Annexe 2. Kaspersky Security for Virtualization Light Agent. Consulting Team

Transcription

1 Annexe 2 Kaspersky Security for Virtualization Light Agent Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier Rueil Malmaison Cedex

2 Table des matières Table des matières Introduction Protection d une infrastructure virtuelle : les différentes approches Les points forts de Kaspersky Security for Virtualization Light Agent Une sécurité optimisée pour les environnements virtuels Microsoft Hyper-V, Citrix Xen et VMware ESXi Des technologies de lutte contre les programmes malveillants et de contrôle pour la sécurité de Microsoft Hyper-V, Citrix Xen et VMware ESXi Protection de votre réseau contre les attaques Une protection efficace qui minimise l'impact sur les performances Configuration rapide et administration simple, pour une disponibilité réseau accrue et un coût réduit Prise en charge des technologies de base de l'hyperviseur, pour Microsoft Hyper-V, Citrix Xen et VMware ESXi Hyperviseurs et systèmes d'exploitation supportés Kaspersky Security for Virtualization Light Agent Les fonctions Configurations Logicielles et matérielles Architecture de l application Présentation de l architecture de l application Options d installation de la machine virtuelle de protection sur les hyperviseurs Connexion de la machine virtuelle protégée à la machine virtuelle de protection Performance de l infrastructure virtuelle Performance de la machine virtuelle de protection en fonction du nombre de machines virtuelles protégées Performances de l'hyperviseur en fonction du nombre de machines virtuelles Administration centralisée avec Kaspersky Security Center Déploiement de la protection Installation de la machine virtuelle de sécurité Configuration initiale de la machine virtuelle de sécurité Installation des Light Agents Installation sur des machines non-persistantes (VDI)

3 Compatibilité Citrix PVS Structure des ordinateurs administrés Configuration des paramètres de protection Algorithme d analyse des fichiers Technologie d optimisation de l analyse Technologies de détection Stratégies Tâches Mise à jour des bases Surveillance de la protection

4 1. Introduction 1.1. Protection d une infrastructure virtuelle : les différentes approches Avec la généralisation de l usage des technologies de virtualisation, le besoin de solutions de sécurité adéquates est devenu une évidence. Bien qu ils soient sujet aux cyber-attaques comme n importe quel système physique, les environnements virtuels disposent de caractéristiques uniques qui doivent être pris en considération lors du choix des solutions de sécurité. Kaspersky Lab a identifié 3 possibilités pour la sécurisation des environnements virtuels décrites dans le schéma ci-dessous : «Aucune sécurité» n est pas considérée comme une 4 ème option, ce n est pas du tout envisageable! 4

5 La protection traditionnelle basée sur un agent peut offrir une bonne protection des systèmes virtuels mais de mauvaises performances. Le ratio de consolidation est si important dans les environnements virtuels, chaque application installée doit fonctionner de manière optimisée. Les solutions de sécurité qui ne sont pas optimisées pour les environnements virtuels utilisent des ressources précieuses, en installant une copie distincte d un logiciel anti-malware et les fichiers de signature sur chaque machine virtuelle par exemple. Cette duplication est inutile pour ces environnements virtuels. Plus vous pourrez exécuter de machines dans un environnement virtuel, mieux ça sera. Mais lorsque plusieurs machines virtuelles mettent à jour leurs bases de signature des menaces simultanément cela devient un cauchemar pour la consommation de ressources, en créant un «AV storms» (blitz antivirus) avec le risque de bloquer complètement l hôte. Ce phénomène peut aussi se produit lorsque les différentes instances de l antivirus déclenche une analyse de leur système en parallèle. Cela se traduit par un ralentissement global de l infrastructure virtuelle. 5

6 S agissant des systèmes virtualisés, l objectif principal est d avoir un ratio de consolidation optimal, la meilleure densité de machines virtuelles possible. Une protection traditionnelle n est pas efficace dans les environnements virtuels, car elle consomme des ressources qui pourraient être utilisées pour ajouter des machines virtuelles. Dans le cadre d une VDI (Virtual Desktop Infrastructure), les machines virtuelles sont parfois réinitialisées à un état antérieur (snapshot) ou écrasées par une nouvelle image issue d un modèle. Avec le temps, les bases antivirus intégrées dans ce modèle (master) deviennent rapidement obsolètes et le niveau de protection s en trouve affecté. De plus et afin d éviter une 1 ère mise à jour des bases antivirus trop volumineuse pour les machines virtuelles de la VDI après réinitialisation, l administrateur doit régulièrement mettre à jour les bases antivirus dans l image de base. De manière générale, les environnements virtuels dynamiques ne doivent pas être protégés par un antivirus résident dans la machine virtuelle. Cela oblige l administrateur de la solution à déployer la protection à chaque réinitialisation du système ou à subir une mise à jour volumineuse avec d éventuels redémarrages du système. 6

7 Kaspersky Security for Virtualization Agentless se repose sur une appliance virtuelle étroitement intégrée avec la plate-forme VMware. Cette Appliance Virtuelle de Sécurité (SVA) réalise toutes les tâches et protège chaque machine virtuelle de l hôte. Une autre SVA peut également fournir une protection du réseau virtuel VMware contre les attaques. Ces appliances exploitent les technologies vshield Endpoint et vcloud Networking and Security de VMware afin de communiquer directement avec les machines virtuelles sans installer d agent localement. Cette approche «sans agent» de la protection d un environnement virtuel offre les meilleures performances avec une empreinte minime sur les ressources. Par conséquent des ressources processeurs, de stockage et d E/S sont disponibles pour créer plus de machines virtuelles : la densité de machines est ainsi optimisée et l environnement virtuel délivre le meilleur retour sur investissement possible. Cependant, une sécurité optimale des machines virtuelles requière un accès à sa mémoire et ses fichiers, et ces accès ne sont pas disponibles avec une approche «sans agent». 7

8 Kaspersky Security for Virtualization Light Agent se repose également sur une Appliance Virtuelle pour des performances élevées. Un agent léger additionnel doit être installé sur chaque machine virtuelle, offrant ainsi un niveau de sécurité plus élevé. Kaspersky Security for Virtualization Light Agent est une solution intégrée offrant une protection avancée des machines virtuelles fonctionnant sur les hyperviseurs Microsoft Hyper-V, Citrix XenServer ou VMware ESXi. Il est optimisé pour assurer des performances maximales aux machines virtuelles que vous souhaitez protéger contre les menaces connues ou les nouvelles menaces, les escroqueries et les attaques réseau. Chacune de ces menaces est traitée par un module particulier de l'application. Vous pouvez activer ou désactiver les modules indépendamment les uns des autres et configurer leurs paramètres de fonctionnement. L'application protège les machines virtuelles dotées d'un système d'exploitation hôte Microsoft Windows ainsi que les versions serveurs de ces systèmes. 8

9 Outre la protection en temps réel assurée par les modules de l'application, il est conseillé de réaliser une analyse périodique des machines virtuelles et de leurs modèles à la recherche d'éventuels virus et d'autres applications présentant une menace. Cette opération s'impose pour exclure la possibilité de propager des applications malveillantes qui n'auraient pas été détectées par l'application en raison, par exemple, d'un niveau de protection faible. La solution dispose du moteur anti-virus primé de Kaspersky Lab qui offre un taux de détection élevé contre toutes formes de menaces. La console d administration Kaspersky Security Center offre une gestion globale de tous les terminaux virtuels, physiques et mobiles pour une large variété de plate-forme. La gestion des rapports, l administration et l application de stratégies sont intuitives et simple à mettre à gérer. Avec Kaspersky, les professionnels de la sécurité informatique disposent d une vue «simplifiée» des machines protégées, ce qui leur permet d agir en conséquence en cas d incident. Kaspersky Security for Virtualization Light Agent protège efficacement les environnements virtuels et offre aux professionnels de la sécurité informatique les performances élevées, l administration centralisée et la visibilité dont ils ont besoin. 9

