Содержание
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах программы при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Обработка запросов на подключение SCN к PCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах программы при отключении SCN от PCN
- Вывод сервера SCN из эксплуатации
Распределенное решение и мультитенантность
Вы можете настраивать параметры каждого компонента Central Node отдельно или управлять несколькими компонентами централизованно в режиме распределенного решения.
Распределенное решение представляет собой двухуровневую иерархию серверов с установленными компонентами Central Node. В этой структуре выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN). Для взаимодействия серверов требуется подключить SCN к PCN.
Если вы развернули компонент Central Node в виде кластера, весь кластер выполняет роль PCN или SCN.
PCN и SCN осуществляют проверку файлов и объектов с помощью тех же технологий, что и компонент Central Node, управляемый отдельно.
В распределенном решении вы можете централизованно управлять следующими функциональными областями программы:
- Пользователи.
- Обнаружения.
- Поиск угроз.
- Задачи.
- Политики.
- Пользовательские правила.
- Хранилище.
- Endpoint Agents, в том числе сетевая изоляция хостов.
- Отчеты.
Если вы поддерживаете несколько организаций или филиалов одной организации, вы можете использовать программу в режиме мультитенантности.
Мультитенантность - это режим работы, при котором решение используется для защиты инфраструктуры нескольких организаций или филиалов одной организации (далее также "
") одновременно. Вы можете установить Kaspersky Anti Targeted Attack Platform на один или несколько серверов Central Node для каждого тенанта. Каждый тенант может работать с программой независимо от других тенантов. Поставщик услуг может работать с данными нескольких тенантов.Количество одновременных сеансов работы с программой под одной учетной записью ограничено одним IP-адресом. При попытке входа в программу под этим же именем пользователя с другого IP-адреса первый сеанс работы с программой завершается.
Если вы используете режим распределенного решения и мультитенантности, ограничение действует для каждого сервера PCN и SCN независимо друг от друга.
Принцип работы программы в режиме распределенного решения
Вы можете использовать режим распределенного решения и мультитенантности в следующих случаях:
- для защиты более 10 000 хостов тенанта;
- для централизованного управления программой в разных подразделениях тенантов;
- для централизованного управления программой на серверах нескольких тенантов.
При переключении программы в режим распределенного решения и мультитенантности на серверах с ролью SCN все ранее добавленные лицензионные ключи удаляются. Каждый подключенный SCN получает ключ от PCN. Если для PCN используется полная функциональность программы (ключ KATA и KEDR), а для SCN неполная (только ключ KATA или только ключ KEDR), в связи с увеличением объема данных возможно превышение допустимого уровня нагрузки на сервер SCN. Если для PCN используется неполная функциональность программы (только ключ KATA или только ключ KEDR), а для SCN полная (ключ KATA и KEDR), часть функционала программы будет недоступна.
Управление лицензионными ключами будет доступно только на PCN.
Вы можете развернуть программу в режиме распределенного решения и мультитенантности по следующим сценариям:
- Установить компонент Central Node на новых серверах и назначить этим серверам роли PCN и SCN.
- Назначить роли PCN и SCN серверам с ранее установленным компонентом Central Node.
В этом случае вам требуется обновить компонент Central Node до версии 5.0.
Перед переключением серверов с установленными компонентами Central Node в режим распределенного решения рекомендуется ознакомиться с изменениями, которые произойдут в системе после смены режима работы. Назначение серверу роли PCN является необратимым.
Сценарий перехода в режим распределенного решения и мультитенантности
Переход программы в режим распределенного решения и мультитенантности содержит следующие этапы:
- Установка компонентов Central Node
- Назначение одному из серверов роли PCN
- Назначение остальным серверам роли SCN и отправка запросов на подключение к PCN
- Обработка запроса на подключение SCN к PCN
Изменения в параметрах программы при переходе в режим распределенного решения и мультитенантности
Изменения в параметрах программы при переключении в режим распределенного решения и мультитенантности приведены в таблице ниже.
