Configurazione dell'ambiente cloud

Per configurare Kaspersky Security Center con la procedura guidata Configura ambiente cloud, sono necessari i seguenti prerequisiti:

• Credenziali specifiche per un ambiente cloud:
  • Un ruolo IAM che dispone dei diritti per il polling del segmento cloud o un account utente IAM che dispone dei diritti per il polling del segmento cloud (per l'utilizzo con Amazon Web Services)
  • ID applicazione Azure, password e sottoscrizione (per l'utilizzo con Microsoft Azure)
  • E-mail client Google, ID progetto e chiave privata (per l'utilizzo con Google Cloud)
• Pacchetti di installazione:
  • Network Agent per Windows
  • Network Agent per Linux
  • Kaspersky Endpoint Security for Linux
• Plug-in Web per Kaspersky Endpoint Security for Linux
• Almeno uno dei seguenti componenti:
  • Pacchetto di installazione e plug-in Web per Kaspersky Endpoint Security for Windows (consigliato)
  • Pacchetto di installazione e plug-in Web per Kaspersky Security for Windows Server

Se non si desidera utilizzare le funzionalità per l'ambiente cloud (ad esempio, se si intende gestire solo la protezione dei dispositivi client fisici), è possibile chiudere la procedura guidata Configura ambiente cloud ed eseguire manualmente l'Avvio rapido guidato di Administration Server.

L'operazione Configura ambiente cloud viene avviato automaticamente la prima volta che ci si connette ad Administration Server tramite Administration Console se si sta distribuendo Kaspersky Security Center da un'immagine pronta all'uso. È anche possibile avviare la procedura guidata Configura ambiente cloud manualmente in qualsiasi momento.

Per avviare manualmente la procedura guidata Configura ambiente cloud:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida del nodo selezionare Tutte le attività → Configura ambiente cloud.

La sessione di lavoro media ha una durata di circa 15 minuti.

Informazioni sulla procedura guidata Configura ambiente cloud

La procedura guidata Configura ambiente cloud consente di configurare Kaspersky Security Center in considerazione delle specifiche di utilizzo in un ambiente cloud.

La procedura guidata crea i seguenti oggetti:

• Criterio di Network Agent con le impostazioni predefinite
• Criteri per Kaspersky Endpoint Security for Linux
• Criteri per Kaspersky Security for Windows Server
• Gruppo di amministrazione per le istanze e una regola per lo spostamento automatico delle istanze in questo gruppo di amministrazione
• Attività di backup dei dati di Administration Server
• Attività per l'installazione della protezione nei dispositivi che eseguono Windows e Linux
• Attività per ogni dispositivo gestito:
  • Scansione malware rapida
  • Download degli aggiornamenti

Se è stata selezionata l'opzione di licenza BYOL, la configurazione dell'ambiente cloud attiva anche Kaspersky Security Center con un file chiave o un codice di attivazione e inserisce il file chiave o il codice di attivazione nell'archivio delle licenze.

Passaggio 1. Selezione del metodo di attivazione dell'applicazione

Questo passaggio non viene visualizzato se è stata eseguita la registrazione a una delle AMI pronte all'uso (in AWS Marketplace) o a uno SKU con fatturazione mensile basato sull'utilizzo (in Azure Marketplace). In questo caso, la procedura guidata procede immediatamente al passaggio successivo. Tuttavia, non è possibile acquistare un'AMI pronta all'uso per Google Cloud.

Se è stata selezionata l'opzione di licenza BYOL per Kaspersky Security Center, la procedura guidata richiede di selezionare il metodo di attivazione dell'applicazione.

Attivare l'applicazione con un codice di attivazione (o un file chiave) per Kaspersky Security for Virtualization o per Kaspersky Hybrid Cloud Security.

È possibile attivare l'applicazione in uno dei seguenti modi:

• Immettendo un codice di attivazione.

  Verrà avviata l'attivazione online. Nel corso del processo vengono eseguite la verifica del codice di attivazione specificato, nonché l'emissione e l'attivazione di un file chiave.

• Specificando un file chiave.

  L'applicazione controllerà il file chiave e lo attiverà se contiene le informazioni corrette o richiederà di specificare un altro file chiave.

Kaspersky Security Center inserisce la chiave di licenza nell'archivio delle licenze e la contrassegna come distribuita automaticamente nei dispositivi gestiti.

Se ci si connette a un'istanza utilizzando il componente standard di Microsoft Windows Connessione Desktop remoto o un'applicazione simile, nelle proprietà della connessione remota è necessario specificare l'unità del dispositivo fisico utilizzato per la connessione. Questo garantisce l'accesso dall'istanza ai file nel dispositivo fisico e consente di selezionare e specificare il file chiave.