10 1.2. Les points forts de Kaspersky Security for Virtualization Light Agent Une sécurité optimisée pour les environnements virtuels Microsoft Hyper-V, Citrix Xen et VMware ESXi L'association parfaite des technologies de protection et de virtualisation Kaspersky Security for Virtualization Light Agent associe les technologies Kaspersky Lab de lutte contre les programmes malveillants et de protection réseau les plus récentes dans une solution spécialement conçue pour les environnements virtuels. Kaspersky Security for Virtualization Light Agent nécessite l'installation d'une seule appliance virtuelle dédiée sur chaque hôte virtuel, là où les produits de sécurité classiques requièrent l'installation d'un agent de sécurité complet sur chaque machine virtuelle. Chaque machine virtuelle n'a ainsi besoin que d'un petit agent logiciel, appelé «Light Agent». Performances des postes de travail et des serveurs virtuels préservées Kaspersky Security for Virtualization Light Agent protège votre environnement virtuel (y compris les serveurs et postes de travail virtuels), avec une incidence minimale sur les performances de l'hyperviseur. Vous êtes donc en mesure de protéger vos systèmes et données d'entreprise sensibles, tout en bénéficiant de ratios de consolidation élevés et en assurant aux utilisateurs une excellente qualité de service. Réduction de la charge imposée à vos systèmes pour une augmentation des performances de chaque hôte Grâce à son architecture unique, Kaspersky Security for Virtualization Light Agent réduit la charge sur chaque hôte virtuel, notamment sur les ressources suivantes : E/S processeur mémoire stockage Élimination des «blitz» dans le cadre de la lutte contre les programmes malveillants La présence d'une seule appliance virtuelle dédiée sur chaque hôte virtuel permet à Kaspersky Security for Virtualization Light Agent d'éliminer les «blitz de mise à jour» et les «blitz antivirus» dans le cadre de la lutte contre les programmes malveillants. Une protection adaptée à la sécurité de Microsoft Hyper-V, Citrix Xen et VMware ESXi Kaspersky Security for Virtualization Light Agent supporte les technologies de virtualisation natives intégrées à Microsoft Hyper-V, Citrix Xen et VMware ESXi. Options de licence flexibles, permettant de simplifier les licences et de réaliser des économies Que vous souhaitiez protéger votre infrastructure informatique en interne ou que vous dirigiez une entreprise gérant de grands centres de données ou des offres IaaS (Infrastructure as a Service), Kaspersky vous propose un large choix de modèles de licences, pour que vous puissiez sélectionner l'option à même de répondre à vos besoins : 10

11 Des technologies de lutte contre les programmes malveillants et de contrôle pour la sécurité de Microsoft Hyper-V, Citrix Xen et VMware ESXi Protection avancée contre les programmes malveillants Kaspersky Security for Virtualization Light Agent offre une protection à l'accès et à la demande contre les programmes malveillants pour vos machines virtuelles, quel que soit leur état actuel. L'appliance virtuelle de sécurité dédiée Kaspersky associe les technologies basées sur les signatures à l'analyse heuristique, pour une protection rigoureuse des systèmes de fichiers sur les machines virtuelles, notamment une protection contre les programmes malveillants complexes résidant dans la mémoire. Prévention automatique des failles d'exploitation (AEP) La technologie AEP de Kaspersky vous protège contre les programmes malveillants qui exploitent les vulnérabilités au sein du système d'exploitation et des applications que vous exécutez. Kaspersky Security Network (KSN) La base de connaissances Kaspersky basée sur le cloud est mise à jour en permanence avec les informations les plus récentes sur la réputation des fichiers, des ressources Web et des logiciels, afin de permettre à Kaspersky Security for Virtualization Light Agent de réagir avec une rapidité extrême face aux menaces de type «zeroday». 11

12 Des outils de contrôle flexibles Les outils primés de contrôle des terminaux (parmi lesquels le contrôle des applications, le contrôle du Web et le contrôle des appareils) ajoutent une couche supplémentaire de protection contre les programmes malveillants et permettent désormais d'appliquer en toute simplicité les politiques de sécurité de votre entreprise dans votre infrastructure virtuelle. Contrôle des applications Les outils de contrôle des applications sont flexibles et vous permettent de décider quelles applications sont autorisées à se lancer sur les ordinateurs clients. Vous pouvez utiliser une politique d'autorisation par défaut, qui autorise l'exécution de toutes les applications, à l'exception des éventuels programmes figurant sur votre liste noire. Vous avez également la possibilité de mettre en œuvre une politique de blocage par défaut, qui bloque tous les programmes, à l'exception de ceux figurant sur votre liste blanche des applications sûres. Contrôle du Web Le contrôle du Web vous permet de gérer l'utilisation d'internet. Vous pouvez ainsi bloquer l'accès aux réseaux sociaux, à la musique, aux vidéos, aux messageries Web non professionnelles et à tout site Web présentant du contenu inapproprié. Vous pouvez définir des contrôles différents en fonction des services et choisir entre appliquer un blocage total ou bloquer simplement l'accès durant des périodes spécifiques. Contrôle des périphériques En plus de spécifier les appareils amovibles autorisés à accéder à vos machines virtuelles, vous pouvez également définir des périodes spécifiques pendant lesquelles les périphériques seront bloqués ou bénéficieront d'un accès autorisé. Les règles de contrôle des périphériques peuvent être appliquées très facilement à une large gamme de périphériques, notamment les lecteurs amovibles, imprimantes, connexions réseau non professionnelles et appareils Wi-Fi Protection de votre réseau contre les attaques Une protection multicouche pour votre réseau Kaspersky Security for Virtualization Light Agent vous protège contre les attaques réseau externes et internes, y compris les menaces pouvant être dissimulées dans le trafic virtuel non transparent. Chaque machine virtuelle est protégée par la sécurité réseau hébergée sur l'hôte, incluant les technologies Kaspersky HIPS, de pare-feu et de blocage des attaques réseau (Network Attack Blocker). Système de prévention des intrusions hébergé sur l'hôte (HIPS) et pare-feu individuel Utilisé avec le pare-feu bidirectionnel de Kaspersky, le système HIPS contrôle à la fois le trafic entrant et le trafic sortant sur votre réseau. Ces outils flexibles vous permettent de contrôler la sécurité selon un large choix de paramètres, en définissant notamment un port, des adresses IP individuelles ou l'activité réseau d'une application spécifique. Blocage des attaques réseau La technologie Network Attack Blocker de Kaspersky surveille le trafic réseau sur l'hyperviseur à la recherche d'éventuelles activités caractéristiques des attaques réseau. En cas de détection, les attaques réseau sont automatiquement bloquées. 12

13 Antiphishing Le moteur antiphishing de Kaspersky bloque automatiquement les liens de phishing, améliorant ainsi fortement la sécurité des environnements de postes de travail virtuels pour vos utilisateurs. Protection renforcée par rapport aux appliances situées au niveau du périmètre Concernant le trafic de virtualisation «non transparent» (c'est-à-dire entre les différentes machines virtuelles), la sécurité Kaspersky, elle-même basée sur une machine virtuelle, offre une protection bien plus proche et donc plus performante des opérations effectuées par des machines virtuelles qui nécessitent d'être sécurisées. En comparaison aux appliances de sécurité situées au niveau du périmètre, cette méthode est bien plus efficace contre les infections réseau internes, comme le ver Conficker Une protection efficace qui minimise l'impact sur les performances Élimination des analyses inutiles, sans nuire à la sécurité Les environnements virtuels comportent souvent plusieurs machines virtuelles semblables qui accèdent chacune à plusieurs fichiers identiques. Certains produits de sécurité exécutent de multiples analyses sur le même fichier, consommant inutilement du temps et des ressources. La fonctionnalité de cache partagé de Kaspersky permet de partager les résultats des analyses de fichiers de façon efficace afin de minimiser la charge sur vos machines hôtes. Cache partagé À chaque fois qu'un utilisateur ouvre un fichier sur une machine virtuelle, Kaspersky Security for Virtualization Light Agent analyse le fichier afin de s'assurer qu'il est sûr, puis enregistre le résultat dans le cache partagé. Si le même fichier est ouvert sur une autre machine virtuelle du même hôte virtuel, Kaspersky Security for Virtualization Light Agent détecte automatiquement qu'il n'est pas nécessaire d'effectuer une autre analyse. Le fichier ne sera analysé de nouveau que s'il est modifié ou si l'utilisateur effectue une demande manuelle d'analyse Configuration rapide et administration simple, pour une disponibilité réseau accrue et un coût réduit Extrêmement simple à déployer et à administrer Une fois l'appliance virtuelle de sécurité dédiée installée sur l'hôte virtuel, les agents légers sont automatiquement distribués sur chaque machine virtuelle. Il est possible d'appliquer très facilement différents paramètres de sécurité à différents groupes de machines virtuelles, ce qui permet d'exclure des fonctions de sécurité particulières si celles-ci ne sont pas pertinentes pour une machine virtuelle ou un groupe de machines spécifique. Aucun redémarrage requis de l'hyperviseur ou des machines virtuelles Pendant le déploiement, il n'est pas nécessaire de redémarrer les machines ou de placer l'hôte en mode «maintenance». Cette caractéristique permet de préserver la productivité de l'utilisateur et 13

