Architettura di Administration Server
In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.
Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.
Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:
Selezione di un dispositivo per l'installazione di Administration Server
Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center, senza dipendere dai requisiti del software di terzi.
È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.
Posizione dell'Administration Server
I dispositivi gestiti da Administration Server possono essere posizionati come segue:
Su una rete locale (LAN)
Su internet
Nella zona perimetrale (DMZ)
Al contempo, Administration Server può trovarsi anche in diversi segmenti: industriale, aziendale e DMZ.
Se si utilizza Kaspersky Security Center per gestire la protezione di un segmento di rete isolato, si consiglia di distribuire Administration Server in un segmento della zona perimetrale (DMZ). In questo modo, è possibile organizzare una corretta segmentazione della rete e ridurre al minimo il flusso di traffico verso il segmento protetto, mantenendo al contempo le funzionalità di gestione completa e la distribuzione degli aggiornamenti.
Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente
Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.
Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.
Ad esempio, le limitazioni di sicurezza generalmente applicate a un controller di dominio possono ridurre significativamente le prestazioni di Administration Server e rendere impossibile l'utilizzo di alcune funzionalità di Administration Server. Se un intruso ottiene l'accesso privilegiato al controller di dominio, il database di AD DS (Active Directory Domain Services) può essere modificato, danneggiato o distrutto. Inoltre, tutti i sistemi e gli account gestiti da Active Directory possono essere compromessi.
Account per l'installazione e l'esecuzione di Administration Server
Si consiglia di eseguire l'installazione di Administration Server con un account amministratore locale per evitare di utilizzare account di dominio per accedere al database di Administration Server. Un set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato, dalla posizione del DBMS e dal metodo di creazione del database di Administration Server.
Durante l'installazione di Kaspersky Security Center vengono creati automaticamente i gruppi KLAdmins e KLOperators. A questi gruppi vengono concesse le autorizzazioni per la connessione ad Administration Server e per l'elaborazione dei relativi oggetti.
A seconda del tipo di account utilizzato per l'installazione di Kaspersky Security Center, i gruppi KLAdmins e KLOperators vengono creati come segue:
Per evitare di creare i gruppi KLAdmins e KLOperators nel dominio e, di conseguenza, fornire i privilegi per gestire Administration Server a un account esterno al dispositivo Administration Server, si consiglia di installare Kaspersky Security Center con un account locale.
Durante l'installazione di Administration Server, selezionare l'account che verrà utilizzato per avviare Administration Server come servizio. Per impostazione predefinita, l'applicazione crea un account locale denominato KL-AK-*, con il quale verrà eseguito il servizio Administration Server (il servizio klserver).
Se necessario, il servizio Administration Server può essere eseguito con l'account selezionato. A questo account devono essere concessi i diritti richiesti per accedere al DBMS. Per motivi di sicurezza, utilizzare un account senza privilegi per eseguire il servizio Administration Server.
Per evitare l'uso di impostazioni dell'account errate, si consiglia di generare l'account automaticamente.
Esclusione di Administration Server da un dominio
Se si utilizza Administration Server per proteggere gruppi di dispositivi di importanza critica, si sconsiglia di includere il dispositivo Administration Server nel dominio (se utilizzato). In questo modo, è possibile differenziare i diritti di gestione di Kaspersky Security Center e impedire l'accesso ad Administration Server nel caso in cui l'account di dominio venga compromesso.
Tenere presente che se si installa Administration Server in un dispositivo incluso nel gruppo di lavoro, i seguenti scenari di utilizzo di Administration Server non saranno disponibili:
È possibile utilizzare SQL Server in un dispositivo separato solo se Administration Server e SQL Server sono inclusi nel dominio.
Se è necessario installare Administration Server in un dispositivo incluso nel gruppo di lavoro, è possibile utilizzare Kaspersky Security Center Linux anziché Kaspersky Security Center Windows per evitare di installare Administration Server.
Inizio pagina