Utilizzo di un ambiente cloud

Questa sezione fornisce informazioni sulla distribuzione e la manutenzione di Kaspersky Security Center in ambienti cloud, come Amazon Web Services, Microsoft Azure o Google Cloud.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Le funzionalità di aggiornamento (compresa la fornitura degli aggiornamenti delle firme anti-virus e della base di codice) e la funzionalità KSN potrebbero non essere disponibili nel software negli Stati Uniti.

Informazioni sull'utilizzo di un ambiente cloud

Kaspersky Security Center 14.2 non solo funziona con i dispositivi locali, ma anche fornisce speciali funzionalità per l'utilizzo in un ambiente cloud. Kaspersky Security Center funziona con le seguenti macchine virtuali:

• Istanze Amazon EC2 (di seguito denominate istanze). Un'istanza di Amazon EC2 è una macchina virtuale creata in base alla piattaforma Amazon Web Services (AWS). Kaspersky Security Center utilizza l'API (Application Programming Interface) AWS.
• Macchine virtuali Microsoft Azure. Kaspersky Security Center utilizza l'API Azure.
• Istanze di macchine virtuali Google Cloud. Kaspersky Security Center utilizza l'API Google.

È possibile distribuire Kaspersky Security Center in un'istanza o una macchina virtuale per la gestione della protezione dei dispositivi nell'ambiente cloud e utilizzare le speciali funzionalità di Kaspersky Security Center per il funzionamento in un ambiente cloud. Tali funzionalità comprendono:

• L'utilizzo degli strumenti API per il polling dei dispositivi in un ambiente cloud
• L'utilizzo degli strumenti API per l'installazione di Network Agent e delle applicazioni di protezione nei dispositivi in un ambiente cloud
• La ricerca di dispositivi in base all'appartenenza a un segmento cloud specifico

È anche possibile utilizzare un'istanza o una macchina virtuale in cui è distribuito Kaspersky Security Center Administration Server per la protezione dei dispositivi locali (ad esempio, quando è preferibile eseguire la manutenzione di un server cloud rispetto a uno fisico). In questo caso, sarà possibile utilizzare l'Administration Server come se fosse installato in un dispositivo locale.

In un sistema Kaspersky Security Center distribuito da un'immagine AMI (Amazon Machine Image) a pagamento (in AWS) o uno SKU con fatturazione mensile basato sull'utilizzo (in Azure), Vulnerability e patch management è attivato automaticamente (inclusa l'integrazione con i sistemi SIEM), mentre Mobile Device Management non può essere attivato.

L'Administration Server viene installato insieme ad Administration Console. Kaspersky Security for Windows Server viene inoltre installato automaticamente nel dispositivo in cui è installato l'Administration Server.

È possibile configurare Kaspersky Security Center con la procedura guidata Configura ambiente cloud, tenendo conto delle specificità del lavoro in un ambiente cloud.

Scenario: Distribuzione per un ambiente cloud

In questa sezione viene descritta la distribuzione di Kaspersky Security Center per l'utilizzo in ambienti cloud come Amazon Web Services, Microsoft Azure e Google Cloud.

Una volta completato lo scenario di distribuzione, Kaspersky Security Center Administration Server e Administration Console vengono avviati e configurati con i parametri predefiniti. La protezione anti-virus gestita da Kaspersky Security Center viene distribuita nelle istanze Amazon EC2 o macchine virtuali Microsoft Azure selezionate. È quindi possibile ottimizzare la configurazione di Kaspersky Security Center, creare una struttura complessa di gruppi di amministrazione e creare vari criteri e attività per i gruppi.

La distribuzione di Kaspersky Security Center per l'utilizzo negli ambienti cloud comprende i seguenti elementi:

1. Operazioni preliminari
2. Distribuzione di Administration Server
3. Installazione delle applicazioni anti-virus di Kaspersky nei dispositivi virtuali che devono essere protetti
4. Configurazione delle impostazioni di download degli aggiornamenti
5. Configurazione delle impostazioni per la gestione dei rapporti sullo stato della protezione dei dispositivi

La procedura guidata Configura ambiente cloud consente di eseguire la configurazione iniziale. Viene avviata automaticamente la prima volta che Kaspersky Security Center viene distribuito da un'immagine pronta all'uso. È possibile avviare manualmente la procedura guidata in qualsiasi momento. È inoltre possibile eseguire manualmente tutte le operazioni che esegue.

È consigliabile pianificare almeno un'ora per la distribuzione di Kaspersky Security Center Administration Server nell'ambiente cloud e almeno un giorno lavorativo per la distribuzione della protezione nell'ambiente cloud.

La distribuzione di Kaspersky Security Center nell'ambiente cloud comprende le seguenti fasi:

1. Pianificazione della configurazione dei segmenti cloud

   Informazioni sul funzionamento di Kaspersky Security Center in un ambiente cloud. Pianificare dove distribuire Administration Server (all'interno o all'esterno dell'ambiente cloud) e determinare quanti segmenti cloud si prevede di proteggere. Se si prevede di distribuire Administration Server all'esterno dell'ambiente cloud o se si intende proteggere più di 5000 dispositivi, sarà necessario installare manualmente Administration Server.

   Per l'utilizzo di Google Cloud, è possibile installare Administration Server solo manualmente.

2. Pianificazione delle risorse

   Verificare di disporre di tutto il necessario per la distribuzione.

3. Abbonamento a Kaspersky Security Center come immagine pronta all'uso

   Selezionare una delle immagini AMI pronte per l'uso in AWS Marketplace o uno SKU con fatturazione mensile basato sull'utilizzo in Azure Marketplace, effettuare il pagamento in base alle regole del marketplace, se necessario (o utilizzare il modello BYOL), quindi utilizzare l'immagine per distribuire un'istanza di Amazon EC2/macchina virtuale Microsoft Azure con Kaspersky Security Center installato.

   Questa fase è necessaria solo se si prevede di distribuire Administration Server in un'istanza/macchina virtuale all'interno di un ambiente cloud e si intende distribuire la protezione per non più di 5000 dispositivi. In caso contrario, questa fase non è necessaria ed è invece necessario installare manualmente Administration Server, Administration Console e il DBMS.

   Questo passaggio non è disponibile per Google Cloud.

4. Determinazione della posizione del DBMS

   Determinare dove posizionare il DBMS.

   Se si desidera utilizzare un database all'esterno dell'ambiente cloud, verificare di disporre di un database funzionante.

   Se si prevede di utilizzare Amazon Relational Database Service (RDS), creare un database con RDS nell'ambiente cloud AWS.

   Se si prevede di utilizzare il DBMS SQL Microsoft Azure, creare un database con il servizio Database di Azure nell'ambiente cloud Microsoft Azure.

   Se si prevede di utilizzare MySQL Google, creare un database in Google Cloud. Per informazioni dettagliate, fare riferimento a https://cloud.google.com/sql/docs/mysql.

5. Installazione manuale di Administration Server e Administration Console (Console basata sul Web e/o Microsoft Management Console) nei dispositivi selezionati

   Installare Administration Server, Administration Console e il DBMS nei dispositivi selezionati, come descritto nello scenario di installazione principale per Kaspersky Security Center.

   Questa fase è necessaria se si prevede di collocare Administration Server all'esterno di un ambiente cloud o si intende distribuire la protezione per più di 5000 dispositivi. Assicurarsi quindi che Administration Server soddisfi i requisiti hardware. In caso contrario, questa fase non è necessaria ed è sufficiente un abbonamento a Kaspersky Security Center come immagine pronta all'uso in AWS Marketplace, Azure Marketplace o Google Cloud.

6. Verifica delle autorizzazioni di Administration Server per l'utilizzo delle API cloud

   In AWS accedere alla console di gestione AWS e creare un ruolo IAM o un account utente IAM. Il ruolo IAM (o l'account utente IAM) creato consentirà a Kaspersky Security Center di interagire con l'API AWS: polling dei segmenti cloud e distribuzione della protezione.

   In Azure creare una sottoscrizione e un ID applicazione con una password. Kaspersky Security Center utilizza queste credenziali per l’utilizzo dell’API Azure: polling dei segmenti cloud e distribuzione della protezione.

   In Google Cloud registrare un progetto, ottenere l'ID del progetto e una chiave privata. Kaspersky Security Center utilizza queste credenziali per eseguire il polling dei segmenti cloud utilizzando l'API Google.

7. Creazione di un ruolo IAM per le istanze protette (solo per AWS)

   Nella console di gestione AWS creare un ruolo IAM che definisce il set di autorizzazioni per l'esecuzione delle richieste ad AWS. Il ruolo creato verrà successivamente assegnato alle nuove istanze. Il ruolo IAM è necessario per utilizzare Kaspersky Security Center per installare le applicazioni nelle istanze.

8. Preparazione di un database tramite Amazon Relational Database Service o Microsoft Azure SQL

   Se si prevede di utilizzare Amazon Relational Database Service (RDS), creare un'istanza di database Amazon RDS e un bucket S3 in cui archiviare il backup del database. È possibile ignorare questa fase se si desidera posizionare un database nella stessa istanza EC2 in cui è installato Administration Server o in un'altra posizione.

   Se si prevede di utilizzare Microsoft Azure SQL, creare un account di archiviazione e un database in Microsoft Azure.

   Se si prevede di utilizzare MySQL Google, configurare il database in Google Cloud. Per informazioni dettagliate, fare riferimento a https://cloud.google.com/sql/docs/mysql.

9. Licensing di Kaspersky Security Center per l'utilizzo nell'ambiente cloud

   Verificare di disporre delle licenze di Kaspersky Security Center per l'utilizzo nell'ambiente cloud e specificare un codice di attivazione o un file chiave, che verrà aggiunto all'archivio delle licenze dell'applicazione. Questa fase può essere completata durante la configurazione dell'ambiente cloud.

   Questa fase è necessaria se si utilizza Kaspersky Security Center installato da un'AMI pronta all'uso gratuita in base al modello BYOL o se si desidera installare manualmente Kaspersky Security Center senza l'utilizzo di AMI. In ognuno di questi casi, per attivare Kaspersky Security Center sarà necessaria una licenza per Kaspersky Security for Virtualization o una licenza per Kaspersky Hybrid Cloud Security.

   Se si utilizza Kaspersky Security Center installato da un'immagine pronta all'uso, questa fase non è necessaria e la finestra corrispondente della procedura guidata Configura ambiente cloud non è disponibile.

10. Autorizzazione nell'ambiente cloud

    Specificare in Kaspersky Security Center le credenziali AWS, Azure o Google Cloud, in modo che Kaspersky Security Center possa operare con le autorizzazioni necessarie. Questa fase può essere completata durante l'autorizzazione nell'ambiente cloud.

11. Polling di un segmento cloud per consentire ad Administration Server di ricevere le informazioni sui dispositivi nel segmento cloud

    Avviare il polling dei segmenti cloud. Nell'ambiente AWS Kaspersky Security Center riceverà gli indirizzi e i nomi di tutte le istanze accessibili in base alle autorizzazioni del ruolo IAM o dell'utente IAM. Nell'ambiente Microsoft Azure Kaspersky Security Center riceverà gli indirizzi e i nomi di tutte le macchine virtuali accessibili in base alle autorizzazioni del ruolo Lettore.

    È quindi possibile utilizzare Kaspersky Security Center per installare le applicazioni Kaspersky e software di altri produttori nelle istanze rilevate o nelle macchine virtuali.

    Kaspersky Security Center avvia periodicamente un polling, che consente di rilevare automaticamente le nuove istanze o macchine virtuali.

12. Combinazione di tutti i dispositivi in rete nel gruppo di amministrazione Cloud

    Spostare le istanze individuate o le macchine virtuali nel gruppo di amministrazione Dispositivi gestiti\Cloud, in modo da renderle disponibili per la gestione centralizzata. Se si desidera assegnare i dispositivi a sottogruppi, ad esempio a seconda del sistema operativo installato, è possibile creare diversi gruppi di amministrazione all'interno del gruppo Dispositivi gestiti\Cloud. È possibile abilitare lo spostamento automatico di tutti i dispositivi che verranno rilevati durante il polling di routine nel gruppo Dispositivi gestiti\Cloud.

13. Utilizzo di Network Agent per la connessione dei dispositivi in rete ad Administration Server

    Installare Network Agent nei dispositivi nell'ambiente cloud. Network Agent è il componente di Kaspersky Security Center che consente la comunicazione tra i dispositivi e Administration Server. Le impostazioni di Network Agent vengono configurate automaticamente per impostazione predefinita.

    È possibile installare Network Agent in ciascun dispositivo in locale. È anche possibile installare Network Agent nei dispositivi in remoto tramite Kaspersky Security Center. In alternativa, è possibile saltare questa fase e installare Network Agent insieme alle versioni più recenti delle applicazioni di protezione.

