Планирование развертывания Kaspersky Security Center Linux

Планируя развертывание компонентов Kaspersky Security Center Linux в сети организации, следует принимать во внимание размер и масштаб проекта, а также следующие факторы:

• общего количества устройств;
• количество MSP-клиентов.

Один Сервер администрирования может обслуживать не более чем 50 000 устройств. Если общее количество устройств в сети организации превышает 50 000, следует разместить на стороне MSP несколько Серверов администрирования, объединенных в иерархию для удобства централизованного управления.

На одном Сервере администрирования может быть создано до 500 виртуальных серверов, следовательно, на каждые 500 MSP-клиентов необходим отдельный Сервер администрирования.

На этапе планирования развертывания следует рассмотреть необходимость задания Серверу администрирования специального сертификата X.509. Задание сертификата X.509 для Сервера администрирования может быть целесообразно в следующих случаях (неполный список):

• для инспекции SSL трафика посредством SSL termination proxy;
• для задания желательных значений полей сертификата;
• для обеспечения желаемой криптографической стойкости сертификата.

Предоставление доступа к Серверу администрирования из интернета

Для того чтобы устройства, размещенные в сети клиента, могли обращаться к Серверу администрирования через интернет, необходимо сделать доступными следующие порты Сервера администрирования:

• 13000 TCP – порт TLS Сервера администрирования, к данному порту подключаются Агенты администрирования, размещенные в сети клиента;
• 8061 TCP – порт HTTPS для публикации автономных пакетов средствами Kaspersky Security Center 14 Web Console;
• 8060 TCP – порт HTTP для публикации автономных пакетов средствами Kaspersky Security Center 14 Web Console;
• 13292 TCP – данный TLS порт нужен, только если требуется управлять мобильными устройствами.
• 8080 TCP – порт HTTPS для Kaspersky Security Center 14 Web Console.

Типовая конфигурация Kaspersky Security Center Linux

На серверах MSP размещен один или несколько Серверов администрирования. Количество Серверов может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от количества обслуживаемых MSP-клиентов или же общего количества управляемых устройств.

Один Сервер администрирования может обслуживать до 50 000 устройств. Нужно учесть возможность увеличения количества управляемых устройств в ближайшем будущем: может оказаться желательным подключение несколько меньшего количества устройств к одному Серверу администрирования.

На одном Сервере администрирования может быть создано до 500 виртуальных серверов, следовательно, на каждые 500 MSP-клиентов необходим отдельный Сервер администрирования.

Если Серверов несколько, рекомендуется объединить их в иерархию. Наличие иерархии Серверов администрирования позволяет избежать дублирования политик и задач, работать со всем множеством управляемых устройств, как если бы они все управлялись одним Сервером администрирования: выполнять поиск устройств, создавать выборки устройств, создавать отчеты.

На каждом виртуальном сервере, соответствующем MSP-клиенту, следует назначить по одной или по несколько точек распространения. Так как связь между MSP-клиентами и Сервером администрирования осуществляется через интернет, целесообразно создать для точек распространения задачу Загрузка обновлений в хранилища точек распространения так, чтобы точки распространения загружали обновления не с Сервера администрирования, а непосредственно с серверов "Лаборатории Касперского".

Если в сети MSP-клиента часть устройств не имеет прямого доступа в интернет, то точки распространения следует переключить в режим шлюза соединений. В таком случае Агенты администрирования на устройствах в сети MSP-клиента будут подключаться (с целью синхронизации) к Серверу администрирования не напрямую, а через шлюз.

Поскольку Сервер администрирования, скорее всего, не сможет опрашивать сеть MSP-клиента, целесообразно возложить выполнение этой функции на одну из точек распространения.

Сервер администрирования не сможет посылать уведомления на порт 15000 UDP управляемым устройствам, размещенным за NAT в сети MSP-клиента. Для решения этой проблемы стоит включить в свойствах устройств, являющихся точками распространения и работающих в режиме шлюза соединения, режим постоянного соединения с Сервером администрирования (параметр Не разрывать соединение с Сервером администрирования). Режим постоянного соединения доступен, если общее количество точек распространения не превышает 300.

MSP-клиент может захотеть управлять Android- и iOS-устройствами сотрудников. Сервер администрирования управляет мобильными устройствами по протоколу TLS и TCP-порту 13292.

О точках распространения

Устройство с установленным Агентом администрирования может быть использовано в качестве точки распространения. В этом режиме Агент администрирования может выполнять следующие функции:

• Передачу файлов на клиентские устройства, включая:
  • Базы и модули приложений "Лаборатории Касперского".

