Развертывание KSV LA

Перед началом установки ознакомьтесь с необходимыми файлами для установки, а также со всеми необходимыми требованиями:

• Файлы необходимы для установки
• Требования к компонентам Kaspersky Security Center
• Порты необходимые для работы KSV LA
• Аппаратные и программные требование KES Windows
• Аппаратные и программные требование KES Linux
• Требования к ресурсам SVM
• Поддерживаемые платформы виртуализации
• Необходимые учетные записи и права для установки и работы решения

Лёгкий агент базируется на KES и KESL. Для их установки в режиме лёгкого агента будет необходимо внести изменения в параметры инсталляционного пакета.

Для KES Windows

Для KES Linux

Для установки Сервера интеграции и компонентов управления на Windows необходимо скачать визард установки с сайта «Лаборатории Касперского» и запустить его

После запуска будет необходимо выбрать язык установки

Затем необходимо выбрать Установить компоненты управления и нажать далее

Ознакомьтесь и подтвердите согласие с лицензионным соглашением и политикой конфиденциальности

Установите пароль для учётной записи Сервера интеграции admin

Ознакомьтесь с действиями по установке и нажмите Установить и подождите несколько минут

После установки на главной странице Сервере администрировании появится ссылка Управление Kaspersky Security для виртуальных сред

Для возможности управления всеми функциями KSV LA необходимо установить соответствующие плагины для ММС-консоли и веб-плагины для веб-консоли KSC

Плагины для MMC-консоли

В MMC-консоль для управления KSV LA необходимо будет установить (проверить наличие) следующие плагины с сайта «Лаборатории Касперского»:

• Плагин для управления Сервером защиты (SVM)

• Плагин KES Windows (Для защиты Windows устройств)

• Плагин KES Linux (Для защиты Linux устройств)

Каждый плагин будет скачан в формате .msi файла, который будет необходимо запустить на устройстве с MMC-консолью. Рекомендуется закрыть веб-консоль при установке плагинов, либо перезапустить её после установки плагинов. Теперь у администратора появится возможность создавать и настраивать политики для указанных компонентов. После установки плагина для сервера защиты появится мастер первоначальной настройки, который предложит создать политику для SVM и подключиться к серверу интеграции.

Предварительно необходимо скачать образ SVM с файлом описания. Их можно скачать либо сайта «Лаборатории Касперского», либо через визард развёртывания, который использовался в предыдущем разделе. В обоих случаях нужно будет выбрать образ подходящий под вашу платформу виртуализации. В данном примере будет использоваться VMware.

При скачивании образа SVM и файла описания через визард скачанный ранее в нём необходимо выбрать соответствующий раздел 
Затем выбрать используемый тип гипервизора. После этого откроется браузер и начнётся загрузка архива с образом SVM и фалом описания образов.

Скачанный архив будет необходим далее при развёртывании SVM
Также начиная с версии 6.3 в сборку SVM не «зашит» агент администрирования. Его дистрибутив необходимо указать отдельно в процессе установки. Это сделано для возможности устанавливать SVM сразу с актуальной версией агента администрирования. Для SVM 6.3 и выше необходимо использовать Deb пакет агента, который можно скачать с сайта «Лаборатории Касперского», на этом же сайте можно ознакомиться с лицензионным соглашением

После скачивания .deb-пакета необходимо создать текстовый файл answers.txt и добавить в него строку EULA_ACCEPTED=1 

Дистрибутив агента администрирования и файл answers.txt необходимо поместить в одну папку
После предварительного скачивания всех необходимых компонентов перейдите в консоль Сервера Администрирования. Необходимо зайти в консоль Сервера интеграции, выбрать Управление SVM --> Развёртывание SVM

Откроется окно выбора виртуальной инфраструктуры, из выпадающего списка выберите необходимую платформу виртуализации и укажите учётные данные и нажмите Подключиться

После успешного подключения выберите гипервизоры на которых необходимо развернуть SVM. Гипервизоры на который уже запущены SVM будут отмечены зелёной галочкой

На следующем шаге необходимо распаковать ранее скачанный архив, в котором лежат образ SVM и .xml файл описания образов. (Важно! Образ SVM и файл описания должны лежать в одной папке). Необходимо выбрать .xml-файл и после этого нажать Проверить. Будет произведена проверка образа SVM, убедитесь, то целостность не нарушена, после чего можно переходить далее
 

Укажите параметры SVM такие как имя SVM, хранилище и имя сети. Затем Укажите параметры ip-адресации (статическая или динамическая)

Затем выберите ранее скачанный дистрибутив агента администрирования. Убедитесь, что файл ответов answers.txt лежит с ним в одной папке. Затем укажите параметры подключения SVM к KSC  

Далее задайте пароли для учётных записей klconfig и root, также можно разрешить удалённый доступ к SVM через SSH под УЗ root. Затем подтвердите указанные параметры и нажмите Далее

Начнётся установка SVM, дождитесь её окончания
  
После успешного развёртывания SVM она автоматически отобразится в группе неуправляемых устройств Сервера администрирования.