14. Installazione delle versioni più recenti delle applicazioni di protezione nei dispositivi in rete

    Selezionare i dispositivi in cui si desidera installare le applicazioni di protezione, quindi installare le versioni più recenti delle applicazioni di protezione in tali dispositivi. È possibile eseguire l'installazione in remoto tramite Kaspersky Security Center in Administration Server oppure in locale.

    Potrebbe essere necessario creare manualmente i pacchetti di installazione per questi programmi.

    Kaspersky Endpoint Security for Linux è destinato alle istanze e macchine virtuali che eseguono Linux.

    Kaspersky Security for Windows Server è destinato alle istanze e macchine virtuali che eseguono Windows.

15. Configurazione delle impostazioni di aggiornamento

L'attività Trova vulnerabilità e aggiornamenti richiesti viene creata automaticamente quando viene avviata la configurazione dell'ambiente cloud. È inoltre possibile creare l'attività manualmente. Questa attività trova e scarica automaticamente gli aggiornamenti richiesti dell'applicazione per la successiva installazione nei dispositivi di rete tramite gli strumenti di Kaspersky Security Center.

È consigliabile eseguire questa fase al termine della configurazione dell'ambiente cloud:

1. Configurazione della gestione dei rapporti

   È possibile visualizzare i rapporti nella scheda Monitoraggio nell'area di lavoro del nodo Administration Server. È inoltre possibile ricevere rapporti via e-mail. I rapporti nella scheda Monitoraggio sono disponibili per impostazione predefinita. Per configurare la ricezione dei rapporti tramite e-mail, specificare gli indirizzi e-mail a cui inviare i rapporti, quindi configurare il formato dei rapporti.

Risultati

Al termine dello scenario è consigliabile assicurarsi che la configurazione iniziale sia andata a buon fine:

• È possibile connettersi ad Administration Server tramite Administration Console o Kaspersky Security Center Web Console.
• Le versioni più recenti delle applicazioni di protezione di Kaspersky sono installate e vengono eseguite nei dispositivi gestiti.
• Kaspersky Security Center ha creato le attività e i criteri predefiniti per tutti i dispositivi gestiti.

Prerequisiti per la distribuzione di Kaspersky Security Center in un ambiente cloud

Prima di avviare la distribuzione di Kaspersky Security Center nell'ambiente cloud Amazon Web Services o Microsoft Azure, verificare di disporre dei seguenti elementi:

• Accesso a Internet
• Uno dei seguenti account:
  • Account Amazon Web Services (per l'utilizzo con AWS)
  • Account Microsoft (per l'utilizzo con Azure)
  • Account Google (per l'utilizzo con Google Cloud)
• Uno dei seguenti elementi:
  • Licenza per Kaspersky Security for Virtualization
  • Licenza per Kaspersky Hybrid Cloud Security
  • Disponibilità economica per l'acquisto di tale licenza (Kaspersky Security for Virtualization o Kaspersky Hybrid Cloud Security)
  • Disponibilità economica per pagare un'immagine pronta all'uso in Azure Marketplace
• Guide per le ultime versioni di Kaspersky Endpoint Security for Linux e Kaspersky Security for Windows Server

Requisiti hardware per Administration Server in un ambiente cloud

Per la distribuzione in ambienti cloud, i requisiti per Administration Server e il server database sono gli stessi di quelli per Administration Server fisico (a seconda del numero di dispositivi che si desidera gestire). Fare riferimento alla documentazione dell'ambiente cloud per informazioni dettagliate.

Opzioni di licenza in un ambiente cloud

Il funzionamento in un ambiente cloud va oltre le funzionalità di base di Kaspersky Security Center, quindi è richiesta una licenza dedicata.

Sono disponibili due opzioni di licensing di Kaspersky Security Center per l'utilizzo in un ambiente cloud:

• immagine AMI a pagamento (in Amazon Web Services) o SKU con fatturazione mensile basato sull'utilizzo (in Microsoft Azure).

  In tal modo, vengono concesse una licenza per Kaspersky Security Center e le licenze per Kaspersky Endpoint Security for Linux e Kaspersky Security for Windows Server. Il pagamento varia in base alle regole dell'ambiente cloud in uso.

  Questo modello consente di avere un massimo di 200 dispositivi client per un Administration Server.

• Immagine gratuita pronta per l'uso con una licenza proprietaria, in base al modello Bring Your Own License (BYOL).

  Per la gestione delle licenze di Kaspersky Security Center in AWS o Azure, è necessario disporre di una licenza per le seguenti applicazioni:

  • Kaspersky Security for Virtualization
  • Kaspersky Hybrid Cloud Security

  Il modello BYOL consente di avere un massimo di 100.000 dispositivi client per un Administration Server. Questo modello consente inoltre di gestire i dispositivi all'esterno dell'ambiente AWS, Azure o Google.

  È possibile scegliere il modello BYOL in uno dei seguenti casi:

  • Si dispone già di una licenza valida per Kaspersky Security for Virtualization.
  • Si dispone già di una licenza valida per Kaspersky Hybrid Cloud Security.
  • Si desidera acquistare una licenza subito prima della distribuzione di Kaspersky Security Center.

  Durante la configurazione iniziale, Kaspersky Security Center richiede un codice di attivazione o un file chiave.

  Se si seleziona BYOL, non sarà necessario pagare per Kaspersky Security Center tramite Azure Marketplace o AWS Marketplace.

In entrambi casi, Vulnerability e patch management viene attivato automaticamente, mentre Mobile Device Management non può essere attivato.

È possibile che si verifichi un errore durante il tentativo di attivare la funzionalità Supporto dell'ambiente cloud utilizzando la licenza per Kaspersky Hybrid Cloud Security.

Con l'abbonamento a Kaspersky Security Center, si ottiene un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o una macchina virtuale Microsoft Azure con Kaspersky Security Center Administration Server. I pacchetti di installazione per Kaspersky Security for Windows Server e Kaspersky Endpoint Security for Linux sono disponibili nell'Administration Server. È possibile installare tali applicazioni nei dispositivi nell'ambiente cloud. Non è necessario concedere in licenza queste applicazioni.

Se un dispositivo gestito non risulta visibile per l'Administration Server per più di una settimana, l'applicazione (Kaspersky Security for Windows Server o Kaspersky Endpoint Security for Linux) nel dispositivo passerà alla modalità con funzionalità limitate. Per riattivare l'applicazione, è necessario rendere il dispositivo in cui è installata l'applicazione nuovamente visibile per l'Administration Server.

Opzioni del database per l'utilizzo in un ambiente cloud

È necessario disporre di un database per l'utilizzo di Kaspersky Security Center. Durante la distribuzione di Kaspersky Security Center in AWS, in Microsoft Azure o Google Cloud, sono disponibili tre opzioni:

• Creare un database locale nello stesso dispositivo dell'Administration Server. Kaspersky Security Center include un database SQL Server Express in grado di supportare fino a 5.000 dispositivi gestiti. Selezionare questa opzione se SQL Server Express Edition è sufficiente per le proprie esigenze.
• Creare un database con Relational Database Service (RDS) nell'ambiente cloud AWS o con il servizio Database di Azure nell'ambiente cloud Microsoft Azure. Scegliere questa opzione se si desidera un sistema DBMS diverso da SQL Express. I dati verranno trasferiti nell'ambiente cloud, dove resteranno archiviati, senza costi aggiuntivi. Se si utilizza già Kaspersky Security Center in locale e il database contiene alcuni dati, è possibile trasferirli nel nuovo database.

  Per l'utilizzo in Google Cloud Platform, è possibile utilizzare solo Cloud SQL per MySQL.

• Utilizzare un server di database esistente. Selezionare questa opzione se si dispone già di un server di database e si desidera utilizzarlo per Kaspersky Security Center. Se il server è esterno all'ambiente cloud, i dati verranno trasferiti via Internet. Tale operazione può comportare costi aggiuntivi.

La procedura di distribuzione di Kaspersky Security Center nell'ambiente cloud include uno speciale passaggio per la creazione (scelta) di un database.

Utilizzo dell'ambiente cloud Amazon Web Services

In questa sezione viene descritto come eseguire la preparazione per l'utilizzo di Kaspersky Security Center in Amazon Web Services.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Informazioni sull'utilizzo dell'ambiente cloud Amazon Web Services

È possibile acquistare Kaspersky Security Center in AWS Marketplace sotto forma di Amazon Machine Image (AMI), un'immagine pronta all'uso di una macchina virtuale preconfigurata. È possibile abbonarsi a un'immagine AMI a pagamento o BYOL e, in base a tale immagine, creare un'istanza di Amazon EC2 con Kaspersky Security Center Administration Server installato.

Per utilizzare la piattaforma AWS e, in particolare, per acquistare le app in AWS Marketplace e creare istanze, è necessario un account Amazon Web Services. È possibile creare un account gratuito all'indirizzo https://aws.amazon.com/it. È anche possibile utilizzare un account Amazon esistente.

Se è stato scelto un abbonamento per un'immagine AMI disponibile in AWS Marketplace, si riceverà un'istanza con Kaspersky Security Center pronto all'uso. Non è necessario installare l'applicazione manualmente. In questo caso, Kaspersky Security Center Administration Server è installato nell'istanza senza l'intervento dell'utente. Dopo l'installazione, è possibile avviare Administration Console e connettersi ad Administration Server per iniziare a utilizzare Kaspersky Security Center.

Per ulteriori informazioni su un'AMI e sul funzionamento di AWS Marketplace, visitare la pagina della Guida di AWS Marketplace. Per ulteriori informazioni sull'utilizzo della piattaforma AWS, l'utilizzo delle istanze e i relativi concetti, fare riferimento alla documentazione di Amazon Web Services.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di ruoli IAM e account utente IAM per le istanze Amazon EC2

In questa sezione sono descritte le azioni da eseguire per garantire il corretto funzionamento dell'Administration Server. Queste azioni includono l'utilizzo dei ruoli e degli account utente IAM (Identity and Access Management) AWS. Sono inoltre descritte le azioni che devono essere eseguite nei dispositivi client per installare Network Agent in tali dispositivi e quindi installare Kaspersky Security for Windows Server e Kaspersky Endpoint Security for Linux.

Verifica delle autorizzazioni di Kaspersky Security Center Administration Server per l'utilizzo di AWS

Gli standard per l'esecuzione nell'ambiente cloud Amazon Web Services prevedono l'assegnazione di un ruolo IAM speciale all'istanza di Administration Server per l'utilizzo con i servizi AWS. Un ruolo IAM è un'entità IAM che definisce il set di autorizzazioni per l'esecuzione delle richieste ai servizi AWS. Il ruolo IAM fornisce le autorizzazioni per il polling dei segmenti cloud e l'installazione delle applicazioni nelle istanze.

Dopo aver creato un ruolo IAM e averlo assegnato all'Administration Server, sarà possibile distribuire la protezione delle istanze utilizzando questo ruolo, senza fornire informazioni aggiuntive a Kaspersky Security Center.

Tuttavia, potrebbe essere consigliabile non creare un ruolo IAM per l'Administration Server nei seguenti casi:

• I dispositivi di cui si prevede di gestire la protezione sono istanze EC2 all'interno di ambiente cloud Amazon Web Services, ma l'Administration Server è all'esterno dell'ambiente.
• Si prevede di gestire la protezione di istanze non solo all'interno del proprio segmento cloud, ma anche in altri segmenti cloud che sono stati creati con un altro account in AWS. In questo caso, sarà necessario un ruolo IAM solo per la protezione del proprio segmento cloud. Non sarà richiesto un ruolo IAM per proteggere un altro segmento cloud.

In questi casi, invece di creare un ruolo IAM, sarà necessario creare un account utente IAM, che verrà usato da parte di Kaspersky Security Center per l'utilizzo dei servizi AWS. Prima di iniziare a utilizzare Administration Server, creare un account utente IAM con una chiave di accesso AWS IAM (di seguito denominata anche chiave di accesso IAM).

La creazione di un ruolo IAM o di un account utente IAM richiede la console di gestione AWS. Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.

Creazione di un ruolo IAM per l'Administration Server

Prima di distribuire Administration Server, nella console di gestione AWS creare un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.

Per creare un ruolo IAM per l'Administration Server:

1. Aprire la console di gestione AWS e accedere con il proprio account AWS.
2. Nella sezione Ruoli creare un ruolo con le seguenti autorizzazioni:
   • AmazonEC2ReadOnlyAccess, se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
   • AmazonEC2ReadOnlyAccess e AmazonSSMFullAccess, se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso sarà necessario assegnare anche un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.

È necessario assegnare questo ruolo all'istanza EC2 che verrà utilizzata come Administration Server.

Il nuovo ruolo creato è disponibile per tutte le applicazioni nell'Administration Server. Di conseguenza, qualsiasi applicazione in esecuzione nell'Administration Server è in grado di eseguire il polling dei segmenti cloud o di installare applicazioni nelle istanze EC2 all'interno di un segmento cloud.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di un account utente IAM per l'utilizzo di Kaspersky Security Center

È necessario un account utente IAM per l'utilizzo di Kaspersky Security Center se all'Administration Server non è stato assegnato un ruolo IAM con le autorizzazioni per la device discovery e l'installazione delle applicazioni nelle istanze. Se si utilizza un bucket S3, è inoltre necessario lo stesso account, o un account differente, per l'attività di backup dei dati di Administration Server. È possibile creare un solo account utente IAM con tutte le autorizzazioni necessarie oppure due account utente distinti.

