Intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware

L'intégration des composants de Kaspersky Security à l'infrastructure virtuelle VMware requiert les éléments suivants :

• Serveur d'administration de l'infrastructure virtuelle (VMware vCenter Server, VMware vCloud Director). Le composant est destiné à l'administration et à la gestion centralisée de l'infrastructure virtuelle VMware. Il intervient dans le déploiement de Kaspersky Security. Le serveur d'intégration reçoit du serveur d'administration de l'infrastructure virtuelle les informations sur l'infrastructure virtuelle VMware nécessaires au fonctionnement de l'application.
• VMware NSX Manager. Le composant assure l'enregistrement et le déploiement des services de Kaspersky Security.
• Filtre virtuel (VMware DVFilter). Le composant permet d'intercepter dans le trafic les paquets réseau entrants et sortants des machines virtuelles protégées.
• Pilote Guest Introspection (NSX File Introspection Driver). Ce composant assure la collecte d'informations sur les machines virtuelles et la transmission des fichiers pour l'analyse à l'application Kaspersky Security. Pour que l'application Kaspersky Security puisse protéger les machines virtuelles, il faut y installer le pilote NSX File Introspection. Pour en savoir plus, consultez la documentation des produits VMware.

• Service Guest Introspection et Guest Introspection ESXi Module. Les composants permettent la communication entre le pilote Guest Introspection sur la machine virtuelle et la SVM.

Le composant Protection contre les fichiers malicieux interagit avec l'infrastructure virtuelle VMware de la manière suivante :

1. L'utilisateur ou une application quelconque ouvre, enregistre ou exécute des fichiers sur une machine virtuelle protégée par Kaspersky Security.
2. Le pilote Guest Introspection intercepte les informations sur ces événements et les envoie au service Guest Introspection.
3. Le service Guest Introspection transmet les informations sur les événements reçus au composant Protection contre les fichiers malicieux installé sur la SVM.
4. Le composant Protection contre les fichiers malicieux analyse les fichiers que l'utilisateur ou une application quelconque ouvre, enregistre ou lance sur la machine virtuelle protégée :
   • Si les fichiers ne contiennent pas de virus ou d'autres applications malveillantes, Kaspersky Security octroie l'accès à ces fichiers.
   • Si les fichiers contiennent des virus ou d'autres applications malveillantes, Kaspersky Security exécute l'action définie dans les paramètres du profil de protection attribué à cette machine virtuelle. Par exemple, Kaspersky Security peut désinfecter ou bloquer le fichier.

L'interaction entre le composant Protection contre les menaces réseau et l'infrastructure virtuelle VMware dépend du mode du traitement du trafic que vous avez choisi lors de l'enregistrement du service de protection du réseau (Kaspersky Network Protection). Si vous avez choisi le mode standard de traitement du trafic, le composant Protection contre les menaces réseau interagit avec l'infrastructure virtuelle VMware selon le schéma suivant :

1. Le filtre virtuel (VMware DVFilter) intercepte dans le trafic les paquets réseau entrants et sortants des machines virtuelles protégées et les envoie au composant Protection contre les menaces réseau installé sur la SVM.
2. Le composant Protection contre les menaces réseau vérifie sur les paquets réseau la présence d'une activité caractéristique des attaques réseau et d'une activité réseau suspecte qui peut être un signe d'intrusion dans l'infrastructure protégée, et vérifie l'appartenance de toutes les adresses Internet dans les requêtes via le protocole HTTP aux catégories d'adresses Internet à détecter conformément aux paramètres d'analyse des adresses Internet.

   S'il n'y a pas dans le paquet réseau d'attaque réseau détectée ou d'activité réseau suspecte, et que l'adresse Internet n'appartient à aucune des catégories d'adresses Internet à détecter, Kaspersky Security autorise le transfert du paquet réseau.

   Si une menace réseau est détectée, Kaspersky Security effectue les opérations suivantes :

   • En cas de détection d'une activité caractéristique des attaques réseau, Kaspersky Security exécute l'action définie dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
   • Si une activité réseau suspecte est détectée, Kaspersky Security exécute l'action reprise dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou ignore les paquets réseau en provenance de l'adresse IP à l'origine d'une attaque réseau.
   • Si l'adresse Internet appartient à une ou plusieurs catégories d'adresses Internet à détecter, Kaspersky Security exécute l'action reprise dans les paramètres de la stratégie. Par exemple, Kaspersky Security bloque ou autorise l'accès à l'adresse Internet.

Si lors de l'enregistrement du service de protection du réseau (Kaspersky Network Protection) vous aviez choisi le mode de surveillance, le composant Protection contre les menaces réseau obtient une copie du trafic des machines virtuelles. Si des signes des intrusions ou des tentatives d'accès à des adresses Internet malveillantes sont détectés, Kaspersky Security n'entreprend pas les actions de prévention des menaces mais transmet seulement les informations sur les événements au serveur d'administration de Kaspersky Security Center.

Haut de page