Типовые схемы развертывания и установки компонентов приложения
Схема развертывания и установки компонентов приложения определяется планируемой нагрузкой на серверы приложения.
Компонент Endpoint Agent устанавливается на любых компьютерах, которые входят в IT-инфраструктуру организации и работают под управлением операционной системы Windows. На компьютерах с компонентом Endpoint Agent необходимо разрешить исходящее соединение с сервером с компонентом Central Node напрямую, без использования прокси-сервера.
Вы можете установить один или несколько компонентов Central Node. При установке нескольких компонентов Central Node вы можете использовать их независимо друг от друга или объединить для централизованного управления в режиме распределенного решения.
Выбор схемы развертывания зависит от используемой функциональности приложения. Все приведенные в данном руководстве схемы применимы также для развертывания приложения на виртуальной платформе.
Полная функциональность (KATA и KEDR)
При использовании функциональности KATA и KEDR вы можете проверять сетевой и почтовый трафик, а также данные на компьютерах локальной сети организации.
Если в организации используется более 5000 хостов с компонентом Endpoint Agent, не рекомендуется использовать компонент Central Node для обработки трафика.
Вы можете использовать компонент Sensor в качестве прокси-сервера для соединения хостов с компонентом Endpoint Agent и Central Node. Один компонент Sensor поддерживает подключение до 1000 хостов с компонентом Endpoint Agent.
Критерии выбора схемы развертывания при использовании функциональности KATA и KEDR представлены в таблице ниже. Алгоритм выбора следующий:
- В каждой строке таблицы выберите ячейку со значением критерия, соответствующим вашей IT-инфраструктуре.
Если в строке две ячейки с одинаковым значением, необходимо выбрать левую ячейку.
- Выберите самую правую колонку, в которой есть отмеченные ячейки.
Выбор схемы развертывания при использовании функциональности KATA и KEDR
Критерий
Сетевой и почтовый трафик не может быть принят на одном устройстве
Нет
Да
Да
Да
Количество хостов с компонентом Endpoint Agent
Нет
От 5000 до 10000
От 5000 до 10000
Более 10000
1 Гбит/с
От 1 до 2 Гбит/с
Более 2 Гбит/с
Более 2 Гбит/с
Количество удаленных инфраструктур, в которых требуется анализировать трафик
Нет
Одна
Две и более
Две и более
Мощности одного компонента Sandbox недостаточно для анализа всех объектов в приемлемые сроки
Нет
Нет
Да
Да
В режиме распределенного решения каждый из компонентов приложения должен отвечать аппаратным требованиям, указанным в калькуляторе масштабирования.
Обработка сетевого, почтового и веб-трафика (KATA)
Функциональность KATA рекомендуется использовать, если в организации нет необходимости обрабатывать данные на компьютерах локальной сети организации. В этом случае обрабатывается только сетевой и почтовый трафик.
Критерии выбора схемы развертывания при использовании функциональности KATA представлены в таблице ниже. Алгоритм выбора следующий:
- В каждой строке таблицы выберите ячейку со значением критерия, соответствующим вашей IT-инфраструктуре.
Если в строке две ячейки с одинаковым значением, необходимо выбрать левую ячейку.
- Выберите самую правую колонку, в которой есть отмеченные ячейки.
Выбор схемы развертывания при использовании функциональности KATA
Критерий
Сетевой и почтовый трафик не может быть принят на одном устройстве
Нет
Да
Да
1 Гбит/с
От 1 до 2 Гбит/с
Более 2 Гбит/с
Количество удаленных инфраструктур, в которых требуется анализировать трафик
Нет
Одна
Две и более
Мощности одного компонента Sandbox недостаточно для анализа всех объектов в приемлемые сроки
Нет
Нет
Да
Обработка данных с компьютеров локальной сети организации (KEDR)
Функциональность KEDR рекомендуется использовать, если в организации нет необходимости обрабатывать трафик. В этом случае обрабатываются только данные на компьютерах локальной сети организации.
В зависимости от наличия в организации стороннего решения Sandbox вы можете использовать одну из следующих схем развертывания:
Схема развертывания на два сервера
При использовании функциональности KATA и KEDR вы можете установить компонент Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA компонент Endpoint Agent не устанавливается.
При использовании этой схемы развертывания компоненты Central Node и Sensor устанавливаются на одном сервере или кластере. Этот сервер или кластер принимает трафик, выполняет первичный анализ трафика и более глубокий анализ извлеченных файлов. По результатам проверки компоненты выявляют признаки целевых атак на IT-инфраструктуру организации.
На другом сервере устанавливается компонент Sandbox.
Схема работы приложения при развертывании на два сервера представлена на рисунке ниже.
Схема работы приложения при развертывании на два сервера
Схема развертывания на три сервера
При использовании функциональности KATA и KEDR вы можете установить компонент Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA компонент Endpoint Agent не устанавливается.
При использовании этой схемы развертывания компоненты Sensor, Central Node и Sandbox устанавливаются на отдельных серверах. Компонент Central Node также может быть развернут в виде кластера. Сервер с компонентом Sensor принимает трафик, выполняет первичный анализ, извлекает файлы и пересылает их компоненту Central Node для более глубокого анализа.
При такой схеме развертывания компонент Central Node может принимать трафик и выполнять первичный анализ данных в основной инфраструктуре. В этом случае вы можете установить компонент Sensor на сервере удаленной инфраструктуры, трафик которой требуется анализировать. Если пропускная способность канала в основной инфраструктуре составляет более 2 Гбит/с, то сервер с компонентом Sensor рекомендуется устанавливать в основной инфраструктуре.
Трафик, передаваемый между компонентами Central Node и Sensor, составляет до 20% трафика, получаемого компонентом Sensor.
Схема работы приложения при развертывании на три сервера представлена на рис. ниже.
Схема работы приложения при развертывании на три сервера
Схема развертывания на четыре и более сервера
При использовании функциональности KATA и KEDR вы можете установить компонент Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA компонент Endpoint Agent не устанавливается.
При большом объеме трафика вы можете установить несколько компонентов Sensor или несколько компонентов Sandbox на разных серверах. Эта схема рекомендуется для развертывания в крупных организациях.
Вы также можете использовать один компонент Sandbox для подключения к нескольким компонентам Central Node.
Схема работы приложения при развертывании на четыре и более сервера представлена на рисунке ниже.
Схема работы приложения при развертывании на четыре и более сервера
Схема развертывания функциональности KEDR c компонентом Sandbox
При такой схеме развертывания вам требуется установить компонент Central Node отдельно от компонента Sensor.
Схема работы приложения при развертывании функциональности KEDR с компонентом Sandbox представлена на рисунке ниже.
Схема работы приложения при развертывании функциональности KEDR с компонентом Sandbox
Схема развертывания функциональности KEDR без компонента Sandbox
Вы можете не устанавливать компонент Sandbox и использовать компонент Central Node только для управления компонентом Endpoint Agent и анализа данных.
При такой схеме развертывания вам требуется установить компонент Central Node отдельно от компонента Sensor.
Схема работы приложения при развертывании функциональности KEDR без компонента Sandbox представлена на рис. ниже.
Схема работы приложения при развертывании функциональности KEDR без компонента Sandbox