14 s'avère essentielle pour les centres de données qui s'engagent à fournir un temps d'activité à «cinq neuf» (99,999 %), voire mieux. Une console d'administration centralisée, pour gérer tous les appareils physiques, virtuels et mobiles Kaspersky Security for Virtualization Light Agent comprend Kaspersky Security Center, une console de gestion facile à utiliser, qui vous permet de configurer et de contrôler un large éventail de technologies Kaspersky d'administration de systèmes et de sécurité via une console unique. Kaspersky Security Center met à votre disposition une console unique pour administrer la sécurité dans : Vos environnements virtuels, notamment : o Microsoft Hyper-V o o Citrix Xen VMware ESXi (qu il soit protégé avec Kaspersky Security for Virtualization Agentless ou Kaspersky Security for Virtualization Light Agent) Vos appareils physiques, notamment : o ordinateurs portables o ordinateurs de bureau o serveurs Vos appareils mobiles, notamment : o smartphones o tablettes Prise en charge des technologies de base de l'hyperviseur, pour Microsoft Hyper-V, Citrix Xen et VMware ESXi 14

15 Une intégration fine qui renforce les performances et la sécurité Grâce à l'intégration fine de Kaspersky Security for Virtualization Light Agent avec Microsoft Hyper- V, Citrix Xen et VMware ESXi, vous bénéficiez de performances optimisées et de la prise en charge des technologies de base dans l'hyperviseur sélectionné. Support de Microsoft Hyper-V Les technologies de Microsoft Hyper-V supportées par Kaspersky Security for Virtualization Light Agent incluent les éléments suivants : Mémoire dynamique Volumes partagés de cluster Sauvegarde instantanée Support de Citrix Xen Les technologies de Citrix Xen prises en charge par Kaspersky Security for Virtualization Light Agent incluent les éléments suivants : Contrôle dynamique de la mémoire Protection et récupération de machine virtuelle (VMPR) XenMotion (migration en direct) Multi-stream ICA Citrix Receiver Personal vdisk Support de VMware ESXi Les technologies de VMware supportées par Kaspersky Security for Virtualization Light Agent incluent les éléments suivants : vcenter Linked Mode vsphere High Availability (HA) Distributed Power Management (DPM) vmotion Horizon View 15

16 Hyperviseurs et systèmes d'exploitation supportés Hyperviseurs supportés : Microsoft Windows Server 2008 R2 Hyper-V SP1 (en mode d installation complète ou en mode Server Core) Microsoft Windows Server 2012 Hyper-V (en mode d installation complète) Microsoft Windows Server 2012 R2 Hyper-V (en mode d installation complète ou en mode Server Core) Citrix Xen 6.1 Citrix Xen 6.2 SP1 VMware ESXi 5.1u2 VMware ESXi 5.5 Systèmes d exploitation invites supportés : Systèmes «Postes de travail» : o Microsoft Windows 7 Entreprise (32 / 64-bit) o Microsoft Windows 7 Professionnel SP1 (32 / 64-bit) o Microsoft Windows 8 Professionnel/Entreprise (32 / 64-bit) o Microsoft Windows 8.1 Professionnel/Entreprise (32 / 64-bit) Systèmes «Serveurs» : o Microsoft Windows Server 2003 R2 Standard/Entreprise SP2 (32 / 64-bit) o Microsoft Windows Server 2008 R2 Standard/Entreprise SP1 (64-bit) o Microsoft Windows Server 2012 (64-bit) o Microsoft Windows Server 2012 R2 (64-bit) Note : le support du système d exploitation invité dépend de la technologie de virtualisation utilisé. Voir le chapitre correspondant pour plus d informations. 16

17 2. Kaspersky Security for Virtualization Light Agent 2.1. Les fonctions Les modules suivants de l'application sont les modules de contrôle : Contrôle du lancement des applications : ce module recense les tentatives de lancement des applications par les utilisateurs et régule ce processus. Contrôle de l'activité des applications : ce module enregistre les actions réalisées par les applications sous le système d'exploitation de la machine virtuelle protégée et gère l'activité des applications en fonction du groupe dans lequel le module place chaque application. Surveillance des vulnérabilités : Le module Surveillance des vulnérabilités analyse en temps réel les applications exécutées sous le système d'exploitation de la machine virtuelle protégée. Contrôle des périphériques : Ce module permet d'établir en toute souplesse des restrictions d'accès aux périphériques tenant lieu de sources de données, d'outils de transmission des informations, d'outils de conversion des données en copie physique et d'interfaces permettant aux périphériques de se connecter à la machine virtuelle protégée. Contrôle Internet. Ce module permet de configurer en toute souplesse des restrictions d'accès aux sites Internet pour différents groupes d'utilisateurs. Les modules de protection sont les modules suivants : Antivirus Fichiers : Ce module permet d'éviter l'infection du système de fichiers du système d'exploitation de la machine virtuelle protégée System Watcher : Ce module récolte des données sur l'activité des applications sous le système d'exploitation de la machine virtuelle protégée et transmet ces informations aux autres modules afin de garantir une protection plus efficace. Antivirus Courrier : Ce module analyse l'ensemble des messages entrants et sortants à la recherche d'éventuels virus et d'autres applications présentant une menace. Antivirus Internet : Ce module analyse le trafic entrant sur la machine virtuelle protégée via les protocoles HTTP et FTP et définit si un lien appartient à la base des URL malveillantes ou de phishing. Antivirus IM : Ce module analyse le trafic qui arrive sur la machine virtuelle protégée via les protocoles de messagerie instantanée. Pare-feu : Ce module assure la protection des informations personnelles stockées dans le système d'exploitation de la machine virtuelle protégée de l'utilisateur en bloquant toutes les menaces éventuelles pour le système d'exploitation lorsque la machine virtuelle protégée est connectée à Internet ou au réseau local. Surveillance du réseau : Ce module est prévu pour consulter en temps réel les informations sur l'activité réseau de la machine virtuelle protégée. Prévention des intrusions : Ce module recherche dans le trafic entrant toute trace d'activité réseau caractéristique des attaques réseau. 17

18 La disponibilité de ces modules de contrôle et de protection dépend du système d exploitation de la machine virtuelle : Modules de sécurité Poste de travail KSV Light Agent Serveur Antivirus Fichiers Antivirus Courrier Antivirus Internet Antivirus IM (Messagerie Instantanée) Désinfection avancée System Watcher (Surveillance d activité) Surveillance des applications HIPS Pare-feu Détection des intrusions Contrôle des applications Contrôle des périphériques Filtrage de contenu Internet Détection des vulnérabilités KSN (Kaspersky Security Network) 18

19 Administration du logiciel L'administration de l'application s'opère via l'interface locale de la machine virtuelle et l'administration à distance s'effectue via le Kaspersky Security Center. L'application Kaspersky Security Center permet d'administrer les Light Agent en fonction de stratégies et de tâches. Ces paramètres sont utilisés pour l analyse des fichiers, la mise à jour des bases de données, etc. Au lancement, le Light Agent établit une connexion à la machine virtuelle de sécurité. Lorsque l utilisateur ouvre un fichier, le Light Agent intercepte cette opération. Une décision est alors prise concernant l analyse de ce fichier et il est transféré à la machine virtuelle de protection le cas échéant. Le résultat est alors transmis au Light Agent, qui applique l action correspondante : autoriser l accès, désinfecter, ou supprimer. Les données sont transmises entre le Light Agent et la machine virtuelle de sécurité via une connexion TCP protégée par le certificat du Serveur d Administration. 19

