Utilizzo dell'ambiente cloud Amazon Web Services

In questa sezione viene descritto come eseguire la preparazione per l'utilizzo di Kaspersky Security Center in Amazon Web Services.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Informazioni sull'utilizzo dell'ambiente cloud Amazon Web Services

È possibile acquistare Kaspersky Security Center in AWS Marketplace sotto forma di Amazon Machine Image (AMI), un'immagine pronta all'uso di una macchina virtuale preconfigurata. È possibile abbonarsi a un'immagine AMI a pagamento o BYOL e, in base a tale immagine, creare un'istanza di Amazon EC2 con Kaspersky Security Center Administration Server installato.

Per utilizzare la piattaforma AWS e, in particolare, per acquistare le app in AWS Marketplace e creare istanze, è necessario un account Amazon Web Services. È possibile creare un account gratuito all'indirizzo https://aws.amazon.com/it. È anche possibile utilizzare un account Amazon esistente.

Se è stato scelto un abbonamento per un'immagine AMI disponibile in AWS Marketplace, si riceverà un'istanza con Kaspersky Security Center pronto all'uso. Non è necessario installare l'applicazione manualmente. In questo caso, Kaspersky Security Center Administration Server è installato nell'istanza senza l'intervento dell'utente. Dopo l'installazione, è possibile avviare Administration Console e connettersi ad Administration Server per iniziare a utilizzare Kaspersky Security Center.

Per ulteriori informazioni su un'AMI e sul funzionamento di AWS Marketplace, visitare la pagina della Guida di AWS Marketplace. Per ulteriori informazioni sull'utilizzo della piattaforma AWS, l'utilizzo delle istanze e i relativi concetti, fare riferimento alla documentazione di Amazon Web Services.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di ruoli IAM e account utente IAM per le istanze Amazon EC2

In questa sezione sono descritte le azioni da eseguire per garantire il corretto funzionamento dell'Administration Server. Queste azioni includono l'utilizzo dei ruoli e degli account utente IAM (Identity and Access Management) AWS. Sono inoltre descritte le azioni che devono essere eseguite nei dispositivi client per installare Network Agent in tali dispositivi e quindi installare Kaspersky Security for Windows Server e Kaspersky Endpoint Security for Linux.

Verifica delle autorizzazioni di Kaspersky Security Center Administration Server per l'utilizzo di AWS

Gli standard per l'esecuzione nell'ambiente cloud Amazon Web Services prevedono l'assegnazione di un ruolo IAM speciale all'istanza di Administration Server per l'utilizzo con i servizi AWS. Un ruolo IAM è un'entità IAM che definisce il set di autorizzazioni per l'esecuzione delle richieste ai servizi AWS. Il ruolo IAM fornisce le autorizzazioni per il polling dei segmenti cloud e l'installazione delle applicazioni nelle istanze.

Dopo aver creato un ruolo IAM e averlo assegnato all'Administration Server, sarà possibile distribuire la protezione delle istanze utilizzando questo ruolo, senza fornire informazioni aggiuntive a Kaspersky Security Center.

Tuttavia, potrebbe essere consigliabile non creare un ruolo IAM per l'Administration Server nei seguenti casi:

• I dispositivi di cui si prevede di gestire la protezione sono istanze EC2 all'interno di ambiente cloud Amazon Web Services, ma l'Administration Server è all'esterno dell'ambiente.
• Si prevede di gestire la protezione di istanze non solo all'interno del proprio segmento cloud, ma anche in altri segmenti cloud che sono stati creati con un altro account in AWS. In questo caso, sarà necessario un ruolo IAM solo per la protezione del proprio segmento cloud. Non sarà richiesto un ruolo IAM per proteggere un altro segmento cloud.

In questi casi, invece di creare un ruolo IAM, sarà necessario creare un account utente IAM, che verrà usato da parte di Kaspersky Security Center per l'utilizzo dei servizi AWS. Prima di iniziare a utilizzare Administration Server, creare un account utente IAM con una chiave di accesso AWS IAM (di seguito denominata anche chiave di accesso IAM).

