Планирование развертывания Kaspersky Security Center

Планируя развертывание компонентов Kaspersky Security Center в сети организации, следует принимать во внимание следующие факторы:

• общего количества устройств;
• количество MSP-клиентов.

Один Сервер администрирования может обслуживать не более чем 100 000 устройств. Если общее количество устройств в сети организации превышает 100 000, следует разместить на стороне MSP несколько Серверов администрирования, объединенных в иерархию для удобства централизованного управления.

На одном Сервере администрирования может быть создано до 500 виртуальных Серверов, следовательно, на каждые 500 MSP-клиентов необходим отдельный Сервер администрирования.

На этапе планирования развертывания следует рассмотреть необходимость задания Серверу администрирования специального сертификата X.509. Задание сертификата X.509 для Сервера администрирования может быть целесообразно в следующих случаях (неполный список):

• для инспекции SSL трафика посредством SSL termination proxy;
• для задания желательных значений полей сертификата;
• для обеспечения желаемой криптографической стойкости сертификата.

Предоставление доступа к Серверу администрирования из интернета

Для того чтобы устройства, размещенные в сети клиента, могли обращаться к Серверу администрирования через интернет, необходимо сделать доступными следующие порты Сервера администрирования:

• 13000 TCP – порт TLS Сервера администрирования, к данному порту подключаются Агенты администрирования, размещенные в сети клиента;
• 8061 TCP – порт HTTPS, используется для публикации автономных пакетов средствами Консоли администрирования;
• 8060 TCP – порт HTTPS, используется для публикации автономных пакетов средствами Консоли администрирования;
• 13292 TCP – данный TLS порт нужен, только если требуется управлять мобильными устройствами.

В случае если необходимо предоставить клиентам базовые возможности по администрированию своей сети посредством Kaspersky Security Center Web Console, то также необходимо открыть порт 8080 TCP (HTTPS-порт) Kaspersky Security Center Web Console.

Типовая конфигурация Kaspersky Security Center

На серверах MSP размещен один или несколько Серверов администрирования. Количество Серверов может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от количества обслуживаемых MSP-клиентов или же общего количества управляемых устройств.

Один Сервер администрирования может обслуживать до 100 000 устройств. Нужно учесть возможность увеличения количества управляемых устройств в ближайшем будущем: может оказаться желательным подключение несколько меньшего количества устройств к одному Серверу администрирования.

На одном Сервере администрирования может быть создано до 500 виртуальных Серверов, следовательно, на каждые 500 MSP-клиентов необходим отдельный Сервер администрирования.

Если Серверов несколько, рекомендуется объединить их в иерархию. Наличие иерархии Серверов администрирования позволяет избежать дублирования политик и задач, работать со всем множеством управляемых устройств, как если бы они все управлялись одним Сервером администрирования: выполнять поиск устройств, создавать выборки устройств, создавать отчеты.

На каждом виртуальном Сервере, соответствующем MSP-клиенту, следует назначить по одной или по несколько точек распространения. Так как связь между MSP-клиентами и Сервером администрирования осуществляется через интернет, целесообразно создать для точек распространения задачу Загрузка обновлений в хранилища точек распространения так, чтобы точки распространения загружали обновления не с Сервера администрирования, а непосредственно с серверов "Лаборатории Касперского".

Если в сети MSP-клиента часть устройств не имеет прямого доступа в интернет, то точки распространения следует переключить в режим шлюза соединений. В таком случае Агенты администрирования на устройствах в сети MSP-клиента будут подключаться (с целью синхронизации) к Серверу администрирования не напрямую, а через шлюз.

Поскольку Сервер администрирования не может выполнять опрос сети MSP-клиента, целесообразно возложить выполнение этой функции на одну из точек распространения.

Сервер администрирования не сможет посылать уведомления на порт 15000 UDP управляемым устройствам, размещенным за NAT в сети MSP-клиента. Для решения этой проблемы целесообразно включить в свойствах устройств, являющихся точками распространения и работающих в режиме шлюза соединений, режим постоянного соединения с Сервером администрирования (флажок Не разрывать соединение с Сервером администрирования). Режим постоянного соединения доступен, если общее количество точек распространения не превышает 300.

О точках распространения

Устройство с установленным Агентом администрирования может быть использовано в качестве точки распространения. В этом режиме Агент администрирования может выполнять следующие функции:

• Передачу файлов на клиентские устройства, включая:
  • Базы и модули приложений "Лаборатории Касперского".

    Обновления могут быть получены как с Сервера администрирования, так и с серверов обновлений "Лаборатории Касперского". В последнем случае для устройства, являющегося точкой распространения, должна быть создана задача Загрузка обновлений в хранилища точек распространения.