20 L'administration de l'application via l'interface locale de la machine virtuelle s'opère en fonction de tâches et de la configuration des paramètres de l'application. 20

21 Services de l'application Kaspersky Security for Virtualization Light Agent propose plusieurs services. Les fonctions de service servent à maintenir le logiciel à jour, à élargir les fonctions de l'application et à fournir de l'aide pendant l'utilisation de l'application. Rapports. Pendant le fonctionnement de l'application, celle -ci génère un rapport pour chaque module et chaque tâche de l'application. Le rapport contient la liste des événements survenus pendant le fonctionnement de Kaspersky Security for Virtualization Light Agent et de toutes les opérations exécutées par l'application. Stockage des données. Si l'application détecte des fichiers infectés ou suspects lors de la recherche d'éventuels virus ou applications dangereuses dans le système d'exploitation de la machine virtuelle protégée, elle bloque les fichiers en question. Kaspersky Security for Virtualization Light Agent déplace les fichiers potentiellement infectés vers un stockage spécial : la quarantaine. L application sauvegarde les copies des fichiers réparés ou supprimés dans le dossier de sauvegarde. Service des notifications. Le Service des notifications tient l'utilisateur informé sur l'état de la protection du système d'exploitation de la machine virtuelle protégée et sur le fonctionnement de Kaspersky Security for Virtualization Light Agent. Les notifications peuvent être affichées à l'écran ou envoyées par courrier électronique. Kaspersky Security Network. La participation à Kaspersky Security Network permet d'améliorer l'efficacité de la protection du système d'exploitation de la machine virtuelle protégée grâce à une collecte productive des informations sur la réputation des fichiers, des ressources Internet et des applications reçus depuis le monde entier par l'utilisateur. 21

22 Licence. L'utilisation de l'application via une licence commerciale permet l'utilisation de l'ensemble des fonctions de l'application, l'accès à la mise à jour de ses bases, l'obtention d'informations détaillées et le recours aux experts du Service de support technique de Kaspersky Lab. Mise à jour. Kaspersky Security charge les mises à jour de la base de l'application. Ceci garantit que la protection du système d'exploitation de la machine virtuelle est à jour contre les nouveaux virus et autres programmes dangereux. Support Technique. Tous les utilisateurs inscrits de Kaspersky Security peuvent bénéficier de l'aide des experts du Support Technique de Kaspersky Lab. Vous pouvez envoyer une requête via le service en ligne Kaspersky CompanyAccount sur le site du Support Technique. 22

23 2.2. Configurations Logicielles et matérielles Le tableau ci-dessous dresse la liste des hyperviseurs supportés et des systèmes d exploitation des machines virtuelles : Système d exploitation invité installé dans la machine virtuelle Hyperviseurs Microsoft Windows Server (Hyper-V) Hyperviseurs Citrix XenServer Hyperviseurs VMware ESXi Windows 7 Entreprise (32 / 64-bit) Windows 7 Professionnel SP1 (32 / 64- bit) Windows 8 Pro / Enterprise (32 / 64-bit) Windows 8.1 Pro / Enterprise (32 / 64- bit) Windows Server 2003 R2 Standard SP2 (32 / 64-bit) Windows Server 2008 R2 Standard SP1 (64-bit) Windows Server 2012 (64-bit) Windows Server 2012 R2 (64-bit) La machine virtuelle de sécurité (aussi appelée «Appliance Virtuelle de Sécurité») doit disposer au minimum des ressources systèmes suivante : processeur virtualisé cadencé à 2 GHz ; 2 Go de mémoire vive disponible ; volume de l'espace libre sur le disque : 30 Go ; interface réseau virtualisée avec bande passante de 100 Mbit/s. Vous pouvez réguler les performances de la machine virtuelle de protection à l aide des ressource qui lui sont octroyées (reportez-vous à la section «Performance de l infrastructure virtuelle»). 23

24 Pour l installation et le bon fonctionnement du module Light Agent, la machine virtuelle doit satisfaire aux configurations minimales en fonction du système d exploitation hôte qui y est installé : Système d exploitation Windows 7 Entreprise / Professionnel SP1 (32- bit) Windows 7 Entreprise / Professionnel SP1 (64- bit) Cadence du processeur virtualisé (GHz) Mémoire vive disponible (Go) Espace disque disponible sur le disque (Go) Bande passante de l interface Réseau virtualisée (Mbit/s) Windows 8 Pro / Enterprise (32-bit) Windows 8 Pro / Enterprise (64-bit) Windows 8.1 Pro / Enterprise (32-bit) Windows 8.1 Pro / Enterprise (64-bit) Windows Server 2003 R2 Standard SP2 (32-bit) Windows Server 2003 R2 Standard SP2 (64-bit) Windows Server 2008 R2 Standard SP1 (64-bit) Windows Server 2012 (64-bit) Windows Server 2012 R2 (64-bit) Architecture de l application Présentation de l architecture de l application Les modules suivants font partie du programme : Serveur de protection de Kaspersky Security for Virtualization Light Agent (ci-après "Serveur de protection"). Light Agent de Kaspersky Security (ci-après "Light Agent"); Le serveur de protection se présente sous la forme d'une image de machine virtuelle de protection. La machine virtuelle de protection est une machine virtuelle dotée d'un module Serveur de protection sur un hyperviseur. La machine virtuelle de protection doit être installée sur chaque hyperviseur dont vous souhaitez protéger les machines virtuelles à l'aide de Kaspersky Security. 24

25 Le Light Agent s'installe sur les machines virtuelles et les modèles de machines virtuelles. Machine virtuelle protégée : machine virtuelle dotée du module Light Agent de l'application. Le Light Agent doit être installé sur chaque machine virtuelle à protéger à l'aide de Kaspersky Security for Virtualization Light Agent. Le Light Agent s'installe soit : Via l'interface locale de la machine virtuelle A distance via le Kaspersky Security Center Via l'éditeur d'administration des stratégies de groupe des services de catalogue (Active Directory Group Policies). La configuration et l'administration du fonctionnement de l'application s'effectue à distance via le Kaspersky Security Center, ainsi que via l'interface locale du Light Agent. L'interaction entre Kaspersky Security for Virtualization Light Agent et l'application Kaspersky Security Center est assurée par l'agent d'administration, le module de Kaspersky Security Center. L'Agent d'administration figure dans l'image de la machine virtuelle de protection de Kaspersky Security for 25

26 Virtualization Light Agent. Si vous souhaitez administrer le fonctionnement du Light Agent installé sur les machines virtuelles protégées avec le Kaspersky Security Center, il est nécessaire d'installer l'agent d'administration sur ces machines virtuelles. Si l'agent d'administration n'est pas installé sur la machine virtuelle protégée, l'administration du fonctionnement du Light Agent sur cette machine virtuelle s'effectue via l'interface locale du Light Agent. Lors du lancement, le Light Agent met en place et assure la connexion au Serveur de protection. Par défaut, le Light Agent se connecte au Serveur de protection installé sur la machine virtuelle de protection située sur l'hyperviseur comportant la machine virtuelle protégée. Le Serveur de protection remplit les fonctions suivantes : Identifie le Light Agent installé sur la machine virtuelle protégée. Collecte les informations en temps réel sur l'état de l'infrastructure virtuelle et les transmet au Light Agent et à l'application Kaspersky Security Center. Recherche les virus et les autres menaces à la sécurité des fichiers de l'ensemble des machines virtuelles sur lesquelles le Light Agent est installé. Utilisation de la technologie de cache partagé qui permet d'optimiser la vitesse d'analyse des fichiers en excluant les fichiers ayant déjà été analysés sur une autre machine virtuelle. Au cours de l'exécution de l'application sur la machine virtuelle de protection, des informations concernant les fichiers analysés sont sauvegardées afin que ceux-ci ne soient pas analysés de nouveau. S'il n'existe aucune information sur le fichier à analyser dans le cache de la machine virtuelle de protection, l'analyse via le KSN est possible, sous réserve que vous participiez au Kaspersky Security Network. 26