Изменения в параметрах программы при переключении в режим распределенного решения и мультитенантности
Функциональная область |
PCN |
SCN |
|---|---|---|
Пользователи |
Пользователи и назначенные им роли сохраняются. Дополнительно пользователям PCN выдаются права на работу с PCN и всеми подключенными SCN. |
Удаляются все пользователи, кроме пользователя, созданного в момент развертывания Central Node. После этого SCN запрашивает у PCN список пользователей и на основе этого списка создает локальных пользователей с такими же параметрами:
|
Обнаружения |
В базу PCN добавляется информация об обнаружениях со всех подключенных SCN. |
В информации об уже имеющихся обнаружениях перестает отображаться имя пользователя. Данные о пользователях удаляются из истории операций с обнаружением. |
Мониторинг |
На закладке Обнаружения появляется возможность выбрать SCN, информация о которых должна быть отражена на виджете. На закладке Работоспособность системы появляется статус соединения PCN с подключенными SCN. |
На закладке Работоспособность системы появляется статус соединения с PCN. |
Задачи |
Задачи, созданные на сервере Central Node до назначения ему роли PCN, а также задачи, создаваемые на PCN после перехода в режим распределенного решения, распространяются на все подключенные SCN. В списке задач также отображаются задачи, созданные на SCN. Изменение параметров этих задач на PCN недоступно. |
Отображаются задачи, созданные на PCN, а также задачи, созданные на этом SCN. Изменение параметров задач, созданных на PCN, недоступно. |
Отчеты |
Шаблоны и отчеты, созданные до переключения в режим распределенного решения, сохраняются. В таблице отчетов появляется столбец Серверы с информацией о SCN, к которому относится обнаружение. После переключения в режим распределенного решения отображаются только отчеты, созданные на PCN. |
Шаблоны и отчеты, созданные до переключения в режим распределенного решения, сохраняются. Информация о пользователе, создавшем отчет, сохраняется, если на PCN есть пользователь с таким же идентификатором (guid). В остальных случаях информация о пользователе удаляется. После переключения в режим распределенного решения отображаются только отчеты, созданные на SCN. |
Политики |
Политики, созданные на сервере Central Node до назначения ему роли PCN, а также политики, создаваемые на PCN после перехода в режим распределенного решения, распространяются на все подключенные SCN. В списке политик также отображаются политики, созданные на SCN. Изменение параметров этих политик на PCN недоступно. |
Отображаются политики, созданные на PCN, а также политики, созданные на этом SCN. Изменение параметров политик, созданных на PCN, недоступно. |
Хранилище |
Все файлы и метаданные, которые хранились на PCN до перехода в режим распределенного решения, сохраняются. В столбце Central Node для них отображается имя PCN. На PCN также сохраняется содержимое Хранилища всех подключенных SCN. |
Все файлы и метаданные, которые хранились на SCN до перехода в режим распределенного решения, сохраняются. |
Исключения TAA |
Изменений нет. |
Изменений нет. |
Статус VIP |
Изменений нет. |
Изменений нет. |
Правила уведомлений |
Изменений нет. |
Изменений нет. |
Интеграция с почтовыми сенсорами |
Изменений нет. |
Изменений нет. |
Поиск угроз |
При поиске угроз по базе событий PCN отправляет запрос на все подключенные SCN. В результате обработки поискового запроса отображается список событий PCN и SCN выбранного тенанта. |
Изменений нет. |
Пользовательские правила ‑ TAA |
IOC-файлы, добавленные на сервере Central Node до назначения ему роли PCN, распространяются на PCN. Правила TAA (IOA), добавленные на сервере Central Node до назначения ему роли PCN, распространяются на PCN. |
Отображаются IOC-файлы и правила TAA (IOA), добавляемые на PCN, а также IOC-файлы и правила TAA (IOA), добавляемые на этом SCN до и после перехода в режим распределенного решения. |
Резервное копирование программы |
Резервное копирование программы доступно только на PCN, к которому не подключены SCN. Чтобы сделать резервное копирование программы на PCN, необходимо отключить все SCN от этого PCN. |
Резервное копирование программы на SCN недоступно. Чтобы сделать резервное копирование программы на SCN, необходимо отключить этот сервер от PCN, переведя его в режим отдельного сервера. |
Назначение серверу роли PCN
Назначение серверу роли PCN необратимо. После изменения роли сервера на PCN вы не сможете изменить роль этого сервера на SCN или отдельный сервер. Если вы захотите изменить роль этого сервера снова, вам потребуется переустановить программу.
Чтобы назначить серверу роль PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс того сервера, которому вы хотите назначить роль PCN.