Дальнейшие действия будут идентичны как для MMC-консоли, так и для веб-коноси KSC. SVM необходимо перенести в раздел управляемых устройств (создать для неё отдельную группу или использовать существующую) и создать политику.

Для активации решения необходимо добавить лицензию на SVM. Для этого необходимо создать соответствующую задачу для SVM.

Затем нажмите Добавить и выберите подходящую лицензию. Галочку «Использовать лицензионный ключ в качестве резервного» НЕ нужно. Ознакомьтесь с выбранной лицензией и нажмите Далее
 

Для данной задачи можно не настраивать расписание и оставить запуск только вручную

Введите название данной задачи и затем можно сразу запустить её после завершения мастера. Поставьте соответствующую галочку и нажмите Готово

 После завершения активации, на SVM должна отобразиться добавленная лицензия

После установки плагина для Сервера защиты на MMC-консоль при её перезапуске вам будет предложено пройти мастер первоначальной настройки, который поможет создать общую политику для SVM. Для того чтобы создать политику самостоятельно необходимо перейти в нужную группу администрирования и выбрать Новая политика

Из предложенного списка выбрать Kaspersky Security для виртуальных сред 6.* Легкий агент – Сервер защиты и нажать Далее

На следующих шагах указывается имя политики и предлагается ознакомиться с условиями использования KSN (рекомендуется принять).
  
Затем необходимо указать для каких приложений SVM будет загружать и хранить базы. А также можно ли будет SVM обновлять собственные модули. Далее, при необходимости, можно включит SNMP-мониторинг SVM

Далее укажите параметры подключения к серверу интеграции (по умолчанию используется адрес KSC и дефолтный порт 7271) и нажмите Далее. Будет произведено подключение к Серверу Интеграции, в ходе которого появится сообщение о проверке сертификата, т.к. Сервер интеграции использует самоподписанный сертификат. Для продолжения работы необходимо нажать Игнорировать

После этого будет предложено использовать шифрование канала передачи данных между лёгкими агентами и SVM. При использовании шифрования канала аналогичную настройку необходимо включить и в политиках лёгких агентов KES и KESL. Использование шифрованного канала несколько увеличит нагрузку на SVM. Также будет предложено указать теги устройств, чтобы только они могли подключаться к SVM, управляемой данной политикой

Если решение используется для защиты большой инфраструктуры (более 50 тысяч защищенных виртуальных машин), взаимодействие компонентов решения с виртуальной инфраструктурой в процессе предоставления информации об SVM Легким агентам может создавать повышенную нагрузку на виртуальную инфраструктуру. В таком случае рекомендуется использовать оптимизацию работы решения в больших инфраструктурах на следующем шаге настройки политики. 
 
Затем на последнем шаге укажите сделать политику активной сразу или оставить неактивной и нажмите Готово. После этого политика будет создана и будет отображаться в общем списке политик

Легкий агент полностью переехал в дистрибутив KES Windows c версии KSV LA 6.2 (KES 12.8) и KES Linux с версии KSV LA 6.0 (KESL 12.0), поэтому для них одна политика может управлять как лёгкими, так и обычными агентами KES / KESL. 
Можно использовать ранее созданную политику, просто настроив ней раздел Лёгкий агент, либо создать новую.

Настройки раздела Лёгкого агента практически идентичны для политик KES Windows и KES Linux. 

В существующей политике KES перейдите в раздел Режим Лёгкого агента. На вкладке Настройки обнаружения SVM укажите способ обнаружения SVM: с помощью Сервера интеграции, либо с помощью заданного списка адресов SVM. В первом случае будет необходимо указать параметры подключения к серверу интеграции, во втором список адресов используемых SVM.

На вкладке Алгоритм выбора SVM, при необходимости, можно использовать расширенный алгоритм выбора SVM, например, если Лёгкие агенты и SVM могут находиться на разных гипервизорах

Также можно настроить защиту соединения для шифрования канала SVM – Лёгкие агент

После всех изменений сохранить настройки политики. 

