Integration der Komponenten von Kaspersky Security mit einer virtuellen VMware-Infrastruktur

Zur Integration der Komponenten von Kaspersky Security in eine virtuelle VMware-Infrastruktur ist Folgendes erforderlich:

• Server zur Verwaltung der virtuellen Infrastruktur (VMware vCenter Server, VMware vCloud Director). Diese Komponente dient der Administration und der zentralisierten Verwaltung der virtuellen VMware-Infrastruktur. Sie ist an der Verteilung von Kaspersky Security beteiligt. Der Integrationsserver erhält vom Server zur Verwaltung der virtuellen Infrastruktur die Informationen über die virtuelle VMware-Infrastruktur, die für die Programmausführung erforderlich sind.
• VMware NSX Manager. Diese Komponente gewährleistet die Registrierung und Verteilung der Dienste von Kaspersky Security.
• Virtueller Filter (VMware DVFilter). Die Komponente ermöglicht, ein- und ausgehende Netzwerkpakete im Datenverkehr geschützter virtueller Maschinen abzufangen.
• Guest Introspection-Treiber (NSX File Introspection-Treiber). Die Komponente erfasst Daten auf virtuellen Maschinen und überträgt zu untersuchende Dateien an Kaspersky Security. Damit Kaspersky Security virtuelle Maschinen schützen kann, muss auf diesen virtuellen Maschinen der NSX File Introspection-Treiber installiert sein. Weitere Informationen finden Sie in der Dokumentation zu den VMware-Produkten.

• Der Dienst Guest Introspection und Guest Introspection ESXi Module. Die Komponenten gewährleisten die Interaktion zwischen dem auf der virtuellen Maschine installierten Guest Introspection-Treiber und der SVM.

Die Interaktion der Komponente "Schutz vor bedrohlichen Dateien" mit einer virtuellen VMware-Infrastruktur verläuft nach folgendem Schema:

1. Der Benutzer oder ein beliebiges Programm öffnet, speichert oder startet Dateien auf einer virtuellen Maschine, die von Kaspersky Security geschützt wird.
2. Der Guest Introspection-Treiber fängt die Informationen über diese Ereignisse ab und übermittelt sie an den Dienst Guest Introspection.
3. Der Dienst Guest Introspection übermittelt die Informationen über die erhaltenen Ereignisse an die auf der SVM installierte Komponente "Schutz vor bedrohlichen Dateien".
4. Die Komponente "Schutz vor bedrohlichen Dateien" untersucht alle Dateien, die der Benutzer oder ein Programm auf einer geschützten virtuellen Maschine öffnet, speichert oder startet:
   • Werden in den Dateien keine Viren oder andere Schadsoftware gefunden, so erlaubt Kaspersky Security den Zugriff auf diese Dateien.
   • Werden in Dateien Viren oder Schadsoftware gefunden, so führt Kaspersky Security die Aktion aus, die in den Einstellungen des Schutzprofils festgelegt ist, das dieser virtuellen Maschine zugewiesen ist. Beispiel: Kaspersky Security desinfiziert oder blockiert die Datei.

Die Interaktion der Komponente "Schutz vor Netzwerkbedrohungen" mit der virtuellen VMware-Infrastruktur ist abhängig vom Modus der Verarbeitung des Datenverkehrs, den Sie bei der Registrierung des Dienstes zum Schutz des Netzwerks (Kaspersky Network Protection) ausgewählt haben. Wenn Sie den Standardmodus der Verarbeitung des Datenverkehrs ausgewählt haben, interagiert die Komponente "Schutz vor Netzwerkbedrohungen" nach dem folgenden Schema mit der virtuellen VMware-Infrastruktur:

1. Ein virtueller Filter (VMware DVFilter) erfasst ein- und ausgehende Netzwerkpakete im Datenverkehr geschützter virtueller Maschinen und leitet sie an die auf dem SVM installierte Komponente "Schutz vor Netzwerkbedrohungen" weiter.
2. Die Komponente "Schutz vor Netzwerkbedrohungen" untersucht die Netzwerkpakete auf Aktivitäten, die für Netzwerkangriffe typisch sind, und verdächtige Netzwerkaktivität, die ein Merkmal für das Eindringen in die geschützte Infrastruktur sein kann, ferner untersucht sie alle Webadressen in Anfragen über das HTTP-Protokoll auf Zugehörigkeit zu Kategorien von Webadressen, die gemäß den Einstellungen zur Untersuchung von Webadressen erkannt werden müssen.

   Wenn im Netzwerkpaket kein Netzwerkangriff oder keine verdächtige Netzwerkaktivität festgestellt wird und die Webadresse zu keiner der Kategorien von Webadressen gehört, die für die Erkennung ausgewählt wurden, erlaubt Kaspersky Security die Übertragung des Netzwerkpakets.

   Wenn eine Netzwerkbedrohung erkannt wird, führt Kaspersky Security die folgenden Aktionen aus:

   • Werden Aktivitäten erkannt, die für Netzwerkangriffe typisch sind, so führt Kaspersky Security die Aktion aus, die in den Einstellungen der Richtlinie festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Wird eine verdächtige Netzwerkaktivität erkannt, so führt Kaspersky Security die Aktion aus, die in den Richtlinieneinstellungen festgelegt ist. Beispiel: Kaspersky Security blockiert oder erlaubt Netzwerkpakete, die von der IP-Adresse stammen, von welcher ein Netzwerkangriff ausgeführt wurde.
   • Wenn eine Webadresse zu einer oder mehreren Kategorien von Webadressen gehört, die zur Erkennung ausgewählt wurden, führt Kaspersky Security die in den Richtlinieneinstellungen angegebene Aktion aus. Beispiel: Kaspersky Security blockiert oder erlaubt den Zugriff auf eine Webadresse.

Wenn Sie bei der Registrierung des Dienstes zum Schutz des Netzwerks (Kaspersky Network Protection) den Überwachungsmodus ausgewählt haben, erhält die Komponente "Schutz vor Netzwerkbedrohungen" eine Kopie des Datenverkehrs der virtuellen Maschinen. Wenn Merkmale für das Eindringen oder versuchte Zugriffe auf gefährliche oder unerwünschte Webadressen erkannt wurden, führt Kaspersky Security keine Aktionen zur Verhinderung der Bedrohungen aus, sondern übergibt die Informationen über die Ereignisse lediglich an den Administrationsserver von Kaspersky Security Center.

Nach oben