Подготовка к установке программы

Перед началом установки компонентов Kaspersky Security вам нужно выполнить следующие действия:

• Проверить соответствие компонентов Kaspersky Security Center и компонентов VMware программным требованиям программы Kaspersky Security.
• Подготовить виртуальную инфраструктуру VMware к установке программы.
• Загрузить с веб-сайта "Лаборатории Касперского" все файлы, необходимые для установки программы.

  Файл для запуска мастера установки компонентов Kaspersky Security и образы SVM также доступны для загрузки в списке текущих версий программ "Лаборатории Касперского" в Консоли администрирования Kaspersky Security Center. Список текущих версий программ открывается в рабочей области узла Сервер администрирования на закладке Мониторинг в блоке Обновление по ссылке Просмотреть актуальные версии программ "Лаборатории Касперского". Вы можете отфильтровать список по значению Виртуальные среды.

• Убедиться в том, что образы SVM получены из доверенного источника. Подробнее о способах проверки подлинности образа SVM см. на странице программы в Базе знаний.
• Разместить все файлы образов SVM в одной папке на сетевом ресурсе, доступном по протоколу HTTP или HTTPS. Например, вы можете опубликовать образы SVM на Веб-сервере Kaspersky Security Center.
• В настройках сетевого оборудования или программного обеспечения, используемого для контроля трафика, открыть порты, которые требуются для работы программы.
• Настроить параметры учетных записей, которые требуются для установки и работы программы.
• Если вы планируете использовать сетевое хранилище данных для SVM, создать сетевую папку для размещения сетевого хранилища данных и учетную запись для подключения SVM. Сетевое хранилище данных используется для хранения резервных копий файлов, помещенных в резервные хранилища на SVM. Место, которое требуется для сетевого хранилища данных, можно оценить по формуле: (N+1) ГБ, где N – количество SVM, которые подключаются к сетевому хранилищу данных.

  Вам нужно убедиться, что место, выделенное для сетевого хранилища данных, достаточно для хранения резервных копий файлов. Kaspersky Security не контролирует наличие свободного места в сетевом хранилище данных и не уведомляет о невозможности поместить резервные копии файлов в хранилище. Рекомендуется использовать сторонние средства для контроля заполнения сетевой папки.

Подготовка виртуальной инфраструктуры VMware

Перед установкой программы в инфраструктуре VMware требуется выполнить следующие действия:

• Объединить гипервизоры VMware ESXi в один или несколько кластеров VMware.
• Настроить в свойствах каждого гипервизора параметры Agent VM Settings: выбрать сеть и хранилище для служебных виртуальных машин и SVM. Подробнее о настройке параметров Agent VM Settings см. в документации к продуктам VMware.
• На каждом кластере VMware, на котором будут развернуты SVM с компонентом Защита от файловых угроз, развернуть службу Guest Introspection.
• На каждом кластере VMware, на котором будут развернуты SVM с компонентом Защита от сетевых угроз, подготовить гипервизоры для развертывания сетевой защиты. Для этого нужно установить компоненты VMware NSX на гипервизорах. Установка выполняется в консоли VMware vSphere Web Client в разделе Networking & Security → Installation and Upgrade на закладке Host Preparation. Для установки компонентов VMware NSX на гипервизоры нужно для кластера VMware выполнить действие Actions → Install. См. подробнее в Базе знаний.
• Установить драйвер Guest Introspection (NSX File Introspection Driver) на каждой виртуальной машине, которую вы хотите защищать с помощью Kaspersky Security.

  Для этого на виртуальных машинах с операционными системами Windows требуется установить пакет VMware Tools версии 11.0.1. При установке пакета VMware Tools нужно установить компонент NSX File Introspection Driver, который входит в состав пакета, по умолчанию компонент NSX File Introspection Driver не устанавливается.

  Для установки компонента NSX File Introspection Driver на виртуальных машинах с операционными системами Linux предусмотрены специальные пакеты. См. подробнее в документации к продуктам VMware.

• Если вы хотите установить компонент Защита от сетевых угроз, убедиться, что для VMware NSX for vSphere используется лицензия NSX for vSphere Advanced или NSX for vSphere Enterprise.