- Выберите раздел Режим работы.
- Нажмите на кнопку Распределенное решение.
- В раскрывающемся списке Роль сервера выберите Primary Central Node.
- В поле Название тенанта введите название тенанта, к которому относится этот сервер Central Node.
- Нажмите на кнопку Назначить роль PCN.
Откроется окно подтверждения действия.
После подтверждения действия вам потребуется снова войти в веб-интерфейс программы.
- Нажмите на кнопку Да.
Серверу будет назначена роль PCN и присвоено название тенанта.
После того, как вы снова войдете в веб-интерфейс программы под учетной записью администратора, в окне веб-интерфейса программы в разделе Режим работы отобразится следующая информация:
- Текущий режим – Распределенное решение.
- Роль сервера – Primary Central Node.
- Отпечаток сертификата – отпечаток сертификата сервера, необходимый для проверки подлинности при установке соединения с SCN.
- Тенанты – информация о тенантах, к которым относится этот сервер, и все подключенные серверы SCN:
- IP – Primary Central Node для этого сервера и IP-адреса серверов SCN (после их подключения).
- Сервер – имя этого сервера и имена серверов SCN (после их подключения).
Это имя не связано с именем хоста, на котором установлена программа. Вы можете его изменить.
- Отпечаток сертификата – пустое значение для этого сервера и отпечатки сертификатов серверов SCN (после их подключения).
- Состояние – состояние подключения серверов SCN (после их подключения), а также количество серверов, подключенных к тенантам.
- Таблица Серверы, ожидающие авторизации с информацией о подключенных SCN.
Назначение серверу роли SCN
Чтобы назначить серверу роль SCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс того сервера, которому вы хотите назначить роль SCN.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- Нажмите на кнопку Распределенное решение.
- В раскрывающемся списке Роль сервера выберите Secondary Central Node.
- В поле IP-адрес сервера PCN укажите IP-адрес сервера с ролью PCN, к которому вы хотите подключить SCN.
- Нажмите на кнопку Получить отпечаток сертификата.
В рабочей области отобразится отпечаток сертификата сервера с ролью PCN.
- Свяжитесь с администратором PCN и сравните полученный отпечаток сертификата с отпечатком, указанным на PCN в разделе Режим работы в поле Отпечаток сертификата.
- Если отпечатки сертификата на SCN и PCN совпадают, нажмите на кнопку Отправить запрос на подключение.
Откроется окно подтверждения действия.
- Нажмите на кнопку Да.
Серверу будет назначена роль SCN после того, как администратор PCN примет запрос на подключение. Сервер SCN будет относиться к тому тенанту, который укажет администратор PCN.
Обработка запросов на подключение SCN к PCN
Чтобы обработать запрос на подключение SCN к PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс того сервера PCN, на котором вы хотите обработать запросы на подключение от других серверов.
- В окне веб-интерфейса программы выберите раздел Режим работы.
В рабочей области отобразится таблица Серверы, ожидающие авторизации.
- Свяжитесь с администратором SCN, отправившим запрос на подключение, и проверьте отпечаток сертификата в таблице Серверы, ожидающие авторизации. Он должен совпадать с отпечатком, отображаемым на SCN в разделе Режим работы в поле Отпечаток сертификата из запроса.
- Если отпечатки сертификата на PCN и SCN совпадают, выполните одно из следующих действий:
- Если вы хотите отклонить запрос на подключение от SCN, нажмите на кнопку Отклонить.
- Если вы хотите принять запрос на подключение от SCN, выполните следующие действия:
- Нажмите на кнопу Принять.
Откроется окно Принять запрос на подключение.
- В списке Тенант выберите тенант, которому вы хотите назначить этот сервер SCN. Список формируется из тенантов, добавленных ранее.
- Нажмите на кнопку Принять.
- Нажмите на кнопу Принять.
Не рекомендуется принимать запросы на подключение при несовпадении отпечатков сертификата. Убедитесь в правильности введенных данных.
Если вы отклонили запрос на подключение, SCN продолжит работу в режиме отдельного сервера Central Node.
Просмотр информации о тенантах, серверах PCN и SCN
В веб-интерфейсе сервера PCN вы можете просмотреть информацию об этом сервере, а также о всех серверах SCN, которые к нему подключены.