Per l'utente IAM viene creata automaticamente una chiave di accesso IAM che sarà necessario fornire a Kaspersky Security Center durante la configurazione iniziale. Una chiave di accesso IAM è costituita da un ID chiave di accesso e da una chiave segreta. Per ulteriori informazioni sul servizio IAM, consultare le seguenti pagine di riferimento su AWS:

• http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html.
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.

Per creare un account utente IAM con le autorizzazioni richieste:

1. Aprire la console di gestione AWS e accedere con il proprio account.
2. Nell'elenco dei servizi AWS selezionare IAM (come illustrato nella figura seguente).

   

   Elenco di servizi nella console di gestione AWS

   Verrà visualizzata una finestra che contiene un elenco di nomi utente e un menu che consente di utilizzare lo strumento.

3. Spostarsi tra le aree della console per gestire gli account utente e aggiungere uno o più nomi utente.
4. Per gli utenti aggiunti, specificare le seguenti proprietà AWS:
   • Tipo di accesso: Programmatic Access.
   • Limite per le autorizzazioni non impostato.
   • Autorizzazioni:
     • ReadOnlyAccess - Se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
     • ReadOnlyAccess e AmazonSSMFullAccess - Se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso, è necessario assegnare un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.

     Dopo aver aggiunto le autorizzazioni, verificare che siano corrette. Se la selezione è errata, tornare alla finestra precedente e ripetere la selezione.

5. Dopo la creazione dell'account utente, verrà visualizzata una tabella contenente la chiave di accesso IAM del nuovo utente IAM. L'ID chiave di accesso sarà visualizzato nella colonna Access key ID. La chiave segreta sarà visualizzata tramite asterischi nella colonna Secret access key. Per visualizzare la chiave segreta, fare clic su Show.

Il nuovo account creato verrà visualizzato nell'elenco degli account utente IAM corrispondente all'account in AWS.

Durante la distribuzione di Kaspersky Security Center in un segmento cloud, è necessario specificare un account utente IAM e fornire l'ID chiave di accesso e la chiave segreta a Kaspersky Security Center.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di un ruolo IAM per l'installazione delle applicazioni nelle istanze Amazon EC2

Prima di avviare la distribuzione della protezione nelle istanze EC2 utilizzando Kaspersky Security Center, creare nella console di gestione AWS un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.

Il ruolo IAM è necessario in modo da poterlo assegnare a tutte le istanze EC2 in cui si intende installare applicazioni di protezione utilizzando Kaspersky Security Center. Se non si assegna a un'istanza il ruolo IAM con le autorizzazioni necessarie, l'installazione delle applicazioni in questa istanza utilizzando gli strumenti API AWS genererà un errore.

Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.

Per creare un ruolo IAM per l'installazione delle applicazioni nelle istanze:

1. Aprire la console di gestione AWS e accedere con il proprio account AWS.
2. Nel menu a sinistra selezionare Roles.
3. Fare clic sul pulsante Create Role.
4. Nell'elenco dei servizi visualizzato selezionare EC2 e quindi, nell'elenco Select Your Use Case, selezionare nuovamente EC2.
5. Fare clic sul pulsante Next: Permissions.
6. Nell'elenco visualizzato selezionare la casella di controllo accanto a AmazonEC2RoleforSSM.
7. Fare clic sul pulsante Next: Review.
8. Immettere un nome e una descrizione per il ruolo IAM e fare clic sul pulsante Create role.

   Il ruolo creato viene visualizzato nell'elenco dei ruoli con il nome e la descrizione immessi.

Da questo momento in poi è possibile utilizzare il nuovo ruolo IAM creato per creare nuove istanze EC2 da proteggere tramite Kaspersky Security Center, nonché associarlo alle istanze esistenti.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Utilizzo di Amazon RDS

In questa sezione vengono descritte le azioni da eseguire per preparare un database di Amazon Relational Database Service (RDS) per Kaspersky Security Center, inserirlo in un gruppo di opzioni, creare un ruolo IAM per l'utilizzo di un database RDS, preparare un bucket S3 per l'archiviazione ed eseguire la migrazione di un database esistente a RDS.

Amazon RDS è un servizio Web che consente agli utenti AWS di impostare, eseguire e scalare un database relazionale nell'ambiente cloud AWS. Se si desidera, è possibile utilizzare un database Amazon RDS per l'utilizzo con Kaspersky Security Center.

È possibile utilizzare i seguenti database:

• Microsoft SQL Server
• SQL Express Edition
• Aurora MySQL 5.7
• Standard MySQL 5.7

Creazione di un'istanza Amazon RDS

Se si desidera utilizzare Amazon RDS come sistema DBMS, è necessario creare un'istanza di database Amazon RDS. Questa sezione descrive come selezionare SQL Express Edition; se si desidera utilizzare Aurora MySQL o Standard MySQL (versioni 5.7, 8.0), è necessario selezionare uno di questi motori.

Per creare un'istanza di database Amazon RDS:

1. Aprire la console di gestione AWS all'indirizzo https://console.aws.amazon.com e accedere con il proprio account.
2. Utilizzando l'interfaccia AWS, creare un database con le seguenti impostazioni:
   • Motore: Microsoft SQL Server, SQL Express Edition
   • Versione del motore di database: SQL Server 2014 12.00.5546.0v1
   • Classe dell'istanza database: db.t2.medium
   • Tipo di archiviazione: generale
   • Archiviazione allocata: almeno 50 GiB
   • Gruppo di protezione: lo stesso gruppo a cui apparterrà l'istanza EC2 con Kaspersky Security Center Administration Server

   Creare un identificatore, un nome utente e una password per l'istanza RDS.

   È possibile mantenere le impostazioni predefinite in tutti gli altri campi. In alternativa, modificare le impostazioni predefinite se si desidera personalizzare l'istanza Amazon RDS. Per assistenza, fare riferimento alla pagine delle informazioni su AWS.

3. Durante l'ultimo passaggio, AWS visualizza i risultati del processo. Per visualizzare i dettagli dell'istanza Amazon RDS, fare clic su View DB instance details. Per passare all'azione successiva, avviare la creazione di un gruppo di opzioni per l'istanza Amazon RDS.

La creazione di una nuova istanza di Amazon RDS può richiedere diversi minuti. Dopo la creazione dell'istanza, è possibile utilizzarla per lavorare con i dati di Kaspersky Security Center.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione di gruppo di opzioni per l'istanza Amazon RDS

È necessario inserire l'istanza Amazon RDS in un gruppo di opzioni.

Per creare un gruppo di opzioni per l'istanza Amazon RDS:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nella riga del menu fare clic su Services.

   Verrà visualizzato l'elenco dei servizi disponibili (vedere la figura seguente).

   

   Elenco di servizi nella console di gestione AWS

3. Nell'elenco fare clic su RDS.
4. Nel riquadro sinistro fare clic su Option groups.
5. Fare clic sul pulsante Create group.
6. Creare un gruppo di opzioni con le seguenti impostazioni, se è stato selezionato SQL Server durante la creazione dell'istanza Amazon RDS:
   • Motore: SQLserver-ex
   • Versione principale del motore: 12.00

   Se è stato selezionato un database SQL diverso durante la creazione dell'istanza Amazon RDS, scegliere un motore corrispondente.

Il gruppo verrà creato e visualizzato nell'elenco dei gruppi.

Dopo la creazione del gruppo di opzioni, posizionare l'istanza Amazon RDS in questo gruppo di opzioni.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Modifica del gruppo di opzioni

La configurazione predefinita del gruppo di opzioni in cui è stata posizionata l'istanza di Amazon RDS non è sufficiente per l'utilizzo del database di Kaspersky Security Center. È necessario aggiungere opzioni al gruppo di opzioni e creare un nuovo ruolo IAM per l'utilizzo del database.

Per modificare il gruppo di opzioni e creare un nuovo ruolo IAM:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nella riga del menu fare clic su Services.

   Verrà visualizzato l'elenco dei servizi disponibili (vedere la figura seguente).

   

   Elenco di servizi nella console di gestione AWS

3. Nell'elenco selezionare RDS.
4. Nel riquadro sinistro fare clic su Option groups.

   Verrà visualizzato l'elenco dei gruppi di opzioni.

5. Selezionare il gruppo di opzioni in cui è posizionata l'istanza Amazon RDS, quindi fare clic sul pulsante Add option.

   Verrà visualizzata la finestra Add option.

6. Nella sezione IAM role selezionare l'opzione Create a new role / Yes e immettere un nome per il nuovo ruolo IAM.

   Il ruolo verrà creato con un set predefinito di autorizzazioni. Successivamente, sarà necessario modificarne le autorizzazioni.

7. Nella sezione S3 bucket eseguire una delle seguenti operazioni:
   • Se non è stata creata un'istanza bucket Amazon S3 per il backup dei dati, selezionare il collegamento Create a new S3 bucket e creare un nuovo bucket S3 tramite l'interfaccia AWS.
   • Se è già stata creata un'istanza bucket Amazon S3 per l'attività di backup dei dati di Administration Server, selezionare il bucket S3 nell'elenco a discesa.
8. Completare l'aggiunta delle opzioni facendo clic sul pulsante Add option nella parte inferiore della pagina.

È stato modificato il gruppo di opzioni e creato un nuovo ruolo IAM per l'utilizzo del database RDS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Modifica delle autorizzazioni per il ruolo IAM per l'istanza di database Amazon RDS

Dopo aver aggiunto le opzioni al gruppo di opzioni, è necessario assegnare al ruolo IAM che è stato creato le autorizzazioni richieste per l'utilizzo dell'istanza di database Amazon RDS.

Per assegnare al ruolo IAM che è stato creato le autorizzazioni richieste per l'utilizzo dell'istanza di database Amazon RDS:

1. Verificare di aver aperto la console di gestione AWS (https://console.aws.amazon.com) e di aver effettuato l'accesso con il proprio account.
2. Nell'elenco dei servizi selezionare IAM.

   Verrà visualizzata una finestra che contiene un elenco di nomi utente e un menu che consente di utilizzare lo strumento.

3. Nel menu selezionare Ruoli.
4. Nell'elenco dei ruoli IAM visualizzato nell'area di lavoro selezionare il ruolo che è stato creato durante l'aggiunta dell'opzione al gruppo di opzioni.
5. Utilizzando l'interfaccia AWS, eliminare il criterio sqlNativeBackup-<data>.
6. Utilizzando l'interfaccia AWS, associare il criterio AmazonS3FullAccess al ruolo.

Al ruolo IAM verranno assegnate le autorizzazioni richieste per l'utilizzo di Amazon RDS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Preparazione del bucket Amazon S3 per il database

Se si prevede di utilizzare il database Amazon Relational Database System (Amazon RDS), è necessario creare un'istanza bucket Amazon Simple Storage Service (Amazon S3) in cui archiviare il backup periodico del database. Per informazioni su Amazon S3 e i bucket S3, fare riferimento alle pagine della Guida di Amazon. Per ulteriori informazioni sulla creazione di un'istanza Amazon S3, fare riferimento alla pagina della Guida di Amazon S3.

Per creare un bucket Amazon S3:

1. Verificare che la console di gestione AWS sia aperta e di avere effettuato l'accesso con il proprio account.
2. Nell'elenco dei servizi AWS selezionare S3.
3. Spostarsi nella console per creare un bucket, seguendo le istruzioni della procedura guidata.
4. Selezionare la stessa regione in cui si trova (o sarà posizionato) l'Administration Server.
5. Al termine della procedura guidata, verificare che il nuovo bucket sia visualizzato nell'elenco dei bucket.

Un nuovo bucket S3 verrà creato e sarà visualizzato nell'elenco dei bucket. È necessario specificare questo bucket durante l'aggiunta di opzioni al gruppo di opzioni. È inoltre necessario specificare l'indirizzo del bucket S3 in Kaspersky Security Center quando Kaspersky Security Center crea l'attività Backup dei dati di Administration Server.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Migrazione del database ad Amazon RDS

Espandi tutto | Comprimi tutto

È possibile eseguire la migrazione del database di Kaspersky Security Center da un dispositivo locale a un'istanza di Amazon S3 che supporta Amazon RDS. A tale scopo, è necessario un bucket S3 per un database RDS e un account utente IAM con l'autorizzazione AmazonS3FullAccess per questo bucket S3.

Per eseguire la migrazione del database:

1. Verificare di aver creato un'istanza RDS (per ulteriori informazioni, vedere le pagine di riferimento su Amazon RDS).
2. Nell'Administration Server fisico (locale) eseguire l'utilità di backup di Kaspersky per eseguire il backup dei dati di Administration Server.

