения Azure

В Microsoft Azure требуется создать учетную запись хранения для работы с базой данных Azure SQL и для скриптов развертывания.

Чтобы создать учетную запись хранения:

1. Выполните вход на портал Azure.
2. В левой панели выберите пункт Учетные записи хранения и перейдите в окно Учетные записи хранения.
3. В окне Учетные записи хранения нажмите на кнопку Добавить, чтобы перейти в окно Создание учетной записи хранения.
4. Заполните все необходимые поля для создания учетной записи хранения:
   • Местоположение: должно совпадать с местоположением (географическим регионом) Сервера администрирования.
   • Прочие поля: можно оставить указанные по умолчанию значения.

   Используйте подсказки, чтобы получить информацию о каждом поле.

   После создания учетной записи хранения отобразится список ваших учетных записей хранения.

5. В списке учетных записей хранения выделите созданную учетную запись, чтобы посмотреть информацию о ней.
6. Убедитесь, что вам известны имя учетной записи, группа ресурсов и ключи доступа для этой учетной записи хранения. Эти данные понадобятся вам при работе с Kaspersky Security Center.

Справку можно посмотреть на веб-сайте Azure.

Если у вас уже есть учетная запись хранения, ее можно использовать для работы с Kaspersky Security Center.

Создание базы данных Azure SQL и SQL-сервера

В окружении Azure вам понадобится база данных SQL и SQL-сервер.

Чтобы создать базу данных Azure SQL и SQL-сервер:

1. Выполните инструкции, приведенные на веб-сайте Azure.

   Вы можете создать новый сервер, когда появится приглашение от Microsoft Azure. Если у вас уже есть Azure SQL Server, вы можете использовать его для Kaspersky Security Center, а не создавать новый сервер.

2. После создания базы данных SQL и SQL-сервера убедитесь, что вам известны имя ресурса и группа ресурсов.
   1. Перейдите по ссылке https://portal.azure.com и убедитесь, что выполнен вход.
   2. На левой панели выберите пункт Базы данных SQL.
   3. Выберите имя базы данных в списке баз данных.

      Откроется окно свойств.

   4. Имя базы данных является именем ресурса. Имя группы ресурсов отображается в окне свойств в разделе Обзор.

Имя ресурса и группа ресурсов базы данных понадобятся вам при переносе базы данных в Azure SQL.

Перенос базы данных в Azure SQL

Развернуть все | Свернуть все

После развертывания Сервера администрирования в окружении Microsoft Azure можно выполнить перенос базы данных Kaspersky Security Center с физического устройства в Azure SQL. Для использования базы данных Azure SQL необходима учетная запись хранения Azure. Также у вас должен быть Microsoft SQL Server и Платформа приложения уровня данных (DacFx) и SQLSysCLRTypes на вашем Сервере администрирования.

Чтобы перенести базу данных:

1. Убедитесь, что вы создали учетную запись хранения Azure.
2. Убедитесь, что на Сервере администрирования есть SQLSysCLRTypes и DacFx.

   Вы можете загрузить Microsoft SQL Server Data-Tier Application Framework (17.0.1 DacFx) и SQLSysCLRTypes (выберите версию, соответствующую версии вашего SQL Server) с официального сайта Microsoft.

3. На вашем физическом Сервере администрирования запустите утилиту резервного копирования "Лаборатории Касперского" для данных Сервера администрирования с включенным параметром Перенести в формат Azure.
4. Поместите файл резервной копии данных на Сервер администрирования в Azure.

   Убедитесь, что на виртуальной машине Azure, на которой установлен Сервер администрирования, достаточно свободного дискового пространства. В окружении Azure можно добавить дисковое пространство для виртуальной машины, чтобы обеспечить процесс переноса базы данных.

5. На Сервере администрирования, расположенного в облачном окружении Microsoft Azure, еще раз запустите утилиту резервного копирования "Лаборатории Касперского" в интерактивном режиме.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

6. На шаге Выберите действие выберите пункт Выполнить восстановление данных Сервера администрирования и нажмите на кнопку Далее.
7. На шаге Параметры восстановления нажмите на кнопку Обзор рядом с полем Папка для хранения резервных копий.
8. В открывшемся окне Войти в онлайн-хранилище заполните следующие поля и нажмите на кнопку ОК:
   • Имя учетной записи хранения Azure

     Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

   • Папка резервных копий данных

     Укажите расположение папки, предназначенной для хранения резервных копий.

   • Идентификатор подписки Azure

     Вы создали подписку на портале Azure.

   • Пароль приложения в Azure.

     Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

     Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

   • Ключ доступа хранилища Azure

     Доступен в свойствах учетной записи хранения в разделе "Access Keys". Вы можете использовать любой ключ (key1 или key2).

   • Имя SQL-сервера Azure

     Доступно в свойствах SQL-сервера Azure.

   • Группа источника SQL-сервера Azure

     Доступно в свойствах SQL-сервера Azure.

   • Идентификатор приложения в Azure.

     Вы создали этот идентификатор приложения на портале Azure.

     Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вам нужно сначала удалить первый сегмент в существующем соединении Azure.

9. Выберите параметр Перенести из локальной резервной копии данных.

   Станет доступна кнопка Обзор.

10. Нажмите на кнопку Обзор и выберите на Сервере администрирования в Azure папку, в которую вы поместили файл резервной копии данных.
11. Нажмите на кнопку Далее и завершите процедуру.

Данные будут восстановлены в базу данных Azure SQL с использованием хранилища Azure. Вы можете использовать эту базу данных для дальнейшей работы с Kaspersky Security Center в окружении Azure.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Работа в Google Cloud

Этот раздел содержит информацию о работе с Kaspersky Security Center в облачном окружении, предоставляемом Google.

Создание электронной почты клиента, идентификатора проекта и закрытого ключа

Развернуть все | Свернуть все

API Google можно использовать для работы с Kaspersky Security Center на платформе Google Cloud. Требуется учетная запись Google. Дополнительную информацию вы можете найти в документации Google на странице https://cloud.google.com.

Вам нужно создать и предоставить Kaspersky Security Center следующие учетные данные:

• Электронная почта клиента

  Электронная почта клиента – это адрес электронной почты, который вы использовали для регистрации вашего проекта в Google Cloud.

• Идентификатор проекта.

  Идентификатор проекта – это идентификатор, полученный при регистрации проекта Google Cloud.

• Закрытый ключ.

  Закрытый ключ – это последовательность символов, которые вы получили в качестве закрытого ключа при регистрации проекта в Google Cloud. Вы можете скопировать и вставить эту последовательность, чтобы избежать ошибок.

Работа с экземпляром Google Cloud SQL для MySQL

Вы можете создать базу данных в Google Cloud и использовать эту базу данных для Kaspersky Security Center.

Kaspersky Security Center работает с MySQL 5.7 и 5.6. Другие версии MySQL не тестировались.

Чтобы создать и настроить базу данных MySQL:

Откройте в браузере страницу https://cloud.google.com/sql/docs/mysql/create-instance#create-2nd-gen и следуйте инструкциям.

