Как установить Kaspersky Security для виртуальных сред 6.x Защита без агента в инфраструктуре под управлением VMware NSX-T Manager
Перед началом установки убедитесь, что:
- Образы SVM (виртуальной машины защиты) получены из доверенного источника. Инструкция в статье.
- Для каждого гипервизора настроены параметры Agent VM Settings: сеть и хранилище для служебных виртуальных машин и SVM. Подробнее о настройке параметров Agent VM Settings смотрите в документации VMware.
- При использовании коммутатора типа N-VD на каждом гипервизоре зарезервировано по одному физическому сетевому интерфейсу для настройки N-VDS.
Чтобы установить Kaspersky Security для виртуальных сред 6.x Защита без агента в инфраструктуре под управлением VMware NSX-T Manager, выполните шаги ниже в веб-консоли VMware NSX Manager.
1. Зарегистрируйте средство управления виртуальной инфраструктурой NSX
Зарегистрируйте VMware vCenter Server в качестве средства управления виртуальной инфраструктурой NSX:
- Перейдите в раздел System → Fabric → Compute Managers.
- Нажмите Add.
- Укажите учетную запись для подключения VMware NSX-T Manager к VMware vCenter Server и параметры подключения. Нажмите Add.
После завершения регистрации для добавленного VMware vCenter Server в таблице отобразятся статусы:
- Registration Status — Registered.
- Connection Status — Up.
2. Создайте профиль транспортного узла NSX
- Перейдите в раздел System → Fabric → Profiles.
- Перейдите на вкладку Transport Node Profiles и нажмите Add.
- Укажите параметры:
- Name — произвольное название нового профиля транспортного узла NSX.
- Type — тип коммутатора. Если вы хотите использовать коммутатор типа VDS, предвартельно создайте Distributed Virtual Switch в рамках вашего Datacenter.
- Mode — Standаrd.
- Name — в зависимости от типа коммутатора, который вы выбрали. Если вы выбрали N-VDS — произвольное название коммутатора, который будет создан в результате применения профиля транспортного узла NSX на гипервизорах VMware ESXi. Если вы выбрали VDS — имя VMware vCenter Server и название Distributed Virtual Switch.
- Transport Zone — транспортная зона NSX типа Overlay, к которой подключены защищаемые виртуальные машины.
- Uplink Profile — nsx-default-uplink-hostswitch-profile.
- IP Assignment (TEP) — способ назначения IP-адресов в вашей виртуальной инфраструктуре: по протоколу DHCP или с использованием статического пула IP-адресов. Если вы используете пулы IP-адресов, предварительно настройте и выберите пул IP-адресов для конечных точек туннеля на гипервизорах.
- Teaming Policy Uplink Mapping — если вы выбрали тип коммутатора N-VDS, укажите сетевой физический интерфейс, на базе которого будет создан коммутатор N-VDS в результате применения профиля транспортного узла NSX на гипервизорах VMware ESXi.
- Нажмите Add.
Профиль транспортного узла NSX будет создан.
3. Подготовьте гипервизоры VMware ESXi к развертыванию защиты
Установите компоненты VMware NSX:
- Перейдите в раздел System → Fabric → Nodes.
- Перейдите на вкладку Host Transport Nodes.
- В выпадающем списке Managed By выберите добавленный VMware vCenter Server.
- Выберите кластер с гипервизорами, на которых вы хотите развернуть SVM.
- Нажмите Configure NSX.
- Выберите профиль транспортного узла NSX, созданный на шаге 2.
- Нажмите Apply и дождитесь завершения подготовки гипервизоров.
Гипервизоры будут готовы к развертыванию защиты.
4. Проверьте наличие лицензии NSX Data Center
Для работы компонента Защита от сетевых угроз требуется наличие одной из действующих лицензий:
- NSX Data Center Advanced.
- NSX Data Center Enterprise Plus.
- NSX Data Center for Remote Office Branch Office.
- NSX for vSphere Advanced.
- NSX for vSphere Enterprise
По умолчанию при развертывании VMware NSX-T Manager добавляется стандартная лицензия NSX for vSphere. По этой лицензии недоступна функция Network Service Insertion (Third Party Integration), которая необходима, чтобы включить защиту от сетевых угроз на гипервизорах VMware ESXi.
Чтобы посмотреть информацию об используемых лицензиях, перейдите в раздел System → Licenses.