   È necessario assicurarsi che il file si chiami backup.zip.

3. Copiare il file backup.zip nell'istanza EC2 in cui è installato Administration Server.

   Verificare che lo spazio su disco sia sufficiente nell'istanza EC2 in cui è installato Administration Server. Nell'ambiente AWS è possibile aggiungere spazio su disco all'istanza in base ai requisiti del processo di migrazione del database.

4. Nell'Administration Server AWS avviare nuovamente l'utilità di backup di Kaspersky in modalità interattiva.

   Verrà avviata la Procedura guidata di backup e ripristino.

5. Nel passaggio Selezionare un'azione selezionare Ripristina dati di Administration Server e fare clic su Avanti.
6. Nel passaggio Ripristinare le impostazioni fare clic sul pulsante Sfoglia accanto a Cartella per l'archiviazione delle copie di backup.
7. Nella finestra Accedere all'archivio online visualizzata compilare i seguenti campi e fare clic su OK:
   • Nome del bucket S3

     Nome del bucket S3.

   • Cartella di backup

     Specificare il percorso della cartella di archiviazione da utilizzare per il backup.

   • ID chiave di accesso

     ID chiave di accesso AWS IAM appartenente all'utente IAM che dispone delle autorizzazioni per l'utilizzo del bucket S3 (autorizzazione AmazonS3FullAccess).

   • Chiave segreta

     Chiave segreta AWS IAM appartenente all'utente IAM che dispone delle autorizzazioni per l'utilizzo del bucket S3 (autorizzazione AmazonS3FullAccess).

8. Selezionare l'opzione Esegui la migrazione dal backup locale. Il pulsante Sfoglia diventa disponibile.
9. Fare clic sul pulsante Sfoglia per scegliere la cartella nell'Administration Server AWS in cui è stato copiato il file backup.zip.
10. Fare clic su Avanti e completare la procedura.

I dati verranno ripristinati nel database RDS tramite il bucket S3. È possibile utilizzare questo database per ulteriori operazioni con Kaspersky Security Center nell'ambiente AWS.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Utilizzo dell'ambiente cloud Microsoft Azure

Questa sezione fornisce le informazioni sulla distribuzione e sulla manutenzione di Kaspersky Security Center in un ambiente cloud fornito da Microsoft Azure, nonché i dettagli sulla distribuzione della protezione nelle macchine virtuali in questo ambiente cloud.

In un sistema Kaspersky Security Center che è stato distribuito da uno SKU con fatturazione mensile basato sull'utilizzo, Vulnerability e patch management è attivato automaticamente, mentre Mobile Device Management non può essere attivato.

Informazioni sull'utilizzo di Microsoft Azure

Per utilizzare la piattaforma Microsoft Azure e, in particolare, per acquistare app in Azure Marketplace e creare macchine virtuali, è necessaria una sottoscrizione Azure. Prima di distribuire l'Administration Server, creare un ID applicazione Azure con le autorizzazioni richieste per l'installazione delle applicazioni nelle macchine virtuali.

Se si acquista un'immagine di Kaspersky Security Center in Azure Marketplace, è possibile distribuire una macchina virtuale con Kaspersky Security Center Administration Server pronto per l'uso. È necessario selezionare le impostazioni della macchina virtuale, ma non è necessario installare manualmente l'applicazione. Dopo l'installazione, è possibile avviare Administration Console e connettersi ad Administration Server per iniziare a utilizzare Kaspersky Security Center.

È anche possibile utilizzare una macchina virtuale di Azure in cui è distribuito Kaspersky Security Center Administration Server per la protezione dei dispositivi locali (ad esempio, quando è preferibile eseguire la manutenzione di un server cloud rispetto a uno fisico). In questo caso, sarà possibile utilizzare l'Administration Server come se fosse installato in un dispositivo locale. Se non si prevede di utilizzare gli strumenti dell'API Azure, non è necessario un ID applicazione Azure. In questo caso, una sottoscrizione Azure è sufficiente.

Creazione di una sottoscrizione, un ID applicazione e una password

Per utilizzare Kaspersky Security Center nell'ambiente Microsoft Azure, sono necessari una sottoscrizione Azure, l'ID applicazione Azure e la password dell'applicazione Azure. È possibile utilizzare una sottoscrizione esistente, se si dispone già di una sottoscrizione.

Una sottoscrizione Azure consente al proprietario di accedere al portale di gestione della piattaforma Microsoft Azure e ai servizi Microsoft Azure. Il proprietario può utilizzare la piattaforma Microsoft Azure per gestire servizi come Azure SQL e Archiviazione Azure.

Per creare una sottoscrizione Microsoft Azure:

Visitare l'indirizzo https://learn.microsoft.com/en-us/azure/cost-management-billing/manage/create-subscription e seguire le istruzioni.

Ulteriori informazioni sulla creazione di una sottoscrizione sono disponibili nel sito Web di Microsoft. Verrà creato un ID sottoscrizione, che in un secondo momento sarà necessario specificare in Kaspersky Security Center insieme con l'ID applicazione e la password.

Per creare e salvare l'ID applicazione Azure e la password:

1. Visitare https://portal.azure.com e verificare di aver eseguito l'accesso.
2. Creare l'ID applicazione, seguendo le istruzioni nella pagina di riferimento.
3. Passare alla sezione Chiavi delle impostazioni dell'applicazione.
4. Nella sezione Chiavi compilare i campi Descrizione e Scadenza e lasciare vuoto il campo Valore.
5. Fare clic su Salva.

   Facendo clic su Salva, il sistema inserisce automaticamente nel campo Valore una lunga sequenza di caratteri. La sequenza è la password dell'applicazione Azure (ad esempio yXyPOy6Tre9PYgP/j4XVyJCvepPHk2M/UYJ+QlfFvdU=). La descrizione è visualizzata così come viene immessa.

6. Copiare la password e salvarla in modo da poter specificare in un secondo momento l'ID applicazione e la password in Kaspersky Security Center.

   È possibile copiare la password solo al momento della creazione. Successivamente, la password non verrà più visualizzata e non potrà essere ripristinata.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Assegnazione di un ruolo all'ID applicazione Azure

Se si desidera rilevare le macchine virtuali solo tramite la device discovery, l'ID applicazione Azure deve disporre del ruolo Lettura. Se si desidera non solo rilevare le macchine virtuali, ma anche distribuire la protezione nelle macchine virtuali, l'ID applicazione Azure deve disporre del ruolo Collaboratore macchina virtuale.

Seguire le istruzioni nel sito Web di Microsoft per assegnare un ruolo all'ID applicazione Azure.

Distribuzione di Administration Server in Microsoft Azure e selezione del database

Per distribuire Administration Server nell'ambiente Microsoft Azure:

1. Accedere a Microsoft Azure utilizzando il proprio account.
2. Accedere al portale di Azure.
3. Nel riquadro sinistro fare clic sul segno più verde.
4. Digitare "Kaspersky Hybrid Cloud Security" nel campo di ricerca del menu.

   Kaspersky Hybrid Cloud Security è una combinazione di Kaspersky Security Center e di due applicazioni di protezione per la protezione delle istanze: Kaspersky Endpoint Security for Linux e Kaspersky Security for Windows Server.

5. Nell'elenco dei risultati selezionare Kaspersky Hybrid Cloud Security o Kaspersky Hybrid Cloud Security (BYOL).

   Nella parte destra dello schermo verrà visualizzata una finestra di informazioni.

6. Leggere le informazioni e fare clic sul pulsante Crea nella parte inferiore della finestra delle informazioni.
7. Compilare tutti i campi necessari. Utilizzare le descrizioni comandi per ottenere informazioni e assistenza.
8. Quando si seleziona la dimensione, selezionare una delle opzioni con tre stelle.

   Nella maggior parte dei casi, 8 gigabyte (GB) di RAM sono sufficienti. Tuttavia, in Azure, è possibile aumentare le dimensioni della RAM e altre risorse della macchina virtuale in qualsiasi momento.

9. Quando si seleziona un database, selezionare una delle opzioni seguenti, a seconda del piano in uso:
   • Locale - Se si desidera un database nella stessa macchina virtuale in cui sarà distribuito l'Administration Server. Kaspersky Security Center include un database SQL Server Express. Selezionare questa opzione se SQL Server Express è sufficiente per le proprie esigenze.
   • Nuovo - Se si desidera un nuovo database RDS nell'ambiente Azure. Scegliere questa opzione se si desidera un sistema DBMS diverso da SQL Server Express. I dati verranno trasferiti nell'ambiente cloud, dove resteranno archiviati, senza costi aggiuntivi.
   • Esistente - Se si desidera utilizzare un server di database esistente. In questo caso, sarà necessario specificare la posizione. Se il server è esterno all'ambiente Azure, i dati verranno trasferiti via Internet. Tale operazione può comportare costi aggiuntivi.
10. Quando si immette l'ID della sottoscrizione, utilizzare la sottoscrizione che è stata creata in precedenza.

Dopo la distribuzione, è possibile connettersi all'Administration Server tramite RDP. È possibile utilizzare Administration Console per lavorare con l'Administration Server.

Utilizzo di Azure SQL

In questa sezione vengono descritte le azioni da eseguire per preparare un database Microsoft Azure per Kaspersky Security Center, preparare un account di archiviazione Azure ed eseguire la migrazione di un database esistente ad Azure SQL.

SQL Database è un servizio gestito di database relazionale generico in Microsoft Azure.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Creazione dell'account di archiviazione Azure

È necessario creare un account di archiviazione in Microsoft Azure per l'utilizzo del database Azure SQL e degli script di distribuzione.

Per creare un account di archiviazione:

1. Accedere al portale di Azure.
2. Nel riquadro sinistro selezionare Account di archiviazione per aprire la finestra Account di archiviazione.
3. Nella finestra Account di archiviazione fare clic sul pulsante Aggiungi per passare alla finestra Crea account di archiviazione.
4. Compilare tutti i campi necessari per creare un account di archiviazione:
   • Posizione: deve corrispondere alla posizione di Administration Server.
   • Altri campi: è possibile mantenere i valori predefiniti.

   Utilizzare le descrizioni comandi per ottenere informazioni su ogni campo.

   Dopo aver creato l'account di archiviazione, viene visualizzato l'elenco degli account di archiviazione.

5. Nell'elenco degli account di archiviazione fare clic sul nome dell'account creato per visualizzare le informazioni su tale account.
6. Assicurarsi di conoscere il nome dell'account, il gruppo di risorse e le chiavi di accesso per questo account di archiviazione. Queste informazioni sono necessarie per l'utilizzo di Kaspersky Security Center.

Per assistenza, è possibile fare riferimento al sito Web di Azure.

Se si dispone già di un account di archiviazione, è possibile utilizzarlo con Kaspersky Security Center.

Creazione del database SQL Azure e del server SQL

Sono necessari un database SQL e un server SQL nell'ambiente Azure.

Per creare un database SQL Azure e un server SQL:

1. Seguire le istruzioni sul sito Web di Azure.

   È possibile creare un nuovo server quando richiesto da Microsoft Azure. Se si dispone già di un server SQL Azure, è possibile utilizzarlo per Kaspersky Security Center anziché crearne uno nuovo.

2. Dopo aver creato il database SQL e il server SQL, assicurarsi di conoscere il nome della risorsa e il gruppo di risorse:
   1. Visitare https://portal.azure.com e verificare di aver eseguito l'accesso.
   2. Nel riquadro sinistro selezionare i database SQL.
   3. Fare clic sul nome di un database nell'elenco dei database.

      Verrà visualizzata la finestra delle proprietà.

   4. Il nome del database è il nome della risorsa. Il nome del gruppo di risorse viene visualizzato nella sezione Panoramica della finestra delle proprietà.

Sono necessari il nome della risorsa e il gruppo di risorse del database per la migrazione al database SQL di Azure.

Migrazione del database ad Azure SQL

Espandi tutto | Comprimi tutto

Dopo la distribuzione di Administration Server nell'ambiente Azure, è possibile eseguire la migrazione del database di Kaspersky Security Center da un dispositivo locale ad Azure SQL. È necessario un account di archiviazione Azure per un database Azure SQL. È inoltre necessario disporre di Microsoft SQL Server Data-Tier Application Framework (DacFx) e SQLSysCLRTypes nell'Administration Server.

Per eseguire la migrazione del database:

1. Verificare di avere creato un account di archiviazione Azure.
2. Verificare di disporre di SQLSysCLRTypes e DacFx in Administration Server.

   È possibile scaricare Microsoft SQL Server Data-Tier Application Framework (17.0.1 DacFx) e SQLSysCLRTypes (scegliere la versione corrispondente alla propria versione di SQL Server) dal sito Web ufficiale di Microsoft.

3. Nell'Administration Server fisico (locale) eseguire l'utilità di backup di Kaspersky per eseguire il backup dei dati di Administration Server con l'opzione Esegui la migrazione al formato Azure abilitata.
4. Copiare il file di backup nell'Administration Server Azure.

