Работа в облачном окружении Amazon Web Services

В этом разделе описано, как подготовиться к работе с Kaspersky Security Center в Amazon Web Services.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

О работе в облачном окружении Amazon Web Services

Вы можете приобрести Kaspersky Security Center в магазине приложений AWS Marketplace в виде образа AMI (Amazon Machine Image) – готового образа предварительно настроенной виртуальной машины. Вы можете подписаться на платный готовый образ AMI или BYOL AMI и на основе этого образа создать инстанс Amazon EC2 с установленным Сервером администрирования Kaspersky Security Center.

Для работы с платформой AWS, и в частности для того, чтобы приобретать приложения в AWS Marketplace и создавать инстансы, вам потребуется учетная запись в Amazon Web Services. Вы можете создать бесплатную учетную запись на сайте https://aws.amazon.com/ru. Вы также можете использовать существующую учетную запись Amazon.

Если вы подписались на образ AMI, доступный в магазине приложений AWS Marketplace, то вы получаете инстанс с готовым к работе Kaspersky Security Center. Вам не нужно устанавливать программу самостоятельно. Сервер администрирования Kaspersky Security Center в этом случае устанавливается на инстанс без вашего участия. После установки вы можете запустить Консоль администрирования и подключиться к Серверу администрирования, чтобы начать работу с Kaspersky Security Center.

О том, что такое образы AMI и как работает магазин приложений AWS Marketplace, см. на странице справки AWS Marketplace. О работе с платформой AWS, об использовании инстансов и о связанных с ними понятиях см. в документации Amazon Web Services.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание IAM-роли и учетных записей IAM-пользователя для инстансов Amazon EC2

В этом разделе описано, какие действия необходимо выполнить, чтобы обеспечить корректную работу Сервера администрирования. Эти действия включают работу с сервисами AWS, с IAM-ролями (Identity and Access Management) и учетными записями пользователей. Также описано, какие действия должны быть выполнены с клиентскими устройствами, чтобы установить на них Агент администрирования и затем защитные программы Kaspersky Security для Windows Server и Kaspersky Endpoint Security для Linux.

Обеспечение прав для работы Сервера администрирования Kaspersky Security Center с AWS

Стандарты работы в облачном окружении Amazon Web Services рекомендуют, чтобы специальная IAM-роль была назначена экземпляру Сервера администрирования для работы со службами AWS. Создайте в консоли AWS IAM-роль, которая определяет набор разрешений для выполнения запросов к сервисам AWS. IAM-роль обеспечивает права на опрос облачных сегментов и на установку программ на инстансы.

После того как вы создадите IAM-роль и назначите ее на Сервер администрирования, вы сможете разворачивать защиту инстансов, пользуясь этой ролью и не предоставляя Kaspersky Security Center никакой дополнительной информации.

Однако в следующих случаях может быть целесообразно отказаться от создания IAM-роли для Сервера администрирования:

• Если устройства, защитой которых вы планируете управлять, являются инстансами EC2 внутри облачного окружения Amazon Web Services, а Сервер администрирования находится вне него.
• Если вы планируете управлять защитой инстансов не только внутри вашего облачного сегмента, но и внутри других облачных сегментов, созданных под другой учетной записью в AWS. В таком случае вам понадобится IAM-роль только для защиты вашего облачного сегмента. Для защиты другого облачного сегмента IAM-роль не понадобится.

В этих случаях вам потребуется создать не IAM-роль, а учетную запись IAM-пользователя, от имени которого Kaspersky Security Center будет работать с сервисами AWS. Прежде чем начинать работу с Сервером администрирования, создайте учетную запись IAM-пользователя с ключом доступа AWS IAM (далее также ключ доступа IAM).

Для создания IAM-роли либо IAM-пользователя требуется Консоль управления AWS. Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Создание IAM-роли для Сервера администрирования

Прежде чем разворачивать Сервер администрирования, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки программ на инстансы. Подробнее см. в справке AWS в разделах об IAM-ролях.

Чтобы создать IAM-роль для Сервера администрирования:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В разделе Роли создайте роль со следующими правами:
   • AmazonEC2ReadOnlyAccess, если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать программы на инстансы EC2 с помощью AWS API.
   • AmazonEC2ReadOnlyAccess и AmazonSSMFullAccess, если вы планируете и запускать опрос облачных сегментов, и устанавливать программы на инстансы EC2 с помощью AWS API. В этом случае вам понадобится также назначить на защищаемые инстансы EC2 IAM-роль с правами AmazonEC2RoleforSSM.

Вам потребуется назначить эту роль на инстанс EC2, который вы будете использовать в качестве Сервера администрирования.