Se si utilizza Kaspersky Security Center distribuito da un'AMI a pagamento o per uno SKU con fatturazione mensile basato sull'utilizzo, non è possibile aggiungere file chiave o codici di attivazione all'archivio delle licenze.

Passaggio 2. Selezione dell'ambiente cloud

Selezionare l'ambiente cloud in cui distribuire Kaspersky Security Center: AWS, Azure o Google Cloud.

Passaggio 3. Autorizzazione nell'ambiente cloud

Espandi tutto | Comprimi tutto

AWS

Se è stato selezionato AWS, specificare che si dispone di un ruolo IAM con i diritti richiesti o fornire a Kaspersky Security Center una chiave di accesso AWS IAM. Non è possibile eseguire il polling dei segmenti cloud senza un ruolo IAM o una chiave di accesso AWS IAM.

Specificare le seguenti impostazioni per la connessione da utilizzare per il polling dei segmenti cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• Usa ruolo IAM AWS

  Selezionare questa opzione se è stato già creato un ruolo IAM per l'utilizzo dei servizi AWS da parte di Administration Server.

• Usa account utente IAM AWS

  Selezionare questa opzione se si dispone di un account utente IAM con le autorizzazioni richieste ed è possibile immettere un ID chiave e una chiave segreta.

  • ID chiave di accesso

    L'ID chiave di accesso IAM è una sequenza di caratteri alfanumerici. L'ID chiave è stato ricevuto al momento della creazione dell'account utente IAM.

    Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

  • Chiave segreta

    Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

    I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

    Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

La connessione viene salvata nelle impostazioni dell'applicazione. È possibile creare una sola chiave di accesso AWS IAM con Configura ambiente cloud. Successivamente è possibile specificare più connessioni per gestire altri segmenti cloud.

Se si desidera installare le applicazioni nelle istanze tramite Kaspersky Security Center, è necessario verificare che il ruolo IAM (o l'utente IAM il cui account è associato alla chiave immessa) disponga di tutte le autorizzazioni richieste.

Azure

Se è stato selezionato Azure, specificare le seguenti impostazioni per la connessione da utilizzare per il polling del segmento cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• ID applicazione Azure

  L'ID applicazione è stato creato dall'utente nel portale di Azure.

  È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

• ID sottoscrizione Azure

  La sottoscrizione è stata creata dall'utente nel portale di Azure.

• Password dell'applicazione Azure

  La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

  I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

• Nome dell'account di archiviazione Azure

  È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

• Chiave di accesso all'archivio Azure

  È stata ricevuta una password (chiave) durante la creazione dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

  La chiave è disponibile nella sezione "Panoramica dell'account di archiviazione Azure", nella sottosezione "Chiavi".

La connessione viene salvata nelle impostazioni dell'applicazione.

Google Cloud

Se è stato selezionato Google Cloud, specificare le seguenti impostazioni per la connessione da utilizzare per il polling del segmento cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• E-mail client

  L'e-mail client è l'indirizzo e-mail utilizzato per la registrazione del progetto in Google Cloud.

• ID progetto

  L'ID progetto è l'ID ricevuto durante la registrazione del progetto in Google Cloud.

• Chiave privata

  La chiave privata è la sequenza di caratteri ricevuta come chiave privata durante la registrazione del progetto in Google Cloud. È consigliabile copiare e incollare questa sequenza per evitare errori.

La connessione viene salvata nelle impostazioni dell'applicazione.

Passaggio 4. Configurazione della sincronizzazione con Cloud e selezione delle azioni successive

Espandi tutto | Comprimi tutto

In questo passaggio viene avviato il polling dei segmenti cloud e viene creato uno speciale gruppo di amministrazione per le istanze. Le istanze rilevate durante il polling vengono inserite in questo gruppo. Viene configurata la pianificazione del polling dei segmenti cloud (per impostazione predefinita, ogni 5 minuti).

Viene inoltre creata una regola di spostamento automatico Sincronizza con il cloud. Per ogni successiva scansione della rete cloud, i dispositivi virtuali rilevati verranno spostati nel sottogruppo corrispondente all'interno del gruppo Dispositivi gestiti\Cloud.

Nella pagina Sincronizzazione con il segmento cloud è possibile definire le seguenti impostazioni:

• Sincronizza struttura di gruppi di amministrazione con il segmento cloud

  Se questa opzione è abilitata, viene creato automaticamente il gruppo Cloud all'interno del gruppo Dispositivi gestiti e viene avviata una device discovery cloud. Le istanze e le macchine virtuali rilevate durante ciascuna scansione della rete cloud sono inserite nel gruppo Cloud. La struttura dei sottogruppi di amministrazione all'interno di questo gruppo corrisponde alla struttura del segmento cloud (in AWS, le zone di disponibilità e i gruppi di collocazione non sono rappresentati nella struttura; in Azure, le subnet non sono rappresentate nella struttura). I dispositivi che non sono stati identificati come istanze nell'ambiente cloud si trovano nel gruppo Dispositivi non assegnati. La struttura di questo gruppo consente di utilizzare le attività di installazione di gruppo per installare le applicazioni anti-virus nelle istanze, nonché di configurare diversi criteri per diversi gruppi.

