Архитектура программы

Kaspersky Security поставляется в виде двух образов SVM (виртуальной машины защиты):

• образа SVM с установленным компонентом Защита от файловых угроз;
• образа SVM с установленным компонентом Защита от сетевых угроз.

SVM (secure virtual machine, виртуальная машина защиты) – виртуальная машина, на которой установлен компонент программы Kaspersky Security. SVM разворачиваются на гипервизоре VMware ESXi. Для обеспечения защиты и проверки виртуальных машин не требуется устанавливать программу на каждую виртуальную машину.

Компоненты Kaspersky Security регистрируются в VMware NSX Manager как службы:

• компонент Защита от файловых угроз – как служба защиты файловой системы (Kaspersky File Antimalware Protection);
• компонент Защита от сетевых угроз – как служба сетевой защиты (Kaspersky Network Protection).

Службы Kaspersky Security разворачиваются на кластере VMware в ходе установки программы. В результате развертывания служб Kaspersky Security на каждом гипервизоре в составе кластера разворачиваются SVM с компонентами Kaspersky Security (см. рис. ниже).

Архитектура программы

SVM с компонентом Защита от файловых угроз обеспечивают:

• защиту от вирусов и других вредоносных программ всех виртуальных машин, для которых выполняются условия защиты виртуальных машин;
• антивирусную проверку файлов всех виртуальных машин, для которых выполняются условия проверки виртуальных машин.

SVM с компонентом Защита от сетевых угроз обеспечивают защиту от сетевых угроз всех виртуальных машин, для которых выполняются условия защиты виртуальных машин от сетевых угроз.

Взаимодействие между виртуальной инфраструктурой VMware и компонентами программы Kaspersky Security обеспечивает компонент Сервер интеграции.

Управление работой программы осуществляется через систему удаленного централизованного управления программами "Лаборатории Касперского" – Kaspersky Security Center. Взаимодействие программы Kaspersky Security с программой Kaspersky Security Center обеспечивает Агент администрирования, который является компонентом Kaspersky Security Center. Агент администрирования включен в состав образа SVM.

Интерфейс для управления программой Kaspersky Security через Kaspersky Security Center обеспечивает основной плагин управления Kaspersky Security. Если программа работает в

Плагины управления Kaspersky Security входят в комплект поставки Kaspersky Security.

Плагины управления Kaspersky Security должны быть установлены на том компьютере, на котором установлена Консоль администрирования Kaspersky Security Center.

Состав образов SVM Kaspersky Security

В состав образа SVM с установленным компонентом Защита от файловых угроз входят:

• Операционная система CentOS 7.6.
• Компонент Kaspersky Security Защита от файловых угроз.
• Библиотека EPSEC – компонент, предоставленный компанией VMware. Библиотека EPSEC обеспечивает доступ к файлам тех виртуальных машин, которые защищает Kaspersky Security.
• Агент администрирования – компонент Kaspersky Security Center. Агент администрирования осуществляет взаимодействие с Сервером администрирования Kaspersky Security Center, позволяя Kaspersky Security Center управлять программой Kaspersky Security.

В состав образа SVM с установленным компонентом Защита от сетевых угроз входят:

• Операционная система CentOS 7.6.
• Компонент Kaspersky Security Защита от сетевых угроз.
• Guest Introspection SDK – компонент, предоставленный компанией VMware. Guest Introspection SDK обеспечивает возможность мониторинга сетевого трафика виртуальных машин на уровне сетевых пакетов и возможность создавать виртуальные фильтры.
• Агент администрирования – компонент Kaspersky Security Center. Агент администрирования осуществляет взаимодействие с Сервером администрирования Kaspersky Security Center, позволяя Kaspersky Security Center управлять программой Kaspersky Security.

Варианты использования программы

Защита виртуальной инфраструктуры под управлением одного или нескольких серверов VMware vCenter Server

SVM с компонентами Kaspersky Security разворачиваются на гипервизорах VMware ESXi под управлением одного или нескольких автономных серверов VMware vCenter Server и обеспечивают защиту виртуальных машин, работающих на этих гипервизорах. Программа работает в обычном режиме.

