Intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware
L'intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware requiert les éléments suivants :
Serveur d'administration de l'infrastructure virtuelle (VMware vCenter Server, VMware Cloud Director). Le composant est destiné à l'administration et à la gestion centralisée de l'infrastructure virtuelle VMware. Il intervient dans le déploiement de Kaspersky Security. Le serveur d'intégration reçoit du serveur d'administration de l'infrastructure virtuelle les informations sur l'infrastructure virtuelle VMware nécessaires au fonctionnement de l'application.
VMware NSX Manager. Le composant permet la préparation des hyperviseurs VMware ESXi pour au déploiement de la protection, à l'enregistrement et au déploiement des services de Kaspersky Security/
Filtre virtuel. Le composant permet d'intercepter dans le trafic les paquets réseau entrants et sortants des machines virtuelles protégées. Dans une infrastructure administrée par VMware NSX-V Manager, le rôle du filtre virtuel est assuré par la technologie VMware DVFilter. Dans une infrastructure administrée par VMware NSX-T Manager, le rôle du filtre virtuel est assuré par les composants de la technologique VMware Network Service Insertion (SI) Service Chaining.
Composant Guest Introspection Thin Agent. Ce composant assure la collecte d'informations sur les machines virtuelles et la transmission des fichiers pour l'analyse à l'application Kaspersky Security. Pour que l'application Kaspersky Security puisse protéger les machines virtuelles, il faut installer et activer le composant Guest Introspection Thin Agent sur ces dernières. Sur les machines virtuelles tournant sous des systèmes d'exploitation Windows, le rôle du composant Guest Introspection Thin Agent est assuré par le pilote NSX File Introspection faisant partie du paquet VMware Tools. Pour en savoir plus, consultez la documentation des produits VMware.
Service Guest Introspection. Assurer l'interaction entre le composant Guest Introspection Thin Agent installé sur la machine virtuelle, et la SVM. Dans une infrastructure administrée par VMware NSX-T Manager, le rôle du service Guest Introspection est assuré par Guest Introspection ESXi Module. Dans une infrastructure administrée par VMware NSX-V Manager, le rôle du service Guest Introspection est assuré par la machine virtuelle du service Guest Introspection et Guest Introspection ESXi Module.
Le composant Protection contre les fichiers malicieux interagit avec l'infrastructure virtuelle VMware de la manière suivante :
L'utilisateur ou une application quelconque ouvre, enregistre ou exécute des fichiers sur une machine virtuelle protégée par Kaspersky Security.
Le composant Guest Introspection Thin Agent intercepte les informations sur ces événements et les envoie au service Guest Introspection.
Le service Guest Introspection transmet les informations sur les événements reçus au composant Protection contre les fichiers malicieux installé sur la SVM.
Si la protection contre les fichiers malicieux est activée dans la stratégie active de Kaspersky Security, le composant Protection contre les fichiers malicieux analyse les fichiers que l'utilisateur ou une application ouvre, enregistre ou lance sur la machine virtuelle protégée :
Si les fichiers ne contiennent pas de virus ou d'autres applications malveillantes, Kaspersky Security octroie l'accès à ces fichiers.
Si les fichiers contiennent des virus ou d'autres applications malveillantes, Kaspersky Security exécute l'action définie dans les paramètres du profil de protection attribué à cette machine virtuelle. Par exemple, Kaspersky Security peut désinfecter ou bloquer le fichier.
l'interaction du composant Protection contre les menaces réseau avec l'infrastructure virtuelle dépend du mode de traitement du trafic sous lequel fonctionne le composant. Si le mode standard de traitement du trafic est utilisé, le composant Protection contre les menaces réseau interagit avec l'infrastructure virtuelle VMware selon le schéma suivant :
Le filtre virtuel intercepte dans le trafic les paquets réseau entrants et sortants des machines virtuelles protégées et les envoie au composant Protection contre les menaces réseau installé sur la SVM.
Si dans la stratégie active de Kaspersky Security, la Protection contre les menaces réseau est activée, en fonction des paramètres de protection configurés, le composant Protection contre les menaces réseau peut vérifier sur les paquets réseau la présence d'une activité caractéristique des attaques réseau et d'une activité réseau suspecte qui peut être un signe d'intrusion dans l'infrastructure protégée, et peut également vérifier l'appartenance de toutes les adresses Internet dans les requêtes via le protocole HTTP aux catégories d'adresses Internet indiquées dans les paramètres d'analyse des adresses Internet.
S'il n'y a pas dans le paquet réseau d'attaque réseau détectée ou d'activité réseau suspecte, et que l'adresse Internet n'appartient à aucune des catégories d'adresses Internet à détecter, Kaspersky Security autorise le transfert du paquet réseau.
Si une menace réseau est détectée, Kaspersky Security effectue les opérations suivantes :
En cas de détection d'une activité caractéristique des attaques réseau, Kaspersky Security exécute l'action définie dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
Si une activité réseau suspecte est détectée, Kaspersky Security exécute l'action reprise dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
Si l'adresse Internet appartient à une ou plusieurs catégories d'adresses Internet à détecter, Kaspersky Security exécute l'action reprise dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou autorise l'accès à l'adresse Internet.
Si l'application Kaspersky Security est déployée dans une infrastructure administrée par VMware NSX-V Manager et que la protection réseau fonctionne en mode de surveillance, le composant Protection contre les menaces réseau interagit avec l'infrastructure virtuelle comme suit :
Le filtre virtuel envoie une copie du trafic des machines virtuelles au composant Protection contre les menaces réseau.
Si la protection contre les menaces réseau est activée dans la stratégie active de Kaspersky Security, le composant Protection contre les menaces réseau peut analyser les paquets réseau et les adresses Internet conformément aux paramètres de protection configurés comme en mode standard. Mais en cas de signes d'intrusions ou de tentatives d'accès à des adresses Internet malveillantes sont détectés, Kaspersky Security n'entreprend pas les actions de prévention des menaces mais transmet seulement les informations sur les menaces détectées au Serveur d'administration de Kaspersky Security Center.