При настройке базы данных MySQL используйте следующие флаги:

• sort_buffer_size 10000000;
• join_buffer_size 20000000;
• innodb_lock_wait_timeout 300;
• max_allowed_packet 32000000;
• innodb_thread_concurrency 20;
• max_connections 151;
• tmp_table_size 67108864;
• max_heap_table_size 67108864;
• lower_case_table_names 1.

Подготовка клиентских устройств в облачном окружении для работы с Kaspersky Security Center

Устройства, на которые вы планируете установить Сервер администрирования, Агент администрирования и приложения безопасности "Лаборатории Касперского", должны соответствовать следующим условиям:

• Настройки групп безопасности делают доступными следующие порты на Сервере администрирования (минимально необходимый для развертывания набор портов):
  • 8060 HTTP – для передачи с Сервера администрирования на защищаемые инстансы инсталляционных пакетов Агента администрирования и приложений безопасности;
  • 8061 HTTP – для передачи с Сервера администрирования на защищаемые инстансы инсталляционных пакетов Агента администрирования и приложений безопасности;
  • 13000 TCP – для передачи с защищаемых инстансов и подчиненных Серверов администрирования на главный Сервер администрирования с помощью SSL;
  • 13000 UDP – для передачи на Сервер администрирования информации о выключении инстансов;
  • 14000 TCP – для передачи с защищаемых инстансов и подчиненных Серверов администрирования на главный Сервер администрирования без SSL;
  • 13291 – для подключения Консоли администрирования к Серверу администрирования;
  • 40080 – для работы скриптов развертывания.

  Вы можете настроить группы безопасности в Консоли управления AWS или на портале Azure. Если вы планируете использовать Kaspersky Security Center в конфигурации, отличной от настроек по умолчанию, см. Базу знаний. Примеры конфигураций, отличных от конфигураций по умолчанию, не включают установку Консоли администрирования на устройстве с Сервером администрирования, но включают установку на вашу рабочую станцию или использование прокси-сервера KSN.

• На клиентских устройствах доступен порт 15000 UDP (для приема запросов на связь с Сервером администрирования).
• В облачном окружении AWS:
  • Если вы планируете использовать API AWS, задается IAM-роль, под которой будут устанавливаться приложения на инстансах.
  • На каждом инстансе Amazon EC2, Systems Manager Agent (SSM-агент) установлен и запущен.
  • SSM-агент позволяет Kaspersky Security Center автоматически устанавливать приложения на устройства и группы устройств, не запрашивая каждый раз подтверждение от администратора.
  • На инстансах под управлением операционной системы Windows, развернутых из образов AMI позже ноября 2016 года, SSM-агент установлен и работает. На все остальные устройства вам потребуется устанавливать SSM-агент самостоятельно. Подробнее об установке SSM-агента на устройства под управлением операционных систем Windows и Linux см. на странице справки AWS.
• В облачном окружении Microsoft Azure:
  • На каждой виртуальной машине Azure установлен и запущен Azure VM Agent.

    По умолчанию виртуальная машина создается с Azure VM Agent и вы не должны устанавливать или включать его вручную. Дополнительные сведения Azure VM Agent на устройствах Windows и на устройствах Linux см. страницах справки Microsoft.

  • Ваш ИД приложения в Azure имеет следующие роли:
    • Читатель (обнаруживает виртуальные машины при опросе сети).
    • Участник виртуальной машины (разворачивает защиту на виртуальных машинах).
    • SQL Server Contributor (использует базу данных SQL в облачном окружении Microsoft Azure).

    Если вы хотите выполнять все эти операции, назначьте все три роли вашему идентификатору приложения в Azure.

Создание инсталляционных пакетов, необходимых для настройки облачного окружения

Мастер настройки облачного окружения в Kaspersky Security Center доступен при наличии инсталляционных пакетов и плагинов управления следующих приложений:

• Kaspersky Endpoint Security для Linux
• Kaspersky Endpoint Security для Windows

  Развертывание Kaspersky Endpoint Security для Windows в облачном окружении будет доступно после выхода версии Kaspersky Endpoint Security 12.0 для Windows.

• Kaspersky Security для Windows Server

Эти инсталляционные пакеты требуются для установки приложений на инстансах и виртуальных машинах, которые вы хотите защитить. Если у вас нет этих инсталляционных пакетов, вам нужно их создать. Иначе мастер настройки облачного окружения не будет запущен.

Для создания инсталляционных пакетов:

1. Загрузите последние версии приложений и плагинов с сайта "Лаборатории Касперского":
   • Установщик и плагин управления Kaspersky Security для Windows Server.
   • Установщик, файлы для удаленной установки с помощью Kaspersky Security Center и плагин управления Kaspersky Endpoint Security для Linux.
2. Сохраните все файлы на инстансе (или виртуальной машине), где установлен Сервер администрирования.
3. Извлеките файлы из всех пакетов.
4. Запустите Kaspersky Security Center.
5. В дереве консоли перейдите в раздел Дополнительно → Удаленная установка → Инсталляционные пакеты и нажмите на кнопку Создать инсталляционный пакет.
6. Выберите Создать инсталляционный пакет "Лаборатории Касперского".
7. Укажите название пакета и путь к установщику приложения: <folder>\<file name>.kud и нажмите на кнопку Далее.
8. Прочтите Лицензионное соглашение, установите флажок, подтверждающий, что вы принимаете его условия и нажмите на кнопку Далее.

Инсталляционный пакет загружен на Сервер администрирования и доступен в списке инсталляционных пакетов.

Настройка облачного окружения станет доступна, как только вы создадите инсталляционные пакеты и установите плагины управления на Сервер администрирования.

Настройка облачного окружения

Чтобы настроить Kaspersky Security Center с использованием мастера настройки облачного окружения, вам потребуется следующее:

• Укажите учетные данные для облачного окружения:
  • IAM-роль, которой было предоставлено право опроса облачного сегмента, или учетная запись IAM-пользователя, которому было предоставлено право опроса облачного сегмента (для работы с Amazon Web Services);
  • идентификатор приложения в Azure, пароль и подписка (для работы с Microsoft Azure);
  • электронная почта клиента Google, идентификатор проекта и закрытый ключ (для работы с Google Cloud).
• Инсталляционные пакеты:
  • Агент администрирования для Windows;
  • Агент администрирования для Linux;
  • Kaspersky Endpoint Security для Linux.
• Веб-плагин Kaspersky Endpoint Security для Linux.
• Хотя бы одно из следующего:
  • инсталляционный пакет и веб-плагин Kaspersky Endpoint Security для Windows (рекомендуется);
  • инсталляционный пакет и веб-плагин Kaspersky Security для Windows Server.

Если вы не хотите использовать возможности работы в облачном окружении (например, в случае, если вы хотите управлять защитой только физических клиентских устройств), вы можете выйти из мастера настройки облачного окружения и вручную запустить стандартный мастер первоначальной настройки Сервера администрирования.