  • Обновления программ сторонних производителей.
  • Инсталляционные пакеты.
  • Обновления Windows, если вы используете Сервер администрирования в роли WSUS-сервера.
• Устанавливать программное обеспечение на другие устройства, в том числе выполнять первоначальное развертывание Агентов администрирования на устройствах.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Сервер администрирования.

Размещение точек распространения в сети организации преследует следующие цели:

• Уменьшить нагрузку на Сервер администрирования в случае, если источником обновлений служит Сервер администрирования.
• Оптимизировать интернет-трафик, так как в этом случае каждому устройству в сети MSP-клиента не придется обращаться за обновлениями к серверам "Лаборатории Касперского" или к Серверу администрирования.
• Предоставить Серверу администрирования доступ к устройствам за NAT (по отношению к Серверу администрирования) сети MSP-клиента позволяет Серверу администрирования выполнять следующие действия:
  • отправлять уведомления на устройства через UDP в IPv4-сети или IPv6-сети;
  • опрос IPv4-сети или IPv6-сети;
  • выполнять первоначальное развертывание;
  • использовать в качестве push-сервера.

Точка распространения назначается на группу администрирования. В этом случае областью действия точки распространения будут устройства, находящиеся в этой группе администрирования и всех ее подгруппах. При этом устройство, выполняющее роль точки распространения, не обязано принадлежать группе администрирования, на которую оно назначено.

Вы можете сделать точку распространения шлюзом соединений. В этом случае устройства, находящиеся в области действия точки распространения, будут подключаться к Серверу администрирования не напрямую, а через шлюз. Этот режим полезен в сценариях, когда между устройствами с Агентом администрирования и Сервером администрирования невозможно прямое соединение.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Иерархия Серверов администрирования

У MSP может быть более одного Сервера администрирования. Администрировать несколько разрозненных Серверов неудобно, поэтому целесообразно объединять их в иерархию. Взаимодействие "главный – подчиненный" между двумя Серверами администрирования предоставляет следующие возможности:

• Подчиненный Сервер наследует с главного Сервера политики и задачи, устраняется дублирование параметров.
• Выборки устройств на главном Сервере могут включать в себя устройства с подчиненных Серверов.
• Отчеты на главном Сервере могут включать в себя данные (в том числе и детальные) с подчиненных Серверов.

Главный Сервер администрирования получает данные только от не виртуальных подчиненных Серверов администрирования в рамках перечисленных выше параметров. Это ограничение не распространяется на виртуальные Серверы администрирования, которые совместно используют базу данных со своим главным Сервером администрирования.

Виртуальные Серверы администрирования

В рамках физического Сервера администрирования можно создать несколько виртуальных Серверов администрирования, во многом подобных подчиненным Серверам. По сравнению с моделью разделения доступа, основанной на списках контроля доступа (ACL), модель виртуальных Серверов более функциональна и предоставляет большую степень изоляции. В дополнение к структуре групп администрирования, предназначенной для назначения устройствам политик и задач, каждый виртуальный Сервер администрирования имеет собственную группу нераспределенных устройств, собственные наборы отчетов, выборки устройств и события, инсталляционные пакеты, правила перемещения и т. д. Для максимальной взаимной изоляции MSP-клиентов рекомендуется выбирать виртуальные Серверы администрирования, которые будут использоваться для определенных задач. Кроме того, создание виртуального Сервера для каждого MSP-клиента позволяет предоставить клиентам базовые возможности по администрированию своей сети посредством Kaspersky Security Center Web Console.

Виртуальные Серверы во многом подобны подчиненным Серверам администрирования, однако имеют следующие отличия:

• виртуальный Сервер не имеет большинства глобальных параметров и собственных TCP-портов;
• у виртуального Сервера не может быть подчиненных Серверов;
• у виртуального Сервера не может быть собственных виртуальных Серверов;
• на физическом Сервере администрирования видны устройства, группы, события и объекты с управляемых устройств (элементы карантина, реестра программ и прочее) всех его виртуальных Серверов;
• виртуальный Сервер может сканировать сеть только посредством подключенных к нему точек распространения.

Управление мобильными устройствами с установленным Kaspersky Endpoint Security для Android

Управление мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android (далее KES-устройства) осуществляется с помощью Сервера администрирования. Kaspersky Security Center поддерживает следующие возможности управления KES-устройствами:

• работа с мобильными устройствами как с клиентскими устройствами:
  • членство в группах администрирования;
  • мониторинг, например просмотр статусов, событий и отчетов;
  • изменение локальных параметров и назначение политик для приложения Kaspersky Endpoint Security для Android;
• централизованная отправка команд;
• удаленная установка пакетов мобильных приложений.

Сервер администрирования управляет KES-устройствами по протоколу TLS, TCP-порт 13292.