Kaspersky Security 组件与 VMware 虚拟基础架构的集成

Kaspersky Security 组件与 VMware 虚拟基础架构的集成的要求：

• 虚拟基础架构管理服务器 (VMware vCenter Server, VMware Cloud Director)。该组件执行管理和 VMware 虚拟基础架构的集中管理。该组件参与 Kaspersky Security 的部署。虚拟基础架构管理服务器把操作应用程序需要的 VMware 虚拟基础架构的信息发送到 Integration Server。
• VMware NSX Manager。该组件让 VMware ESXi Hypervisor 准备部署保护、注册和部署 Kaspersky Security 服务。
• 虚拟过滤器。该组件可让您拦截受保护虚拟机的流量中的流入和流出网络包。在 VMware NSX-V Manager 管理的基础架构中，VMware DVFilter 技术用作虚拟过滤器。在 VMware NSX-T Manager 管理的基础架构中，VMware Network Service Insertion (SI) Service Chaining 技术的组件用作虚拟过滤器。
• Guest Introspection 瘦代理。该组件会收集虚拟机上的数据并把文件传输到 Kaspersky Security 进行扫描。要启用 Kaspersky Security 来保护虚拟机，必须在这些虚拟机上安装 Guest Introspection 瘦代理组件。在运行 Windows 的虚拟机上，VMware Tools 软件包中包含的 NSX File Introspection 驱动程序作为 Guest Introspection 瘦代理组件。要了解更多详情，请参阅 VMware 产品随附的文档。

• Guest Introspection 服务。提供虚拟机上安装的 Guest Introspection 瘦代理组件与 SVM 之间的交互。在 VMware NSX-T Manager 管理的基础架构中，Guest Introspection ESXi 模块用作 Guest Introspection 服务。在 VMware NSX-V Manager 管理的基础架构中，Guest Introspection 服务虚拟机和 Guest Introspection ESXi 模块用作 Guest Introspection 服务。

文件威胁防护组件与 VMware 虚拟基础架构通过下面的方法进行交互：

1. 用户或应用程序在 Kaspersky Security 所保护的虚拟机上打开、保存或运行文件。
2. Guest Introspection 瘦代理组件会拦截这些事件的信息并将其发送到 Guest Introspection 服务。
3. Guest Introspection 服务会将接收到的事件信息传送到 SVM 上安装的文件威胁防护组件。
4. 如果活动的 Kaspersky Security 策略中启用了文件威胁防护，则文件威胁防护组件将扫描用户或应用程序在受保护的虚拟机上打开、保存或运行的文件：
   • 如果在文件中未检测到病毒或其他恶意软件，Kaspersky Security 会授予对这些文件的访问权限。
   • 如果文件包含病毒或其他恶意软件，Kaspersky Security 会执行分配到此虚拟机的保护配置文件的设置中指定的操作。例如，Kaspersky Security 会清除或阻止文件。

网络威胁防护组件与虚拟基础架构之间的交互取决于该组件的流量处理模式。如果使用标准流量处理模式，网络威胁防护组件将按以下方式和 VMware 虚拟基础架构进行交互：

1. 虚拟过滤器在受保护的虚拟机的流量中拦截进出网络包并将其重定向给 SVM 上安装的网络威胁防护组件。
2. 如果活动的 Kaspersky Security 策略中启用了网络威胁防护，则根据配置的保护设置，网络威胁防护组件可以扫描网络包以检测典型的网络攻击活动和可能是入侵受保护基础架构的迹象的可疑网络活动，并且还可以扫描 HTTP 请求中的所有网址，以检查它们是否属于“网址扫描”设置中指定的网址类别。

   如果 Kaspersky Security 不检测网络攻击、或可疑的网络活动、或属于被选择进行检测的网址类别的网址，它将允许传输网络包。

   如果检测到网络威胁，Kaspersky Security 将执行以下操作：

   • 如果检测到典型的网络攻击活动，Kaspersky Security 将执行策略设置中指定的操作。例如，Kaspersky Security 可以阻止或允许来自发起网络攻击的 IP 地址的网络包。
   • 如果检测到可疑的网络活动，Kaspersky Security 将执行策略设置中指定的操作。例如，Kaspersky Security 可以阻止或允许来自发起网络攻击的 IP 地址的网络包。
   • 如果网址属于一个或多个被选择用于检测的网址类别，Kaspersky Security 将执行策略设置中指定的操作。例如，Kaspersky Security 会阻止或允许访问该网址。

如果 Kaspersky Security 部署在 VMware NSX-V Manager 管理的基础架构中，并且网络保护在监控模式下运行，则网络威胁防护组件将与虚拟基础架构进行如下交互：

1. 虚拟过滤器会将虚拟机流量的副本传递到网络威胁防护组件。
2. 如果活动的 Kaspersky Security 策略中启用了网络威胁防护，则根据配置的保护设置，网络威胁防护组件可以像在标准模式下一样扫描网络包和网址。当 Kaspersky Security 检测到入侵迹象或访问危险或有害网址企图时，它不会采取任何操作以防止威胁，只会将有关检测到的威胁的信息发送到 Kaspersky Security Center 管理服务器。

页面顶部