Для управления программой требуется основной плагин управления Kaspersky Security. С помощью основного плагина управления вы можете настраивать индивидуальные параметры защиты виртуальной инфраструктуры под управлением каждого сервера VMware vCenter Server или общие параметры защиты всей виртуальной инфраструктуры.

Защита виртуальной инфраструктуры под управлением VMware vCloud Director

SVM с компонентами Kaspersky Security разворачиваются на гипервизорах VMware ESXi под управлением серверов VMware vCenter Server, подключенных к серверу VMware vCloud Director. SVM могут защищать все виртуальные машины, работающие в виртуальной инфраструктуре, в том числе виртуальные машины, которые входят в организации vCloud Director.

Этот вариант использования программы позволяет обеспечить защиту изолированных виртуальных инфраструктур организаций-клиентов или подразделений одной организации (далее также "клиентов"). Программа работает в режиме multitenancy, то есть один экземпляр программы, установленный в инфраструктуре организации-провайдера антивирусной защиты (далее также "провайдера"), позволяет нескольким организациям-клиентам независимо управлять защитой своей виртуальной инфраструктуры.

Для управления программой требуется основной плагин управления Kaspersky Security и плагин управления для клиентов. Основной плагин управления позволяет настраивать общие параметры работы программы, параметры защиты от сетевых угроз, а также параметры защиты от файловых угроз тех виртуальных машин, которые не входят в состав организаций vCloud Director, например виртуальных машин, принадлежащих провайдеру. Плагин управления для клиентов позволяет настраивать индивидуальные параметры защиты от файловых угроз для каждого клиента.

Для управления защитой клиентов используются виртуальные Серверы администрирования Kaspersky Security Center. Администратор провайдера создает для каждого клиента отдельный виртуальный Сервер администрирования и предоставляет администратору клиента доступ к нему. С помощью виртуального Сервера администрирования и плагина управления для клиентов администратор клиента может управлять защитой своей виртуальной инфраструктуры от файловых угроз. Управление сетевой защитой, а также обновление баз программы, активацию программы и работу с копиями файлов, помещенных в резервное хранилище, обеспечивает провайдер.

Администратор провайдера может получать информацию о защите виртуальных машин клиентов с помощью отчета, который доступен на Сервере интеграции. По умолчанию ведение отчета выключено. О том, как включить запись информации в отчет и выгрузить отчет в файл в формате CSV, см. в Базе знаний.

От выбранного варианта использования программы зависит порядок установки программы. Рекомендуется выбрать вариант использования программы перед началом установки. Если после установки программы в инфраструктуре под управлением одного или нескольких серверов VMware vCenter Server вы решили перейти к использованию программы в режиме multitenancy, чтобы обеспечить правильную работу программы, вам нужно выполнить дополнительные действия, описанные в Базе знаний.

Интеграция компонентов Kaspersky Security с виртуальной инфраструктурой VMware

Для интеграции компонентов Kaspersky Security с виртуальной инфраструктурой VMware требуется следующее:

• Сервер управления виртуальной инфраструктурой (VMware vCenter Server, VMware vCloud Director). Компонент предназначен для администрирования и централизованного управления виртуальной инфраструктурой VMware. Компонент участвует в развертывании Kaspersky Security. Сервер интеграции получает от сервера управления виртуальной инфраструктурой информацию о виртуальной инфраструктуре VMware, необходимую для работы программы.
• VMware NSX Manager. Компонент обеспечивает регистрацию и развертывание служб Kaspersky Security.
• Виртуальный фильтр (VMware DVFilter). Компонент позволяет перехватывать входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин.
• Драйвер Guest Introspection (NSX File Introspection Driver). Компонент обеспечивает сбор информации на виртуальных машинах и передачу файлов на проверку программе Kaspersky Security. Чтобы программа Kaspersky Security имела возможность защищать виртуальные машины, на этих виртуальных машинах требуется установить NSX File Introspection Driver. См. подробнее в документации к продуктам VMware.