   Verificare che lo spazio su disco sia sufficiente nella macchina virtuale di Azure in cui è installato Administration Server. Nell'ambiente Azure è possibile aggiungere spazio su disco alle macchine virtuali in base ai requisiti del processo di migrazione del database.

5. In Administration Server nell'ambiente Microsoft Azure avviare nuovamente l'utilità di backup di Kaspersky in modalità interattiva.

   Verrà avviata la Procedura guidata di backup e ripristino.

6. Nel passaggio Selezionare un'azione selezionare Ripristina dati di Administration Server e fare clic su Avanti.
7. Nel passaggio Ripristinare le impostazioni fare clic sul pulsante Sfoglia accanto a Cartella per l'archiviazione delle copie di backup.
8. Nella finestra Accedere all'archivio online visualizzata compilare i seguenti campi e fare clic su OK:
   • Nome dell'account di archiviazione Azure

     È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

   • Cartella di backup

     Specificare il percorso della cartella di archiviazione da utilizzare per il backup.

   • ID sottoscrizione Azure

     La sottoscrizione è stata creata dall'utente nel portale di Azure.

   • Password dell'applicazione Azure

     La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

     I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

   • Chiave di accesso all'archivio Azure

     Disponibile nelle proprietà dell'account di archiviazione, nella sezione Chiavi di accesso. È possibile utilizzare qualsiasi chiave (chiave1 o chiave2).

   • Nome del server SQL Azure

     Disponibile nelle proprietà del server SQL Azure.

   • Gruppo di risorse del server SQL Azure

     Disponibile nelle proprietà del server SQL Azure.

   • ID applicazione Azure

     L'ID applicazione è stato creato dall'utente nel portale di Azure.

     È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

9. Selezionare l'opzione Esegui la migrazione dal backup locale.

   Il pulsante Sfoglia diventa disponibile.

10. Fare clic sul pulsante Sfoglia per scegliere la cartella nell'Administration Server Azure in cui è stato copiato il file di backup.
11. Fare clic su Avanti e completare la procedura.

I dati verranno ripristinati nel database Azure SQL utilizzando l'archivio Azure. È possibile utilizzare questo database per ulteriori operazioni con Kaspersky Security Center nell'ambiente Azure.

Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.

Utilizzo in Google Cloud

Questa sezione contiene informazioni sull'utilizzo di Kaspersky Security Center in un ambiente cloud fornito da Google.

Creazione di e-mail client, ID progetto e chiave privata

Espandi tutto | Comprimi tutto

È possibile avvalersi dell'API di Google per utilizzare Kaspersky Security Center in Google Cloud Platform. È richiesto un account Google. Per ulteriori informazioni, fare riferimento alla documentazione di Google all'indirizzo https://cloud.google.com.

Sarà necessario creare e fornire a Kaspersky Security Center le seguenti credenziali:

• E-mail client

  L'e-mail client è l'indirizzo e-mail utilizzato per la registrazione del progetto in Google Cloud.

• ID progetto

  L'ID progetto è l'ID ricevuto durante la registrazione del progetto in Google Cloud.

• Chiave privata

  La chiave privata è la sequenza di caratteri ricevuta come chiave privata durante la registrazione del progetto in Google Cloud. È consigliabile copiare e incollare questa sequenza per evitare errori.

Utilizzo di Google Cloud SQL per l'istanza MySQL

È possibile creare un database in Google Cloud e utilizzare questo database per Kaspersky Security Center.

Kaspersky Security Center funziona con MySQL 5.7 e 5.6. Altre versioni di MySQL non sono state testate.

Per creare e configurare un database MySQL:

Nel browser accedere a https://cloud.google.com/sql/docs/mysql/create-instance#create-2nd-gen e seguire le istruzioni fornite.

Quando si configura un database MySQL, utilizzare i seguenti flag:

• sort_buffer_size 10000000
• join_buffer_size 20000000
• innodb_lock_wait_timeout 300
• max_allowed_packet 32000000
• innodb_thread_concurrency 20
• max_connections 151
• tmp_table_size 67108864
• max_heap_table_size 67108864
• lower_case_table_names 1

Prerequisiti dei dispositivi client in un ambiente cloud per l'utilizzo di Kaspersky Security Center

I dispositivi in cui si intende installare Administration Server, Network Agent e le applicazioni di protezione Kaspersky devono essere soddisfare le seguenti condizioni:

• La configurazione dei gruppi di protezione rende disponibili le seguenti porte in Administration Server (set minimo di porte richieste per la distribuzione):
  • 8060 HTTP—Per il trasferimento dei pacchetti di installazione di Network Agent e dei pacchetti di installazione delle applicazioni di protezione da Administration Server alle istanze protette
  • 8061 HTTPS—Per il trasferimento dei pacchetti di installazione di Network Agent e dei pacchetti di installazione delle applicazioni di protezione da Administration Server alle istanze protette
  • 13000 TCP—Per i trasferimenti dalle istanze protette e dagli Administration Server secondari all'Administration Server primario tramite SSL
  • 13000 UDP—Per il trasferimento delle informazioni sull'arresto delle istanze all'Administration Server
  • 14000 TCP—Per i trasferimenti dalle istanze protette e dagli Administration Server secondari all'Administration Server primario senza utilizzare SSL
  • 13291—Per la connessione di Administration Console all'Administration Server
  • 40080—Per l'esecuzione degli script di distribuzione

  È possibile configurare i gruppi di protezione nella console di gestione AWS o nel portale di Azure. Se si intende utilizzare Kaspersky Security Center in una configurazione non predefinita, fare riferimento alla Knowledge Base. Esempi di configurazioni non predefinite includono l'installazione di Administration Console nella propria workstation anziché nel dispositivo di Administration Server o l'utilizzo di un server proxy KSN.

• La porta 15000 UDP è disponibile nei dispositivi client (per la ricezione delle richieste di comunicazione con Administration Server).
• Nell'ambiente cloud AWS:
  • Se si prevede di utilizzare l'API AWS, è impostato il ruolo IAM con cui le applicazioni verranno installate nelle istanze.
  • In ogni istanza Amazon EC2, l'agente SSM (Systems Manager Agent) è installato e in esecuzione.
  • L'agente SSM consente a Kaspersky Security Center di installare automaticamente le applicazioni nei dispositivi e nei gruppi di dispositivi senza richiedere conferma ogni volta all'amministratore.
  • Nelle istanze in cui è in esecuzione un sistema operativo Windows e che sono state distribuite da AMI dopo novembre 2016 l'agente SSM è installato e in esecuzione. È necessario installare manualmente l'agente SSM in tutti gli altri dispositivi. Per informazioni dettagliate sull'installazione dell'agente SSM nei dispositivi che eseguono sistemi operativi Windows e Linux, consultare la pagina della Guida AWS.
• Nell'ambiente cloud Microsoft Azure:
  • In ogni macchina virtuale di Azure, l'agente di macchine virtuali di Azure è installato e in esecuzione.

    Per impostazione predefinita, una nuova macchina virtuale viene creata con l'agente di macchine virtuali di Azure e non è necessario installarlo o abilitarlo manualmente. Fare riferimento alle pagine della Guida di Microsoft per informazioni dettagliate sull'agente di macchine virtuali di Azure nei dispositivi Windows e nei dispositivi Linux.

  • L'ID applicazione Azure dispone dei seguenti ruoli:
    • Lettore (per individuare le macchine virtuali utilizzando il polling)
    • Collaboratore Macchina virtuale (per distribuire la protezione nelle macchine virtuali)
    • Collaboratore SQL Server (per utilizzare un database SQL nell'ambiente Microsoft Azure)

    Se si desidera eseguire tutte queste operazioni, assegnare tutti e tre i ruoli all'ID applicazione Azure.

Creazione dei pacchetti di installazione necessari per la configurazione dell'ambiente cloud

La procedura guidata Configura ambiente cloud in Kaspersky Security Center è disponibile se si dispone dei pacchetti di installazione e dei plug-in di gestione per i seguenti programmi:

• Kaspersky Endpoint Security for Linux
• Kaspersky Endpoint Security for Windows

  La distribuzione di Kaspersky Endpoint Security for Windows in un ambiente cloud sarà disponibile dopo l'imminente rilascio di Kaspersky Endpoint Security 12.0 for Windows.

• Kaspersky Security for Windows Server

Questi pacchetti di installazione sono necessari per l'installazione delle applicazioni nelle istanze o nelle macchine virtuali che si desidera proteggere. Se non si dispone di questi pacchetti di installazione, è necessario crearli. In caso contrario, la procedura guidata Configura ambiente cloud non può funzionare.

Per creare i pacchetti di installazione:

1. Scaricare le versioni più recenti delle applicazioni e dei plug-in dal sito Web di Kaspersky:
   • Il programma di installazione e il plug-in di gestione per Kaspersky Security for Windows Server.
   • Il programma di installazione, i file per l'installazione remota tramite Kaspersky Security Center e il plug-in di gestione per Kaspersky Endpoint Security for Linux.
2. Salvare tutti i file nell'istanza (o macchina virtuale) in cui è installato Administration Server.
3. Estrarre i file da tutti i pacchetti.
4. Avviare Kaspersky Security Center.
5. Nella struttura della console accedere a Avanzate → Installazione remota → Pacchetti di installazione e fare clic su Crea pacchetto di installazione.
6. Selezionare Crea pacchetto di installazione di Kaspersky.
7. Specificare il nome del pacchetto e il percorso del programma di installazione dell'applicazione:<cartella> \<nome file>.kud, quindi fare clic su Avanti.
8. Leggere il Contratto di licenza con l'utente finale e selezionare la casella di controllo per confermare che si accettano i termini, quindi fare clic su Avanti.

Il pacchetto di installazione verrà caricato in Administration Server e sarà disponibile nell'elenco dei pacchetti di installazione.

La configurazione di un ambiente cloud diventa disponibile non appena si creano i pacchetti di installazione e si installano i plug-in di gestione in Administration Server.

Configurazione dell'ambiente cloud

Per configurare Kaspersky Security Center con la procedura guidata Configura ambiente cloud, sono necessari i seguenti prerequisiti:

• Credenziali specifiche per un ambiente cloud:
  • Un ruolo IAM che dispone dei diritti per il polling del segmento cloud o un account utente IAM che dispone dei diritti per il polling del segmento cloud (per l'utilizzo con Amazon Web Services)
  • ID applicazione Azure, password e sottoscrizione (per l'utilizzo con Microsoft Azure)
  • E-mail client Google, ID progetto e chiave privata (per l'utilizzo con Google Cloud)
• Pacchetti di installazione:
  • Network Agent per Windows
  • Network Agent per Linux
  • Kaspersky Endpoint Security for Linux
• Plug-in Web per Kaspersky Endpoint Security for Linux
• Almeno uno dei seguenti componenti:
  • Pacchetto di installazione e plug-in Web per Kaspersky Endpoint Security for Windows (consigliato)
  • Pacchetto di installazione e plug-in Web per Kaspersky Security for Windows Server

Se non si desidera utilizzare le funzionalità per l'ambiente cloud (ad esempio, se si intende gestire solo la protezione dei dispositivi client fisici), è possibile chiudere la procedura guidata Configura ambiente cloud ed eseguire manualmente l'Avvio rapido guidato di Administration Server.

L'operazione Configura ambiente cloud viene avviato automaticamente la prima volta che ci si connette ad Administration Server tramite Administration Console se si sta distribuendo Kaspersky Security Center da un'immagine pronta all'uso. È anche possibile avviare la procedura guidata Configura ambiente cloud manualmente in qualsiasi momento.

Per avviare manualmente la procedura guidata Configura ambiente cloud:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida del nodo selezionare Tutte le attività → Configura ambiente cloud.

La sessione di lavoro media ha una durata di circa 15 minuti.

Informazioni sulla procedura guidata Configura ambiente cloud

La procedura guidata Configura ambiente cloud consente di configurare Kaspersky Security Center in considerazione delle specifiche di utilizzo in un ambiente cloud.

La procedura guidata crea i seguenti oggetti:

• Criterio di Network Agent con le impostazioni predefinite
• Criteri per Kaspersky Endpoint Security for Linux
• Criteri per Kaspersky Security for Windows Server
• Gruppo di amministrazione per le istanze e una regola per lo spostamento automatico delle istanze in questo gruppo di amministrazione
• Attività di backup dei dati di Administration Server
• Attività per l'installazione della protezione nei dispositivi che eseguono Windows e Linux
• Attività per ogni dispositivo gestito:
  • Scansione malware rapida
  • Download degli aggiornamenti

Se è stata selezionata l'opzione di licenza BYOL, la configurazione dell'ambiente cloud attiva anche Kaspersky Security Center con un file chiave o un codice di attivazione e inserisce il file chiave o il codice di attivazione nell'archivio delle licenze.