La creazione di un ruolo IAM o di un account utente IAM richiede la console di gestione AWS. Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.

Creazione di un ruolo IAM per l'Administration Server

Prima di distribuire Administration Server, nella console di gestione AWS creare un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.

Per creare un ruolo IAM per l'Administration Server:

1. Aprire la console di gestione AWS e accedere con il proprio account AWS.
2. Nella sezione Ruoli creare un ruolo con le seguenti autorizzazioni:
   • AmazonEC2ReadOnlyAccess, se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
   • AmazonEC2ReadOnlyAccess e AmazonSSMFullAccess, se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso sarà necessario assegnare anche un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.

È necessario assegnare questo ruolo all'istanza EC2 che verrà utilizzata come Administration Server.

Il nuovo ruolo creato è disponibile per tutte le applicazioni nell'Administration Server. Di conseguenza, qualsiasi applicazione in esecuzione nell'Administration Server è in grado di eseguire il polling dei segmenti cloud o di installare applicazioni nelle istanze EC2 all'interno di un segmento cloud.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di un account utente IAM per l'utilizzo di Kaspersky Security Center

È necessario un account utente IAM per l'utilizzo di Kaspersky Security Center se all'Administration Server non è stato assegnato un ruolo IAM con le autorizzazioni per la device discovery e l'installazione delle applicazioni nelle istanze. Se si utilizza un bucket S3, è inoltre necessario lo stesso account, o un account differente, per l'attività di backup dei dati di Administration Server. È possibile creare un solo account utente IAM con tutte le autorizzazioni necessarie oppure due account utente distinti.

Per l'utente IAM viene creata automaticamente una chiave di accesso IAM che sarà necessario fornire a Kaspersky Security Center durante la configurazione iniziale. Una chiave di accesso IAM è costituita da un ID chiave di accesso e da una chiave segreta. Per ulteriori informazioni sul servizio IAM, consultare le seguenti pagine di riferimento su AWS:

• http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html.
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.

Per creare un account utente IAM con le autorizzazioni richieste:

1. Aprire la console di gestione AWS e accedere con il proprio account.
2. Nell'elenco dei servizi AWS selezionare IAM (come illustrato nella figura seguente).

   

   Elenco di servizi nella console di gestione AWS

   Verrà visualizzata una finestra che contiene un elenco di nomi utente e un menu che consente di utilizzare lo strumento.

3. Spostarsi tra le aree della console per gestire gli account utente e aggiungere uno o più nomi utente.
4. Per gli utenti aggiunti, specificare le seguenti proprietà AWS:
   • Tipo di accesso: Programmatic Access.
   • Limite per le autorizzazioni non impostato.
   • Autorizzazioni:
     • ReadOnlyAccess - Se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
     • ReadOnlyAccess e AmazonSSMFullAccess - Se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso, è necessario assegnare un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.

     Dopo aver aggiunto le autorizzazioni, verificare che siano corrette. Se la selezione è errata, tornare alla finestra precedente e ripetere la selezione.

5. Dopo la creazione dell'account utente, verrà visualizzata una tabella contenente la chiave di accesso IAM del nuovo utente IAM. L'ID chiave di accesso sarà visualizzato nella colonna Access key ID. La chiave segreta sarà visualizzata tramite asterischi nella colonna Secret access key. Per visualizzare la chiave segreta, fare clic su Show.

Il nuovo account creato verrà visualizzato nell'elenco degli account utente IAM corrispondente all'account in AWS.

Durante la distribuzione di Kaspersky Security Center in un segmento cloud, è necessario specificare un account utente IAM e fornire l'ID chiave di accesso e la chiave segreta a Kaspersky Security Center.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di un ruolo IAM per l'installazione delle applicazioni nelle istanze Amazon EC2

Prima di avviare la distribuzione della protezione nelle istanze EC2 utilizzando Kaspersky Security Center, creare nella console di gestione AWS un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.

Il ruolo IAM è necessario in modo da poterlo assegnare a tutte le istanze EC2 in cui si intende installare applicazioni di protezione utilizzando Kaspersky Security Center. Se non si assegna a un'istanza il ruolo IAM con le autorizzazioni necessarie, l'installazione delle applicazioni in questa istanza utilizzando gli strumenti API AWS genererà un errore.

Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.

Per creare un ruolo IAM per l'installazione delle applicazioni nelle istanze:

1. Aprire la console di gestione AWS e accedere con il proprio account AWS.
2. Nel menu a sinistra selezionare Roles.
3. Fare clic sul pulsante Create Role.
4. Nell'elenco dei servizi visualizzato selezionare EC2 e quindi, nell'elenco Select Your Use Case, selezionare nuovamente EC2.
5. Fare clic sul pulsante Next: Permissions.
6. Nell'elenco visualizzato selezionare la casella di controllo accanto a AmazonEC2RoleforSSM.
7. Fare clic sul pulsante Next: Review.
8. Immettere un nome e una descrizione per il ruolo IAM e fare clic sul pulsante Create role.

   Il ruolo creato viene visualizzato nell'elenco dei ruoli con il nome e la descrizione immessi.

Da questo momento in poi è possibile utilizzare il nuovo ruolo IAM creato per creare nuove istanze EC2 da proteggere tramite Kaspersky Security Center, nonché associarlo alle istanze esistenti.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Utilizzo di Amazon RDS

In questa sezione vengono descritte le azioni da eseguire per preparare un database di Amazon Relational Database Service (RDS) per Kaspersky Security Center, inserirlo in un gruppo di opzioni, creare un ruolo IAM per l'utilizzo di un database RDS, preparare un bucket S3 per l'archiviazione ed eseguire la migrazione di un database esistente a RDS.

Amazon RDS è un servizio Web che consente agli utenti AWS di impostare, eseguire e scalare un database relazionale nell'ambiente cloud AWS. Se si desidera, è possibile utilizzare un database Amazon RDS per l'utilizzo con Kaspersky Security Center.

È possibile utilizzare i seguenti database:

• Microsoft SQL Server
• SQL Express Edition
• Aurora MySQL 5.7
• Standard MySQL 5.7

Creazione di un'istanza Amazon RDS

Se si desidera utilizzare Amazon RDS come sistema DBMS, è necessario creare un'istanza di database Amazon RDS. Questa sezione descrive come selezionare SQL Express Edition; se si desidera utilizzare Aurora MySQL o Standard MySQL (versioni 5.7, 8.0), è necessario selezionare uno di questi motori.

Per creare un'istanza di database Amazon RDS:

1. Aprire la console di gestione AWS all'indirizzo https://console.aws.amazon.com e accedere con il proprio account.
2. Utilizzando l'interfaccia AWS, creare un database con le seguenti impostazioni:
   • Motore: Microsoft SQL Server, SQL Express Edition
   • Versione del motore di database: SQL Server 2014 12.00.5546.0v1
   • Classe dell'istanza database: db.t2.medium
   • Tipo di archiviazione: generale
   • Archiviazione allocata: almeno 50 GiB
   • Gruppo di protezione: lo stesso gruppo a cui apparterrà l'istanza EC2 con Kaspersky Security Center Administration Server

   Creare un identificatore, un nome utente e una password per l'istanza RDS.

   È possibile mantenere le impostazioni predefinite in tutti gli altri campi. In alternativa, modificare le impostazioni predefinite se si desidera personalizzare l'istanza Amazon RDS. Per assistenza, fare riferimento alla pagine delle informazioni su AWS.

3. Durante l'ultimo passaggio, AWS visualizza i risultati del processo. Per visualizzare i dettagli dell'istanza Amazon RDS, fare clic su View DB instance details. Per passare all'azione successiva, avviare la creazione di un gruppo di opzioni per l'istanza Amazon RDS.

La creazione di una nuova istanza di Amazon RDS può richiedere diversi minuti. Dopo la creazione dell'istanza, è possibile utilizzarla per lavorare con i dati di Kaspersky Security Center.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di gruppo di opzioni per l'istanza Amazon RDS

È necessario inserire l'istanza Amazon RDS in un gruppo di opzioni.