• Служба Guest Introspection и Guest Introspection ESXi Module. Компоненты обеспечивают взаимодействие между драйвером Guest Introspection, установленным на виртуальной машине, и SVM.

Компонент Защита от файловых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Пользователь или какая-либо программа открывает, сохраняет или запускает файлы на виртуальной машине, которая находится под защитой Kaspersky Security.
2. Драйвер Guest Introspection перехватывает информацию об этих событиях и отправляет службе Guest Introspection.
3. Служба Guest Introspection передает информацию о полученных событиях компоненту Защита от файловых угроз, установленному на SVM.
4. Компонент Защита от файловых угроз проверяет файлы, которые пользователь или какая-либо программа открывает, сохраняет или запускает на защищенной виртуальной машине:
   • Если в файлах не обнаружены вирусы или другие вредоносные программы, Kaspersky Security разрешает доступ к этим файлам.
   • Если в файлах обнаружены вирусы или другие вредоносные программы, Kaspersky Security выполняет то действие, которое указано в параметрах профиля защиты, назначенного этой виртуальной машине. Например, Kaspersky Security лечит или блокирует файл.

Взаимодействие компонента Защита от сетевых угроз с виртуальной инфраструктурой VMware зависит от режима обработки трафика, который вы выбрали при регистрации службы сетевой защиты (Kaspersky Network Protection). Если вы выбрали стандартный режим обработки трафика, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

1. Виртуальный фильтр (VMware DVFilter) перехватывает входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин и перенаправляет их компоненту Защита от сетевых угроз, установленному на SVM.
2. Компонент Защита от сетевых угроз проверяет сетевые пакеты на наличие активности, характерной для сетевых атак, и подозрительной сетевой активности, которая может быть признаком вторжения в защищаемую инфраструктуру, а также проверяет все веб-адреса в запросах по протоколу HTTP на принадлежность к категориям веб-адресов, которые требуется обнаруживать в соответствии с параметрами проверки веб-адресов.

   Если в сетевом пакете не обнаружена сетевая атака или подозрительная сетевая активность и веб-адрес не принадлежит ни к одной из категорий веб-адресов, выбранных для обнаружения, Kaspersky Security разрешает произвести передачу сетевого пакета.

   Если сетевая угроза обнаружена, Kaspersky Security выполняет следующие действия:

   • Если обнаружена активность, характерная для сетевых атак, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если обнаружена подозрительная сетевая активность, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
   • Если веб-адрес принадлежит к одной или нескольким категориям веб-адресов, выбранным для обнаружения, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или разрешает доступ к веб-адресу.

Если при регистрации службы сетевой защиты (Kaspersky Network Protection) вы выбрали режим мониторинга, компонент Защита от сетевых угроз получает копию трафика виртуальных машин. При обнаружении признаков вторжений или попыток доступа к опасным или нежелательным веб-адресам Kaspersky Security не предпринимает действий по предотвращению угроз, а только передает информацию о событиях на Сервер администрирования Kaspersky Security Center.

О Сервере интеграции

Сервер интеграции – это компонент программы Kaspersky Security, осуществляющий взаимодействие между компонентами программы Kaspersky Security и виртуальной инфраструктурой VMware.

Сервер интеграции используется для выполнения следующих задач:

• Регистрация в VMware NSX Manager служб Kaspersky Security: службы защиты файловой системы (Kaspersky File Antimalware Protection) и службы сетевой защиты (Kaspersky Network Protection). Службы Kaspersky Security необходимы для установки компонентов программы в инфраструктуре VMware.

  Ввод параметров, необходимых для регистрации и развертывания служб Kaspersky Security, выполняется с помощью мастера, который запускается из Консоли Сервера интеграции.