27 Charge le paquet de mise à jour depuis le stockage du Serveur d'administration Kaspersky Security Center dans le dossier de la machine virtuelle de protection et met à jour les bases de l'application sur cette dernière. Les mises à jour des bases de l'application indispensables au bon fonctionnement du Light Agent se chargent à partir du dossier de la machine virtuelle de protection vers la machine virtuelle protégée. Contrôle les clés et les restrictions de licence. L'activation de l'application s'effectue via l'ajout de la clé sur l'ensemble des machines virtuelles de protection. Suite à l'ajout de la clé sur les machines virtuelles de protection, le module Serveur de protection transmet les informations sur la licence au module Light Agent installé sur les machines virtuelles protégées. 27

28 Options d installation de la machine virtuelle de protection sur les hyperviseurs Installation sur des hyperviseurs autonomes Les machines virtuelles de protection doivent être installées sur les hyperviseurs de l'infrastructure virtuelle comportant les machines virtuelles que vous souhaitez protéger à l'aide de l'application Kaspersky Security for Virtualization Light Agent. Installation sur les hyperviseurs en clusters L un des avantages principaux des clusters dans les environnements virtuels résident dans le regroupement des ressources. Les stratégies de répartition des charges permettent de déplacer automatiquement les machines virtuelles d un serveur subissant une charge plus élevée vers un serveur disposant de plus de ressources. 28

29 Lorsque qu elles sont installées dans un cluster, les machines virtuelles de protection ne doivent pas se déplacer afin d éviter la situation ou aucune machine virtuelle de protection ne soit présente sur un hôte, ou, au contraire, qu il y ait plusieurs d entre elles sur le même hôte. De plus, il est très important de démarrer automatiquement ces machines virtuelles de protection avec les hyperviseurs afin d assurer une protection lorsque le serveur physique est redémarré pour une maintenant ou suite à une panne. VMware vsphere L assistant d installation des machines virtuelles de sécurité effectue les changements nécessaires dans la configuration du cluster et des hôtes ESXi. La répartition des charges est assurée par le service Distributed Resource Scheduler (DRS) dans VMware vsphere, elle est configurée au niveau du cluster. Cette fonction est automatiquement désactivée pour les machines virtuelles de protection Le démarrage automatique des machines virtuelles de protection est également configuré dans les propriétés des hôtes ESXi. 29

30 Microsoft Hyper-V La répartition des charges est assurée par System Center Virtual Machine Manager (SCVMM) mais l assistant d installation n interagit pas avec ce composant. L administrateur doit exclure les machines virtuelles de sécurité de la stratégie de répartition des charges depuis les propriétés de ces machines virtuelles. Le démarrage automatique des machines virtuelles est automatiquement activée dans Hyper-V, à partir du moment où ces machines étaient démarrées lors de l arrêt de l hyperviseur. Vous pouvez configurer le démarrage automatique des machines virtuelles de sécurité même si elles n étaient pas démarrées au préalable depuis leurs propriétés. Citrix XenServer Dans un pool de ressources, chaque hôte peuvent disposer d un référentiel local propre. Une machine virtuelle de protection installée dans un référentiel local ne peut pas être déplacée. Un référentiel partagé peut être connecté à ce pool. Lorsqu un référentiel partagé est utilisé, les machines virtuelles ne sont pas liées à un hôte spécifique et peuvent être exécutées sur l un des hôtes disposant de suffisamment de RAM. Il n y a pas d exception pour la machine virtuelle de protection. Plusieurs d entre elles peuvent être exécutées sur l un des hôtes, et aucune sur un autre hôte c est pourquoi il est nécessaire d assigner un hôte prioritaire sur lequel la machine virtuelle démarrera. Cette manipulation s effectue depuis l onglet «Home Server» des propriétés de la machine virtuelle de sécurité. 30

31 31

32 Connexion de la machine virtuelle protégée à la machine virtuelle de protection Lorsqu il est démarré, le Light Agent doit établir une connexion à la machine virtuelle de sécurité. Il lui est impossible de trouver l adresse de cette machine directement, car cette information n est pas stockée de manière centralisée. C est pourquoi le multicast est utilisé pour la découverte de ces machines virtuelles de sécurité. Elles envoient des paquets spéciaux avec les informations nécessaires pour les Light Agent. Un Light Agent réceptionne les paquets issus du multicast et sélectionne la machine virtuelle de sécurité positionnée sur le même hyperviseur. Si la machine virtuelle de sécurité ne peut être contactée, une connexion est établie à une autre machine virtuelle de sécurité à laquelle sont connectés le plus faible nombre d Agents. Dès que la machine virtuelle de sécurité située sur le même hyperviseur que la machine virtuelle protégée devient accessible, le Light Agent s y connecte. Il est possible de désactiver cette fonction de recherche de la machine virtuelle de protection et d indiquer précisément celle à laquelle le Light Agent installé sur la machine virtuelle doit se connecter. 32

33 2.4. Performance de l infrastructure virtuelle Performance de la machine virtuelle de protection en fonction du nombre de machines virtuelles protégées Les ressources système suivantes sont attribuées par défaut à la machine virtuelle de protection : 2 processeurs virtualisés (vcpu) ; processeur virtualisé cadencé à 2 GHz ; 2 Go de mémoire vive disponible ; volume de l'espace libre sur le disque : 30 Go ; interface réseau virtualisée avec bande passante de 100 Mbit/s. 75 flux parallèles d'analyse des fichiers s'exécutant sur la machine virtuelle de protection. Vous pouvez réguler les performances de la machine virtuelle de protection en fonction du nombre de machine virtuelles qu elle protège. Lors de l'utilisation des ressources système attribuées par défaut à la machine virtuelle de protection, elle peut interagir avec 50 à 70 machines virtuelles protégées dans le cadre d'une activité utilisateurs de niveau moyen. Si la quantité de machines virtuelles protégées dépasse 70 ou que les machines virtuelles protégées sont utilisées de manière intensive, il est recommandé d'augmenter les quantités de ressources système octroyées à la machine virtuelle de protection. Vous pouvez utiliser les formules suivantes pour calculer la quantité de ressources système nécessaire en fonction du nombre de machines virtuelles protégées : Paramètre Formule 50 VM 75 VM 100 VM 125 VM 150 VM Flux d analyse VMs x 1.5* RAM (Go) 1 + (Flux d analyse - 25) / CPU (cores) VMs / 40** * 50 flux d analyse minimum ** 2 minimum et ne doit pas être supérieur au nombre de cœurs physiques de l hôte (en prenant en compte la technologie HyperThreading) Si la quantité de machines virtuelles protégées dépasse 70, il est conseillé non seulement d'augmenter la quantité de ressources système attribuées à la machine virtuelle de protection, mais également la quantité de flux parallèles d'analyse des fichiers s'exécutant sur cette machine. 33

34 Performances de l'hyperviseur en fonction du nombre de machines virtuelles Le nombre maximal de machines virtuelles pouvant fonctionner sur l'hyperviseur sans entraîner de perte de performances dépend de nombreux facteurs, parmi lesquels : le type d'hyperviseur utilisé, les ressources matérielles, les systèmes d'exploitation hôtes des machines virtuelles, les paramètres et le profil de la charge sur les systèmes d'exploitation hôtes des machines virtuelles. Les tests internes de Kaspersky Lab ont montré que le sous-système de disques de l'hyperviseur s'avérait être la ressource clé lors de l'utilisation d'une infrastructure de postes de travail virtuels (Virtual Desktop Infrastructure). Lorsque l'application Kaspersky Security for Virtualization est installée, le nombre total d'opérations d'entrée/sortie par seconde (IOPS) de l'hyperviseur augmente de la manière suivante : dans le cadre d'une charge de bureau classique : environ de 15 % (10 % en lecture et 35 % en écriture) ; au démarrage du système d'exploitation des machines virtuelles (50 machines virtuelles lancées à un intervalle de 20 secondes) : environ de 20 % (pic à 40 %). 34