Passaggio 1. Selezione del metodo di attivazione dell'applicazione

Questo passaggio non viene visualizzato se è stata eseguita la registrazione a una delle AMI pronte all'uso (in AWS Marketplace) o a uno SKU con fatturazione mensile basato sull'utilizzo (in Azure Marketplace). In questo caso, la procedura guidata procede immediatamente al passaggio successivo. Tuttavia, non è possibile acquistare un'AMI pronta all'uso per Google Cloud.

Se è stata selezionata l'opzione di licenza BYOL per Kaspersky Security Center, la procedura guidata richiede di selezionare il metodo di attivazione dell'applicazione.

Attivare l'applicazione con un codice di attivazione (o un file chiave) per Kaspersky Security for Virtualization o per Kaspersky Hybrid Cloud Security.

È possibile attivare l'applicazione in uno dei seguenti modi:

• Immettendo un codice di attivazione.

  Verrà avviata l'attivazione online. Nel corso del processo vengono eseguite la verifica del codice di attivazione specificato, nonché l'emissione e l'attivazione di un file chiave.

• Specificando un file chiave.

  L'applicazione controllerà il file chiave e lo attiverà se contiene le informazioni corrette o richiederà di specificare un altro file chiave.

Kaspersky Security Center inserisce la chiave di licenza nell'archivio delle licenze e la contrassegna come distribuita automaticamente nei dispositivi gestiti.

Se ci si connette a un'istanza utilizzando il componente standard di Microsoft Windows Connessione Desktop remoto o un'applicazione simile, nelle proprietà della connessione remota è necessario specificare l'unità del dispositivo fisico utilizzato per la connessione. Questo garantisce l'accesso dall'istanza ai file nel dispositivo fisico e consente di selezionare e specificare il file chiave.

Se si utilizza Kaspersky Security Center distribuito da un'AMI a pagamento o per uno SKU con fatturazione mensile basato sull'utilizzo, non è possibile aggiungere file chiave o codici di attivazione all'archivio delle licenze.

Passaggio 2. Selezione dell'ambiente cloud

Selezionare l'ambiente cloud in cui distribuire Kaspersky Security Center: AWS, Azure o Google Cloud.

Passaggio 3. Autorizzazione nell'ambiente cloud

Espandi tutto | Comprimi tutto

AWS

Se è stato selezionato AWS, specificare che si dispone di un ruolo IAM con i diritti richiesti o fornire a Kaspersky Security Center una chiave di accesso AWS IAM. Non è possibile eseguire il polling dei segmenti cloud senza un ruolo IAM o una chiave di accesso AWS IAM.

Specificare le seguenti impostazioni per la connessione da utilizzare per il polling dei segmenti cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• Usa ruolo IAM AWS

  Selezionare questa opzione se è stato già creato un ruolo IAM per l'utilizzo dei servizi AWS da parte di Administration Server.

• Usa account utente IAM AWS

  Selezionare questa opzione se si dispone di un account utente IAM con le autorizzazioni richieste ed è possibile immettere un ID chiave e una chiave segreta.

  • ID chiave di accesso

    L'ID chiave di accesso IAM è una sequenza di caratteri alfanumerici. L'ID chiave è stato ricevuto al momento della creazione dell'account utente IAM.

    Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

  • Chiave segreta

    Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

    I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

    Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

La connessione viene salvata nelle impostazioni dell'applicazione. È possibile creare una sola chiave di accesso AWS IAM con Configura ambiente cloud. Successivamente è possibile specificare più connessioni per gestire altri segmenti cloud.

Se si desidera installare le applicazioni nelle istanze tramite Kaspersky Security Center, è necessario verificare che il ruolo IAM (o l'utente IAM il cui account è associato alla chiave immessa) disponga di tutte le autorizzazioni richieste.

Azure

Se è stato selezionato Azure, specificare le seguenti impostazioni per la connessione da utilizzare per il polling del segmento cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• ID applicazione Azure

  L'ID applicazione è stato creato dall'utente nel portale di Azure.

  È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

• ID sottoscrizione Azure

  La sottoscrizione è stata creata dall'utente nel portale di Azure.

• Password dell'applicazione Azure

  La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

  I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

• Nome dell'account di archiviazione Azure

  È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

• Chiave di accesso all'archivio Azure

  È stata ricevuta una password (chiave) durante la creazione dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

  La chiave è disponibile nella sezione "Panoramica dell'account di archiviazione Azure", nella sottosezione "Chiavi".

La connessione viene salvata nelle impostazioni dell'applicazione.

Google Cloud

Se è stato selezionato Google Cloud, specificare le seguenti impostazioni per la connessione da utilizzare per il polling del segmento cloud:

• Nome della connessione

  Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

  Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

  Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

• E-mail client

  L'e-mail client è l'indirizzo e-mail utilizzato per la registrazione del progetto in Google Cloud.

• ID progetto

  L'ID progetto è l'ID ricevuto durante la registrazione del progetto in Google Cloud.

• Chiave privata

  La chiave privata è la sequenza di caratteri ricevuta come chiave privata durante la registrazione del progetto in Google Cloud. È consigliabile copiare e incollare questa sequenza per evitare errori.

La connessione viene salvata nelle impostazioni dell'applicazione.

Passaggio 4. Configurazione della sincronizzazione con Cloud e selezione delle azioni successive

Espandi tutto | Comprimi tutto

In questo passaggio viene avviato il polling dei segmenti cloud e viene creato uno speciale gruppo di amministrazione per le istanze. Le istanze rilevate durante il polling vengono inserite in questo gruppo. Viene configurata la pianificazione del polling dei segmenti cloud (per impostazione predefinita, ogni 5 minuti).

Viene inoltre creata una regola di spostamento automatico Sincronizza con il cloud. Per ogni successiva scansione della rete cloud, i dispositivi virtuali rilevati verranno spostati nel sottogruppo corrispondente all'interno del gruppo Dispositivi gestiti\Cloud.

Nella pagina Sincronizzazione con il segmento cloud è possibile definire le seguenti impostazioni:

• Sincronizza struttura di gruppi di amministrazione con il segmento cloud

  Se questa opzione è abilitata, viene creato automaticamente il gruppo Cloud all'interno del gruppo Dispositivi gestiti e viene avviata una device discovery cloud. Le istanze e le macchine virtuali rilevate durante ciascuna scansione della rete cloud sono inserite nel gruppo Cloud. La struttura dei sottogruppi di amministrazione all'interno di questo gruppo corrisponde alla struttura del segmento cloud (in AWS, le zone di disponibilità e i gruppi di collocazione non sono rappresentati nella struttura; in Azure, le subnet non sono rappresentate nella struttura). I dispositivi che non sono stati identificati come istanze nell'ambiente cloud si trovano nel gruppo Dispositivi non assegnati. La struttura di questo gruppo consente di utilizzare le attività di installazione di gruppo per installare le applicazioni anti-virus nelle istanze, nonché di configurare diversi criteri per diversi gruppi.

  Se questa opzione è disabilitata, viene creato il gruppo Cloud e viene avviata una device discovery cloud, tuttavia all'interno del gruppo non vengono creati i sottogruppi che corrispondono alla struttura del segmento cloud. Tutte le istanze rilevate si trovano nel gruppo di amministrazione Cloud, pertanto vengono visualizzate in un unico elenco. Se l'utilizzo di Kaspersky Security Center richiede la sincronizzazione, è possibile modificare le proprietà della regola Sincronizza con il cloud e quindi applicarla. Applicando la regola viene modificata la struttura dei sottogruppi nel gruppo Cloud in modo da creare la corrispondenza con la struttura del segmento cloud.

  Per impostazione predefinita, questa opzione è disabilitata.

• Distribuisci protezione

  Se questa opzione è selezionata, la procedura guidata crea un'attività per l'installazione delle applicazioni di protezione nelle istanze. Al termine della procedura guidata, verrà avviata automaticamente la Distribuzione guidata della protezione nei dispositivi nei segmenti cloud e sarà possibile installare Network Agent e le applicazioni di protezione in tali dispositivi.

  Kaspersky Security Center può eseguire la distribuzione tramite i propri strumenti nativi. Se non si dispone delle autorizzazioni per installare le applicazioni in istanze EC2 o nelle macchine virtuali Azure, è possibile configurare l'attività Installazione remota manualmente e specificare un account con le autorizzazioni richieste. In questo caso l'attività di installazione remota non funzionerà per i dispositivi rilevati utilizzando API AWS o Azure. Questa attività funzionerà solo per i dispositivi rilevati tramite il polling di Active Directory, dei domini Windows o dell'intervallo IP.

  Se questa opzione è deselezionata, la Distribuzione guidata della protezione non viene avviata e non vengono create attività per l'installazione delle applicazioni di protezione nelle istanze. È possibile eseguire manualmente entrambe le operazioni in un secondo momento.

Per Google Cloud, è possibile eseguire la distribuzione solo con gli strumenti nativi di Kaspersky Security Center. Se è stato selezionato Google Cloud, l'opzione Distribuisci protezione non è disponibile.

Passaggio 5. Configurazione di Kaspersky Security Network nell'ambiente cloud

Espandi tutto | Comprimi tutto

Specificare le impostazioni per la trasmissione delle informazioni sulle operazioni di Kaspersky Security Center alla Knowledge Base di Kaspersky Security Network. Selezionare una delle seguenti opzioni:

• Accetto di utilizzare Kaspersky Security Network

  Kaspersky Security Center e le applicazioni gestite installate nei dispositivi client trasferiranno automaticamente i dettagli sull'esecuzione a Kaspersky Security Network. La partecipazione a Kaspersky Security Network garantisce aggiornamenti più rapidi dei database contenenti le informazioni sui virus e sulle altre minacce, assicurando una risposta più rapida alle minacce per la sicurezza emergenti.

• Non accetto di utilizzare Kaspersky Security Network

  Kaspersky Security Center e le applicazioni gestite non forniranno informazioni a Kaspersky Security Network.

  Se si seleziona questa opzione, l'utilizzo di Kaspersky Security Network sarà disabilitato.

Kaspersky consiglia la partecipazione a Kaspersky Security Network.

Passaggio 6. Configurazione delle notifiche e-mail nell'ambiente cloud

Espandi tutto | Comprimi tutto

Configurare l'invio di notifiche relative agli eventi registrati durante l'esecuzione delle applicazioni Kaspersky nei dispositivi client virtuali. Queste impostazioni verranno utilizzate come impostazioni predefinite per i criteri dell'applicazione.

Per configurare l'invio di notifiche relative agli eventi che si verificano nelle applicazioni Kaspersky, utilizzare le seguenti impostazioni:

• Destinatari (indirizzi e-mail)

  Gli indirizzi e-mail degli utenti a cui l'applicazione invierà le notifiche. È possibile immettere uno o più indirizzi; se si immette più di un indirizzo, separarli con un punto e virgola.

• Server SMTP

  L'indirizzo o gli indirizzi dei server di posta dell'organizzazione.

  Se si immette più di un indirizzo, separarli con un punto e virgola. È possibile utilizzare i seguenti valori:

  • Indirizzo IPv4 o IPv6
  • Nome di rete Windows (nome NetBIOS) del dispositivo
  • Nome DNS del server SMTP
• Porta server SMTP

  Numero di porta di comunicazione del server SMTP. Se si utilizzano più server SMTP, la connessione a questi viene stabilita tramite la porta di comunicazione specificata. Il numero di porta predefinito è 25.

• Usa autenticazione ESMTP

  Abilita il supporto dell'autenticazione ESMTP. Quando la casella di controllo è selezionata, nei campi Nome utente e Password è possibile specificare le impostazioni per l'autenticazione ESMTP. Per impostazione predefinita, questa casella di controllo è deselezionata.

È possibile verificare le nuove impostazioni di notifica e-mail facendo clic sul pulsante Invia messaggio di prova. Se è stato ricevuto il messaggio di prova all'indirizzo specificato nel campo Destinatari (indirizzi e-mail), le impostazioni sono state configurate correttamente.

Passaggio 7. Creazione di una configurazione iniziale della protezione dell'ambiente cloud

Espandi tutto | Comprimi tutto

In questo passaggio Kaspersky Security Center crea automaticamente criteri e attività. La finestra Configura protezione iniziale visualizza un elenco dei criteri e delle attività creati dall'applicazione.

Se si utilizza un database RDS nell'ambiente cloud AWS, è necessario specificare la coppia di chiavi di accesso IAM in Kaspersky Security Center durante la creazione dell'attività di backup di Administration Server. In questo caso, compilare i seguenti campi:

• Nome del bucket S3

  Nome del bucket S3 che è stato creato per il backup.

• ID chiave di accesso

  L'ID chiave (sequenza di caratteri alfanumerici) è stato ricevuto al momento della creazione dell'account utente IAM per l'utilizzo dell'istanza di archiviazione del bucket S3.

  Il campo è disponibile se è stato selezionato il database RDS in un bucket S3.

• Chiave segreta

  Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

  I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

  Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

Se si utilizza un database SQL Azure nell'ambiente cloud Azure, è necessario specificare le informazioni sul server SQL Azure in Kaspersky Security Center durante la creazione dell'attività di backup di Administration Server. In questo caso, compilare i seguenti campi:

• Nome dell'account di archiviazione Azure

  È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

• ID sottoscrizione Azure

  La sottoscrizione è stata creata dall'utente nel portale di Azure.