Если в списке нет ни одной из перечисленных выше лицензий, добавьте одну из них с помощью мастера добавления лицензий.
5. Создайте сегмент NSX для защиты виртуальных машин от сетевых угроз
- Перейдите в раздел Networking → Segments.
- Нажмите Add Segment.
- В столбце Segment Name укажите название нового сегмента NSX.
- В столбце Transport Zone выберите транспортную зону NSX, в которой вы создали профиль транспортного узла NSX на шаге 2.
- Нажмите Save.
Сегмент NSX будет создан. Подключите к нему сетевые интерфейсы виртуальных машин, которые вы хотите защищать от сетевых угроз. Подключение выполняется в свойствах виртуальных машин в консоли VMware vSphere Client.
6. Зарегистрируйте службы Kaspersky Security в VMware NSX-T Manager
- Опубликуйте все файлы образов SVM с компонентами Kaspersky Security для виртуальных сред 6.x Защита без агента на файловом сервере с сетевым доступом по HTTP или HTTPS. Вы можете воспользоваться встроенным в Windows веб-сервером IIS.
- Установите компоненты Kaspersky Security: плагин управления, Консоль Сервера интеграции и Сервер интеграции. Инструкция в справке.
- Настройте параметры подключения Сервера интеграции к серверу VMware vCenter Server. Инструкция в справке.
- Введите параметры для регистрации и развертывания служб Kaspersky Security для виртуальных сред 6.x Защита без агента, в мастере, который запускается из Консоли Сервера интеграции. Инструкция в справке.
Службы Kaspersky Security будут зарегистрированы в VMware NSX-T Manager.
7. Проверьте список зарегистрированных служб
Сервер интеграции будет зарегистрирован в VMware NSX Manager как Kaspersky Service Manager и зарегистрирует службы Kaspersky Security для виртуальных сред 6.x Защита без агента в VMware NSX Manager.
Чтобы посмотреть список зарегистрированных служб:
- Перейдите в раздел System → Service Deployments.
- Перейдите на вкладку Catalog.
- Проверьте, что в списке есть службы Kaspersky File Antimalware Protection и Kaspersky Network Protection. Если их нет в списке, повторите шаг 6.
8. Разверните SVM с компонентом Защита от файловых угроз
Чтобы развернуть SVM с компонентом Защита от файловых угроз гипервизорах VMware ESXi, разверните службу Kaspersky File Antimalware Protection на кластерах VMware:
- Перейдите в раздел System → Service Deployment.
- Перейдите на вкладку Deployment.
- В поле Partner Service выберите Kaspersky File Antimalware Protection.
- Нажмите Deploy Service.
- Укажите параметры развертывания:
- Service Deployment Name — произвольное название развертывания.
- Compute Manager — VMware vCenter Server, к которому подключен VMware NSX-T Manager.
- Cluster — кластер VMware, на котором вы хотите развернуть SVM с компонентом Защита от файловых угроз.
- Data Store — хранилище для развертывания SVM.
- Deployment Specification — конфигурация SVM с компонентом Защита от файловых угроз, которые будут развернуты на гипервизорах (Small, Medium или Large, подробнее о конфигурациях смотрите в справке).
- Deployment template — KSV_DeploymentTemplate.
- Нажмите Set в столбце Networks.
- Настройте сетевые параметры:
- В столбце Network сетевого интерфейса eth0 укажите сеть, которую будут использовать SVM, а в поле Network Type — способ назначения IP-адресов.
- Для использования статического IP-адреса укажите пул IP-адресов в столбце IP Pool.
Чтобы создать пул, нажмите Manage IP Pools и настройте пул, из которого будут назначаться IP-адреса SVM. - Установите флажок слева от названия сетевого интерфейса eth1.
- Нажмите Save.
- Нажмите Save, чтобы запустить процесс развертывания SVM.
- Дождитесь завершения развертывания службы Kaspersky File Antimalware Protection. Если служба Kaspersky File Antimalware Protection развернута успешно, в столбце Status отобразится значение Up.
- Перейдите на вкладку Service Instances.
- Убедитесь, что SVM успешно развернуты на каждом гипервизоре в составе кластера VMware, который вы выбрали.
SVM с компонентом Защита от файловых угроз будут развернуты.
Также вы можете проверить развернутые SVM в консоли VMware vSphere Client.