Созданная роль доступна для всех программ на Сервере администрирования. Поэтому любая программа, работающая на Сервере администрирования, имеет возможность опрашивать облачные сегменты либо устанавливать программы на инстансы EC2 внутри облачного сегмента.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание учетной записи IAM-пользователя для работы Kaspersky Security Center

Учетная запись IAM-пользователя необходима для работы с Kaspersky Security Center, если Серверу администрирования не назначена IAM-роль с правами на обнаружение устройств и установку программ на инстансы. Эта же учетная запись или другая учетная запись также требуется для резервного копирования задачи данных Сервера администрирования, если вы используете корзину S3. Вы можете создать одну учетную запись IAM-пользователя с требуемыми правами или две разные учетные записи.

Для IAM-пользователя автоматически создается ключ доступа IAM, который вам потребуется предоставить Kaspersky Security Center на этапе первоначальной настройки. Ключ доступа IAM состоит из ID ключа доступа и секретного ключа. Подробнее о сервисе IAM см. на следующих справочных страницах AWS:

• http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html;
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.

Чтобы создать учетную запись IAM-пользователя с необходимыми правами:

1. Откройте Консоль управления AWS и войдите под своей учетной записью.
2. В списке служб AWS выберите IAM (как показано на рисунке ниже).

   

   Список служб в Консоли управления AWS

   Откроется окно, содержащее список имен пользователей и меню, с помощью которого вы сможете работать с инструментом.

3. Перейдите к областям консоли, использующим учетные записи пользователей, и добавьте новое имя пользователя или имена.
4. Для пользователей, которых вы добавили, укажите следующие параметры AWS:
   • Тип доступа: Programmatic Access.
   • Границы разрешений не установлены.
   • Разрешения:
     • ReadOnlyAccess - если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать программы на инстансы EC2 с помощью AWS API;
     • ReadOnlyAccess и AmazonSSMFullAccess – если вы планируете и запускать опрос облачных сегментов, и устанавливать программы на инстансы EC2 с помощью AWS API. В этом случае вам нужно назначить защищаемым инстансам EC2 IAM-роль с правами AmazonEC2RoleforSSM.

     После добавления разрешений внимательно их просмотрите. В случае ошибки выбора параметров перейдите к предыдущему экрану и выполните выбор параметров снова.

5. После того как вы создали учетную запись, отобразится таблица с ключом доступа IAM нового IAM-пользователя. ID ключа доступа отобразится в графе Access key ID. Секретный ключ отобразится в графе Secret access key в виде звездочек. Чтобы посмотреть секретный ключ, нажмите Show.

Созданная учетная запись отобразится в списке учетных записей IAM-пользователей, соответствующих вашей учетной записи в AWS.

При развертывании Kaspersky Security Center в облачном сегменте вам потребуется указать, что вы пользуетесь учетной записью IAM-пользователя, и предоставить Kaspersky Security Center идентификатор ключа доступа и секретный ключ доступа.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание IAM-роли для установки программ на инстансы Amazon EC2

Прежде чем разворачивать защиту на инстансах EC2 средствами Kaspersky Security Center, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки программ на инстансы. Дополнительную информацию см. в разделах справки AWS, описывающих IAM-роли.

IAM-роль необходима для того, чтобы назначать ее на все инстансы EC2, на которые вы планируете устанавливать программы безопасности с помощью Kaspersky Security Center. Если вы не назначите инстансу IAM-роль, обладающую необходимыми правами, установка программ средствами AWS API на этот инстанс завершится с ошибкой.

Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Чтобы создать IAM-роль для установки программ на инстансы:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В меню слева выберите пункт Roles.
3. Нажмите на кнопку Create Role.
4. В отобразившемся списке сервисов выберите EC2 и затем в списке Select Your Use case еще раз EC2.
5. Нажмите на кнопку Далее: Права.
6. В отобразившемся списке установите флажок напротив пункта AmazonEC2RoleforSSM.
7. Нажмите на кнопку Далее: Просмотр.
8. Введите имя и описание IAM-роли и нажмите на кнопку Create role.

   Созданная роль отобразится в списке ролей с именем и описанием, которые вы ввели.

В дальнейшем вы можете использовать созданную IAM-роль при создании новых инстансов EC2, которые вы будете защищать с помощью Kaspersky Security Center, а также ассоциировать ее с уже существующими инстансами.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Работа с Amazon RDS

В этом разделе описывается, какие действия необходимо выполнить, чтобы подготовить базу данных Amazon Relational Database Service (RDS) для Kaspersky Security Center, поместить ее в группу параметров, создать IAM-роль для работы с базой RDS, подготовить корзину S3 для хранения данных и перенести базу данных в существующую базу RDS.