35 3. Administration centralisée avec Kaspersky Security Center 3.1. Déploiement de la protection L installation de Kaspersky Security for Virtualization Light Agent dans l infrastructure virtuelle nécessite de respecter une certaine organisation : Planification. Le déploiement de la protection nécessite l installation de Kaspersky Security Center. Le déploiement et l administration des Light Agents impliquent que le Serveur d Administration ait accès à toutes les machines virtuelles qui seront protégées. A ce stade il est nécessaire de définir l emplacement des machines virtuelles de protection. L installation d une machine virtuelle de sécurité par hyperviseur est recommandée. La connexion réseau doit répondre aux exigences principales de la machine virtuelle de sécurité : Connexion à Kaspersky Security Center (pour la réception des mises à jour, des stratégies, mais également pour l envoi des événements) ; Connexion à toutes les machines virtuelles protégées Capacité à multi-diffuser (multicast) sur toutes les machines virtuelles (au moins au sein de l hôte) Installation de Kaspersky Security Center. Kaspersky Security Center peut être installé sur une machine physique ou virtuelle. Cette machine doit avoir accès à toutes les machines virtuelles qui seront protégées. Installation des machines virtuelles de sécurité. Utiliser Kaspersky Security Center pour déployer les machines virtuelles de sécurité sur chaque hyperviseur. L assistant d installation spécifie automatiquement tous les réseaux disponibles sur l hyperviseur et permet de spécifier le stockage ou sera stocké le disque de la machine virtuelle. Installation des Light Agents. En dernier lieu, les Light Agents sont déployés sur les machines virtuelles qui sont protégées. 35

36 3.2. Installation de la machine virtuelle de sécurité Les machines virtuelles de protection doivent être installées sur les hyperviseurs de l'infrastructure virtuelle comportant les machines virtuelles que vous souhaitez protéger à l'aide de l'application Kaspersky Security. Chaque hyperviseur peut comporter une machine virtuelle de protection. Il est possible d'installer plusieurs machines virtuelles de protection dans le stockage commun du pool de serveurs Citrix XenServer. Pour l administrateur, la procédure d installation est identique quel que soit le type d hyperviseur. Elle se déroule en plusieurs étapes : 36

37 Sélection de l hyperviseur. L administrateur sélectionne l hôte pour l installation de la machine virtuelle de sécurité. A cette étape il est nécessaire de spécifier : Le type d hyperviseur (vcenter, Hyper-V ou XenServer) L adresse IP de l hyperviseur Le nom d utilisateur et le mot de passe du compte administrateur de l hyperviseur 37

38 Consultation des paramètres de l hyperviseur (Hyper-V ou Citrix XenServer). Les informations sur l hyperviseur sélectionné s affichent. 38

39 Sélection de l image. La machine virtuelle de protection est basée sur SUSE Linux Enterprise Server 11 SP2. Elle est fournie sous la forme d un modèle en différents formats : Hyper-V (*.vhd), XenServer (*.xva) et VMware (*.ova). 39

40 Choix des hôtes pour l installation de la machine virtuelle de protection (VMware). Les informations relatives à la liste des hôtes sélectionnées s affichent dans l assistant. 40

41 Configuration la machine virtuelle de sécurité (Hyper-V ou Citrix XenServer). A cette étape, l administrateur sélectionne l emplacement de stockage pour la machine virtuelle de sécurité, mais également le réseau auquel elle sera connectée (sur Hyper-V, il est possible de spécifier l identificateur du VLAN). 41

42 Configuration la machine virtuelle de sécurité (VMware). A cette étape, l administrateur sélectionne l emplacement de stockage pour les machines virtuelles de sécurité, mais également le réseau auquel elles seront connectées. 42

43 Paramètres réseau de la Machine Virtuelle de Sécurité. Par défaut, la Machine Virtuelle de Sécurité récupère les paramètres réseaux depuis un DHCP, mais la configuration statique de ces paramètres est aussi possible. Si la configuration dynamique est sélectionnée, vous pouvez toutefois définir la liste des serveurs DNS manuellement. 43

44 Configuration des accès à la machine virtuelle de sécurité et la connexion au Serveur d Administration. La machine virtuelle de sécurité dispose de 2 comptes, l un est utilisé pour la configuration de cette machine via SSH et l autre pour la consultation des logs, les changements de configuration de l application ou encore pour le dépannage. 44

45 Configuration de la connexion de la Machine Virtuelle de Sécurité à l hyperviseur. La Machine Virtuelle de Protection contacte l hyperviseur afin de définir le nombre de cœurs des processeurs présents sur le serveur (pour le comptage des licences), et pour la découverte des Light Agents. En fonction du type d hyperviseur, ce compte requière des privilèges spécifiques. Installation dans un cluster Hyper-V de volumes partagés Les clusters de volumes partagés (CSV) permettent à plusieurs nœuds d avoir un accès en lecture/écriture simultanément sur un disque. Le disque doit alors être accessible via un bus partagé, par exemple, iscsi, FCoE ou SAS. Habituellement, CSV est utilisé dans un cluster failover. L assistant d installation de la Machine Virtuelle de Sécurité considère le CSV comme le stockage local de l hyperviseur. Il faut simplement prêter attention à sélectionner différents chemins pour les disques virtuels de Machines Virtuelles de Protection des différents nœuds du cluster, afin d éviter un conflit dans les noms. 45

46 46

47 Fin de l assistant d installation. Les informations relatives à l installation des machines virtuelles de protection sur les hyperviseurs s affichent. 47

48 L assistant affiche un lien vers le fichier comportant le journal de l assistant. 48

49 3.3. Configuration initiale de la machine virtuelle de sécurité L activation de la machine virtuelle de sécurité nécessite l installation d une licence, cette action est réalisée via une tâche. Les Lights Agents ne doivent pas être activé, ils reçoivent les informations nécessaires sur la licence lorsqu ils se connectent à la machine virtuelle de sécurité. 49

50 Il est également nécessaire de configurer une tâche de mise à jour pour la machine virtuelle de sécurité. Les Light Agents téléchargeront automatiquement une partie des mises à jour depuis un dossier partagé de la machine virtuelle de sécurité. 50

51 3.4. Installation des Light Agents Le module Light Agent peut être installé sur la machine virtuelle de différentes manières : En local en mode interactif, à l aide de l assistant d installation. Ce mode est conseillé pour l installation du module sur les modèles de machines virtuelles (VDI). En local en mode silencieux, à partir d une ligne de commande de type setup.exe ou msiexec /i Différents paramètres peuvent être gérés pour le redémarrage ou encore la définition d un mot de passe de protection de l application. A distance, à l aide de l application Kaspersky Security Center via une tâche de déploiement. A distance, à l aide de l éditeur d administration des stratégies de groupe du service de catalogues (Active Directory Group Policies). Avant l installation du module Light Agent, le processus d installation vérifie les conditions suivantes : La conformité du système d exploitation de la machine virtuelle selon les prérequis (cf chapitre Hyperviseurs et systèmes d'exploitation supportés) L absence d applications incompatibles sur la machine virtuelle. Une recherche est effectuée afin de détecter les applications qui, lorsqu elles fonctionnent simultanément, peuvent entraîner des conflits. Dans le cadre d un déploiement distant, la suppression est silencieuse et ne nécessite aucune interaction avec l utilisateur. 51

52 L installation du module Light Agent s enchaîne sans redémarrage intermédiaire Installation sur des machines non-persistantes (VDI) La virtualisation des postes de travail (VDI) permet aux entreprises de simplifier et de centraliser l administration. Une VDI est basée sur un modèle (une image maître), un ensemble de machines virtuelles sont créées depuis ce modèle par clonage. Lorsque ces clones sont assignés aléatoirement aux utilisateurs et lorsque l exploitation de ces machines virtuelles est terminée, elles sont généralement restaurées à leur état initial ce qui annule toutes les modifications apportées. Ces machines virtuelles sont «non-persistantes». L Agent d Administration Kaspersky dispose d un mode spécial pour cet environnement : le mode dynamique pour VDI. Lorsqu une machine virtuelle est stoppée, l Agent d Administration envoi alors un signal spécial au Serveur d Administration afin de supprimer ses informations dans le Serveur d Administration. Lorsque la machine virtuelle est stoppée et si l Agent ne peut envoyer ce signal au Serveur d Administration, ses informations seront supprimées à l expiration de la période de visibilité (3 intervalles de synchronisation par défaut, soit 45 minutes). 52