9. Разверните SVM с компонентом Защита от сетевых угроз
Чтобы развернуть SVM с компонентом Защита от сетевых угроз на гипервизорах VMware ESXi:
- Перейдите в раздел System → Service Deployments.
- Перейдите на вкладку Deployment.
- В выпадающем списке Partner Service выберите службу Kaspersky Network Protection.
- Нажмите Deploy Service.
- Укажите параметры развертывания:
- Service Deployment Name — произвольное название развертывания.
- Compute Manager — VMware vCenter Server, к которому подключен VMware NSX-T Manager.
- Deployment Type — способ развертывания SVM с компонентом Защита от сетевых угроз.
При выборе значения Host Based — SVM будут развернуты на каждом гипервизоре в составе выбранного вами кластера VMware. При добавлении в кластер нового гипервизора на нем также будет развернута SVM.
При выборе значения Clustered — в составе выбранного вами кластера VMware будет развернуто то количество SVM, которое вы укажете в поле Clustered Deployment Count. В поле Host вы можете указать гипервизор, на котором эти SVM будут развернуты. Если в поле Host указано значение Any, выбор гипервизоров, на которых будут развернуты SVM, выполняется автоматически. - Cluster — кластер VMware, на котором вы хотите развернуть SVM с компонентом Защита от файловых угроз.
- Data Store — хранилище для развертывания SVM.
- Deployment Specification — конфигурация SVM с компонентом Защита от сетевых угроз, которые будут развернуты на гипервизорах (подробнее о конфигурациях смотрите в справке).
- Deployment template — KSVNS_DeploymentTemplate.
- Нажмите Set в поле Networks.
- Настройте сетевые параметры:
- В столбце Network сетевого интерфейса eth0 укажите сеть, которую будут использовать SVM.
- В столбце Network Type сетевого интерфейса eth0 укажите способ назначения IP-адресов.
- Для использования статического IP-адреса укажите пул IP-адресов в столбце IP Pool. Чтобы создать пул, нажмите Manage IP Pools и настройте пул, из которого будут назначаться IP-адреса SVM.
- Установите флажок слева от названия сетевого интерфейса eth1.
- Нажмите Save.
- Нажмите справа от выпадающего списка Service Segments.
- Нажмите Add Segment. Укажите произвольное название сегмента службы NSX и транспортную зону NSX и нажмите Save.
- Нажмите Close.
- Выберите созданный сегмент службы NSX в поле Service Segments.
- Нажмите Save, чтобы запустить процесс развертывания SVM.
- Дождитесь завершения развертывания службы Kaspersky Network Protection. Если служба Kaspersky Network Protection развернута успешно, в столбце Status отобразится значение Up.
- Перейдите на вкладку Service Instances.
- Убедитесь, что SVM успешно развернуты на каждом гипервизоре в составе кластера VMware, который вы выбрали.
SVM с компонентом Защита от сетевых угроз будут развернуты.
Также вы можете проверить развернутые SVM в консоли VMware vSphere Client.
10. Настройте группы NSX
Включите в одну или несколько групп NSX виртуальные машины, которые вы хотите защищать с помощью Kaspersky Security для виртуальных сред 6.x Защита без агента. Для этого создайте группы NSX и настройте правила включения виртуальных машин в группу, используя:
- Динамическое включение виртуальных машин в группу NSX. В группу входят все удовлетворяющие указанным критериям виртуальные машины.
- Включение в группу NSX указанных виртуальных машин.
Вы можете сочетать эти способы при настройке правил включения виртуальных машин в группу NSX. Например, настроить динамическое включение виртуальных машин в группу по определенному критерию и явно указать виртуальные машины, которые должны быть включены в группу.
Чтобы настроить группу NSX:
- Перейдите в раздел Inventory → Groups.
- Нажмите Add Group.
- Введите название новой группы NSX. Например: Kaspersky Security Group или Protected by Kaspersky.
- Нажмите Set Members.
- Если вы хотите настроить динамическое включение виртуальных машин в группу:
- Перейдите на вкладку Membership Criteria.
- Нажмите Add Criteria.
-
Настройте критерии включения виртуальных машин в группу. Например, чтобы включить в группу все виртуальные машины под управлением Windows, используйте критерий Virtual Machine, OS Name, Contains, Windows.
- Если вы хотите указать виртуальные машины, которые должны входить в состав группы NSX:
- Перейдите на вкладку Members.