Чтобы просмотреть информацию о серверах PCN и SCN в режиме мультитенантности:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс сервера PCN.
- В окне веб-интерфейса программы выберите раздел Режим работы.
В рабочей области отобразится следующая информация о серверах:
- Текущий режим – Распределенное решение.
- Роль сервера – Primary Central Node.
- Отпечаток сертификата – отпечаток сертификата сервера PCN.
- Тенанты – информация о тенантах, к которым относятся этот сервер, а также все серверы SCN, подключенные к PCN.
- IP – Primary Central Node для сервера PCN и IP-адреса серверов SCN, подключенных к PCN.
- Сервер – имя этого сервера и имена серверов SCN, подключенных к PCN.
Это имя не связано с именем хоста, на котором установлена программа. Вы можете его изменить.
- Отпечаток сертификата – пустое значение для сервера PCN и отпечатки сертификатов серверов SCN, которые ожидают подключения к PCN.
- Состояние – состояние подключения серверов SCN, а также количество серверов, подключенных к тенанту.
- Таблица Серверы, ожидающие авторизации со следующей информацией:
- IP – IP-адрес или доменное имя сервера SCN.
- Сервер – имя сервера SCN, которое отображается в веб-интерфейсе программы.
Это имя не связано с именем хоста, на котором установлена программа. Вы можете его изменить.
- Отпечаток сертификата – отпечаток сертификата сервера SCN, передаваемый на PCN вместе с запросом на подключение.
- Состояние – статус подключения SCN к PCN.
Добавление тенанта на сервере PCN
Чтобы добавить тенант в веб-интерфейсе сервера PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс того сервера PCN, для которого вы хотите добавить тенант.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- В правой части рабочей области Тенанты нажмите на кнопку Добавить.
- В поле Имя введите название тенанта, который вы хотите добавить.
- Нажмите на кнопку Добавить.
Тенант будет добавлен и отобразится в списке.
Удаление тенанта на сервере PCN
Чтобы удалить тенант в веб-интерфейсе сервера PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс сервера PCN, для которого вы хотите удалить тенант.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- В рабочей области Тенанты выберите тенант, который вы хотите удалить.
- Нажмите на кнопку Удалить.
Откроется окно подтверждения действия.
Действие необратимо. Все глобальные объекты, а также отчеты и шаблоны отчетов, связанные с этим тенантом, будут потеряны.
- Нажмите на кнопку Да.
Тенант будет удален.
Изменение названия тенанта на сервере PCN
Чтобы изменить название тенанта в веб-интерфейсе сервера PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Вам нужно войти в веб-интерфейс сервера PCN, для которого вы хотите изменить название тенанта.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- В списке Тенанты нажмите на значок
справа от названия тенанта, которое вы хотите изменить.Откроется окно изменения названия тенанта.
- В поле Имя измените название тенанта.
- Нажмите на кнопку Сохранить.
Название тенанта будет изменено.
Отключение SCN от PCN
Отключение SCN от PCN может быть односторонним.
Если вы отключите SCN через веб-интерфейс SCN, то изменения в параметрах будут применены только на SCN. На PCN по-прежнему будет отображаться информация об этом сервере.
Если вы отключите SCN через веб-интерфейс PCN, то информация об этом сервере будет удалена на PCN. Однако сервер с ролью SCN будет пытаться подключиться к PCN для синхронизации параметров.
Для двустороннего отключения необходимо выполнить обе инструкции, приведенные ниже. В этом случае SCN продолжит работать как отдельный сервер Central Node, на PCN будет отображаться информация об отключенном SCN.
Администратор Kaspersky Anti Targeted Attack Platform несет ответственность за сохранность конфиденциальных данных на серверах PCN, SCN и Central Node. Если вы планируете передать сервер SCN от одного тенанта другому, необходимо удалить все данные, оставшиеся на сервере после использования Kaspersky Anti Targeted Attack Platform и переустановить Kaspersky Anti Targeted Attack Platform перед передачей сервера другому тенанту.
Чтобы отключить SCN от PCN через веб-интерфейс PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Войдите в веб-интерфейс того сервера PCN, от которого вы хотите отключить SCN.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- В списке серверов выберите SCN, который вы хотите отключить.
- Нажмите на кнопку Отключить.