Настройка облачного окружения запускается автоматически при первом подключении к Серверу администрирования через Консоль администрирования, если вы разворачиваете Kaspersky Security Center из готового образа AMI. Вы также можете запустить мастер настройки облачного окружения в любое время.

Чтобы запустить мастер настройки облачного окружения вручную:

1. В дереве консоли выберите узел Сервер администрирования – <Имя Сервера>.
2. В контекстном меню узла выберите пункт Все задачи → Настройка работы в облачном окружении.

Приблизительное время настройки составляет около 15 минут.

О мастере настройки облачного окружения

Мастер настройки облачного окружения позволяет настроить Kaspersky Security Center с учетом особенностей работы в облачном окружении.

В результате работы мастера будут созданы следующие объекты:

• политику Агента администрирования с настройками по умолчанию;
• политику Kaspersky Endpoint Security для Linux;
• политику Kaspersky Security для Windows Server;
• группу администрирования и правило автоматического перемещения инстансов в эту группу администрирования;
• задачу резервного копирования данных Сервера администрирования;
• задачи установки защиты на устройства под управлением Linux и Windows;
• задачи для каждого из управляемых устройств:
  • быстрый поиск вредоносного ПО;
  • загрузку обновлений.

Если вы выбрали вариант лицензирования по модели BYOL, то настройка облачного окружения также активирует Kaspersky Security Center c помощью файла ключа или кода активации и помещает файл ключа или код активации в хранилище лицензий.

Шаг 1. Выбор способа активации приложения

Этот шаг не отображается, если вы подписывались на один из готовых образов AMI (в магазине приложений AWS Marketplace) или используете ежемесячный счет за использование SKU (в магазине Azure Marketplace). В этом случае мастер сразу отобразит следующий шаг. Вы не можете приобрести готовый образ AMI для Google Cloud.

Если вы выбрали вариант лицензирования Kaspersky Security Center по схеме BYOL, мастер предложит вам выбрать способ активации приложения.

Активируйте приложение с помощью кода активации (или файла ключа) для приложения Kaspersky Security для виртуальных сред или приложения Kaspersky Hybrid Cloud Security.

Вы можете активировать приложение следующими способами:

• Ввести код активации.

  Запустится процесс онлайн-активации. В ходе этого процесса выполняется проверка указанного кода активации, получение и активация файла ключа.

• Указать файл ключа.

  Приложение проверит файл ключа и либо активирует его, если в нем содержится корректная информация, либо предложит указать другой файл ключа.

Kaspersky Security Center помещает лицензионный ключ в хранилище лицензий и помечает его как автоматически распространяемый на управляемые устройства.

Если вы подключаетесь к инстансу с помощью стандартного приложения Microsoft Windows "Подключение к удаленному рабочему столу" (Remote Desktop Connection) или аналогичным приложением, требуется указать в свойствах удаленного подключения диск физического устройства, с которого вы подключаетесь. Таким образом вы обеспечите доступ с инстанса к файлам на вашем физическом устройстве и сможете выбрать и указать файл ключа.

При работе с Kaspersky Security Center, развернутым из платного образа AMI, или при использовании SKU с ежемесячным выставлением счетов за использование, в хранилище лицензий невозможно добавлять файлы ключей или коды активации.

Шаг 2. Выбор облачного окружения

Выберите облачное окружение, в котором вы разворачиваете Kaspersky Security Center: AWS, Azure или Google Cloud.

Шаг 3. Аутентификация в облачном окружении

Развернуть все | Свернуть все

AWS

Если вы выбрали AWS, либо укажите, что у вас есть IAM-роль с необходимыми правами, либо предоставьте Kaspersky Security Center ключ доступа AWS IAM. Без IAM-роли или ключа доступа AWS IAM невозможен опрос облачных сегментов.

Укажите следующие параметры соединения, которое в дальнейшем будет использоваться для опроса облачного сегмента:

• Название соединения

  Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

  Это имя будет также использоваться как имя группы администрирования для облачных устройств.

  Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

• Использовать AWS IAM-роль

  Выберите этот вариант, если вы уже создали IAM-роль для работы Сервера администрирования с сервисами AWS.

• Использовать учетную запись AWS IAM-пользователя

  Выберите этот вариант, если у вас есть учетная запись IAM-пользователя с необходимыми правами и вы можете ввести ID ключа и секретный ключ.

  • ID ключа доступа

    ID ключа доступа IAM – это последовательность из букв и цифр. Вы получили ID ключа при создании учетной записи IAM-пользователя.

    Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

  • Секретный ключ

    Секретный ключ, который вы получили с ID ключа доступа при создании учетной записи IAM-пользователя.

    Символы секретного ключа отображаются в виде звездочек. После того, как вы начали вводить секретный ключ, отображается кнопка Показать. Нажмите на эту кнопку и удерживайте ее необходимое вам время, чтобы просмотреть введенные символы.

    Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

Соединение будет сохранено в параметрах приложения. С помощью настройки облачного окружения вы можете создать только один ключ доступа AWS IAM. Впоследствии вы можете указывать и другие соединения для управления другими облачными сегментами.

Если вы хотите устанавливать приложения на инстансы средствами Kaspersky Security Center, необходимо, чтобы ваша IAM-роль (либо IAM-пользователь, учетной записи которого соответствует вводимый вами ключ), имела необходимые привилегии.

Azure

Если вы выбрали Azure, укажите следующие параметры соединения, которые в дальнейшем будут использоваться для опроса облачного сегмента:

• Название соединения

  Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

  Это имя будет также использоваться как имя группы администрирования для облачных устройств.

  Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

• Идентификатор приложения в Azure.

  Вы создали этот идентификатор приложения на портале Azure.

  Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вам нужно сначала удалить первый сегмент в существующем соединении Azure.

• Идентификатор подписки Azure

  Вы создали подписку на портале Azure.

• Пароль приложения в Azure.

  Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

  Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

• Имя учетной записи хранения Azure

  Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

• Ключ доступа хранилища Azure

  Вы получили пароль (ключ) при создании учетной записи хранения Azure для работы с Kaspersky Security Center.

  Ключ доступен в разделе "Overview of the Azure storage account" в подразделе "Keys".

Соединение будет сохранено в параметрах приложения.

Google Cloud

Если вы выбрали Google Cloud, укажите следующие параметры соединения, которые в дальнейшем будут использоваться для опроса облачного сегмента:

• Название соединения

  Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

  Это имя будет также использоваться как имя группы администрирования для облачных устройств.

  Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

• Электронная почта клиента

  Электронная почта клиента – это адрес электронной почты, который вы использовали для регистрации вашего проекта в Google Cloud.

• Идентификатор проекта.

  Идентификатор проекта – это идентификатор, полученный при регистрации проекта Google Cloud.

• Закрытый ключ.

  Закрытый ключ – это последовательность символов, которые вы получили в качестве закрытого ключа при регистрации проекта в Google Cloud. Вы можете скопировать и вставить эту последовательность, чтобы избежать ошибок.