Для установки сервера интеграции на Linux предварительно необходимо скачать его сайта «Лаборатории Касперского»

После этого выполните команду для запуска установки sudo apt-get install ./ksvla-viis_<номер версии>-<номер сборки>_amd64.deb

После завершения установки запустите скрип первоначальной настройки командой sudo /opt/kaspersky/viis/bin/viis-setup.sh

В рамках работы скрипта укажите следующие параметры

• Языковой стандарт, который будет использоваться для отображения Лицензионного соглашения и Политики конфиденциальности. По умолчанию английский;
• После этого ознакомьтесь с Лицензионным соглашением и Политикой Конфиденциальности и укажите «yes», чтобы принять каждое из них;
• Укажите номер порта для подключения к Серверу интеграции, по умолчанию используется порт 7271;
• Создайте пароль учетной записи администратора Сервера интеграции (admin). Учетная запись admin используется для подключения к Серверу интеграции через Веб-консоль Сервера интеграции или при настройке подключения к Серверу интеграции в политике для Сервера защиты и в политике для Легкого агента.

После завершения работы скрипта Сервер интеграции готов к работе

При использовании веб консоли KSC также будет необходимо установить веб-плагины, которые можно скачать с сайта «Лаборатории Касперского»:

•    Веб-плагин для работы с сервером интеграции (VIIS)

•    Веб-плагин для управления Сервером защиты (SVM)

•    Веб-плагин KES Windows (Для защиты Windows устройств)

•    Плагин KES Linux (Для защиты Linux устройств)

Каждый веб-плагин будет загружен в виде zip-архива внутри которого будут лежать файлы plugin.zip и связанный с ним signature.txt. Необходимо перейти в веб-консоль KSC в раздел Параметры / Веб-плагины и выбрать Добавить из файла.

В появившемся окне добавить в соответствующие поля архив plugin.zip и связанный с ним signature.txt и нажать Добавить.
После этого веб-плагин будет добавлен в веб-консоль. Данную операцию необходимо произвести для каждого веб-плагина. После установки веб-плагина для сервера интеграции в веб-консоли в разделе Параметры появится отдельный раздел для подключения к серверу интеграции, который мы рассмотрим далее.

Веб-плагины для KES и KESL можно добавлять и напрямую из веб-консоли, без подгрузки вручную. В разделе Параметры / Веб-плагины необходимо выбрать Добавить из файла

После этого необходим выбрать необходимы й веб-плагин из предложенного списка. Рекомендуется использовать фильтры, чтобы упростить поиск. Выбрав нужный плагин нажмите Установить плагин и подождите несколько минут, после этого появится сообщение об успешном добавлении веб-плагина.

Предварительно необходимо скачать образ SVM с файлом описания. Их можно скачать либо сайта «Лаборатории Касперского», нужно будет выбрать образ подходящий под вашу платформу виртуализации. Скачанный архив будет необходим далее при развёртывании SVM

Также начиная с версии 6.3 в сборку SVM не «зашит» агент администрирования и его дистрибутив будет необходимо указать отдельно в процессе установки. Это сделано для возможности устанавливать SVM сразу с актуальной версией агента администрирования. Для SVM 6.3 и выше необходимо использовать Deb пакет агента, который можно скачать с сайта «Лаборатории Касперского», на этом же сайте можно ознакомиться с лицензионным соглашением
 
После скачивания .deb-пакета необходимо создать текстовый файл answers.txt и добавить в него строку EULA_ACCEPTED=1Дистрибутив агента администрирования и файл необходимо поместить в одну папку

В веб-консоли необходимо перейти в раздел Параметры и войти в Сервер интеграции. Здесь необходимо указать адрес сервера интеграции и пароль от учётной записи admin, который задавался на этапе установки VIIS и нажать Подключиться

Будет произведено подключение к Серверу Интеграции, в ходе которого появится сообщение о проверке сертификата, т.к. Сервер интеграции использует самоподписанный сертификат. Для продолжения работы необходимо нажать Подтвердить и продолжить

Затем необходимо подключить Сервер интеграции к виртуальной инфраструктуре. В веб-консоли выбрать Список виртуальных инфраструктур и в открывшемся меню нажать Добавить. Появится окно, где необходимо указать параметры подключения и сохранить их. Сервер интеграции должен успешно подключится к виртуальной инфраструктуре.

После этого выбрать раздел Управление SVM и добавить задание на развёртывание SVM, которое запустит соответствующий мастер

Выберите гипервизор на котором хотите развернуть SVM

Затем укажите путь к xml-файлу описания образов SVM (находится вместе со скачанным образом SVM). В одной папке должны находиться: образ SVM, xml-файл описания образов и файл answers.txt. После указания файла нажать Проверить и дождаться проверки целостности образа SVM

После того как проверка будет завершена успешно нажать Далее. На следующем шаге необходимо указать имя SVM и хранилище

Далее добавить сеть

Указать параметры маршрутизации

Затем ввести путь к дистрибутиву Агента администрирования и нажать Выбрать

 Далее необходимо указать параметры подключения SVM к KSC

Далее задайте пароли для учётных записей klconfig и root, также можно разрешить удалённый доступ к SVM через SSH под УЗ root. Затем подтвердите указанные параметры и нажмите Далее