  Se questa opzione è disabilitata, viene creato il gruppo Cloud e viene avviata una device discovery cloud, tuttavia all'interno del gruppo non vengono creati i sottogruppi che corrispondono alla struttura del segmento cloud. Tutte le istanze rilevate si trovano nel gruppo di amministrazione Cloud, pertanto vengono visualizzate in un unico elenco. Se l'utilizzo di Kaspersky Security Center richiede la sincronizzazione, è possibile modificare le proprietà della regola Sincronizza con il cloud e quindi applicarla. Applicando la regola viene modificata la struttura dei sottogruppi nel gruppo Cloud in modo da creare la corrispondenza con la struttura del segmento cloud.

  Per impostazione predefinita, questa opzione è disabilitata.

• Distribuisci protezione

  Se questa opzione è selezionata, la procedura guidata crea un'attività per l'installazione delle applicazioni di protezione nelle istanze. Al termine della procedura guidata, verrà avviata automaticamente la Distribuzione guidata della protezione nei dispositivi nei segmenti cloud e sarà possibile installare Network Agent e le applicazioni di protezione in tali dispositivi.

  Kaspersky Security Center può eseguire la distribuzione tramite i propri strumenti nativi. Se non si dispone delle autorizzazioni per installare le applicazioni in istanze EC2 o nelle macchine virtuali Azure, è possibile configurare l'attività Installazione remota manualmente e specificare un account con le autorizzazioni richieste. In questo caso l'attività di installazione remota non funzionerà per i dispositivi rilevati utilizzando API AWS o Azure. Questa attività funzionerà solo per i dispositivi rilevati tramite il polling di Active Directory, dei domini Windows o dell'intervallo IP.

  Se questa opzione è deselezionata, la Distribuzione guidata della protezione non viene avviata e non vengono create attività per l'installazione delle applicazioni di protezione nelle istanze. È possibile eseguire manualmente entrambe le operazioni in un secondo momento.

Per Google Cloud, è possibile eseguire la distribuzione solo con gli strumenti nativi di Kaspersky Security Center. Se è stato selezionato Google Cloud, l'opzione Distribuisci protezione non è disponibile.

Passaggio 5. Configurazione di Kaspersky Security Network nell'ambiente cloud

Espandi tutto | Comprimi tutto

Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:

• Accetto di utilizzare Kaspersky Security Network

  Kaspersky Security Center e le applicazioni gestite installate nei dispositivi client trasferiranno automaticamente i dettagli sull'esecuzione a Kaspersky Security Network. La partecipazione a Kaspersky Security Network garantisce aggiornamenti più rapidi dei database contenenti le informazioni sui virus e sulle altre minacce, assicurando una risposta più rapida alle minacce per la sicurezza emergenti.

• Non accetto di utilizzare Kaspersky Security Network

  Kaspersky Security Center e le applicazioni gestite non forniranno informazioni a Kaspersky Security Network.

  Se si seleziona questa opzione, l'utilizzo di Kaspersky Security Network sarà disabilitato.

Kaspersky consiglia la partecipazione a Kaspersky Security Network.

Passaggio 6. Configurazione delle notifiche e-mail nell'ambiente cloud

Espandi tutto | Comprimi tutto

Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi client virtuali. Queste impostazioni verranno utilizzate come impostazioni predefinite per i criteri dell'applicazione.

Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:

• Destinatari (indirizzi e-mail)

  Gli indirizzi e-mail degli utenti a cui l'applicazione invierà le notifiche. È possibile immettere uno o più indirizzi; se si immette più di un indirizzo, separarli con un punto e virgola.

• Server SMTP

  L'indirizzo o gli indirizzi dei server di posta dell'organizzazione.

  Se si immette più di un indirizzo, separarli con un punto e virgola. È possibile utilizzare i seguenti valori:

  • Indirizzo IPv4 o IPv6
  • Nome di rete Windows (nome NetBIOS) del dispositivo
  • Nome DNS del server SMTP
• Porta server SMTP

  Numero di porta di comunicazione del server SMTP. Se si utilizzano più server SMTP, la connessione a questi viene stabilita tramite la porta di comunicazione specificata. Il numero di porta predefinito è 25.

• Usa autenticazione ESMTP

  Abilita il supporto dell'autenticazione ESMTP. Quando la casella di controllo è selezionata, nei campi Nome utente e Password è possibile specificare le impostazioni per l'autenticazione ESMTP. Per impostazione predefinita, questa casella di controllo è deselezionata.