Соединение будет сохранено в параметрах приложения.

Шаг 4. Настройка синхронизации с облачным окружением и определение дальнейших действий

Развернуть все | Свернуть все

На этом шаге начинается опрос облачного сегмента и создается специальная группа администрирования для инстансов. Инстансы, обнаруженные при опросе, перемещаются в эту группу. Настраивается расписание опроса облачного сегмента (по умолчанию каждые 5 минут).

Также создается правило автоматического перемещения Синхронизация с облачным окружением. При каждом последующем сканировании облачной сети обнаруженные виртуальные устройства будут перемещаться в соответствующую подгруппу внутри группы Управляемые устройства\Cloud.

На странице Синхронизация с облачным сегментом можно задать следующие параметры:

• Синхронизировать группы администрирования со структурой облачного сегмента

  Если параметр включен, то в группе Управляемые устройства автоматически создается группа Cloud и запускается процесс обнаружения устройств в облачной сети. Инстансы и виртуальные машины, обнаруженные во время каждого сканирования облачной сети, перемещаются в группу Cloud. Структура подгрупп администрирования в этой группе соответствует структуре вашего облачного сегмента (в AWS зоны доступности и группы размещения не представлены в структуре; в Azure подсети не представлены в структуре). Устройства, не идентифицированные как инстансы в облачном окружении, находятся в группе Нераспределенные устройства. Такая структура групп позволяет устанавливать антивирусные приложения на инстансы с помощью задач групповой установки и настраивать разные политики для разных групп.

  Если параметр выключен, то также создается группа Cloud и запускается процесс обнаружения устройств в облачной сети, однако в группе не создаются подгруппы, соответствующие структуре облачного сегмента. Все найденные инстансы находятся в группе администрирования Cloud и отображаются единым списком. Если в процессе работы с Kaspersky Security Center вам потребуется произвести синхронизацию, то вы сможете изменить свойства правила Синхронизация с облачным окружением и применить его. Применение правила перестраивает структуру групп внутри группы Cloud так, чтобы она соответствовала структуре вашего облачного сегмента.

  По умолчанию параметр выключен.

• Развернуть защиту

  Если этот параметр выбран, то мастер создает задачу установки приложений безопасности на инстансы. После завершения работы мастера автоматически запустится мастер развертывания защиты на устройствах в ваших облачных сегментах, и вы сможете установить на эти устройства Агент администрирования и приложения безопасности.

  Kaspersky Security Center может выполнить развертывание с помощью собственных инструментов. Если у вас отсутствуют права на установку приложений на инстансы Amazon EC2 или виртуальные машины Azure, вы можете настроить задачу удаленной установки вручную и указать учетную запись с необходимыми правами. В этом случае задача удаленной установки не будет работать для устройств, обнаруженных с помощью AWS API или Azure. Эта задача работает только для устройств, обнаруженных с использованием опроса Active Directory, Windows-доменов или IP-диапазонов.

  Если этот параметр не выбран, то мастер развертывания защиты не запускается и задачи установки приложений безопасности на инстансы не создаются. Вы можете произвести оба эти действия позже вручную.

Вы можете выполнить развертывание Google Cloud только с помощью инструментов Kaspersky Security Center. Если вы выбрали Google Cloud, вариант Развернуть защиту недоступен.

Шаг 5. Настройка Kaspersky Security Network в облачном окружении

Развернуть все | Свернуть все

Настройте параметры передачи информации о работе Kaspersky Security Center в базу знаний Kaspersky Security Network. Выберите один из следующих вариантов:

• Я принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые приложения, установленные на клиентских устройствах, в автоматическом режиме будут предоставлять информацию об их работе Kaspersky Security Network. Сотрудничество с Kaspersky Security Network обеспечивает более быстрое обновление баз данных о вирусах и угрозах, что увеличивает скорость реагирования на возникающие угрозы безопасности.

• Я не принимаю условия использования Kaspersky Security Network

  Kaspersky Security Center и управляемые приложения не будут предоставлять информацию о своей работе Kaspersky Security Network.

  Если вы выбрали этот параметр, использование Kaspersky Security Network будет выключено.

"Лаборатория Касперского" рекомендует участие в Kaspersky Security Network.

Шаг 6. Настройка параметров отправки уведомлений по электронной почте в облачном окружении

Развернуть все | Свернуть все

Настройте параметры рассылки оповещений о событиях, регистрируемых при работе приложений "Лаборатории Касперского" на виртуальных клиентских устройствах. Эти параметры будут использоваться в качестве значений по умолчанию в политиках приложений.

Для настройки рассылки оповещений о возникающих событиях приложений "Лаборатории Касперского" доступны следующие параметры:

• Получатели (адреса электронной почты)

  Адреса электронной почты пользователей, которым приложение будет отправлять уведомления. Вы можете указать один или более адресов. Если вы указываете несколько адресов, разделяйте их точкой с запятой.

• SMTP-серверы

  Адрес или адреса почтовых серверов вашей организации.

  Если вы указываете несколько адресов, разделяйте их точкой с запятой. Вы можете использовать следующие значения параметра:

  • IPv4-адрес или IPv6-адрес;
  • Имя устройства в сети Windows (NetBIOS-имя);
  • DNS-имя SMTP-сервера.
• Порт SMTP-сервера

  Номер коммуникационного порта SMTP-сервера. Если вы используете несколько SMTP-серверов, соединение с ними устанавливается через указанный коммуникационный порт. По умолчанию установлен порт 25.

• Использовать ESMTP-аутентификацию

  Включение поддержки ESMTP-аутентификации. После установки флажка можно указать параметры ESMTP-аутентификации в полях Имя пользователя и Пароль. По умолчанию флажок снят.

Вы можете проверить установленные параметры отправки почтовых уведомлений с помощью кнопки Отправить тестовое сообщение. Если тестовое сообщение доставлено успешно по адресам, указанным в поле Получатели (адреса электронной почты), то параметры настроены правильно.

Шаг 7. Создание первоначальной конфигурации защиты в облачном окружении

Развернуть все | Свернуть все

На этом шаге Kaspersky Security Center автоматически создает политики и задачи. В окне Создание первоначальной конфигурации защиты отображается список создаваемых приложением политик и задач.

Если вы используете базу RDS в облачном окружении AWS, вам необходимо предоставить ключ доступа IAM к Kaspersky Security Center при создании задачи резервного копирования Сервера администрирования. В этом случае заполните следующие поля:

• Имя корзины S3

  Имя корзины S3, которое вы создали для резервной копии данных.

• ID ключа доступа

  Вы получили ID ключа (последовательность из букв и цифр), когда создали учетную запись IAM-пользователя для работы с корзиной S3 в хранилище инстансов.

  Поле доступно, если вы выбрали базу RDS для контейнера S3.

• Секретный ключ

  Секретный ключ, который вы получили с ID ключа доступа при создании учетной записи IAM-пользователя.