53 Dans ce mode l Agent d Administration change son identifiant à chaque démarrage, évitant ainsi le mélange des hôtes dans la Console d Administration. Il existe également une option d optimisation des paramètres de l Agent d Administration pour les infrastructures virtuelles, qui désactive la collecte des informations sur le matériel, les applications installées et les vulnérabilités détectées Compatibilité Citrix PVS La technologie Provisionning Services permet aux clients ou aux périphériques cibles (terminologie Citrix) de démarrer via le réseau depuis un disque virtuel (vdisk). 53

54 Kaspersky Security for Virtualization Light Agent dispose d une option afin d assurer la compatibilité avec le système PVS. Afin d assurer un fonctionnement optimal du Light Agent avec Citrix PVS, les exclusions recommandées sont disponibles par défaut dans l assistant de création d une stratégie de protection. 54

55 3.5. Structure des ordinateurs administrés Afin de gérer efficacement les machines virtuelles protégées, il est recommandé de créer la structure des groupes d administration et d y définir les tâches et stratégies comme suit : Machines virtuelles de sécurité (serveurs de protection) Machines virtuelles persistantes (si existantes) Machines virtuelles non-persistantes (VDI, si existantes) Ces groupes peuvent être alimentés manuellement ou automatiquement à l aide de règles de déplacement automatique. Divers critères de déplacement sont disponibles pour le déplacement des machines dans les groupes : par exemple, les paramètres réseaux, l appartenance à un groupe ou à une Unité d Organisation Active Directory. 55

56 56

57 Les machines virtuelles peuvent être séparées des machines physiques, et les machines virtuelles qui fonctionnent sur une plate-forme (par exemple, ESXi, Hyper-V) peuvent aussi être dissociées de celles qui sont présentes sur une autre plate-forme. Un autre paramètre est disponible pour distinguer les machines virtuelles membres d une VDI, ce qui permet de les assigner au groupe d administration correspondant. 57

58 Les machines virtuelles de sécurité peuvent être déplacées automatiquement à partir des repères définis au préalable dans les règles de déplacement automatique Configuration des paramètres de protection Algorithme d analyse des fichiers Une requête réseau pour l analyse d un fichier prend toujours plus de temps qu une vérification locale des exclusions et/ou du cache ; de plus, ces opérations ne consomment pas de ressources. Pour cette raison, le Light Agent traite les exclusions et le cache local, alors que la machine virtuelle de sécurité analyse les fichiers. Elle contient également un cache partagé, qui stocke les informations sur les fichiers analysés en provenance de toutes les machines virtuelles invitées. L algorithme d analyse est le suivant. Les opérations sur les fichiers sont interceptées par le composant correspondant : Antivirus Fichiers, Courrier, Internet ou IM. Les mêmes outils que ceux de Kaspersky Endpoint Security 10 sont utilisés, par exemple, l Antivirus Fichiers exploite un pilote klif.sys. L objet est bloqué puis confronté aux exclusions configurées par l administrateur. Si l objet ne correspond à aucune exclusion, la technologie iswift vérifie s il a été modifié depuis l analyse précédente et s il doit être analysé de nouveau. Si oui, alors une requête d analyse est envoyée. La requête est transférée à la machine virtuelle de sécurité au lieu du moteur antivirus local utilisé dans Kaspersky Endpoint 58

59 Security. Lorsqu une menace est détectée dans l un des objets analysés, la machine virtuelle de sécurité peut désinfecter ou supprimer le fichier malicieux selon le type. La machine virtuelle de sécurité vérifie d abord la taille du fichier, puis le cache commun. Si le fichier doit être analysé, la requête est transférée au moteur d analyse des virus. Celui-ci retourne un verdict à partir duquel l action spécifiée est entreprise. Lorsque l objet est sain, l information est ajoutée au cache partagée et au cache local iswift sur la machine virtuelle invitée Technologie d optimisation de l analyse Il existe plusieurs méthodes améliorant les performances de l analyse Anti-Virus sans diminuer le niveau de sécurité. Par exemple, les exclusions et la mise en cache. Cette dernière évite les analyses inutiles. Lorsqu un fichier a déjà été analysé et est de nouveau accédé, il n est pas nécessaire de l analyser tant que les bases de données des mises à jour n ont pas été actualisées entretemps. Si un fichier est accédé après la mise à jour des signatures des bases de données des mises à jour, il sera de nouveau analysé. Cela garantit qu un fichier infecté ne soit pas mis en cache avant que les bases de données qui permettent de détecter cette menace soient téléchargées. Kaspersky Security for Virtualization Light Agent utilisent deux caches : l un se trouve du côté de la machine virtuelle invitée (iswift), et l autre correspond au cache partagé sur la machine virtuelle de sécurité. 59

60 60

61 iswift La technologie iswift utilise les informations du système de fichiers NTFS pour surveiller les changements dans les fichiers, cette approche étant assez efficace : il n est pas nécessaire de calculer la somme de contrôle. La fréquence de l analyse des objets est régulée par la période de quarantaine, qui augmente graduellement tant que le fichier n est pas modifié. La technologie iswift est utilisée par la protection en temps réel et par les tâches d analyse à la demande. Cache partagé Le cache partagé permet en outre de réduire le nombre de requêtes d analyse. Lorsqu un fichier a été analysé sur l une des machines virtuelles, cette information devient immédiatement disponible pour tous les Light Agents connectés à la machine virtuelle de sécurité correspondante. Les meilleures performances sont atteintes sur les hyperviseurs où des machines virtuelles VDI sont implantées. En effet, ces machines ont des fichiers et une configuration quasiment identiques, puisqu elles sont créées depuis la même image. Ce cache est une base de données stockée dans la mémoire de la machine virtuelle de sécurité pour un accès rapide. Il est effacé après un redémarrage. Il y a une limitation sur le nombre d enregistrements ; lorsqu elle est atteinte, l enregistrement le moins souvent utilisé est alors remplacé par le nouveau. Ce cache fonctionne comme suit : Le hash du chemin complet du fichier est utilisé Cette information est calculé très rapidement, à la différence de la somme de contrôle MD5 Les propriétés du fichier sont prises en compte (dates de création et de modification, taille) Cela garantit que les enregistrements du cache correspondent à la version spécifique du fichier. Ainsi, les modifications dans un fichier mis en cache seront décelées même si la connexion à la machine virtuelle de sécurité est temporairement perdue Les horodatages de la base de données antivirus utilisée lors de la 1 ère et de la dernière analyse sont enregistrés. Ils sont utilisés dans l algorithme pour les analyses successives mentionné plus bas Les paramètres du Light Agent avec lesquels le fichier est de nouveau analysé sont pris en compte Les informations sur le profil de protection avec lequel l objet a été analysé sont également stockées dans le cache, et si les paramètres sont renforcés, le fichier sera de nouveau analysé même s il n a pas été modifié. Dans certains cas, le cache n est pas utilisé : Lors de l opération de fermeture de fichier Les objets sont toujours analysés lors de leur fermeture, car le fichier peut avoir été modifié. Les objets stockés sur les ressources réseaux ou sur les disques amovibles Ces objets ne sont pas mis en cache. Dans le cas contraire, il serait possible de connecter un disque USB à une machine virtuelle protégée par Kaspersky Security for Virtualization, ces fichiers seraient alors analysés et mis en cache, puis modifié sur une machine non protégée évitant ainsi l analyse à la prochaine connexion. La tâche d analyse de virus La tâche d analyse de virus vérifie tous les objets. Les résultats de cette analyse sont également mis en cache afin d être exploité par la protection en temps réel. 61