Amazon Relational Database Service (Amazon RDS) это веб-сервис, который помогает пользователям AWS настраивать, управлять и масштабировать реляционную базу данных в облачном окружении AWS. Вы можете использовать базу данных Amazon RDS для работы с Kaspersky Security Center.

Вы можете работать со следующими базами данных:

• Microsoft SQL Server.
• SQL Express Edition.
• Aurora MySQL 5.7.
• Standard MySQL 5.7.

Создание инстанса Amazon RDS

Если вы хотите использовать Amazon RDS в качестве СУБД, вы можете создать инстанс базы данных Amazon RDS. В этом разделе описано, как выбрать SQL Express Edition; если вы хотите работать с Aurora MySQL или Standard MySQL (версии 5.7, 8.0), вам нужно выбрать одно из этих ядер.

Чтобы создать инстанс базы данных Amazon RDS:

1. Откройте Консоль управления AWS https://console.aws.amazon.com и войдите под своей учетной записью.
2. Используя интерфейс AWS, создайте базу данных со следующими параметрами:
   • Ядро: Microsoft SQL Server, SQL Express Edition.
   • Версия ядра базы данных: SQL Server 2014 12.00.5546.0v1.
   • Класс экземпляра базы данных: db.t2.medium.
   • Тип хранилища: General purpose.
   • Размер хранилища: минимум 50 ГиБ.
   • Группа безопасности: та же группа, в которую входит инстанс EC2 с установленным Сервером администрирования Kaspersky Security Center.

   Создайте идентификатор, имя пользователя и пароль для экземпляра RDS.

   Вы можете оставить значения всех параметров по умолчанию. Или измените значения параметров, заданных по умолчанию, если вы хотите настроить инстанс Amazon RDS. Подробную информацию смотрите на справочных страницах AWS.

3. На последнем шаге AWS отображает результат процесса. Если вы хотите просмотреть подробную информацию инстанса Amazon RDS, нажмите на View DB instance details. Если вы хотите перейти к следующему действию, создайте группы параметров для инстанса Amazon RDS.

Создание инстанса Amazon RDS занимает несколько минут. После того как инстанс создан, вы можете использовать его для работы с данными Kaspersky Security Center.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание группы параметров для инстанса Amazon RDS

Вам нужно поместить инстанс Amazon RDS в группу параметров.

Чтобы создать группу параметров для инстанса Amazon RDS:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В меню выберите пункт Службы.

   Отобразится список доступных служб (см. рис. ниже).

   

   Список служб в Консоли управления AWS

3. В списке выберите RDS.
4. В левой панели нажмите на Option groups.
5. Нажмите на кнопку Create group.
6. Создайте группу параметров со следующими параметрами (если вы выбрали SQL Server на шаге создания инстанса Amazon RDS):
   • Ядро: SQLserver-ex.
   • Основная версия ядра: 12.00.

   Если вы выбрали базу данных, отличную от SQL, на этапе создания инстанса Amazon RDS, выберите соответствующее ядро.

Группа создана и отображается в списке групп.

После создания группы параметров поместите инстанс Amazon RDS в эту группу параметров.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Изменение группы параметров

Заданная по умолчанию конфигурация группы параметров, в которую вы поместили инстанс Amazon RDS, не достаточна для работы с базой данных Kaspersky Security Center. Необходимо добавить параметры в группу параметров и создать IAM-роль для работы с базой данных.

Чтобы изменить группу параметров и создать IAM-роль:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В меню выберите пункт Службы.

   Отобразится список доступных служб (см. рис. ниже).

   

   Список служб в Консоли управления AWS

3. В списке выберите RDS.
4. В левой панели нажмите на Option groups.

   Отобразится список групп параметров.

5. Выберите группу параметров, в которую вы поместили инстанс Amazon RDS, и нажмите на кнопку Добавить параметр.

   Откроется окно Добавить параметр.

6. В разделе IAM-роль выберите параметр Create a new role / Yes и введите имя новой IAM-роли.

   Роль создана с набором прав по умолчанию. Позже вы можете изменить эти права.

7. В разделе корзины S3 выполните одно из следующих действий:
   • Если инстанс корзины Amazon S3 для резервной копии не создан, перейдите по ссылке Создать корзину S3 и создайте корзину S3, используя интерфейс AWS.
   • Если вы уже создали инстанс корзины Amazon S3 для резервной копии данных Сервера администрирования, выберите требуемую корзину S3 из раскрывающегося меню.
8. Чтобы завершить добавление параметров, нажмите на кнопку Добавить параметр в нижней части страницы.

Вы изменили группу параметров и создали IAM-роль для работы с базы RDS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Изменение прав IAM-роли для инстанса базы данных Amazon RDS

После того, как вы добавили параметры в группу параметров, вам необходимо назначить требуемые права IAM-роли, созданной для работы с инстансом базы данных Amazon RDS.