  Символы секретного ключа отображаются в виде звездочек. После того, как вы начали вводить секретный ключ, отображается кнопка Показать. Нажмите на эту кнопку и удерживайте ее необходимое вам время, чтобы просмотреть введенные символы.

  Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

Если вы используете базу данных Azure SQL в облачном окружении Azure, вам необходимо предоставить информацию о Azure SQL Server Kaspersky Security Center при создании задачи резервного копирования Сервера администрирования. В этом случае заполните следующие поля:

• Имя учетной записи хранения Azure

  Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

• Идентификатор подписки Azure

  Вы создали подписку на портале Azure.

• Пароль приложения в Azure.

  Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

  Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

• Идентификатор приложения в Azure.

  Вы создали этот идентификатор приложения на портале Azure.

  Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вам нужно сначала удалить первый сегмент в существующем соединении Azure.

• Имя SQL-сервера Azure

  Имя и группа источника доступны в свойствах SQL-сервера Azure.

• Группа источника SQL-сервера Azure

  Имя и группа источника доступны в свойствах SQL-сервера Azure.

• Ключ доступа хранилища Azure

  Доступен в свойствах учетной записи хранения в разделе "Access Keys". Вы можете использовать любой ключ (key1 или key2).

Если вы выполняете развертывание Сервера администрирования в Google Cloud, необходимо выбрать папку, в которой будут храниться резервные копии. Выберите папку на локальном устройстве или на экземпляре виртуальной машины.

Кнопка Далее станет доступна, когда все необходимые для минимальной конфигурации защиты политики и задачи будут созданы.

Если устройство, на котором должны выполняться задачи, не видимо в сети Сервера администрирования, задачи запускаются только тогда, когда устройство становится видимым. Если вы создаете EC2 или виртуальную машину Azure, может потребоваться некоторое время, прежде чем инстанс или виртуальная машина станут видимыми для Сервера администрирования. Если вы хотите, чтобы Агент администрирования и приложения безопасности были установлены на все новые устройства как можно скорее, убедитесь что параметр Запускать пропущенные задачи включен для задачи Удаленная установка приложения. В противном случае на созданные инстансы/виртуальные машины не будут уставлены Агент администрирования и приложения безопасности до тех пор, пока задача не запустится в соответствии с расписанием.

Шаг 8. Выбор действия, когда требуется перезагрузка операционной системы в ходе установки (для облачного окружения)

Развернуть все | Свернуть все

Если вы ранее выбрали Развернуть защиту, вам нужно выбрать действие, в случае если операционная система целевого устройства должна быть перезагружена. Если вы не выбрали параметр Развернуть защиту, это шаг пропускается.

Выберите, перезагружать ли инстансы, если в ходе установки приложений на устройства потребуется перезагрузка операционной системы:

• Не перезагружать устройство.

  Если выбран этот вариант, устройство не будет перезагружаться после установки приложения безопасности.

• Перезагрузить устройство

  Если выбран этот вариант, устройство будет перезагружено после установки приложения безопасности.

Если вы хотите принудительно закрыть все приложения в заблокированных сеансах на инстансах перед перезагрузкой, установите флажок Принудительно закрывать приложения в заблокированных сеансах. Если флажок не установлен, необходимо будет вручную закрыть все приложения, работающие на заблокированных инстансах.

Шаг 9. Получение обновлений Сервером администрирования

На этом шаге отображается прогресс загрузки обновлений, необходимых для корректной работы Сервера администрирования. Вы можете нажать на кнопку Далее, не дожидаясь окончания загрузки, чтобы перейти к завершающему окну мастера.

Мастер завершает работу.

Проверка успешности настройки

Чтобы проверить, что Kaspersky Security Center 15.1 настроен для работы в облачном окружении корректно:

1. Запустите Kaspersky Security Center и убедитесь, что вы можете подключиться к Серверу администрирования через Консоль администрирования.
2. В дереве консоли выберите Управляемые устройства\Cloud.
3. Заходя в каждую подгруппу внутри группы Управляемые устройства\Cloud, убедитесь, что на вкладке Устройства отображаются все устройства каждой подгруппы.

   Если устройства не отображаются, вы можете выполнить опрос соответствующего облачного сегмента вручную, чтобы их найти.

4. Убедитесь, что на вкладке Политики имеются активные политики для приложений:
   • Агент администрирования Kaspersky Security Center
   • Kaspersky Security для Windows Server
   • Kaspersky Endpoint Security для Linux

   Если политик нет в списке, вы можете создать их вручную.

5. Убедитесь, что на вкладке Задачи присутствуют задачи:
   • Резервное копирование данных Сервера администрирования
   • Задача обновления для Windows Server
   • Обслуживание Сервера администрирования
   • Загрузка обновлений в хранилище Сервера администрирования
   • Поиск уязвимостей и требуемых обновлений
   • Установить защиту для Windows
   • Установить защиту для Linux
   • Задача быстрого опроса Windows Server
   • Быстрый опрос
   • Установить обновления для Linux

   Если политик нет в списке, вы можете создать их вручную.

Kaspersky Security Center 15.1 настроен для работы в облачном окружении корректно.

Группа облачных устройств

Облачными устройствами можно управлять, объединяя их в группы. На этапе первоначальной настройки Kaspersky Security Center по умолчанию создает группу администрирования Управляемые устройства\Cloud и облачные устройства, обнаруженные во время опроса сети, перемещаются в эту группу.

Если вы установили флажок Синхронизировать группы администрирования со структурой облачного сегмента во время настройки синхронизации, то структура подгрупп в этой группе администрирования соответствует структуре ваших облачных сегментов. (Однако зоны доступности и группы размещения не представлены в структуре AWS, подсети не представлены в структуре Microsoft Azure.) Пустые подгруппы внутри группы, обнаруженные при опросе, автоматически удаляются.

Вы также можете самостоятельно создавать группы администрирования, объединяющие все или некоторые устройства.

Группа Управляемые устройства\Cloud по умолчанию наследует политики и задачи из группы Управляемые устройства. Вы можете изменить настройки параметров, если в свойствах параметров соответствующих политик и задач установлены флажки Редактирование разрешено.

Опрос облачного сегмента

Информацию о структуре сети и входящих в ее состав устройствах Сервер администрирования получает в ходе регулярных опросов облачных сегментов средствами AWS API, Azure API или Google API. На основании полученной информации Kaspersky Security Center обновляет содержимое папок Нераспределенные устройства и Управляемые устройства. Если вы настроили автоматическое перемещение устройств в группы администрирования, обнаруженные в сети устройства включаются в состав групп администрирования.

Чтобы Сервер администрирования мог опрашивать облачные сегменты, необходимы права, которые обеспечивает IAM-роль или учетная запись IAM-пользователя (в AWS), идентификатор приложения и пароль (в Azure) или адрес электронной почты клиента Google, идентификатор проекта Google и закрытый ключ.

Вы можете добавлять и удалять соединения, а также настраивать для каждого облачного сегмента расписание опроса.