- В выпадающем списке Category выберите Virtual Machines.
-
Отметьте виртуальные машины, которые вы хотите включить в состав группы.
- Нажмите Apply → Save.
- Нажмите View Members и убедитесь, что виртуальные машины, которые вы хотите защищать, включены в группу NSX.
Группы NSX будут настроены.
11. Настройте политики NSX для защиты от файловых угроз
Чтобы защищать от файловых угроз виртуальные машины, включенные в группу NSX, создайте профиль службы NSX для службы Kaspersky File Antimalware Protection и настройте политику NSX для группы NSX:
- Перейдите в раздел Security → Endpoint Protection Rules.
- Перейдите на вкладку Service Profiles.
- В выпадающем списке Partner Service выберите службу Kaspersky File Antimalware Protection.
- Нажмите Add Service Profile и укажите параметры:
- Service Profile Name — произвольное название профиля службы NSX.
- Vendor Template — шаблон Default Configuration.
- Нажмите Save.
- Перейдите на вкладку Rules и нажмите Add Policy.
- Введите произвольное название политики в столбце Name, выберите политику и нажмите Add Rule.
- Введите произвольное название правила в столбце Name и нажмите в поле Select Groups.
- Выберите одну или несколько групп NSX, в которые включены защищаемые виртуальные машины. Нажмите Apply.
- Нажмите в поле Select Service Profiles.
- Выберите созданный ранее профиль службы Kaspersky File Antimalware Protection и нажмите Save.
- Нажмите Publish.
Политика NSX будет применена на группу NSX.
12. Настройте политики NSX для защиты от сетевых угроз
Чтобы защищать от сетевых угроз виртуальные машины, включенные в группу NSX, выполните шаги ниже.
Шаг 1. Создайте профиль службы NSX для службы Kaspersky Network Protection
- Перейдите в раздел Security → Network Introspection Settings.
- Перейдите на вкладку Service Profiles.
- Выберите в раскрывающемся списке Partner Service службу Kaspersky Network Protection.
- Нажмите Add Service Profile и укажите параметры:
- Service Profile Name — произвольное название профиля службы NSX.
- Vendor Template — шаблон Default Configuration.
- Нажмите Save.
Шаг 2. Создайте цепочку служб NSX
- Перейдите в раздел Security → Network Introspection Settings.
- Перейдите на вкладку Service Chains.
- Нажмите Add Chain и укажите следующие параметры:
- Name — произвольное название цепочки служб NSX.
- Service Segments — сегмент службы NSX, который вы указали при развертывании SVM с компонентом Защита от сетевых угроз.
- Reverse Path — убедитесь, что установлен флажок Inverse Forward Path.
- Failure Policy — Allow.
- Нажмите Set Forward Path.
- Нажмите Add profile in sequence и выберите созданный ранее профиль службы Kaspersky Network Protection.
- Нажмите Add → Save.
- Нажмите Save, чтобы сохранить цепочку служб NSX.
Шаг 3. Настройте политику для группы NSX
- Перейдите в раздел Security → Network Introspection (E-W), нажмите Add Policy и укажите параметры:
- Name — произвольное название политики.
- Redirect To — выберите ранее созданную цепочку служб NSX.
- Нажмите Publish.
- Проверьте входящий трафик виртуальных машин:
- Выберите созданную политику и нажмите Add Rule.
- Укажите произвольное название правила в поле Name и нажмите в поле Destinations
- Выберите одну или несколько групп NSX, в которые включены защищаемые виртуальные машины, и нажмите Apply.
- Нажмите на значок в поле Applied To.
- Выберите Groups в качестве типа объекта, к которому применяется правило, далее выберите одну или несколько групп NSX, в которые включены защищаемые виртуальные машины, и нажмите Apply.
- Нажмите Publish.
- Проверьте исходящий трафик виртуальных машин:
- Выберите созданную политику и нажмите Add Rule.
- Укажите произвольное название правила в поле Name и нажмите в поле Sources.
- Выберите одну или несколько групп NSX, в которые включены защищаемые виртуальные машины, и нажмите Apply.
- Нажмите на значок в поле Applied To.
- Выберите Groups в качестве типа объекта, к которому применяется правило, далее выберите одну или несколько групп NSX, в которые включены защищаемые виртуальные машины, и нажмите Apply.
- Нажмите Publish.
Политика NSX будет применена на группу NSX.