情境:在雲端環境中佈署
該部分敘述了佈署卡巴斯基安全管理中心以使用 Amazon Web Services、Microsoft Azure、Google 雲端等雲端環境。
在佈署方案完成後,會啟動並以預設參數設定卡巴斯基安全管理中心管理伺服器和管理主控台。由卡巴斯基安全管理中心管理的反病毒防護會佈署到所選 Amazon EC2 實例或 Microsoft Azure 虛擬機。然後您可以調整卡巴斯基安全管理中心的設定,建立管理群組複雜結構和為群組建立不同的政策和工作。
若要佈署卡巴斯基安全管理中心以在雲端環境中工作,需進行以下部分:
- 準備工作
- 佈署管理伺服器
- 安裝 Kaspersky 防毒應用程式到需要被防護的虛擬裝置
- 配置更新下載設定
- 配置設定以管理裝置防護狀態報告
雲端環境設定精靈旨在執行初始化設定。首次從現成的映像佈署卡巴斯基安全管理中心時,它將自動啟動。您可以在任何時候手動啟動精靈。此外,您可以手動執行精靈執行的所有操作。
我們建議您至少分配一小時用於在雲端環境中佈署卡巴斯基安全管理中心管理伺服器,以及至少一個工作天來防護在雲端環境中的佈署。
在雲端環境中佈署卡巴斯基安全管理中心分步驟進行:
- 計畫雲端區段設定
學習卡巴斯基安全管理中心如何在雲端環境中工作。將佈署管理伺服器的計畫(在雲端環境內部或外部);同時決定您計畫防護多少雲端區段。如果您計畫佈署雲端環境以外的管理伺服器,或者如果您計畫防護超過 5000 台裝置,您將需要手動安裝管理伺服器。
若要使用 Google 雲端,您只能手動安裝管理伺服器。
- 排程資源
確保您具有佈署所需的一切。
- 訂購到卡巴斯基安全管理中心作為現成映像
在 AWS Marketplace 選取現成 AMI 之一,或在 Azure Marketplace 選取依使用情況按月計費的 SKU,如果必要根據 Marketplace 規則支付(或使用 BYOL 模型),並使用該映像佈署安裝了卡巴斯基安全管理中心的 Amazon EC2 執行個體 / Microsoft Azure 虛擬機器。
只有當您計畫佈署管理伺服器到雲端環境中的實例 / 虛擬機上,且計畫佈署防護的裝置數不超過 5000 部時,才需要此階段。否則該步驟不是必要的,而您必須手動安裝管理伺服器、管理主控台和 DBMS。
此步驟不可用於 Google 雲端。
- 決定 DBMS 的位置
如果您計畫在雲端環境之外使用資料庫,確保您擁有工作資料庫。
如果您打算使用Amazon Relational Database Service (RDS),請在 AWS 雲端環境中使用 RDS 建立資料庫。
如果計劃使用 Microsoft Azure SQL DBMS,請在 Microsoft Azure 雲端環境中使用 Azure 資料庫服務建立資料庫。
如果您打算使用 Google MySQL,請在 Google Cloud 中建立一個資料庫(請參閱 https://cloud.google.com/sql/docs/mysql 以取得詳細資訊)。
- 在所選裝置手動安裝管理伺服器和管理主控台(以 Microsoft 管理主控台和/或 Web 主控台為基礎)
安裝管理伺服器、管理主控台和 DBMS 到所選裝置,如卡巴斯基安全管理中心主要安裝情境所述。
只有在您計畫將管理伺服器放到雲端環境外,或您計畫佈署防護的裝置數超過 5000 台裝置時,才需要此階段。然後,確保您的管理伺服器符合硬體要求。否則不需要此階段,訂閱卡巴斯基安全管理中心作為 AWS Marketplace、Azure Marketplace 或 Google Cloud 中的可用映像便已足夠。
- 確保管理伺服器具有使用雲端 API 的權限
在 AWS 管理主控台建立一個 IAM 角色或者一個 IAM 使用者帳戶。建立的 IAM 角色(或 IAM 使用者帳戶)將允許卡巴斯基安全管理中心使用 AWS API:輪詢雲端區段並佈署防護。
在 Azure,建立一個訂購和一個帶有密碼的應用程式 ID。卡巴斯基安全管理中心使用這些憑證以使用 Azure API:輪詢雲端區段並佈署防護。
在 Google 雲端中,註冊專案、取得專案 ID 和私密金鑰。卡巴斯基安全管理中心使用這些憑證輪詢使用 Google API 的雲端區段。
- 為受防護實例(僅 AWS)建立 IAM 角色
在 AWS 管理主控台,建立 IAM 角色,定義執行到 AWS 的請求的權限集。新建立的角色將被後續分配到新實例。IAM 角色用於使用卡巴斯基安全管理中心安裝應用程式到實例。