• Настройка конфигурации новых SVM и изменение конфигурации ранее развернутых SVM. Сервер интеграции передает на SVM параметры, которые вы задали в Консоли Сервера интеграции.
• Получение от сервера VMware vCenter Server и передача компонентам программы информации о виртуальной инфраструктуре (о гипервизорах и виртуальных машинах, работающих на каждом гипервизоре). Плагин управления Kaspersky Security и SVM в ходе своей работы обращаются к Серверу интеграции для получения информации о виртуальной инфраструктуре.
• Настройка списка соответствий между организациями vCloud Director и виртуальными Серверами администрирования Kaspersky Security Center. Если вы используете программу Kaspersky Security в режиме multitenancy, для защиты виртуальной инфраструктуры каждой организации-клиента требуется установить соответствие между организацией vCloud Director, которая содержит виртуальные машины клиента, и виртуальным Сервером администрирования. Настройка списка соответствий выполняется в Консоли Сервера интеграции.

Во время работы Сервер интеграции сохраняет следующую информацию:

• параметры подключения к Серверу интеграции, в том числе пароли учетных записей Сервера интеграции;
• параметры подключения Сервера интеграции к VMware vCenter Server, VMware vCloud Director и VMware NSX Manager;
• параметры конфигурации SVM, в том числе пароли учетных записей root и klconfig, используемые на SVM;
• список защищаемых виртуальных машин с указанием времени последних событий, произошедших в ходе защиты, проверки объектов файловой системы, проверки сетевого трафика и веб-адресов.

Все данные, кроме списка защищаемых виртуальных машин, хранятся в защищенном виде. Информация сохраняется на компьютере, на котором установлен Сервер интеграции, и не отправляется в "Лабораторию Касперского".

О Консоли Сервера интеграции

Консоль Сервера интеграции содержит следующие разделы:

Раздел Параметры Сервера интеграции

В этом разделе вы можете посмотреть информацию о Сервере интеграции.

Раздел Учетные записи Сервера интеграции

В этом разделе вы можете изменить пароли учетных записей, которые используются для подключения к Серверу интеграции.

Раздел Защита виртуальной инфраструктуры

Этот раздел открывается по умолчанию после запуска Консоли Сервера интеграции. В этом разделе вы можете настроить подключение Сервера интеграции к серверам управления виртуальной инфраструктурой (VMware vCenter Server и VMware vCloud Director), задать или изменить параметры регистрации и развертывания служб Kaspersky Security, отменить регистрацию служб Kaspersky Security.

В таблице отображаются все серверы управления виртуальной инфраструктурой (VMware vCenter Server и VMware vCloud Director), к которым настроено подключение для Сервера интеграции.

Над таблицей расположены следующие кнопки:

• Кнопка Добавить открывает окно Подключение к виртуальной инфраструктуре. В этом окне вы можете выбрать тип сервера управления виртуальной инфраструктурой, к которому требуется настроить подключение, и ввести параметры подключения к серверу VMware vCenter Server или VMware vCloud Director: IP-адрес в формате IPv4 или полное доменное имя (FQDN), имя и пароль учетной записи, под которой Сервер интеграции подключается к серверу.
• Кнопка Обновить позволяет обновить статус взаимодействия Сервера интеграции с виртуальной инфраструктурой.

Для каждого сервера VMware vCenter Server в таблице отображается следующая информация:

• IP-адрес в формате IPv4 или полное доменное имя (FQDN) сервера VMware vCenter Server.
• Блок параметров, который содержит сообщения об ошибках подключения (если они есть) и список действий, которые вы можете выполнить при настройке подключения к этому VMware vCenter Server и для дальнейшего развертывания защиты виртуальной инфраструктуры под управлением этого VMware vCenter Server. Вы можете развернуть или свернуть список возможных действий для каждого сервера VMware vCenter Server щелчком левой клавиши мыши по адресу или имени сервера.
• Информация о развертывании защиты на кластерах VMware под управлением этого сервера VMware vCenter Server в виде N/M, где:
  • N – количество гипервизоров VMware ESXi, на которых развернута служба защиты файловой системы (Kaspersky File Antimalware Protection), или прочерк, если служба не зарегистрирована в VMware NSX Manager;
  • M – количество гипервизоров VMware ESXi, на которых развернута служба сетевой защиты (Kaspersky Network Protection), или прочерк, если служба не зарегистрирована в VMware NSX Manager.