Откроется окно подтверждения действия.
- Нажмите на кнопку Да.
SCN будет пытаться подключиться к PCN для синхронизации параметров.
Чтобы отключить SCN от PCN через веб-интерфейс SCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Войдите в веб-интерфейс того сервера SCN, который вы хотите отключить от PCN.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- Нажмите на кнопку Отключить.
Откроется окно подтверждения действия.
- Нажмите на кнопку Да.
SCN будет отключен от PCN и продолжит работать как отдельный сервер Central Node.
Изменения в параметрах программы при отключении SCN от PCN
Изменения в параметрах программы после отключения SCN от PCN представлены в таблице ниже.
Изменения параметров программы после отключения SCN от PCN
Функциональная область |
PCN |
SCN |
|---|---|---|
Пользователи |
Отключенный SCN не исключается из списка серверов, на которые распространяются права пользователей. Информация об изменении учетной записи пользователя, имеющего права на отключенный SCN, не передается на SCN. |
Учетные записи пользователей, полученные с PCN, не удаляются. Появляется возможность создания новых учетных записей пользователей, а также отключения и смены пароля существующих учетных записей. |
Обнаружения |
Информация об обнаружениях на отключенном SCN удаляется. |
История операций и вся информация об обнаружениях сохраняется. |
Задачи |
Задачи, созданные на отключенном SCN, удаляются. |
Задачи, созданные на PCN, удаляются. Информация о пользователях, создавших задачи на SCN, сохраняется. |
Отчеты |
Все созданные ранее отчеты об отключенном SCN, а также возможность фильтровать список отчетов по этому серверу, сохраняются. |
Шаблоны и отчеты не изменяются. |
Политики |
Политики, созданные на отключенном SCN, удаляются. |
Политики, созданные на PCN, удаляются. Информация о пользователях, создавших политики на SCN, сохраняется. |
Хранилище |
Из Хранилища удаляются все объекты, относящиеся к отключенному SCN. |
Все объекты в Хранилище сохраняются. В информации об объектах, полученных в рамках задач, созданных на PCN, перестает работать ссылка на задачу. |
Исключения TAA |
Изменений нет. |
Изменений нет. |
Статус VIP |
Изменений нет. |
Изменений нет. |
Правила уведомлений |
Изменений нет. |
Изменений нет. |
Интеграция с почтовыми сенсорами |
Изменений нет. |
Изменений нет. |
Поиск угроз |
В результате обработки поискового запроса события, связанные с отключенным SCN, не отображаются. |
Изменений нет. |
Пользовательские правила ‑ TAA и IOC |
IOC- и правила TAA (IOA) отключенного SCN удаляются. |
IOC- и правила TAA (IOA), созданные на PCN, удаляются. |
Резервное копирование программы |
Резервное копирование программы остается недоступным. |
Резервное копирование программы становится доступным. |
Вывод сервера SCN из эксплуатации
Если вы не планируете в дальнейшем использовать сервер SCN, вы можете вывести сервер SCN из эксплуатации программой, удалив его на PCN.
Администратор Kaspersky Anti Targeted Attack Platform несет ответственность за сохранность конфиденциальных данных на серверах PCN, SCN и Central Node. Если вы планируете передать сервер SCN от одного тенанта другому, необходимо удалить все данные, оставшиеся на сервере после использования Kaspersky Anti Targeted Attack Platform и переустановить Kaspersky Anti Targeted Attack Platform перед передачей сервера другому тенанту.
Вывод сервера SCN из эксплуатации программой состоит из следующих этапов:
- Удаление всех данных на SCN
- Отключение SCN от PCN через веб-интерфейс PCN
- Отключение SCN от PCN через веб-интерфейс SCN
- Удаление SCN через веб-интерфейс PCN
Чтобы удалить SCN через веб-интерфейс PCN:
- Войдите в веб-интерфейс программы под учетной записью администратора.
Войдите в веб-интерфейс того сервера PCN, на котором вы хотите удалить SCN.
- В окне веб-интерфейса программы выберите раздел Режим работы.
- В списке серверов выберите SCN, который вы хотите удалить.
- Нажмите на кнопку Удалить.
- В окне подтверждения нажмите на кнопку Да.
SCN будет удален. На PCN не будут отображаться сведения об удаленном SCN.