- 使用 Amazon Relational Database Service 或 Microsoft Azure SQL 準備資料庫
如果您計畫使用 Amazon Relational Database Service (RDS),建立一個 Amazon RDS 資料庫實例和一個要備份資料庫的 S3 bucket。如果您想讓資料庫位於管理伺服器所在 EC2 實例,或者如果您想讓資料庫位於其他地方,您可以略過此步驟。
如果您排程使用 Microsoft Azure SQL,在 Microsoft Azure 中建立一個儲存帳戶和一個資料庫。
如果您打算使用 Google MySQL,請在 Google Cloud 中配置資料庫。(如需詳細資訊,請參閱https://cloud.google.com/sql/docs/mysql。)
- 授權卡巴斯基安全管理中心以在雲端環境中使用
要確保您已授權卡巴斯基安全管理中心使用雲端環境並提供啟動碼或金鑰檔案以便應用程式可以新增其到產品授權儲存。此階段可以在雲端環境設定精靈中完成。
如果您正使用從基於 BYOL 模型的免費現成 AMI 安裝的卡巴斯基安全管理中心,或者如果您正手動安裝卡巴斯基安全管理中心而不使用 AMI,則需要此階段。這些情況下,您將需要 Kaspersky Security for Virtualization 產品授權或者 Kaspersky Hybrid Cloud Security 產品授權以啟動卡巴斯基安全管理中心。
如果您正在使用的卡巴斯基安全管理中心是從可用的映像安裝,則不需要該階段,且不會顯示對應的雲端環境設定精靈視窗。
- 在雲端環境中授權
提供給卡巴斯基安全管理中心您的 AWS、Azure 或 Google Cloud 憑證,以便卡巴斯基安全管理中心可以使用必要權限操作。此階段可以在雲端環境設定精靈中完成。
- 輪詢雲端區段以便管理伺服器可以接收雲端區段中裝置的資訊
啟動雲端區段輪詢。在 AWS 環境中,卡巴斯基安全管理中心將接收可以基於 IAM 角色或 IAM 使用者權限存取的所有實例的位址和名稱。在 Microsoft Azure 環境中,卡巴斯基安全管理中心將接收可以基於閱讀者權限存取的所有虛擬機的位址和名稱。
然後您可以在偵測到的實例 / 虛擬機上,使用卡巴斯基安全管理中心安裝 Kaspersky 應用程式和其他供應商的軟體。
卡巴斯基安全管理中心定期啟動輪詢,這代表會自動偵測新實例 / 虛擬機。
- 組合所有網路裝置到雲端管理群組
移動所有發現的實例 / 虛擬機到受管理裝置\雲端管理群組,以便將其用於集中管理。如果您要將裝置分配到子群組,例如,根據在它們之上安裝的操作,您可以在受管理裝置\雲端群組中建立幾個管理群組。您可以啟用將一般輪詢中偵測到的所有裝置自動移動到受管理裝置\雲端群組。
- 使用網路代理連線網路裝置到管理伺服器
安裝網路代理到雲端環境中的裝置。網路代理是提供裝置與管理伺服器間通訊的卡巴斯基安全管理中心元件。網路代理設定預設被自動配置。
您可以在每個裝置本機安裝網路代理。您也可以使用卡巴斯基安全管理中心遠端安裝網路代理到裝置。或者,您可以略過此階段並與最新版本的安全應用程式一併安裝網路代理。
- 安裝安全應用程式的最新版本到網路裝置
選取您要安裝安全應用程式的裝置,接著安裝最新版本的安全應用程式到這些裝置。您可以在管理伺服器上使用卡巴斯基安全管理中心執行遠端安裝或執行本機安裝。
您可能需要手動為這些程式建立安裝套件。
Kaspersky Endpoint Security for Linux 用於執行 Linux 的實例和虛擬機。
Kaspersky Security for Windows Server 用於執行 Windows 的實例和虛擬機。
- 配置更新設定
當雲端環境設定精靈執行時,弱點掃描和所需更新工作被自動建立。您也可以手動建立工作。該工作自動尋找和下載所需應用程式更新以便後續使用卡巴斯基安全管理中心工具安裝到網路裝置。
建議在雲端環境設定精靈結束後完成以下步驟:
- 設定報告管理
您可在 管理伺服器節點工作區的監控頁籤檢視報告。您也可以根據電子郵件接收報告。依預設可使用監控頁籤中的報告。要設定透過郵件接收報告,指定接收報告的郵件位址,接著設定報告格式。
結果
該方案完成後,您可以確保初始化配置是成功的:
- 透過管理主控台或卡巴斯基安全管理中心 13.2 網頁主控台連線到管理伺服器。
- Kaspersky 安全應用程式的最新版本被安裝並執行在受管理裝置。
- 卡巴斯基安全管理中心已為所有受管理裝置建立了預設政策和工作。