Добавление соединений для опроса облачных сегментов

Развернуть все | Свернуть все

Чтобы добавить соединение для опроса облачных сегментов в список доступных:

1. В дереве консоли выберите узел Обнаружение устройств → Cloud.
2. В рабочей области окна нажмите Настроить параметры опроса.

   Откроется окно свойств со списком соединений, используемых для опроса облачных сегментов.

3. Нажмите на кнопку Добавить.

   Отобразится окно Соединение.

4. Укажите имя облачного окружения для соединения, которое в дальнейшем будет использоваться для опроса облачного сегмента:

   Облачное окружение

   Облачное окружение, в котором расположены инстансы EC2 (или виртуальные машины), может быть Amazon Web Services (AWS), Microsoft Azure или Google Cloud.

   Если вы выбрали AWS, укажите следующие параметры:

   • Название соединения

     Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

     Это имя будет также использоваться как имя группы администрирования для облачных устройств.

     Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

   • Использовать AWS IAM-роль

     Выберите этот вариант, если вы уже создали IAM-роль для работы Сервера администрирования с сервисами AWS.

   • Использовать учетную запись AWS IAM-пользователя

     Выберите этот вариант, если у вас есть учетная запись IAM-пользователя с необходимыми правами и вы можете ввести ID ключа и секретный ключ.

     • ID ключа доступа

       ID ключа доступа IAM – это последовательность из букв и цифр. Вы получили ID ключа при создании учетной записи IAM-пользователя.

       Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

     • Секретный ключ

       Секретный ключ, который вы получили с ID ключа доступа при создании учетной записи IAM-пользователя.

       Символы секретного ключа отображаются в виде звездочек. После того, как вы начали вводить секретный ключ, отображается кнопка Показать. Нажмите на эту кнопку и удерживайте ее необходимое вам время, чтобы просмотреть введенные символы.

       Поле доступно, если вы выбрали для авторизации ключ доступа AWS IAM, а не IAM-роль.

   Мастер настройки облачного окружения дает возможность указать только один ключ доступа AWS IAM. Впоследствии вы можете указывать и другие соединения для управления другими облачными сегментами.

   Если вы выбрали Azure, укажите следующие параметры:

   • Название соединения

     Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

     Это имя будет также использоваться как имя группы администрирования для облачных устройств.

     Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

   • Идентификатор приложения в Azure.

     Вы создали этот идентификатор приложения на портале Azure.

     Вы можете указать только один идентификатор приложения в Azure для опроса и других целей. Если необходимо опрашивать другой сегмент Azure, вам нужно сначала удалить первый сегмент в существующем соединении Azure.

   • Идентификатор подписки Azure

     Вы создали подписку на портале Azure.

   • Пароль приложения в Azure.

     Вы получили пароль к идентификатору приложения при создании ID приложения в Azure.

     Символы пароля отображаются в виде звездочек. После того, как вы начали вводить пароль, отображается кнопка Показать. Нажмите и удерживайте эту кнопку, чтобы просмотреть введенные символы.

   • Имя учетной записи хранения Azure

     Вы создали имя учетной записи хранения Azure для работы с Kaspersky Security Center.

   • Ключ доступа хранилища Azure

     Вы получили пароль (ключ) при создании учетной записи хранения Azure для работы с Kaspersky Security Center.

     Ключ доступен в разделе "Overview of the Azure storage account" в подразделе "Keys".

   Если вы выбрали Google Cloud, укажите следующие параметры:

   • Название соединения

     Введите имя для соединения. Название может содержать не более 256 символов. Допустимы только символы Юникод.

     Это имя будет также использоваться как имя группы администрирования для облачных устройств.

     Если вы планируете работать с несколькими облачными окружениями, возможно, вы захотите включить имя среды в название соединения, например, "Сегмент Azure", "Сегмент AWS" или "Сегмент Google".

   • Электронная почта клиента

     Электронная почта клиента – это адрес электронной почты, который вы использовали для регистрации вашего проекта в Google Cloud.

   • Идентификатор проекта.

     Идентификатор проекта – это идентификатор, полученный при регистрации проекта Google Cloud.

   • Закрытый ключ.

     Закрытый ключ – это последовательность символов, которые вы получили в качестве закрытого ключа при регистрации проекта в Google Cloud. Вы можете скопировать и вставить эту последовательность, чтобы избежать ошибок.

5. Если вы хотите, выберите Настроить расписание опроса и измените параметры заданные по умолчанию.

Соединение сохранится в параметрах приложения.

После первого опроса нового облачного сегмента появится подгруппа в группе администрирования Управляемые устройства\Cloud, соответствующая этому сегменту.

Если вы указали неверные учетные данные, то инстансы не будут найдены во время опроса облачного сегмента, а новая подгруппа не будет отображаться в группе Управляемые устройства\Cloud.

Удаление соединений для опроса облачных сегментов

Если вам больше не нужно опрашивать какой-либо облачный сегмент, вы можете удалить соединение, соответствующее этому сегменту, из списка доступных. Вы также можете удалить соединение, если, например, права на опрос облачного сегмента перешли к другому AWS IAM-пользователю с другим ключом.

Чтобы удалить соединение:

1. В дереве консоли выберите узел Обнаружение устройств → Cloud.
2. В рабочей области окна выберите Настроить параметры опроса.

   Появится окно со списком соединений, используемых для опроса облачных сегментов.

3. Выделите соединение, которое вы хотите удалить, и нажмите на кнопку Удалить в правой части окна.
4. В появившемся окне нажмите на кнопку ОК, чтобы подтвердить свой выбор.

Если вы удаляете соединение из списка доступных, то устройства, находящиеся внутри соответствующих сегментов, автоматически удалятся из соответствующих групп администрирования.

Настройка расписания опроса

Развернуть все | Свернуть все

Опрос облачного сегмента происходит по расписанию. Вы можете задать периодичность, с которой происходит опрос.

В параметрах мастера настройки облачного окружения автоматически задается периодичность опроса – раз в 5 минут. Вы можете изменить это значение в любое время и задать другое расписание. Не рекомендуется производить опрос чаще, чем раз в 5 минут, так как это может привести к ошибкам в работе API.

Чтобы настроить расписание опроса облачного сегмента:

1. В дереве консоли выберите узел Обнаружение устройств → Cloud.
2. В рабочей области нажмите Настроить параметры опроса.

   Откроется окно свойств объекта.

3. В списке выберите необходимое соединение нажмите на кнопку Свойства.

   Откроется окно свойств соединения.

4. В окне свойств перейдите по ссылке Настроить расписание опроса.

   Отобразится окно Расписание.

5. Настройте следующие параметры:
   • Запуск по расписанию

     Варианты расписания опроса:

     • Каждые N дней

       Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

       По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

     • Каждые N минут

       Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

       По умолчанию опрос запускается каждые пять минут, начиная с текущего системного времени.

     • По дням недели

       Опрос выполняется регулярно, в указанные дни недели, в указанное время.

       По умолчанию опрос запускается каждую пятницу в 18:00:00.

     • Ежемесячно, в указанные дни выбранных недель

       Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

       По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр включен.

