Интеграция компонентов Kaspersky Security с виртуальной инфраструктурой VMware

Для интеграции компонентов Kaspersky Security с виртуальной инфраструктурой VMware требуется следующее:

• Сервер управления виртуальной инфраструктурой (VMware vCenter Server, VMware Cloud Director). Компонент предназначен для администрирования и централизованного управления виртуальной инфраструктурой VMware. Компонент участвует в развертывании Kaspersky Security. Сервер интеграции получает от сервера управления виртуальной инфраструктурой информацию о виртуальной инфраструктуре VMware, необходимую для работы программы.
• VMware NSX Manager. Компонент обеспечивает подготовку гипервизоров VMware ESXi к развертыванию защиты, регистрацию и развертывание служб Kaspersky Security.
• Виртуальный фильтр. Компонент позволяет перехватывать входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин. В инфраструктуре под управлением VMware NSX-V Manager роль виртуального фильтра выполняет технология VMware DVFilter. В инфраструктуре под управлением VMware NSX-T Manager роль виртуального фильтра выполняют компоненты технологии VMware Network Service Insertion (SI) Service Chaining.
• Компонент Guest Introspection Thin Agent. Компонент обеспечивает сбор информации на виртуальных машинах и передачу файлов на проверку программе Kaspersky Security. Чтобы программа Kaspersky Security имела возможность защищать виртуальные машины, на этих виртуальных машинах требуется установить компонент Guest Introspection Thin Agent. На виртуальных машинах с операционными системами Windows роль компонента Guest Introspection Thin Agent выполняет NSX File Introspection Driver, который входит в пакет VMware Tools. См. подробнее в документации к продуктам VMware.

• Служба Guest Introspection. Обеспечивает взаимодействие между компонентом Guest Introspection Thin Agent, установленным на виртуальной машине, и SVM. В инфраструктуре под управлением VMware NSX-T Manager роль службы Guest Introspection выполняет Guest Introspection ESXi Module. В инфраструктуре под управлением VMware NSX-V Manager роль службы Guest Introspection выполняют служебная виртуальная машина Guest Introspection и Guest Introspection ESXi Module.

Компонент Защита от файловых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Пользователь или какая-либо программа открывает, сохраняет или запускает файлы на виртуальной машине, которая находится под защитой Kaspersky Security.
2. Компонент Guest Introspection Thin Agent перехватывает информацию об этих событиях и отправляет службе Guest Introspection.
3. Служба Guest Introspection передает информацию о полученных событиях компоненту Защита от файловых угроз, установленному на SVM.
4. Если в активной политике Kaspersky Security включена защита от файловых угроз, компонент Защита от файловых угроз проверяет файлы, которые пользователь или какая-либо программа открывает, сохраняет или запускает на защищенной виртуальной машине:
   • Если в файлах не обнаружены вирусы или другие вредоносные программы, Kaspersky Security разрешает доступ к этим файлам.
   • Если в файлах обнаружены вирусы или другие вредоносные программы, Kaspersky Security выполняет то действие, которое указано в параметрах профиля защиты, назначенного этой виртуальной машине. Например, Kaspersky Security лечит или блокирует файл.

Взаимодействие компонента Защита от сетевых угроз с виртуальной инфраструктурой зависит от режима обработки трафика, в котором работает компонент. Если используется стандартный режим обработки трафика, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Виртуальный фильтр перехватывает входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин и перенаправляет их компоненту Защита от сетевых угроз, установленному на SVM.
2. Если в активной политике Kaspersky Security включена защита от сетевых угроз, в соответствии с настроенными параметрами защиты компонент Защита от сетевых угроз может проверять сетевые пакеты на наличие активности, характерной для сетевых атак, и подозрительной сетевой активности, которая может быть признаком вторжения в защищаемую инфраструктуру, а также может проверять все веб-адреса в запросах по протоколу HTTP на принадлежность к категориям веб-адресов, указанных в параметрах проверки веб-адресов.

   Если в сетевом пакете не обнаружена сетевая атака или подозрительная сетевая активность и веб-адрес не принадлежит ни к одной из категорий веб-адресов, выбранных для обнаружения, Kaspersky Security разрешает произвести передачу сетевого пакета.

   Если сетевая угроза обнаружена, Kaspersky Security выполняет следующие действия:

   • Если обнаружена активность, характерная для сетевых атак, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если обнаружена подозрительная сетевая активность, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если веб-адрес принадлежит к одной или нескольким категориям веб-адресов, выбранным для обнаружения, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или разрешает доступ к веб-адресу.

Если программа Kaspersky Security развернута в инфраструктуре под управлением VMware NSX-V Manager и сетевая защита работает в режиме мониторинга, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой по следующей схеме:

1. Виртуальный фильтр передает компоненту Защита от сетевых угроз копию трафика виртуальных машин.
2. Если в активной политике Kaspersky Security включена защита от сетевых угроз, в соответствии с настроенными параметрами защиты компонент Защита от сетевых угроз может проверять сетевые пакеты и веб-адреса, как при работе в стандартном режиме. Но в случае обнаружения признаков вторжений или попыток доступа к опасным или нежелательным веб-адресам Kaspersky Security не предпринимает действий по предотвращению угроз, а только передает информацию об обнаружении угроз на Сервер администрирования Kaspersky Security Center.

В начало