È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova. Se è stato ricevuto il messaggio di prova all'indirizzo specificato nel campo Destinatari (indirizzi e-mail), le impostazioni sono state configurate correttamente.

Passaggio 7. Creazione di una configurazione iniziale della protezione dell'ambiente cloud

Espandi tutto | Comprimi tutto

In questo passaggio Kaspersky Security Center crea automaticamente criteri e attività. La finestra Configura protezione iniziale visualizza un elenco dei criteri e delle attività creati dall'applicazione.

Se si utilizza un database RDS nell'ambiente cloud AWS, è necessario specificare la coppia di chiavi di accesso IAM in Kaspersky Security Center durante la creazione dell'attività di backup di Administration Server. In questo caso, compilare i seguenti campi:

• Nome del bucket S3

  Nome del bucket S3 che è stato creato per il backup.

• ID chiave di accesso

  L'ID chiave (sequenza di caratteri alfanumerici) è stato ricevuto al momento della creazione dell'account utente IAM per l'utilizzo dell'istanza di archiviazione del bucket S3.

  Il campo è disponibile se è stato selezionato il database RDS in un bucket S3.

• Chiave segreta

  Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

  I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

  Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

Se si utilizza un database SQL Azure nell'ambiente cloud Azure, è necessario specificare le informazioni sul server SQL Azure in Kaspersky Security Center durante la creazione dell'attività di backup di Administration Server. In questo caso, compilare i seguenti campi:

• Nome dell'account di archiviazione Azure

  È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

• ID sottoscrizione Azure

  La sottoscrizione è stata creata dall'utente nel portale di Azure.

• Password dell'applicazione Azure

  La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

  I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

• ID applicazione Azure

  L'ID applicazione è stato creato dall'utente nel portale di Azure.

  È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

• Nome del server SQL Azure

  Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

• Gruppo di risorse del server SQL Azure

  Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

• Chiave di accesso all'archivio Azure

  Disponibile nelle proprietà dell'account di archiviazione, nella sezione Chiavi di accesso. È possibile utilizzare qualsiasi chiave (chiave1 o chiave2).

Se è in corso la distribuzione di Administration Server in Google Cloud, è necessario selezionare una cartella in cui verranno archiviate le copie di backup. Selezionare una cartella nel dispositivo locale o una cartella nell'istanza di una macchina virtuale.

Il pulsante Avanti diventa disponibile dopo la creazione di tutti i criteri e le attività che sono necessari per la configurazione minima della protezione.

Se un dispositivo in cui devono essere eseguite le attività non è visibile per l'Administration Server, le attività vengono avviate solo quando il dispositivo diventa visibile. Se si crea una nuova istanza EC2 o una nuova macchina virtuale di Azure, potrebbe essere necessario un certo tempo prima che risulti visibile per l'Administration Server. Se si desidera che Network Agent e le applicazioni di protezione vengano installati appena possibile in tutti i nuovi dispositivi creati, verificare che l'opzione Esegui attività non effettuate sia abilitata per l'attività Installa l'applicazione in remoto. In caso contrario, Network Agent e le applicazioni di protezione non verranno installati in una nuova istanza o macchina virtuale creata finché l'attività non viene avviata in base alla relativa pianificazione.

Passaggio 8. Selezione dell'azione nel momento in cui deve essere riavviato il sistema operativo durante l'installazione (per l'ambiente cloud)

Espandi tutto | Comprimi tutto

Se precedentemente è stata selezionata l'opzione Distribuisci protezione, è necessario scegliere quale operazione eseguire quando il sistema operativo di un dispositivo di destinazione deve essere riavviato. Se non è stata selezionata l'opzione Distribuisci protezione, questo passaggio viene ignorato.

Scegliere se riavviare le istanze qualora il sistema operativo del dispositivo debba essere riavviato durante l'installazione delle applicazioni:

• Non riavviare il dispositivo

  Se questa opzione è selezionata, il dispositivo non verrà riavviato dopo l'installazione dell'applicazione di protezione.

• Riavvia il dispositivo

  Se questa opzione è selezionata, il dispositivo verrà riavviato dopo l'installazione dell'applicazione di protezione.

Se si desidera forzare la chiusura delle applicazioni nelle sessioni bloccate nelle istanze prima del riavvio, selezionare la casella di controllo Forza chiusura delle applicazioni nelle sessioni bloccate. Se questa casella di controllo è deselezionata, sarà necessario chiudere manualmente tutte le applicazioni in esecuzione nelle istanze bloccate.

Passaggio 9. Ricezione degli aggiornamenti da parte di Administration Server

In questo passaggio è possibile visualizzare lo stato di avanzamento del download degli aggiornamenti per il corretto funzionamento di Administration Server. È possibile fare clic sul pulsante Avanti senza attendere il completamento del download per passare alla pagina finale della procedura guidata.

La procedura guidata verrà completata.