Развертывание службы Guest Introspection

Для функционирования Kaspersky Security требуется развернуть службу Guest Introspection на каждом кластере VMware, на котором будут развернуты SVM с компонентом Защита от файловых угроз.

В результате развертывания службы Guest Introspection на кластере VMware служебные виртуальные машины Guest Introspection разворачиваются на каждом гипервизоре, входящем в состав кластера.

Развертывание службы Guest Introspection выполняется в консоли VMware vSphere Web Client.

Чтобы развернуть службу Guest Introspection, выполните следующие действия:

1. В консоли VMware vSphere Web Client запустите мастер развертывания сетевых служб и служб обеспечения защиты виртуальных машин (раздел Networking & Security → Installation and Upgrade закладка Service Deployments).
2. С помощью мастера укажите следующие параметры развертывания службы Guest Introspection:
   1. Выберите в таблице службу Guest Introspection.
   2. Выберите один или несколько кластеров VMware, на которых вы хотите установить компонент Защита от файловых угроз.
   3. Если требуется, измените заданные по умолчанию параметры для всех служебных виртуальных машин Guest Introspection, которые будут развернуты на гипервизорах в составе выбранного кластера VMware:
      • Сеть, которую будут использовать служебные виртуальные машины.
      • Хранилище для развертывания служебных виртуальных машин.
      • Способ назначения IP-адресов. По умолчанию служебные виртуальные машины получают сетевые параметры по протоколу DHCP. Вы можете настроить статический пул IP-адресов, из которого будут назначаться IP-адреса служебных виртуальных машин.
3. Завершите работу мастера и дождитесь завершения развертывания службы Guest Introspection.

   Служебная виртуальная машина Guest Introspection будет развернута на каждом гипервизоре в составе кластера VMware, который вы выбрали.

Подробнее о процедуре развертывания службы Guest Introspection см. в Базе знаний.

Просмотр информации о лицензии NSX for vSphere

Для функционирования компонента Защита от сетевых угроз требуется наличие действующей лицензии NSX for vSphere Advanced или NSX for vSphere Enterprise.

При использовании стандартной лицензии NSX for vSphere недоступна функция Network Service Insertion (Third Party Integration), которая необходима для включения защиты от сетевых угроз на гипервизорах VMware ESXi.

Информацию об используемых лицензиях вы можете посмотреть в консоли VMware vSphere Web Client в разделе Administration → Licenses на закладке Products (см. подробнее в Базе знаний).

Информацию о работе с лицензиями NSX for vSphere см. в документации к продуктам VMware.

Публикация образов SVM на Веб-сервере Kaspersky Security Center

Вы можете опубликовать образы SVM на Веб-сервере Kaspersky Security Center или разместить на другом сетевом ресурсе, доступном по протоколу HTTP или HTTPS.

Чтобы опубликовать образы SVM на Веб-сервере Kaspersky Security Center, выполните следующие действия:

1. Убедитесь, что Веб-сервер запущен. Для этого запустите оснастку services.msc и проверьте, что служба Kaspersky Lab Web Server находится в состоянии Работает (Running).
2. В папке общего доступа Сервера администрирования создайте вложенную папку public.

   Чтобы узнать путь к папке общего доступа, выполните следующие действия:

   1. Посмотрите имя папки общего доступа и имя компьютера, на котором она расположена, в окне свойств Сервера администрирования в разделе Дополнительно → Папка общего доступа Сервера администрирования.
   2. На указанном компьютере в командной строке выполните команду net share <имя папки общего доступа>.

      В результате выполнения команды в строке Path выводится путь к папке общего доступа в файловой системе.

3. Скопируйте в папку public все файлы образов SVM Kaspersky Security.
4. Убедитесь, что образы SVM опубликованы. Для этого откройте браузер и введите в адресной строке

   http://<IP-адрес Сервера администрирования Kaspersky Security Center>:8060/public

   В качестве адреса Сервера администрирования должен быть указан IP-адрес, не следует указывать localhost.