62 Après la 1 ère analyse, les données du fichier sont ajoutées au cache, avec l horodatage des bases de données utilisées pour l analyse. Par la suite ce fichier ne sera pas de nouveau analysé jusqu à ce que la machine virtuelle de sécurité télécharge de nouvelles bases de données. Lorsqu une requête d analyse est reçue depuis une machine virtuelle quelconque, l objet est de nouveau analysé et l horodatage de la base de données est mise à jour dans l enregistrement du cache. Les requêtes d analyses ultérieures, quel que soit la machine virtuelle qui en est à l origine, seront traitées selon les informations présentes dans le cache. Cet algorithme est utilisé jusqu à ce que la différence entre les horodatages des bases de données utilisées entre la première et la dernière analyse soit inférieure à 48 heures. Passé ce délai, le fichier n est pas de nouveau analysé Technologies de détection Lors de l analyse d un fichier, Kaspersky Security for Virtualization exploite les mêmes outils que l Antivirus Fichiers de Kaspersky Endpoint Security for Windows. L analyse par signature est la base de la procédure d analyse, elle est effectuée en première. Si aucune menace n est détectée, une analyse heuristique est alors exécutée. Elle exploite un émulateur qui exécute un ensemble d instructions sur l objet afin de comprendre son fonctionnement lorsqu il est démarré. Plus le niveau de l heuristique est élevée, plus il y aura d instructions exécutées et plus le verdict retourné sera précis, mais cela diminue les performances. Enfin, une vérification KSN est effectuée. La somme de contrôle du fichier est calculée pour la requête KSN, qui est tout d abord confrontée au cache local. Si un enregistrement similaire y est trouvé, le 62

63 verdict correspondant est alors retourné ; dans le cas contraire, la requête est transmise au cloud KSN. En fonction du résultat des deux premières technologies, une requête synchrone ou asynchrone est envoyée au KSN. Cette dernière est utilisée lorsqu une menace est détectée dans l objet, et le fichier est bloqué jusqu à ce que le verdict soit reçu du KSN. Lorsque le verdict est «clean», l accès est autorisé, et la requête KSN est envoyée en tâche de fond. Dans tous les cas, le verdict du KSN est prioritaire, quel que soit les résultats retournés par les autres technologies. Le verdict reçu est enregistré dans le cache local du KSN. Si la réponse n est pas reçue avant le délai d expiration, le verdict reçu précédemment est considéré comme définitif. Les tâches d analyse à la demande utilisent uniquement des requêtes KSN synchrones. A la manière des Light Agents, les machines virtuelles de sécurité n établissent pas de connexions vers l extérieur. Le proxy KSN de Kaspersky Security Center est utilisé. Si le proxy KSN est désactivé dans Kaspersky Security Center, Kaspersky Security for Virtualization ne pourra pas utiliser cette technologie. 63

64 3.7. Stratégies Les modules de protection et les paramètres sont pratiquement identiques à ceux proposés dans Kaspersky Endpoint Security for Windows. Il existe une différence dans la liste des modules de protection disponibles entre les systèmes d'exploitation pour poste de travail et serveurs lors de l'installation du produit. La liste des fonctions proposées sont décrites dans ce document au chapitre correspondant. L application Kaspersky Security for Virtualization Light Agent est paramétrée à l aide de stratégies configurées dans la plate-forme d administration Kaspersky Security Center. Il est possible de créer des stratégies depuis un fichier de configuration issu du poste client ou d une autre stratégie exportée au préalable. L'ensemble des paramètres seront importés sous forme d'une stratégie pouvant être appliqué à des groupes de postes. 64

65 Chaque option d une stratégie dispose d un système de cadenas : Ce système permet : De verrouiller les fonctionnalités pour les administrateurs des sous-branches concernés. De verrouiller les fonctionnalités sur les interfaces graphiques de l antivirus local qui appartiennent au groupe concerné ou aux sous-groupes. 65

66 Ces paramètres peuvent être désactivés temporairement sur le poste client par l'utilisation d'un mot de passe. 66

67 3.8. Tâches Les paramètres des tâches de Kaspersky Security for Virtualization Light Agent sont également similaires à celles de Kaspersky Endpoint Security for Windows. Ces deux produits disposent de tâches de Recherche de virus, d Inventaire et de Modification de la sélection des modules de l application. 67

68 3.9. Mise à jour des bases Kaspersky Security for Virtualization offre une protection à de multiples niveaux afin de fournir le plus haut niveau de sécurité. La plupart de ces composants requièrent des mises à jour régulières car le nombre de menaces augmentent en permanence et elles deviennent de plus en plus sophistiquées. Pour contrer ce phénomène, plusieurs bases de données sont utilisées. Certaines sont destinées au Light Agent et sont stockées sur la machine virtuelle protégée mais la plupart d entre elles résident sur la machine virtuelle de sécurité, qui analyse les objets. Ainsi, le meilleur compromis entre performance et efficacité est atteint. Les Light Agents n effectuent pas d opérations trop consommatrice de ressources ; ils gèrent les fonctionnalités qui ne requièrent pas de mises à jour fréquentes et qui ne nécessitent pas de déplacement d objets sur la machine virtuelle de sécurité. Par exemple, si le composant System Watcher opérait sur chaque machine virtuelle, cela nécessiterait l envoi d une grande quantité d informations sur le réseau concernant l activité des applications, cela affecterait les performances de la solution. Ainsi, la machine virtuelle de sécurité utilise les bases de données des signatures et heuristiques, et les Light Agents Les bases de données des liens malicieux et de phishing et les bases de données conçues pour les composants System Watcher et Prévention des intrusions. Tous les composants sont mis à jour de manière centralisée via Kaspersky Security Center, qui télécharge les bases de données depuis les serveurs Kaspersky Lab sur Internet. La machine virtuelle de sécurité télécharge les bases de données depuis le stockage du Serveur d Administration selon la planification de la tâche de mise à jour créée par l Administrateur. Lorsque les machines virtuelles de sécurité ont téléchargé toutes les bases de données nécessaires, elles sont utilisées comme source de mise à jour pour les Light Agents. Elles sont accessibles au travers du répertoire partagé de la machine virtuelle de sécurité. Afin d offre la possibilité de revenir sur le set de base de données précédent (rollback), chaque nouveau set de base de données est placé dans un répertoire individuel dont le nom inclut l horodatage. Finalement, les anciens répertoires sont 68

69 supprimés. Les Light Agents réalisent automatiquement la mise à jour et cela ne nécessite pas une quelconque interaction avec l administrateur. Les bases de données sont chargées selon la planification indiquée dans la tâche locale de mise à jour, une fois toute les 2 heures par défaut. Cette architecture offre des mises à jour pour toutes les machines virtuelles et permet significativement de diminuer la charge sur le Serveur d Administration en comparaison avec Kaspersky Endpoint Security. L algorithme de sélection de la machine virtuelle de sécurité pour les Light Agents assure une distribution optimale de la charge réseau. 69

70 3.10. Surveillance de la protection Les diverses fonctionnalités de Kaspersky Security Center sont utilisées pour surveiller l état de la protection de Kaspersky Security for Virtualization Light Agent : Rapports Statistiques Evènements Sélections d ordinateurs Stockages L application dispose d une particularité par rapport à, par exemple, Kaspersky Endpoint Security puisque ses fonctionnalités sont divisées entre la machine virtuelle de sécurité et le Light Agent. Ainsi, la licence est installée sur la machine virtuelle de sécurité et son exploitation est aussi comptabilisée par ces machines virtuelle de sécurité. L information est envoyée au Serveur d Administration Kaspersky et est visible dans les rapports. En fonction du type de clé (par cœur ou nombre de machines virtuelles), le rapport contient les informations sur la consommation de licences. Les licences sont comptabilisées par les machines virtuelles de sécurité : Par cœur : selon le nombre de cœur physiques sur l hyperviseur Par machine virtuelle : seules les machines virtuelles démarrées sont prises en compte, les serveurs et les postes de travail sont considérés séparément. 70

71 Le rapport des bases utilisées inclut les données des machines virtuelles de sécurité et des Light Agents : Les fichiers sont analysés par la machine virtuelle de sécurité, mais les évènements de détection des menaces sont liés aux machines virtuelles protégées. 71