• Password dell'applicazione Azure

  La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

  I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

• ID applicazione Azure

  L'ID applicazione è stato creato dall'utente nel portale di Azure.

  È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

• Nome del server SQL Azure

  Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

• Gruppo di risorse del server SQL Azure

  Il nome e il gruppo di risorse sono disponibili nelle proprietà del server SQL Azure.

• Chiave di accesso all'archivio Azure

  Disponibile nelle proprietà dell'account di archiviazione, nella sezione Chiavi di accesso. È possibile utilizzare qualsiasi chiave (chiave1 o chiave2).

Se è in corso la distribuzione di Administration Server in Google Cloud, è necessario selezionare una cartella in cui verranno archiviate le copie di backup. Selezionare una cartella nel dispositivo locale o una cartella nell'istanza di una macchina virtuale.

Il pulsante Avanti diventa disponibile dopo la creazione di tutti i criteri e le attività che sono necessari per la configurazione minima della protezione.

Se un dispositivo in cui devono essere eseguite le attività non è visibile per l'Administration Server, le attività vengono avviate solo quando il dispositivo diventa visibile. Se si crea una nuova istanza EC2 o una nuova macchina virtuale di Azure, potrebbe essere necessario un certo tempo prima che risulti visibile per l'Administration Server. Se si desidera che Network Agent e le applicazioni di protezione vengano installati appena possibile in tutti i nuovi dispositivi creati, verificare che l'opzione Esegui attività non effettuate sia abilitata per l'attività Installa l'applicazione in remoto. In caso contrario, Network Agent e le applicazioni di protezione non verranno installati in una nuova istanza o macchina virtuale creata finché l'attività non viene avviata in base alla relativa pianificazione.

Passaggio 8. Selezione dell'azione nel momento in cui deve essere riavviato il sistema operativo durante l'installazione (per l'ambiente cloud)

Espandi tutto | Comprimi tutto

Se precedentemente è stata selezionata l'opzione Distribuisci protezione, è necessario scegliere quale operazione eseguire quando il sistema operativo di un dispositivo di destinazione deve essere riavviato. Se non è stata selezionata l'opzione Distribuisci protezione, questo passaggio viene ignorato.

Scegliere se riavviare le istanze qualora il sistema operativo del dispositivo debba essere riavviato durante l'installazione delle applicazioni:

• Non riavviare il dispositivo

  Se questa opzione è selezionata, il dispositivo non verrà riavviato dopo l'installazione dell'applicazione di protezione.

• Riavvia il dispositivo

  Se questa opzione è selezionata, il dispositivo verrà riavviato dopo l'installazione dell'applicazione di protezione.

Se si desidera forzare la chiusura delle applicazioni nelle sessioni bloccate nelle istanze prima del riavvio, selezionare la casella di controllo Forza chiusura delle applicazioni nelle sessioni bloccate. Se questa casella di controllo è deselezionata, sarà necessario chiudere manualmente tutte le applicazioni in esecuzione nelle istanze bloccate.

Passaggio 9. Ricezione degli aggiornamenti da parte di Administration Server

In questo passaggio è possibile visualizzare lo stato di avanzamento del download degli aggiornamenti per il corretto funzionamento di Administration Server. È possibile fare clic sul pulsante Avanti senza attendere il completamento del download per passare alla pagina finale della procedura guidata.

La procedura guidata verrà completata.

Controllo della configurazione

Per verificare se Kaspersky Security Center 14.2 è stato configurato per l'utilizzo in un ambiente cloud:

1. Avviare Kaspersky Security Center e verificare che sia possibile connettersi all'Administration Server tramite Administration Console.
2. Nella struttura della console selezionare Dispositivi gestiti\Cloud.
3. Durante la visualizzazione dei sottogruppi nel gruppo Dispositivi gestiti\Cloud verificare che la scheda Dispositivi visualizzi tutti i dispositivi di tale sottogruppo.

   Se i dispositivi non vengono visualizzati, è possibile eseguire manualmente il polling dei segmenti cloud corrispondenti per trovarli.

4. Verificare che la scheda Criteri disponga di criteri attivi per le seguenti applicazioni:
   • Kaspersky Security Center Network Agent
   • Kaspersky Security for Windows Server
   • Kaspersky Endpoint Security for Linux

   Se non sono presenti nell'elenco, è possibile crearli manualmente.

5. Verificare che la scheda Attività elenchi le seguenti attività:
   • Backup dei dati di Administration Server
   • Attività di aggiornamento per Windows Server
   • Manutenzione di Administration Server
   • Scarica aggiornamenti nell'archivio dell'Administration Server
   • Trova vulnerabilità e aggiornamenti richiesti
   • Installa la protezione per Windows
   • Installa la protezione per Linux
   • Attività di scansione rapida per Windows Server
   • Scansione rapida
   • Installa gli aggiornamenti per Linux

   Se non sono presenti nell'elenco, è possibile crearli manualmente.

Kaspersky Security Center 14.2 è stato configurato per l'utilizzo in un ambiente cloud.

Gruppo di dispositivi Cloud

È possibile gestire i dispositivi cloud organizzandoli in gruppi. Durante la configurazione iniziale di Kaspersky Security Center, il gruppo di amministrazione Dispositivi gestiti\Cloud viene creato per impostazione predefinita e i dispositivi cloud rilevati durante il polling vengono inseriti in questo gruppo.

Se è stata selezionata l'opzione Sincronizza struttura di gruppi di amministrazione con il segmento cloud quando è stata configurata la sincronizzazione, la struttura dei sottogruppi in questo gruppo di amministrazione è identica alla struttura dei segmenti cloud. Tuttavia, in AWS, le zone di disponibilità e i gruppi di collocazione non sono rappresentati nella struttura; in Microsoft Azure, le subnet non sono rappresentate nella struttura. I sottogruppi vuoti all'interno del gruppo rilevati durante il polling vengono eliminati automaticamente.

È inoltre possibile creare manualmente i gruppi di amministrazione, combinando tutti dispositivi o dispositivi specifici.

Per impostazione predefinita, il gruppo Dispositivi gestiti\Cloud eredita criteri e attività dal gruppo Dispositivi gestiti. È possibile modificare le impostazioni se le caselle di controllo Modifica consentita sono selezionate nelle proprietà delle impostazioni dei criteri e delle attività corrispondenti.

Polling dei segmenti di rete

Le informazioni sulla struttura e sui dispositivi della rete vengono ricevute dall'Administration Server tramite il polling periodico dei segmenti cloud mediante gli strumenti API AWS, API Azure o API Google. Kaspersky Security Center utilizza queste informazioni per aggiornare il contenuto delle cartelle Dispositivi non assegnati e Dispositivi gestiti. Se i dispositivi sono stati configurati in modo da essere spostati automaticamente nei gruppi di amministrazione, i dispositivi rilevati sono inclusi nei gruppi di amministrazione.

Per consentire ad Administration Server di eseguire il polling dei segmenti cloud, è necessario disporre dei diritti forniti con un ruolo IAM o un account utente IAM (in AWS) o con un ID applicazione e una password (in Azure) o con l'e-mail client di Google, l'ID progetto di Google e una chiave privata.

È possibile aggiungere ed eliminare le connessioni, nonché configurare la pianificazione di polling per ogni segmento cloud.

Aggiunta di connessioni per il polling dei segmenti cloud

Espandi tutto | Comprimi tutto

Per aggiungere una connessione per il polling dei segmenti cloud all'elenco delle connessioni disponibili:

1. Nella struttura della console selezionare il nodo Device discovery → Cloud.
2. Nell'area di lavoro della finestra fare clic su Configura polling.

   Verrà visualizzata una finestra contenente un elenco delle connessioni disponibili per il polling dei segmenti cloud.

3. Fare clic sul pulsante Aggiungi.

   Verrà aperta la finestra Connessione.

4. Specificare il nome dell'ambiente cloud per la connessione da utilizzare per il successivo polling del segmento cloud:

   Ambiente cloud

   L'ambiente in cui si trovano le istanze EC2 o (macchine virtuali) può essere Amazon Web Services (AWS), Microsoft Azure o Google Cloud.

   Se è stato selezionato AWS, specificare le seguenti impostazioni:

   • Nome della connessione

     Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

     Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

     Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

   • Usa ruolo IAM AWS

     Selezionare questa opzione se è stato già creato un ruolo IAM per l'utilizzo dei servizi AWS da parte di Administration Server.

   • Usa account utente IAM AWS

     Selezionare questa opzione se si dispone di un account utente IAM con le autorizzazioni richieste ed è possibile immettere un ID chiave e una chiave segreta.

     • ID chiave di accesso

       L'ID chiave di accesso IAM è una sequenza di caratteri alfanumerici. L'ID chiave è stato ricevuto al momento della creazione dell'account utente IAM.

       Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

     • Chiave segreta

       Chiave segreta ricevuta con l'ID chiave di accesso al momento della creazione dell'account utente IAM.

       I caratteri della chiave segreta sono visualizzati come asterischi. Quando si inizia a immettere la chiave segreta, viene visualizzato il pulsante Mostra. Tenere premuto questo pulsante per visualizzare i caratteri immessi.

       Il campo è disponibile se per l'autorizzazione è stata selezionata una chiave di accesso AWS IAM anziché un ruolo IAM.

   La procedura guidata Configura ambiente cloud consente di specificare solo una chiave di accesso AWS IAM. Successivamente è possibile specificare più connessioni per gestire altri segmenti cloud.

   Se è stato selezionato Azure, specificare le seguenti impostazioni:

   • Nome della connessione

     Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

     Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

     Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

   • ID applicazione Azure

     L'ID applicazione è stato creato dall'utente nel portale di Azure.

     È possibile specificare un solo ID applicazione Azure per il polling e altri scopi. Se si desidera eseguire il polling di un altro segmento di Azure, è prima necessario eliminare la connessione Azure esistente.

   • ID sottoscrizione Azure

     La sottoscrizione è stata creata dall'utente nel portale di Azure.

   • Password dell'applicazione Azure

     La password dell'ID applicazione è stata ricevuta al momento della creazione dell'ID applicazione.

     I caratteri della password sono visualizzati come asterischi. Quando si inizia a immettere la password, diventerà disponibile il pulsante Mostra. Tenere questo pulsante per visualizzare i caratteri immessi.

   • Nome dell'account di archiviazione Azure

     È stato creato il nome dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

   • Chiave di accesso all'archivio Azure

     È stata ricevuta una password (chiave) durante la creazione dell'account di archiviazione Azure per l'utilizzo di Kaspersky Security Center.

     La chiave è disponibile nella sezione "Panoramica dell'account di archiviazione Azure", nella sottosezione "Chiavi".

   Se è stato selezionato Google Cloud, specificare le seguenti impostazioni:

   • Nome della connessione

     Immettere un nome per la connessione. Il nome non può contenere più di 256 caratteri. Sono consentiti solo caratteri Unicode.

     Questo nome verrà utilizzato anche come nome per il gruppo di amministrazione per i dispositivi cloud.

     Se si prevede di utilizzare più di un ambiente cloud, è consigliabile includere il nome dell'ambiente nel nome della connessione, ad esempio "Segmento Azure", "Segmento AWS" o "Segmento Google".

   • E-mail client

     L'e-mail client è l'indirizzo e-mail utilizzato per la registrazione del progetto in Google Cloud.

   • ID progetto

     L'ID progetto è l'ID ricevuto durante la registrazione del progetto in Google Cloud.

   • Chiave privata

     La chiave privata è la sequenza di caratteri ricevuta come chiave privata durante la registrazione del progetto in Google Cloud. È consigliabile copiare e incollare questa sequenza per evitare errori.

5. Se si desidera, selezionare Imposta pianificazione di polling e modificare le impostazioni predefinite.

La connessione viene salvata nelle impostazioni dell'applicazione.

Dopo la prima esecuzione del polling del nuovo segmento cloud, il sottogruppo corrispondente a tale segmento viene visualizzato nel gruppo di amministrazione Dispositivi gestiti\Cloud.

Se si specificano credenziali errate, non verranno individuate istanze durante il polling del segmento cloud e non verrà visualizzato un nuovo sottogruppo nel gruppo di amministrazione Dispositivi gestiti\Cloud.

Eliminazione di connessioni per il polling dei segmenti cloud

Se non è più necessario eseguire il polling di uno specifico segmento cloud, è possibile eliminare la connessione corrispondente al segmento dall'elenco delle connessioni disponibili. È anche possibile eliminare una connessione se, ad esempio, le autorizzazioni per il polling di un segmento cloud sono state trasferite a un altro utente IAM AWS con una chiave diversa.

Per eliminare una connessione:

1. Nella struttura della console selezionare il nodo Device discovery → Cloud.
2. Nell'area di lavoro della finestra selezionare Configura polling.

