Интеграция компонентов Kaspersky Security с виртуальной инфраструктурой VMware

02 июля 2024

ID 90794

Для интеграции компонентов Kaspersky Security с виртуальной инфраструктурой VMware требуется следующее:

  • Сервер управления виртуальной инфраструктурой (VMware vCenter Server, VMware Cloud Director). Компонент предназначен для администрирования и централизованного управления виртуальной инфраструктурой VMware. Компонент участвует в развертывании Kaspersky Security. Сервер интеграции получает от сервера управления виртуальной инфраструктурой информацию о виртуальной инфраструктуре VMware, необходимую для работы программы.
  • VMware NSX Manager. Компонент обеспечивает подготовку гипервизоров VMware ESXi к развертыванию защиты, регистрацию и развертывание служб Kaspersky Security.
  • Виртуальный фильтр. Компонент позволяет перехватывать входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин. В инфраструктуре под управлением VMware NSX-V Manager роль виртуального фильтра выполняет технология VMware DVFilter. В инфраструктуре под управлением VMware NSX-T Manager роль виртуального фильтра выполняют компоненты технологии VMware Network Service Insertion (SI) Service Chaining.
  • Компонент Guest Introspection Thin Agent. Компонент обеспечивает сбор информации на виртуальных машинах и передачу файлов на проверку программе Kaspersky Security. Чтобы программа Kaspersky Security имела возможность защищать виртуальные машины, на этих виртуальных машинах требуется установить компонент Guest Introspection Thin Agent. На виртуальных машинах с операционными системами Windows роль компонента Guest Introspection Thin Agent выполняет NSX File Introspection Driver, который входит в пакет VMware Tools. См. подробнее в документации к продуктам VMware.

  • Служба Guest Introspection. Обеспечивает взаимодействие между компонентом Guest Introspection Thin Agent, установленным на виртуальной машине, и SVM. В инфраструктуре под управлением VMware NSX-T Manager роль службы Guest Introspection выполняет Guest Introspection ESXi Module. В инфраструктуре под управлением VMware NSX-V Manager роль службы Guest Introspection выполняют служебная виртуальная машина Guest Introspection и Guest Introspection ESXi Module.

Компонент Защита от файловых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

  1. Пользователь или какая-либо программа открывает, сохраняет или запускает файлы на виртуальной машине, которая находится под защитой Kaspersky Security.
  2. Компонент Guest Introspection Thin Agent перехватывает информацию об этих событиях и отправляет службе Guest Introspection.
  3. Служба Guest Introspection передает информацию о полученных событиях компоненту Защита от файловых угроз, установленному на SVM.
  4. Если в активной политике Kaspersky Security включена защита от файловых угроз, компонент Защита от файловых угроз проверяет файлы, которые пользователь или какая-либо программа открывает, сохраняет или запускает на защищенной виртуальной машине:
    • Если в файлах не обнаружены вирусы или другие вредоносные программы, Kaspersky Security разрешает доступ к этим файлам.
    • Если в файлах обнаружены вирусы или другие вредоносные программы, Kaspersky Security выполняет то действие, которое указано в параметрах профиля защиты, назначенного этой виртуальной машине. Например, Kaspersky Security лечит или блокирует файл.

Взаимодействие компонента Защита от сетевых угроз с виртуальной инфраструктурой зависит от режима обработки трафика, в котором работает компонент. Если используется стандартный режим обработки трафика, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой VMware по следующей схеме:

  1. Виртуальный фильтр перехватывает входящие и исходящие сетевые пакеты в трафике защищенных виртуальных машин и перенаправляет их компоненту Защита от сетевых угроз, установленному на SVM.
  2. Если в активной политике Kaspersky Security включена защита от сетевых угроз, в соответствии с настроенными параметрами защиты компонент Защита от сетевых угроз может проверять сетевые пакеты на наличие активности, характерной для сетевых атак, и подозрительной сетевой активности, которая может быть признаком вторжения в защищаемую инфраструктуру, а также может проверять все веб-адреса в запросах по протоколу HTTP на принадлежность к категориям веб-адресов, указанных в параметрах проверки веб-адресов.

    Если в сетевом пакете не обнаружена сетевая атака или подозрительная сетевая активность и веб-адрес не принадлежит ни к одной из категорий веб-адресов, выбранных для обнаружения, Kaspersky Security разрешает произвести передачу сетевого пакета.

    Если сетевая угроза обнаружена, Kaspersky Security выполняет следующие действия:

    • Если обнаружена активность, характерная для сетевых атак, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
    • Если обнаружена подозрительная сетевая активность, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или пропускает сетевые пакеты, поступающие с IP-адреса, с которого произведена сетевая атака.
    • Если веб-адрес принадлежит к одной или нескольким категориям веб-адресов, выбранным для обнаружения, Kaspersky Security выполняет то действие, которое указано в параметрах политики. Например, Kaspersky Security блокирует или разрешает доступ к веб-адресу.

Если программа Kaspersky Security развернута в инфраструктуре под управлением VMware NSX-V Manager и сетевая защита работает в режиме мониторинга, компонент Защита от сетевых угроз взаимодействует с виртуальной инфраструктурой по следующей схеме:

  1. Виртуальный фильтр передает компоненту Защита от сетевых угроз копию трафика виртуальных машин.
  2. Если в активной политике Kaspersky Security включена защита от сетевых угроз, в соответствии с настроенными параметрами защиты компонент Защита от сетевых угроз может проверять сетевые пакеты и веб-адреса, как при работе в стандартном режиме. Но в случае обнаружения признаков вторжений или попыток доступа к опасным или нежелательным веб-адресам Kaspersky Security не предпринимает действий по предотвращению угроз, а только передает информацию об обнаружении угроз на Сервер администрирования Kaspersky Security Center.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!