KasperskySecurity для виртуальных сред Government

Зачастую в виртуальных средах, особенно VDI, присутствует много похожих друг на друга виртуальных машин, на каждой из которых размещены одинаковые файлы. Решения с использованием полнофункциональных агентов впустую тратят время и ресурсы, по много раз проверяя один и тот же файл на разных виртуальных машинах. Технология «Лаборатории Касперского» SharedCache предоставляет общий доступ к результатам проверки файлов, снижая нагрузку на IT-инфраструктуру.

Легкий агент в течение непродолжительного времени может работать в автономном режиме. В этом режиме технологии самозащиты, автоматическая защита от эксплойтов и другие проактивные механизмы продолжают защищать виртуальную машину. Кроме того, создается локальная очередь файлов, которым требуется антивирусная проверка. Проверка будет запущена, когда машина вернется в стандартный режим. Такой подход гарантирует, что каждый объект (файл, скрипт, страница и т. д.) будет проверяться независимо от ситуации.

После изучения среды система в большинстве случаев может выдать вердикт мгновенно, не выполняя ни одного лишнего цикла. Разнообразные и гибкие функции защиты системы значительно сокращают поверхность атаки, не позволяют выполнять на серверах произвольный код и блокируют эксплойты – и все это без заметного увеличения нагрузки на ресурсы. Алгоритмы контроля памяти и данных обнаруживают и обезвреживают атаки шифровальщиков, источником которых являются как узлы, так и сеть.

Контроль целостности системы работает параллельно с контролем программ и защитой от эксплойтов и помогает отслеживать изменение состояния виртуальных машин и дрейф конфигураций. Кроме того, он часто необходим для обеспечения соответствия нормативным требованиям.

Технологии контроля целостности системы включают контроль целостности файлов, мониторинг целостности реестра и управление базовой конфигурацией для виртуальных сред Windows Server.

Шифровальщики принимают различные формы, используют разные методы распространения, атакуют разные объекты, от загрузочной записи жесткого диска (MBR) до пользовательских файлов, и могут контролироваться сервером управления или действовать полностью автономно. Некоторые шифровальщики (так называемые чистильщики) повреждают данные без возможности восстановления.

Поэтому защита от шифровальщиков также должна быть многоуровневой. Решение предотвращает заражение, отслеживая наличие в среде поведения, похожего на работу шифровальщиков, блокируя обмен данными с серверами управления и восстанавливая оригиналы измененных файлов, чтобы устранить ущерб. Также имеется уровень защиты общих данных, который поднимает «красный флажок» в случае повреждения общих файлов по сети, блокирует доступ злоумышленнику к общему ресурсу и уведомляет администратора.

Настраиваемые средства Контроля программ позволяют указать, какие программы можно запускать на каждой виртуальной машине. Таким образом снижаются риски и затраты ресурсов на выполнение ненужных программ.

Можно выбрать политику «Разрешено по умолчанию», которая позволяет выполнять все приложения, кроме внесенных в черный список, или политику «Запрет по умолчанию», которая блокирует все программы, кроме тех, которые приведены в белом списке.

Состав модуля Контроль программ:

• Контроль запуска программ: разрешает или запрещает запуск каждого приложения в защищаемой системе.
• Контроль активности программ: регистрирует приложения и управляет их активностью в соответствии с заданными правилами. Правила определяют, разрешается ли приложению доступ к ресурсам операционной системы и персональным данным пользователя.

Пользователи могут подключаться к компьютеру VDI откуда угодно и с любого устройства, поэтому важно, чтобы виртуальная машина была защищена от угроз, связанных с использованием незащищенных USB-устройств. Контроль устройств позволяет администраторам точно указывать для каждой виртуальной машины в отдельности, к каким съемным устройствам разрешен доступ. Политики контроля можно применить к широкому спектру устройств, включая съемные диски, принтеры, а также к некорпоративным сетевым подключениям.

Веб-Контроль помогает управлять использованием интернета, блокируя доступ виртуальных машин к определенным веб-сайтам или таким автоматически обновляемым категориям, как социальные сети, музыка, видео и веб-сервисы личной электронной почты. Можно назначать разные политики контроля разным должностям, а также блокировать доступ круглосуточно или в определенное время в течение дня.

Используя улучшения механизма развертывания, администраторы безопасности могут автоматизировать установку агентов безопасности и оптимизировать защиту инфраструктуры.

Механизм обнаружения и выбора SVM улучшен для оптимизации развертывания в крупномасштабных средах.

Теперь сервер защиты можно развернуть и настроить через API, благодаря чему сервер защиты можно установить с помощью функций развертывания гипервизора.

С последними улучшениями решение успешно работает в сложных корпоративных инфраструктурах, где организовано несколько логических сетей на базе различных платформ и гипервизоров.

В Kaspersky Security Center имеется разграничение прав администраторов по ролям (RBAC), которое обеспечивает выполнение функций организации, связанных с разделением обязанностей, делегированием задач и аудитом безопасности.

Эта функция очень полезна для организаций с большим отделом обеспечения информационной безопасности, разветвленной или большой и сложной инфраструктурой, в которых обычно имеется несколько серверов управления, а за администрирование безопасности, политики и аудиты отвечают разные люди.

Решение полностью поддерживает связанное и полное клонирование (linked and full cloning). Благодаря предварительной установке легкого агента для подготовки новой виртуальной машины достаточно просто клонирования шаблона. После завершения клонирования новая машина автоматически получает защиту SVM. Таким образом управление инфраструктурой VDI упрощается и исчезает необходимость обновлять защитные продукты в образе VDI.

Если локальное устройство SVM недоступно или перегружено, то Легкие агенты могут использовать SVM на другом узле. Таким образом, в инфраструктуре любого размера не существует единой точки отказа. При значительной нагрузке на виртуальную инфраструктуру Легкие агенты могут практически мгновенно найти наиболее подходящее устройство SVM и подключиться к нему. Таким образом обеспечивается бесперебойная защита всей виртуальной среды в режиме реального времени.

Этот встроенный механизм защищает решение от вредоносных программ, которые пытаются изменить или заблокировать его функции, удалить компоненты (например, антивирусные базы, файлы в карантине, файлы трассировки), отключить или удалить службы приложения. Также самозащита не позволяет изменять и удалять разделы системного реестра, связанные с решением, в гостевой ОС.