6. Нажмите на кнопку ОК, чтобы сохранить изменения.

Расписание опроса настроено и сохранено.

Установка приложений на устройства в облачном окружении

Развернуть все | Свернуть все

Вы можете установить на устройства в облачном окружении следующие приложения "Лаборатории Касперского": Kaspersky Security для Windows Server (для устройств с операционной системой Windows) и Kaspersky Endpoint Security для Linux (для устройств с операционной системой Linux).

Клиентские устройства, на которые вы планируете устанавливать защиту, должны соответствовать требованиям, установленным для работы Kaspersky Security Center в облачном окружении. У вас должна быть действующая лицензия для установки приложений на инстансы AWS, на виртуальные машины Microsoft Azure или на инстансы виртуальных машин Google.

Kaspersky Security Center 15.1 поддерживает следующие сценарии:

• Клиентское устройство обнаружено с помощью API; установка также выполняется средствами API. Этот сценарий поддерживается для облачного окружения AWS и Azure.
• Клиентское устройство обнаружено с помощью опроса Active Directory, Windows-доменов или IP-диапазонов; установка выполняется средствами Kaspersky Security Center.
• Клиентское устройство обнаружено с помощью Google API; установка выполняется средствами Kaspersky Security Center. Этот сценарий поддерживается только для Google Cloud.

Другие способы установки приложений не поддерживаются.

Для установки приложений на виртуальные устройства используйте инсталляционные пакеты.

Чтобы создать задачу удаленной установки приложения на инстансы средствами AWS API или Azure API:

1. В дереве консоли выберите папку Задачи.
2. Нажмите на кнопку Новая задача.

   Запустится мастер создания задачи. Следуйте далее указаниям мастера.

3. В окне Выбор типа задачи выберите тип задачи Удаленная установка приложения.
4. В окне Выбор устройств выберите нужные устройства из группы Управляемые устройства\Cloud.
5. Если на устройствах, на которые вы планируете установить приложение, еще не установлен Агент администрирования, на странице Выбор учетной записи для запуска задачи выберите пункт Учетная запись требуется (Агент администрирования не используется) и нажмите на кнопку Добавить в правой части окна. В появившемся меню выберите:
   • Учетная запись облачного сегмента

     Выберите этот параметр, если вы хотите установить приложения на инстансы в среде AWS и получить ключ доступа AWS IAM с требуемыми правами, но не иметь IAM-роли. Также выберите этот параметр, если вы хотите установить приложения на устройства в среде Azure.

     В появившемся окне предоставьте Kaspersky Security Center учетные данные, дающие право на установку приложений на необходимые вам устройства.

     Выберите облачное окружение AWS или Azure.

     В поле Имя учетной записи введите имя для этих учетных данных. Это имя отображается в списке учетных записей для запуска задачи.

     Если вы выбрали AWS, в полях ID ключа доступа и Секретный ключ введите учетные данные IAM-пользователя, у которого есть права на установку приложений на указанных устройствах.

     Если вы выбрали Azure, в полях Идентификатор подписки Azure и Пароль приложения в Azure введите данные учетной записи Azure, у которой есть права на установку приложений на указанных устройствах.

     Если вы укажете неправильные учетные данные, задача удаленной установки приложений закончится ошибкой на устройствах, для которых она запланирована.

   • Учетная запись

     Для инстансов с операционной системой Windows выберите этот параметр, в случае если вы не будете устанавливать приложение с использованием инструментов AWS или Azure API. В этом случае убедитесь, что устройства в вашем облачном сегменте соответствуют необходимым условиям. Kaspersky Security Center выполнит установку приложений собственными средствами без использования AWS API или Azure API.

     Если вы укажете неправильные данные, задача удаленной установки приложений закончится ошибкой на устройствах, для которых она запланирована.

   • IAM-роль

     Выберите этот параметр, если вы хотите установить приложения на инстансы в окружении AWS и иметь IAM-роль с требуемыми правами.

     Если вы выберете этот параметр, у вас не будет IAM-роли с требуемыми правами и задача удаленной установки приложений завершится с ошибкой на устройствах, для которых она запланирована.

   • SSH сертификат

     Для инстансов с операционной системой Linux выберите этот параметр в случае, если вы не будете устанавливать приложение с использованием инструментов AWS API или Azure API. В этом случае убедитесь, что устройства в вашем облачном сегменте соответствуют необходимым условиям. Kaspersky Security Center выполнит установку приложений собственными средствами без использования AWS API или Azure API.

     Чтобы указать закрытый ключ SSH-сертификата, вы можете сгенерировать его с помощью утилиты ssh-keygen. Обратите внимание, что Kaspersky Security Center поддерживает формат закрытых ключей PEM, но утилита ssh-keygen по умолчанию генерирует SSH-ключи в формате OPENSSH. Формат OPENSSH не поддерживается Kaspersky Security Center. Чтобы создать закрытый ключ в поддерживаемом формате PEM, добавьте параметр -m PEM в команду ssh-keygen. Например:

     ssh-keygen -m PEM -t rsa -b 4096 -C "<электронная почта пользователя>"

   Вы можете предоставить несколько учетных данных, каждый раз нажимая на кнопку Добавить. Если разные облачные сегменты требуют разных учетных данных, укажите учетные данные для всех сегментов.

Задача удаленной установки приложения появится в списке задач в рабочей области папки Задачи.

В Microsoft Azure удаленная установка приложений безопасности на виртуальную машину может привести к удалению настраиваемого расширения скриптов, установленного на этой виртуальной машине.

Просмотр свойств облачных устройств

Чтобы просмотреть свойства облачного устройства:

1. В дереве консоли в папке Обнаружение устройств → Cloud выберите папку, соответствующую той группе, в которой находится интересующий вас инстанс.

   Если вы не знаете, в какой группе находится нужное вам виртуальное устройство, воспользуйтесь поиском:

   1. Нажмите правой кнопкой мыши на узел Управляемые устройства → Cloud и в контекстном меню выберите пункт Поиск.
   2. В появившемся окне выполните поиск.

      Если устройство, соответствующее введенным критериям, существует, то его имя и информация о нем будут отображены в нижней части окна.

2. Нажмите на название нужного узла правой клавишей мыши. В контекстном меню выберите пункт Свойства.

   В появившемся окне отобразятся свойства объекта.

   В разделе Информация о системе → Общая информация о системе содержатся параметры, которые специфичны для устройств в облачном окружении:

   • Устройство обнаружено с помощью API (AWS, Azure или Google Cloud; если устройство не может быть обнаружено с помощью инструментов API, отображается значение Нет).
   • Облачный регион.
   • Cloud VPC (только для устройств AWS и Google Cloud).
   • Облачная зона доступности (только для устройств AWS и Google Cloud).
   • Облачная подсеть.
   • Облачная группа размещения (это устройство отображается, если инстанс принадлежит группе размещения; в противном случае свойство не отображается).

Чтобы экспортировать эту информацию в файл формата CSV или TXT, нажмите на кнопку Экспортировать в файл.