  В скобках указывается общее количество гипервизоров VMware ESXi под управлением этого сервера VMware vCenter Server.

Для каждого сервера VMware vCloud Director в таблице отображается следующая информация:

• IP-адрес в формате IPv4 или полное доменное имя (FQDN) сервера VMware vCloud Director.
• Блок параметров, который содержит сообщения об ошибках подключения (если они есть) и список действий, которые вы можете выполнить при настройке подключения к этому VMware vCloud Director и для дальнейшего развертывания защиты виртуальной инфраструктуры под управлением этого VMware vCloud Director. Вы можете развернуть или свернуть список возможных действий для каждого сервера VMware vCloud Director щелчком левой клавиши мыши по адресу или имени сервера.

Если не удалось установить соединение с VMware vCenter Server, VMware vCloud Director или с VMware NSX Manager, в таблице отображается предупреждение.

Если ошибка подключения происходит потому, что сертификат, полученный от VMware vCenter Server, VMware vCloud Director или от VMware NSX Manager, не является доверенным для Сервера интеграции, но полученный сертификат соответствует политике безопасности вашей организации, вы можете подтвердить подлинность сертификата и установить подключение. Для этого по ссылке в описании проблемы нужно открыть окно Подтверждение сертификата и нажать на кнопку Установить сертификат. Полученный сертификат сохраняется в качестве доверенного для Сервера интеграции.

Доверенными для Сервера интеграции считаются также сертификаты, которые являются доверенными в операционной системе, в которой установлен Сервер интеграции.

При возникновении проблем с SSL-сертификатом рекомендуется убедиться в безопасности используемого канала передачи данных.

Также в таблице отображается предупреждение, если в одной или нескольких политиках безопасности NSX, в которых настроено использование служб Kaspersky Security, выключено перенаправление трафика службе сетевой защиты (Kaspersky Network Protection). Если вы хотите защищать виртуальные машины от сетевых угроз, вам нужно включить перенаправление трафика службе сетевой защиты в политиках безопасности NSX (параметр Redirect to service).

Список возможных действий для VMware vCenter Server:

• Зарегистрировать службы Kaspersky Security – запускает мастер, с помощью которого вы можете ввести параметры, необходимые для регистрации в VMware NSX Manager и развертывания служб Kaspersky Security на кластерах VMware, а также для настройки конфигурации новых SVM. По окончании ввода параметров Сервер интеграции выполняет регистрацию служб Kaspersky Security в VMware NSX Manager.
• Изменить параметры Kaspersky Security – запускает мастер, с помощью которого вы можете изменить параметры подключений для взаимодействия Сервера интеграции с VMware NSX Manager, указать или изменить образы SVM для службы защиты файловой системы (Kaspersky File Antimalware Protection) и / или службы сетевой защиты (Kaspersky Network Protection), а также изменить параметры конфигурации SVM, которые применяются на новых SVM и на ранее развернутых SVM. По окончании ввода параметров Сервер интеграции применяет новые параметры и, если требуется, выполняет повторную регистрацию служб Kaspersky Security в VMware NSX Manager.
• Отменить регистрацию служб Kaspersky Security – открывает окно, в котором вы можете указать службу Kaspersky Security, регистрацию которой в VMware NSX Manager требуется отменить. Вы можете отменить регистрацию одной или обеих служб Kaspersky Security. Отмену регистрации выполняет Сервер интеграции.

  Отмена регистрации служб Kaspersky Security возможна, только если на кластерах VMware удалены все SVM и службы не используются в политиках безопасности NSX (NSX Security Policy). Удаление SVM и настройка политик безопасности NSX выполняется в консоли VMware vSphere Web Client.

• Изменить параметры подключения к VMware vCenter Server – открывает окно Подключение к виртуальной инфраструктуре, в котором вы можете изменить параметры подключения Сервера интеграции к VMware vCenter Server.
• Удалить VMware vCenter Server из списка – открывает окно, в котором вы можете подтвердить удаление параметров подключения Сервера интеграции к этому VMware vCenter Server. Сервер VMware vCenter Server будет удален из списка серверов управления виртуальной инфраструктурой, к которым подключается Сервер интеграции.