На последнем шаге необходимо проверить все параметры установки SVM и нажать Запустить
 
Начнётся установка SVM, дождитесь её окончания. После установки SVM, по умолчанию, должна появиться в нераспределённых устройствах KSC Linux. Переместите её в уже существующую группу с действующей политикой для Сервера защиты, либо создайте новую группу и политику для неё

• Для активации решения необходимо добавить лицензию на SVM. Для этого необходимо создать соответствующую задачу для SVM. В веб-консоли в разделе Управление активами / Задачи выбрать Добавить.
  Выбрать Сервер защиты в списке приложений и тип задачи Активация решения, произвольно указать название задачи
• Указать необходимую группу администрирования или устройства
• На следующем шаге нажать Выбрать ключ и указать необходимую лицензию, после чего проверить правильность выбора и нажать Далее. 
  

  

  Если тип нового лицензионного ключа не соответствует типу ключа, ранее добавленного на SVM, или вы активируете решение по лицензии другого вида, то ранее добавленный лицензионный ключ удаляется с SVM. Вместо него добавляется новый ключ. Лицензионный ключ, удаленный с SVM, вы можете использовать на другой SVM. Подробнее об особенностях добавления лицензионных ключей разных типов см. в справке Kaspersky Security для виртуальных сред Легкий агент.

   Галочку Открыть окно свойств задачи после ее создания ставить не нужно, все настройки задачи уже произведены. Для сохранения задачи нажать Готово
   
  Для запуска из общего списка задач выбрать только что созданную задачу по активации SVM и нажать Запустить. Дождитесь пока задача не будет успешно завершена.
  

Чтобы управлять Сервером защиты (SVM) для него, как и для остальных устройств, нужна политика. Для создания новой политики необходимо в веб-консоли KSC перейти в раздел Управление активами / Политики и профили политик и выбрать Добавить

Из предложенного списка выберите Kaspersky Security для виртуальных сред 6.* Легкий агент - Сервер защиты, если подобного варианта нет, значит вы не добавили веб-плагин для Сервера защиты.
 
На следующем шаге необходимо настроить подключение к Серверу интеграции, для этого на появившемся окне нажать Настроить, ввести адрес подключения и нажать Проверить. Будет произведено подключение к Серверу Интеграции, в ходе которого появится сообщение о проверке сертификата, т.к. Сервер интеграции использует самоподписанный сертификат. Для продолжения работы необходимо нажать Игнорировать. Затем будет необходимо ввести пароль от учётной записи admin, которая создавалась на этапе установки VIIS и нажать Проверить, должно появиться запись, что подключение к Серверу интеграции установлено. После этого можно переходить к следующему шагу

Далее необходимо ознакомиться с Положением о KSN (рекомендуется принять) для его дальнейшего использования
 
На последнем этапе создания политики моно указать собственное название для неё, а также сразу задать необходимые параметры. После этого необходимо нажать Cохранить, политика добавится в общий список
 
В самой политике необходимо проверить, что на ней установлены те типы Лёгких агентов которые используются в инфраструктуре. Иначе они не будут подключаться к SVM

В существующей политике KES в Параметрах приложения перейдите в раздел Режим Лёгкого агента.

В разделе Настройки обнаружения SVM укажите способ обнаружения SVM: с помощью Сервера интеграции, либо с помощью заданного списка адресов SVM. В первом случае будет необходимо указать параметры подключения в разделе Настройки подключения к Серверу интеграции, во втором список адресов используемых SVM.

               При использовании Сервера интеграции в разделе Настройки подключения к Серверу интеграции нажать Изменить и в открывшемся окне указать его адрес
 
В разделе Алгоритм выбора SVM, при необходимости, можно использовать расширенный алгоритм выбора SVM, например, если Лёгкие агенты и SVM будут находиться на разных гипервизорах

Также в разделе Защита соединения можно настроить защиту соединения для шифрования канала SVM – Лёгкие агенты

После всех изменений сохранить настройки политики.

В консолях KSC можно проверить какие Лёгкие агенты подключены к конкретной SVM

MMC-Консоль

В консоли администрирования  необходимо выбрать SVM в списке управляемых устройств. Затем в открывшемся окне выбрать раздел Приложения перейти в Сервер защиты. Откроется ещё одно окно, в котором необходимо выбрать раздел Подключенные Легкие агенты. Будет представлен список всех Лёгких агентов подключённых к данной SVM

Web Console

В веб-консоли KSC перейдите раздел Управление активами / Управляемые устройства  и выберите интересующую SVM

В разделе Приложения необходимо выбрать Сервер защиты

Далее выбрать раздел Параметры приложения, где будут отображены все Лёгкие агенты управляемые данной SVM