    Обновления могут быть получены как с Сервера администрирования, так и с серверов обновлений "Лаборатории Касперского". В последнем случае для устройства, являющегося точкой распространения, должна быть создана задача Загрузка обновлений в хранилища точек распространения.

  • Обновления программ сторонних производителей
  • Инсталляционные пакеты
• Устанавливать программное обеспечение на другие устройства, в том числе выполнять первоначальное развертывание Агентов администрирования на устройствах.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Сервер администрирования.

Размещение точек распространения в сети организации преследует следующие цели:

• Уменьшить нагрузку на Сервер администрирования в случае, если источником обновлений служит Сервер администрирования.
• Оптимизировать интернет-трафик, так как в этом случае каждому устройству в сети MSP-клиента не придется обращаться за обновлениями к серверам "Лаборатории Касперского" или к Серверу администрирования.
• Предоставить Серверу администрирования доступ к устройствам за NAT (по отношению к Серверу администрирования) сети MSP-клиента позволяет Серверу администрирования выполнять следующие действия:
  • отправлять уведомления на устройства через UDP в IPv4-сети или IPv6-сети;
  • опрос IPv4-сети или IPv6-сети;
  • выполнять первоначальное развертывание;
  • использовать в качестве push-сервера.

Точка распространения назначается на группу администрирования. В этом случае областью действия точки распространения будут устройства, находящиеся в этой группе администрирования и всех ее подгруппах. При этом устройство, выполняющее роль точки распространения, не обязано принадлежать группе администрирования, на которую оно назначено.

Вы можете сделать точку распространения шлюзом соединений. В этом случае устройства, находящиеся в области действия точки распространения, будут подключаться к Серверу администрирования не напрямую, а через шлюз. Этот режим полезен в сценариях, когда между устройствами с Агентом администрирования и Сервером администрирования невозможно прямое соединение.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Иерархия Серверов администрирования

У MSP может быть более одного Сервера администрирования. Администрировать несколько разрозненных Серверов неудобно, поэтому целесообразно объединять их в иерархию.

В иерархии Сервер администрирования Kaspersky Security Center Linux может работать только как подчиненный Сервер под управлением главного Сервера администрирования Kaspersky Security Center на базе Windows или Kaspersky Security Center Cloud Console.

Взаимодействие "главный – подчиненный" между двумя Серверами администрирования предоставляет следующие возможности:

• Подчиненный Сервер наследует с главного Сервера политики и задачи, устраняется дублирование параметров.
• Выборки устройств на главном Сервере могут включать в себя устройства с подчиненных Серверов.
• Отчеты на главном Сервере могут включать в себя данные (в том числе и детальные) с подчиненных Серверов.

Главный Сервер администрирования получает данные только от не виртуальных подчиненных Серверов администрирования в рамках перечисленных выше параметров. Это ограничение не распространяется на виртуальные Серверы администрирования, которые совместно используют базу данных со своим главным Сервером администрирования.

Виртуальные Серверы администрирования

В рамках физического Сервера администрирования можно создать несколько виртуальных Серверов администрирования, во многом подобных подчиненным Серверам. По сравнению с моделью разделения доступа, основанной на списках контроля доступа (ACL), модель виртуальных Серверов более функциональна и предоставляет большую степень изоляции. В дополнение к структуре групп администрирования, предназначенной для назначения устройствам политик и задач, каждый виртуальный Сервер администрирования имеет собственную группу нераспределенных устройств, собственные наборы отчетов, выборки устройств и события, инсталляционные пакеты, правила перемещения и т. д. Для максимальной взаимной изоляции MSP-клиентов рекомендуется выбирать виртуальные Серверы администрирования, которые будут использоваться для определенных задач. Кроме того, создание виртуального Сервера для каждого MSP-клиента позволяет предоставить клиентам базовые возможности по администрированию своей сети посредством Kaspersky Security Center 14 Web Console.

Виртуальные Серверы во многом подобны подчиненным Серверам администрирования, однако имеют следующие отличия:

• виртуальный Сервер не имеет большинства глобальных параметров и собственных TCP-портов;
• у виртуального Сервера не может быть подчиненных Серверов;
• у виртуального Сервера не может быть собственных виртуальных Серверов;
• на физическом Сервере администрирования видны устройства, группы, события и объекты с управляемых устройств (элементы карантина, реестра программ и прочее) всех его виртуальных Серверов;
• виртуальный Сервер может сканировать сеть только посредством подключенных к нему точек распространения.