Per creare un gruppo di opzioni per l'istanza Amazon RDS:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nella riga del menu fare clic su Services.

   Verrà visualizzato l'elenco dei servizi disponibili (vedere la figura seguente).

   

   Elenco di servizi nella console di gestione AWS

3. Nell'elenco fare clic su RDS.
4. Nel riquadro sinistro fare clic su Option groups.
5. Fare clic sul pulsante Create group.
6. Creare un gruppo di opzioni con le seguenti impostazioni, se è stato selezionato SQL Server durante la creazione dell'istanza Amazon RDS:
   • Motore: SQLserver-ex
   • Versione principale del motore: 12.00

   Se è stato selezionato un database SQL diverso durante la creazione dell'istanza Amazon RDS, scegliere un motore corrispondente.

Il gruppo verrà creato e visualizzato nell'elenco dei gruppi.

Dopo la creazione del gruppo di opzioni, posizionare l'istanza Amazon RDS in questo gruppo di opzioni.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Modifica del gruppo di opzioni

La configurazione predefinita del gruppo di opzioni in cui è stata posizionata l'istanza di Amazon RDS non è sufficiente per l'utilizzo del database di Kaspersky Security Center. È necessario aggiungere opzioni al gruppo di opzioni e creare un nuovo ruolo IAM per l'utilizzo del database.

Per modificare il gruppo di opzioni e creare un nuovo ruolo IAM:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nella riga del menu fare clic su Services.

   Verrà visualizzato l'elenco dei servizi disponibili (vedere la figura seguente).

   

   Elenco di servizi nella console di gestione AWS

3. Nell'elenco selezionare RDS.
4. Nel riquadro sinistro fare clic su Option groups.

   Verrà visualizzato l'elenco dei gruppi di opzioni.

5. Selezionare il gruppo di opzioni in cui è posizionata l'istanza Amazon RDS, quindi fare clic sul pulsante Add option.

   Verrà visualizzata la finestra Add option.

6. Nella sezione IAM role selezionare l'opzione Create a new role / Yes e immettere un nome per il nuovo ruolo IAM.

   Il ruolo verrà creato con un set predefinito di autorizzazioni. Successivamente, sarà necessario modificarne le autorizzazioni.

7. Nella sezione S3 bucket eseguire una delle seguenti operazioni:
   • Se non è stata creata un'istanza bucket Amazon S3 per il backup dei dati, selezionare il collegamento Create a new S3 bucket e creare un nuovo bucket S3 tramite l'interfaccia AWS.
   • Se è già stata creata un'istanza bucket Amazon S3 per l'attività di backup dei dati di Administration Server, selezionare il bucket S3 nell'elenco a discesa.
8. Completare l'aggiunta delle opzioni facendo clic sul pulsante Add option nella parte inferiore della pagina.

È stato modificato il gruppo di opzioni e creato un nuovo ruolo IAM per l'utilizzo del database RDS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Modifica delle autorizzazioni per il ruolo IAM per l'istanza di database Amazon RDS

Dopo aver aggiunto le opzioni al gruppo di opzioni, è necessario assegnare al ruolo IAM che è stato creato le autorizzazioni richieste per l'utilizzo dell'istanza di database Amazon RDS.

Per assegnare al ruolo IAM che è stato creato le autorizzazioni richieste per l'utilizzo dell'istanza di database Amazon RDS:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nell'elenco dei servizi selezionare IAM.

   Verrà visualizzata una finestra che contiene un elenco di nomi utente e un menu che consente di utilizzare lo strumento.

3. Nel menu selezionare Ruoli.
4. Nell'elenco dei ruoli IAM visualizzato nell'area di lavoro selezionare il ruolo che è stato creato durante l'aggiunta dell'opzione al gruppo di opzioni.
5. Utilizzando l'interfaccia AWS, eliminare il criterio sqlNativeBackup-<data>.
6. Utilizzando l'interfaccia AWS, associare il criterio AmazonS3FullAccess al ruolo.