Синхронизация с облачным окружением

Развернуть все | Свернуть все

Во время настройки облачного окружения автоматически создается правило Синхронизация с облачным окружением. Правило позволяет автоматически перемещать инстансы, найденные при каждом опросе, из группы Нераспределенные устройства в группу Управляемые устройства\Cloud, чтобы инстансы были доступны для централизованного управления. По умолчанию правило включено после создания. Вы можете выключить, изменить или применить правило в любое время.

Чтобы изменить свойства правила Синхронизация с облачным окружением и/или применить правило:

1. Нажмите правой клавишей мыши на название узла Обнаружение устройств в дереве консоли.
2. В контекстном меню выберите пункт Свойства.
3. В открывшемся окне Свойства в панели Разделы выберите раздел Перемещение устройств.
4. В списке правил перемещения устройств выберите Синхронизация с облачным окружением и нажмите на кнопку Свойства внизу окна.

   Откроется окно свойств правила.

5. При необходимости укажите следующие параметры в блоке параметров Облачные сегменты:
   • Device is in cloud segment

     Правило применяется только на устройствах, которые находятся в выбранном облачном сегменте. В противном случае правило применяется на всех обнаруженных устройствах.

     По умолчанию выбран этот вариант.

     • Включать дочерние объекты

       Правило выполняется для всех устройств в выбранном сегменте и во всех его вложенных облачных разделах. В противном случае правило будет действовать для устройств, которые находятся в корневом сегменте.

       По умолчанию выбран этот вариант.

     • Перемещать устройства из вложенных объектов в соответствующие подгруппы

       Если параметр включен, то устройства из вложенных объектов перемещаются в подгруппы, соответствующие их структуре.

       Если параметр выключен, то устройства из вложенных объектов перемещаются в корень подгруппы Cloud без разбиения на подгруппы.

       По умолчанию параметр включен.

       • Создавать подгруппы, соответствующие контейнерам вновь обнаруженных устройств

         Если флажок установлен, то если в структуре групп Управляемые устройства\Cloud нет подгруппы, соответствующей тому разделу, в котором находится устройство, Kaspersky Security Center создаст такую подгруппу. Например, если в процессе обнаружения устройств была найдена новая подсеть, то в группе Управляемые устройства\Cloud будет создана новая группа с таким же именем.

         Если параметр выключен, Kaspersky Security Center не создает подгруппы. Например, если новая подсеть была обнаружена во время опроса сети, то новая группа с таким же именем не будет создана под группой Управляемые устройства\Cloud, и устройства, которые находятся в этой подсети, не будут перемещены в группу Управляемые устройства\Cloud.

         По умолчанию параметр включен.

       • Удалять подгруппы, для которых нет соответствия в облачных сегментах

         Если параметр включен, то приложение удалит из группы Cloud подгруппы, не соответствующие никаким облачным объектам.

         Если параметр выключен, то подгруппы, не соответствующие облачным объектам, будут сохраняться.

         По умолчанию параметр включен.

       Если на этапе настройки облачного окружения вы включили параметр Синхронизация с облачным окружением, то правило Синхронизация с облачным окружением создается с установленными флажками Создавать подгруппы, соответствующие контейнерам вновь обнаруженных устройств и Удалять подгруппы, для которых нет соответствия в облачных сегментах.

       Если вы не включили параметр Синхронизация с облачным окружением, правило будет создано с выключенным параметром. Если в процессе работы с Kaspersky Security Center вам потребуется, чтобы структура подгрупп внутри подгруппы Управляемые устройства\Cloud соответствовала структуре облачных сегментов, включите в свойствах правила параметры Создавать подгруппы, соответствующие контейнерам вновь обнаруженных устройств и Удалять подгруппы, для которых нет соответствия в облачных сегментах и примените правило.

6. Выберите значение в раскрывающемся списке Устройство обнаружено с помощью API:
   • AWS. Устройство обнаружено с использованием AWS API, то есть устройство находится в облачном окружении AWS.
   • Azure. Устройство обнаружено с использованием Azure API, то есть устройство находится в облачном окружении Azure.
   • Google Cloud. Google Cloud. Устройство обнаружено с использованием Google API, то есть устройство находится в облачном окружении Google Cloud.
   • Нет. Устройство не обнаруживается с помощью AWS, Azure или Google API, то есть оно либо находится вне облачного окружения, либо находится в облачном окружении, но недоступно для поиска с помощью API.
7. Не задано. Это условие не применяется. При необходимости настройте другие свойства правила в других разделах.
8. При необходимости применить правило, нажав на кнопку Выполнить сейчас внизу окна.

   Будет запущен мастер выполнения правила. Следуйте далее указаниям мастера. После окончания работы мастера правило будет запущено и структура групп внутри подгруппы Управляемые устройства\Cloud будет соответствовать структуре ваших облачных сегментов.

9. Нажмите на кнопку ОК.

Параметры настроены и сохранены.

Чтобы выключить правило Синхронизация с Cloud:

1. Нажмите правой клавишей мыши на название узла Обнаружение устройств в дереве консоли.
2. В контекстном меню выберите пункт Свойства.
3. В открывшемся окне Свойства в панели Разделы выберите раздел Перемещение устройств.
4. В списке правил перемещения устройств выключите параметр Синхронизация с облачным окружением и нажмите на кнопку ОК.

Правило выключено и больше не применяется.

Использование скриптов развертывания для развертывания приложений безопасности

При развертывании Kaspersky Security Center в облачном окружении вы можете использовать скрипты развертывания для автоматического развертывания приложений безопасности. Скрипты развертывания для Amazon Web Services, Microsoft Azure и Google Cloud доступны в виде файлов формата ZIP на странице Службы технической поддержки "Лаборатории Касперского".

Вы можете развернуть последние версии Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server с помощью скриптов развертывания, только если вы уже создали инсталляционные пакеты для этих приложений и плагины управления для этих приложений. Чтобы развернуть последние версии приложений безопасности с помощью скриптов развертывания на Сервере администрирования в облачном окружении:

1. Запустится мастер настройки облачного окружения.
2. Следуйте инструкциям на странице https://support.kaspersky.ru/14713.

Схема работы Kaspersky Security Center в Yandex.Cloud

Вы можете развернуть Kaspersky Security Center в Yandex.Cloud. Доступен только режим оплаты по факту использования; облачные базы данных не поддерживаются.

В Yandex.Cloud доступны следующие способы развертывания приложений безопасности:

• Собственными средствами Kaspersky Security Center, то есть с помощью задачи Удаленная установка (развертывание приложений безопасности возможно только в том случае, если Сервер администрирования и защищаемые виртуальные машины находятся в одном сегменте сети).
• С помощью скриптов развертывания.

Для развертывания Kaspersky Security Center в Yandex.Cloud у вас должна быть учетная запись в Yandex.Cloud. Вам нужно предоставить этой учетной записи разрешение marketplace.meteringAgent и связать эту учетную запись с виртуальной машиной (подробности см. на странице https://cloud.yandex.ru).