  Удаление сервера VMware vCenter Server из списка возможно, только если службы Kaspersky Security не зарегистрированы в VMware NSX Manager.

Список возможных действий для VMware vCloud Director:

• Установить соответствия для организаций vCloud Director – открывает окно Список соответствий между организациями vCloud Director и виртуальными Серверами администрирования, в котором вы можете установить соответствие между организациями vCloud Director, которые содержат виртуальные машины клиентов, и виртуальными Серверами администрирования Kaspersky Security Center.
• Изменить параметры подключения к VMware vCloud Director – открывает окно Подключение к виртуальной инфраструктуре, в котором вы можете изменить параметры подключения Сервера интеграции к VMware vCloud Director.
• Удалить VMware vCloud Director из списка – открывает окно, в котором вы можете подтвердить удаление параметров подключения Сервера интеграции к этому VMware vCloud Director. Сервер VMware vCloud Director будет удален из списка серверов управления виртуальной инфраструктурой, к которым подключается Сервер интеграции.

Раздел Управление защитой организаций-клиентов

Этот раздел используется, только если программа работает в режиме multitenancy.

В этом разделе вы можете выполнить следующие действия:

• Подключить Сервер интеграции к Серверу администрирования Kaspersky Security Center.

  Сервер интеграции подключается к Серверу администрирования Kaspersky Security Center, чтобы получить информацию о виртуальных Серверах администрирования, созданных в Kaspersky Security Center, и установить соответствие между организациями vCloud Director, которые содержат виртуальные машины клиентов, и виртуальными Серверами администрирования.

• Посмотреть или настроить список соответствий между организациями vCloud Director, которые содержат виртуальные машины клиентов, и виртуальными Серверами администрирования Kaspersky Security Center.

  Настройка соответствия между организацией vCloud Director и виртуальным Сервером администрирования требуется, чтобы защищать виртуальные машины, которые входят в эту организацию vCloud Director, с помощью программы Kaspersky Security.

Об обработке данных

Во время работы компоненты программы Kaspersky Security могут сохранять и передавать другим компонентам программы, а также программе Kaspersky Security Center следующую информацию, которая может содержать персональные данные:

• Для формирования отчетов и событий SVM передают Серверу администрирования Kaspersky Security Center информацию о работе программы. В том числе могут передаваться имена обработанных файлов и пути к ним в файловой системе, имена и адреса виртуальных машин, обработанные веб-адреса.
• Для обеспечения возможности работы через Kaspersky Security Center с объектами резервного хранилища SVM передают Серверу администрирования Kaspersky Security Center информацию об объектах, помещенных в резервное хранилище. В том числе могут передаваться имя объекта и путь к нему в файловой системе. По запросу администратора в Kaspersky Security Center могут быть переданы и объекты, помещенные в резервное хранилище.
• В ходе выполнения задач SVM передают Серверу администрирования Kaspersky Security Center информацию о параметрах и результатах выполнения задач.
• Для отображения в Консоли администрирования Kaspersky Security Center SVM передают Серверу администрирования Kaspersky Security Center список защищаемых виртуальных машин. В том числе могут передаваться имя защищаемой виртуальной машины и путь к ней в виртуальной инфраструктуре.
• SVM получают от Сервера администрирования Kaspersky Security Center параметры работы, заданные с помощью политик. В том числе могут передаваться пути к файлам, веб-адреса.
• В ходе настройки конфигурации SVM Сервер интеграции передает SVM пароли учетных записей root и klconfig, заданные пользователем, параметры подключения к сетевому хранилищу данных для SVM, IP-адрес Сервера интеграции, а также параметры подключения к Серверу интеграции и Серверу администрирования Kaspersky Security Center.
• Для обеспечения работы программы Сервер интеграции получает от сервера VMware vCenter Server и передает SVM информацию о виртуальной инфраструктуре.

Указанная информация передается по зашифрованным каналам передачи данных.