Al ruolo IAM verranno assegnate le autorizzazioni richieste per l'utilizzo di Amazon RDS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Preparazione del bucket Amazon S3 per il database

Se si prevede di utilizzare il database Amazon Relational Database System (Amazon RDS), è necessario creare un'istanza bucket Amazon Simple Storage Service (Amazon S3) in cui archiviare il backup periodico del database. Per informazioni su Amazon S3 e i bucket S3, fare riferimento alle pagine della Guida di Amazon. Per ulteriori informazioni sulla creazione di un'istanza Amazon S3, fare riferimento alla pagina della Guida di Amazon S3.

Per creare un bucket Amazon S3:

1. Verificare che la console di gestione AWS sia aperta e di avere effettuato l'accesso con il proprio account.
2. Nell'elenco dei servizi AWS selezionare S3.
3. Spostarsi nella console per creare un bucket, seguendo le istruzioni della procedura guidata.
4. Selezionare la stessa regione in cui si trova (o sarà posizionato) l'Administration Server.
5. Al termine della procedura guidata, verificare che il nuovo bucket sia visualizzato nell'elenco dei bucket.

Un nuovo bucket S3 verrà creato e sarà visualizzato nell'elenco dei bucket. È necessario specificare questo bucket durante l'aggiunta di opzioni al gruppo di opzioni. È inoltre necessario specificare l'indirizzo del bucket S3 in Kaspersky Security Center quando Kaspersky Security Center crea l'attività Backup dei dati di Administration Server.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Migrazione del database ad Amazon RDS

Espandi tutto | Comprimi tutto

È possibile eseguire la migrazione del database di Kaspersky Security Center da un dispositivo locale a un'istanza di Amazon S3 che supporta Amazon RDS. A tale scopo, è necessario un bucket S3 per un database RDS e un account utente IAM con l'autorizzazione AmazonS3FullAccess per questo bucket S3.

Per eseguire la migrazione del database:

1. Verificare di aver creato un'istanza RDS (per ulteriori informazioni, vedere le pagine di riferimento su Amazon RDS).
2. Nell'Administration Server fisico (locale) eseguire l'utilità di backup di Kaspersky per eseguire il backup dei dati di Administration Server.

   È necessario assicurarsi che il file si chiami backup.zip.

3. Copiare il file backup.zip nell'istanza EC2 in cui è installato Administration Server.

   Verificare che lo spazio su disco sia sufficiente nell'istanza EC2 in cui è installato Administration Server. Nell'ambiente AWS è possibile aggiungere spazio su disco all'istanza in base ai requisiti del processo di migrazione del database.

4. Nell'Administration Server AWS avviare nuovamente l'utilità di backup di Kaspersky in modalità interattiva.

   Verrà avviata la Procedura guidata di backup e ripristino.

5. Nel passaggio Selezionare un'azione selezionare Ripristina dati di Administration Server e fare clic su Avanti.
6. Nel passaggio Ripristinare le impostazioni fare clic sul pulsante Sfoglia accanto a Cartella per l'archiviazione delle copie di backup.
7. Nella finestra Accedere all'archivio online visualizzata compilare i seguenti campi e fare clic su OK:
   • Nome del bucket S3

     Nome del bucket S3.

   • Cartella di backup

     Specificare il percorso della cartella di archiviazione da utilizzare per il backup.

   • ID chiave di accesso

     ID chiave di accesso AWS IAM appartenente all'utente IAM che dispone delle autorizzazioni per l'utilizzo del bucket S3 (autorizzazione AmazonS3FullAccess).

   • Chiave segreta

     Chiave segreta AWS IAM appartenente all'utente IAM che dispone delle autorizzazioni per l'utilizzo del bucket S3 (autorizzazione AmazonS3FullAccess).

8. Selezionare l'opzione Esegui la migrazione dal backup locale. Il pulsante Sfoglia diventa disponibile.
9. Fare clic sul pulsante Sfoglia per scegliere la cartella nell'Administration Server AWS in cui è stato copiato il file backup.zip.
10. Fare clic su Avanti e completare la procedura.

I dati verranno ripristinati nel database RDS tramite il bucket S3. È possibile utilizzare questo database per ulteriori operazioni con Kaspersky Security Center nell'ambiente AWS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.