   Порт 8060 используется по умолчанию. Если вы изменили параметры по умолчанию, укажите в адресной строке порт, который задан в разделе Веб-сервер окна свойств Сервера администрирования Kaspersky Security Center.

Если публикация образов SVM завершилась успешно, откроется страница со списком файлов образов Kaspersky Security.

Используемые порты

Для установки и работы компонентов программы в настройках сетевого оборудования или программного обеспечения, используемого для контроля трафика между виртуальными машинами, требуется открыть порты, описанные в таблице ниже.

Порты, используемые программой

В начало

Учетные записи для установки и работы программы

Учетная запись для установки плагина управления Kaspersky Security и Сервера интеграции

Для установки плагина управления Kaspersky Security и Сервера интеграции требуется учетная запись, которая обладает правами на установку программного обеспечения (например, учетная запись из группы локальных администраторов).

Если компьютер, на котором установлена Консоль администрирования Kaspersky Security Center, входит в домен Active Directory, для подключения к Серверу интеграции требуется доменная учетная запись, которая входит в группу KLAdmins, или учетная запись, которая входит в группу локальных администраторов.

Для предотвращения несанкционированного доступа рекомендуется обеспечить безопасность учетной записи, которая используется для подключения к Серверу интеграции.

Учетные записи для развертывания, удаления SVM и работы программы

Для развертывания и удаления SVM с компонентами программы Kaspersky Security требуются следующие учетные записи:

• Учетная запись VMware vCenter Server, которой назначена предустановленная системная роль ReadOnly. Для обеспечения возможности проверки выключенных виртуальных машин нужно назначить этой учетной записи следующие права:
  • Virtual machine → Change Configuration → Add existing disk
  • Virtual machine → Change Configuration → Add or remove device
  • Virtual machine → Change Configuration → Remove disk
  • ESX Agent Manager → Modify
• Учетная запись VMware NSX Manager, которой назначена роль Enterprise Administrator.
• Если вы хотите использовать программу Kaspersky Security для защиты виртуальной инфраструктуры под управлением VMware vCloud Director, также требуется учетная запись VMware vCloud Director, которая обладает следующими правами:
  • General → Perform administrator queries
  • Organization → View Organizations

Роли должны быть назначены учетным записям на верхнем уровне иерархии объектов виртуальной инфраструктуры VMware.

О создании учетных записей в инфраструктуре VMware см. в документации VMware.

Учетная запись для подключения Сервера интеграции к Kaspersky Security Center

Эта учетная запись используется, если программа работает в режиме multitenancy.

Сервер интеграции подключается к Kaspersky Security Center, чтобы получить информацию о виртуальных Серверах администрирования, созданных в Kaspersky Security Center, и установить соответствие между организациями vCloud Director, которые содержат виртуальные машины клиентов, и виртуальными Серверами администрирования. Для подключения Сервера интеграции к Kaspersky Security Center требуется учетная запись, которая должна обладать правами на чтение в функциональной области Базовая функциональность → Виртуальные Серверы администрирования.

Вы можете создать и настроить учетную запись для подключения Сервера интеграции к Kaspersky Security Center в окне свойств Сервера администрирования Kaspersky Security Center в разделе Безопасность.

По умолчанию раздел Безопасность не отображается в окне свойств Сервера администрирования. Чтобы включить отображение раздела Безопасность, требуется установить флажок Отображать разделы с параметрами безопасности в окне Настройка интерфейса (меню Вид → Настройка интерфейса) и перезапустить Консоль администрирования Kaspersky Security Center.

Подробнее о правах учетных записей в Kaspersky Security Center см. в документации Kaspersky Security Center.

Учетная запись для подключения SVM к сетевому хранилищу данных

Эта учетная запись требуется, если вы используете сетевое хранилище данных для SVM. Сетевое хранилище данных используется для хранения резервных копий файлов, помещенных в резервные хранилища на SVM.

Для подключения SVM к сетевому хранилищу данных требуется учетная запись с правами на чтение и запись в сетевой папке, в которой расположено хранилище.

Рекомендуется ограничить доступ к этой сетевой папке для всех остальных учетных записей.