Чтобы назначить требуемые права IAM-роли, которую вы создали для работы с инстансом базы данных Amazon RDS:

1. Убедитесь, что Консоль управления AWS (https://console.aws.amazon.com) открыта и вы вошли под вашей учетной записью.
2. В списке служб выберите IAM.

   Откроется окно, содержащее список имен пользователей и меню, с помощью которого вы сможете работать с инструментом.

3. В меню выберите Роли.
4. В списке IAM-ролей выберите роль, которую вы создали во время добавления параметров в группу параметров.
5. Используя интерфейс AWS, удалите политику sqlNativeBackup-<date>.
6. Используя интерфейс AWS назначьте политику AmazonS3FullAccess роли.

IAM-роль получает требуемые права для работы с Amazon RDS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Подготовка корзины Amazon S3 для базы данных

Если вы планируете использовать базу данных Amazon Relational Database System (Amazon RDS), вам потребуется создать инстанс корзины Buzz Amazon Simple Storage Service (Amazon S3), в котором будет храниться обычная резервная копия данных. Подробную информацию об Amazon S3 и корзинах S3 см. в справке Amazon. Подробную информацию о создании инстанса Amazon S3, см. в справке Amazon S3.

Чтобы создать корзину Amazon S3:

1. Убедитесь, что Консоль управления AWS открыта и вы вошли под вашей учетной записью.
2. В списке служб AWS выберите S3.
3. Перейдите в консоль, чтобы создать корзину, и следуйте далее указаниям мастера.
4. Выберите такой же регион, в котором расположен ваш Сервер администрирования (или будет расположен).
5. На последнем шаге убедитесь, что новая корзина появилась в списке корзин.

Корзина S3 создана и отображается в списке корзин. Вы можете указать корзину при добавлении параметра в группу параметров. Вы можете также указать адрес вашей корзины S3 в Kaspersky Security Center при создании задачи Резервное копирование данных Сервера администрирования в Kaspersky Security Center.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Перенос базы данных в Amazon RDS

Развернуть все | Свернуть все

Вы можете перенести вашу базу данных Kaspersky Security Center с локального устройства на инстанс Amazon S3, который поддерживает Amazon RDS. Для этого вам необходимы корзина S3 для базы RDS и учетная запись IAM-пользователя с правами AmazonS3FullAccess для этой корзины S3.

Чтобы перенести базу данных:

1. Убедитесь, что вы создали инстанс RDS (подробную информацию см. на справочных страницах Amazon RDS).
2. На вашем физическом Сервере администрирования (локальном), запустите утилиту резервного копирования "Лаборатории Касперского" для данных Сервера администрирования.

   Убедитесь, что файл называется backup.zip.

3. Скопируйте файл backup.zip на инстанс EC2, на котором установлен Сервер администрирования.

   Убедитесь, что на инстансе EC2, на котором установлен Сервер администрирования, достаточно свободного дискового пространства. В окружении AWS вы можете добавить дисковое пространство для вашего инстанса, чтобы выполнить процесс переноса базы данных.

4. Снова запустите утилиту резервного копирования "Лаборатории Касперского" в неинтерактивном режиме на Сервере администрирования в AWS.

   В результате запустится мастер выполнения резервного копирования и восстановления данных.

5. На шаге Выберите действие выберите пункт Выполнить восстановление данных Сервера администрирования и нажмите на кнопку Далее.
6. На шаге Параметры восстановления нажмите на кнопку Обзор рядом с полем Папка для хранения резервных копий.
7. В открывшемся окне Войти в онлайн-хранилище заполните следующие поля и нажмите на кнопку ОК:
   • Имя корзины S3

     Имя корзины Amazon S3.

   • Папка резервных копий данных

     Укажите расположение папки, предназначенной для хранения резервных копий.

   • ID ключа доступа

     Ключ доступа AWS IAM, принадлежащий IAM-пользователю с правами использования корзины Amazon S3 (права AmazonS3FullAccess).

   • Секретный ключ

     Секретный ключ AWS IAM, принадлежащий IAM-пользователю с правами использования корзины Amazon S3 (права AmazonS3FullAccess).

8. Выберите параметр Перенести из локальной резервной копии данных. Станет доступна кнопка Обзор.
9. Нажмите на кнопку Обзор и выберите на Сервере администрирования AWS папку, в которую вы поместили файл backup.zip.
10. Нажмите на кнопку Далее и завершите процедуру.

Данные будут храниться в базе RDS с использованием корзины S3. Вы можете использовать эту базу данных для дальнейшей работы с Kaspersky Security Center в окружении AWS.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.