   Verrà visualizzata una finestra contenente un elenco delle connessioni disponibili per il polling dei segmenti cloud.

3. Selezionare la connessione che si desidera eliminare e fare clic sul pulsante Elimina nella parte destra della finestra.
4. Nella finestra visualizzata fare clic sul pulsante OK per confermare la selezione.

Se si eliminano connessioni dall'elenco delle connessioni disponibili, i dispositivi all'interno dei segmenti corrispondenti vengono automaticamente eliminati dai gruppi di amministrazione corrispondenti.

Configurazione della pianificazione di polling

Espandi tutto | Comprimi tutto

Il polling dei segmenti cloud viene eseguito in base a una pianificazione. È possibile impostare la frequenza di polling.

La frequenza di polling è impostata automaticamente su 5 minuti nelle impostazioni di Configura ambiente cloud. È possibile modificare il valore in qualsiasi momento e impostare una pianificazione diversa. Non è tuttavia consigliabile configurare il polling per l'esecuzione con una frequenza inferiore a 5 minuti perché potrebbero verificarsi errori nel funzionamento dell'API.

Per configurare la pianificazione del polling dei segmenti cloud:

1. Nella struttura della console selezionare il nodo Device discovery → Cloud.
2. Nell'area di lavoro fare clic su Configura polling.

   Verrà visualizzata la finestra delle proprietà del cloud.

3. Nell'elenco selezionare la connessione desiderata e fare clic sul pulsante Proprietà.

   Verrà visualizzata la finestra delle proprietà di connessione.

4. Nella finestra delle proprietà fare clic sul collegamento Imposta pianificazione di polling.

   Verrà aperta la finestra Pianificazione.

5. Definire le seguenti impostazioni:
   • Avvio pianificato

     Opzioni per la pianificazione di polling:

     • Ogni N giorni

       Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.

       Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.

     • Ogni N minuti

       Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.

       Per impostazione predefinita, il polling viene eseguito ogni 5 minuti, a partire dall'ora di sistema corrente.

     • In base ai giorni della settimana

       Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.

       Per impostazione predefinita, il polling viene eseguito ogni venerdì alle 18:00:00.

     • Ogni mese nei giorni specificati delle settimane selezionate

       Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.

       Per impostazione predefinita, non sono selezionati giorni del mese. L'ora di inizio predefinita è 18:00:00.

   • Esegui attività non effettuate

     Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.

     Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.

     Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.

     Per impostazione predefinita, questa opzione è abilitata.

6. Fare clic su OK per salvare le modifiche.

La pianificazione del polling verrà configurata e salvata.

Installazione di applicazioni nei dispositivi in un ambiente cloud

Espandi tutto | Comprimi tutto

È possibile installare le seguenti applicazioni Kaspersky nei dispositivi in un ambiente cloud: Kaspersky Security for Windows Server (per i dispositivi Windows) e Kaspersky Endpoint Security for Linux (per i dispositivi Linux).

I dispositivi client in cui si desidera installare la protezione devono soddisfare i requisiti per il funzionamento di Kaspersky Security Center in un ambiente cloud. È necessario disporre di una licenza valida per installare le applicazioni nelle istanze AWS, nelle macchine virtuali di Microsoft Azure o nelle istanze di macchine virtuali Google Cloud.

Kaspersky Security Center 14.2 supporta i seguenti scenari:

• Un dispositivo client viene rilevato tramite un'API; anche l'installazione viene eseguita tramite un'API. Per ambienti cloud AWS e Azure, questo scenario è supportato.
• Un dispositivo client viene rilevato tramite il polling di Active Directory, dei domini Windows o dell'intervallo IP; l'installazione viene eseguita tramite Kaspersky Security Center.
• Un dispositivo client viene rilevato tramite l'API Google; l'installazione viene eseguita tramite Kaspersky Security Center. Per Google Cloud, è supportato solo questo scenario.

Non sono supportati altri metodi per l'installazione delle applicazioni.

Per installare le applicazioni nei dispositivi virtuali, utilizzare i pacchetti di installazione.

Per creare un'attività per l'installazione remota dell'applicazione nelle istanze utilizzando l'API AWS o l'API Azure:

1. Nella struttura della console selezionare la cartella Attività.
2. Fare clic sul pulsante Nuova attività.

   Verrà avviata la Creazione guidata nuova attività. Seguire le istruzioni della procedura guidata.

3. Nella pagina Selezionare il tipo di attività selezionare Installa l'applicazione in remoto come tipo di attività.
4. Nella pagina Seleziona dispositivi selezionare i dispositivi desiderati dal gruppo Dispositivi gestiti\Cloud.
5. Se Network Agent non è ancora stato installato nei dispositivi in cui si intende installare l'applicazione, nella pagina Selezione di un account per l'esecuzione dell'attività selezionare Account richiesto (Network Agent non utilizzato) e fare clic sul pulsante Aggiungi nella parte destra della finestra. Nel menu visualizzato selezionare uno dei seguenti elementi:
   • Account cloud

     Selezionare questa opzione se si desidera installare le applicazioni in istanze AWS e si dispone di una chiave di accesso AWS IAM con le autorizzazioni necessarie, ma non si dispone di un ruolo IAM. Selezionare questa opzione anche se si desidera installare le applicazioni in dispositivi nell'ambiente Azure.

     Nella finestra visualizzata specificare in Kaspersky Security Center le credenziali che concedono i diritti per l'installazione delle applicazioni nei dispositivi.

     Selezionare l'ambiente cloud: AWS o Azure.

     Nel campo Nome account immettere un nome per tali credenziali. Questo nome verrà visualizzato nell'elenco degli account per l'esecuzione dell'attività.

     Se è stato selezionato AWS, nei campi ID chiave di accesso e Chiave segreta immettere le credenziali per l'account utente IAM che dispone dei diritti per l'installazione delle applicazioni nei dispositivi specificati.

     Se è stato selezionato Azure, nei campi ID sottoscrizione Azure e Password dell'applicazione Azure immettere le credenziali per l'account Azure che dispone dei diritti per l'installazione delle applicazioni nei dispositivi specificati.

     Se si specificano credenziali errate, l'attività di installazione remota verrà terminata con un errore nei dispositivi per cui è pianificata.

   • Account

     Per le istanze che eseguono Windows, selezionare questa opzione se non si desidera installare l'applicazione tramite gli strumenti dell'API AWS o Azure. In questo caso, verificare che i dispositivi nel segmento cloud soddisfino le condizioni richieste. Kaspersky Security Center installa le applicazioni autonomamente, senza utilizzare l'API AWS o l'API Azure.

     Se si specificano dati errati, l'attività di installazione remota verrà terminata con un errore nei dispositivi per cui è pianificata.

   • Ruolo IAM

     Selezionare questa opzione se si desidera installare le applicazioni in istanze nell'ambiente AWS e si dispone di un ruolo IAM con i diritti richiesti.

     Se si seleziona questa opzione ma non si dispone di un ruolo IAM con i diritti richiesti, l'attività di installazione remota verrà terminata con un errore nei dispositivi per cui è pianificata.

   • Certificato SSH

     Per le istanze che eseguono Linux, selezionare questa opzione se non si desidera installare l'applicazione tramite gli strumenti dell'API AWS o dell'API Azure. In questo caso, verificare che i dispositivi nel segmento cloud soddisfino le condizioni richieste. Kaspersky Security Center installa le applicazioni autonomamente, senza utilizzare l'API AWS o l'API Azure.

     Per specificare la chiave privata del certificato SSH, è possibile generarla utilizzando l'utilità ssh-keygen. Si noti che Kaspersky Security Center supporta il formato PEM delle chiavi private, ma l'utilità ssh-keygen genera chiavi SSH nel formato OPENSSH per impostazione predefinita. Il formato OPENSSH non è supportato da Kaspersky Security Center. Per creare una chiave privata nel formato PEM supportato, aggiungere l'opzione -m PEM nel comando ssh-keygen. Ad esempio:

     ssh-keygen -m PEM -t rsa -b 4096 -C "<e-mail dell'utente>"

   È possibile specificare più credenziali facendo clic sul pulsante Aggiungi per ogni nuova chiave. Se diversi segmenti cloud richiedono credenziali differenti, specificare le credenziali per tutti i segmenti.

Al termine della procedura guidata, l'attività di installazione remota dell'applicazione viene visualizzata nell'elenco delle attività nell'area di lavoro della cartella Attività.

In Microsoft Azure l'installazione remota delle applicazioni di protezione in una macchina virtuale può dare origine all'eliminazione dell'estensione per lo script personalizzata installata nella macchina virtuale.

Visualizzazione delle proprietà dei dispositivi cloud

Per visualizzare le proprietà di un dispositivo cloud:

1. Nella struttura della console, nel nodo Device discovery → Cloud, selezionare il sottonodo che corrisponde al gruppo in cui si trova l'istanza desiderata.

   Se non si è conoscenza del gruppo in cui si trova il dispositivo virtuale desiderato, utilizzare la funzione di ricerca:

   1. Fare clic con il pulsante destro del mouse sul nome del nodo Dispositivi gestiti → Cloud, quindi selezionare Cerca nel menu di scelta rapida.
   2. Nella finestra visualizzata eseguire una ricerca.

      Se un dispositivo soddisfa i criteri impostati dall'utente, il nome e i dettagli verranno visualizzati nella parte inferiore della finestra.

2. Fare clic con il pulsante destro del mouse sul nome del nodo desiderato. Nel menu di scelta rapida selezionare Proprietà.

   Nella finestra visualizzata vengono mostrate le proprietà dell'oggetto.

   La sezione Informazioni sul sistema → Informazioni generali di sistema contiene le proprietà specifiche per i dispositivi nell'ambiente cloud:

   • Dispositivo rilevato tramite API (AWS, Azure o Google Cloud; se il dispositivo non può essere rilevato utilizzando gli strumenti API, viene visualizzato il valore No).
   • Regione cloud.
   • VPC cloud (solo per dispositivi AWS e Google Cloud).
   • Zona di disponibilità cloud (solo per dispositivi AWS e Google Cloud).
   • Sottorete cloud.
   • Gruppo di collocazione Cloud (questa unità viene visualizzata solo se l'istanza appartiene a un gruppo di collocazione; in caso contrario, non viene visualizzata).

È possibile fare clic sul pulsante Esporta in un file per esportare queste informazioni in un file .csv o .txt.

Sincronizzazione con il cloud

Espandi tutto | Comprimi tutto

Durante l'esecuzione di Configura ambiente cloud, viene automaticamente creata la regola Sincronizza con il cloud. La regola consente di spostare automaticamente le istanze rilevate in ogni polling dal gruppo Dispositivi non assegnati al gruppo Dispositivi gestiti\Cloud per rendere disponibili le istanze per la gestione centralizzata. Per impostazione predefinita, la regola è attiva dopo la creazione. È possibile disabilitare, modificare o applicare la regola in qualsiasi momento.

Per modificare le proprietà della regola Sincronizza con il cloud e/o applicare la regola:

1. Nella struttura della console fare clic con il pulsante destro del mouse sul nodo Device discovery.
2. Nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra Proprietà visualizzata, nel riquadro Sezioni, selezionare Sposta dispositivi.
4. Nell'elenco delle regole di spostamento dei dispositivi nell'area di lavoro selezionare la regola Sincronizza con il cloud, quindi fare clic sul pulsante Proprietà nella parte inferiore della finestra.

   Verrà visualizzata la finestra delle proprietà della regola.

5. Se necessario, specificare le seguenti impostazioni nel gruppo di impostazioni Segmenti cloud:
   • Il dispositivo si trova in un segmento cloud

     La regola viene applicata solo ai dispositivi inclusi nel segmento cloud selezionato. In caso contrario, la regola viene applicata a tutti i dispositivi individuati.

     Per impostazione predefinita, questa opzione è selezionata.

     • Includi gli oggetti figlio

       La regola viene applicata a tutti i dispositivi nel segmento selezionato e in tutte le sottosezioni cloud nidificate. In caso contrario, la regola viene applicata solo ai dispositivi inclusi nel segmento radice.

       Per impostazione predefinita, questa opzione è selezionata.

     • Sposta i dispositivi dagli oggetti nidificati nei sottogruppi corrispondenti

       Se questa opzione è abilitata, i dispositivi vengono spostati automaticamente dagli oggetti nidificati ai sottogruppi corrispondenti alla relativa struttura.

       Se questa opzione è disabilitata, i dispositivi vengono spostati automaticamente dagli oggetti nidificati alla radice del sottogruppo Cloud senza ulteriori ramificazioni.

       Per impostazione predefinita, questa opzione è abilitata.

       • Crea i sottogruppi corrispondenti ai contenitori dei nuovi dispositivi rilevati

         Se questa opzione è abilitata, quando la struttura del gruppo Dispositivi gestiti\Cloud non ha sottogruppi corrispondenti alla sezione che contiene il dispositivo, Kaspersky Security Center crea tali sottogruppi. Ad esempio, se viene rilevata una nuova subnet durante la device discovery, verrà creato un nuovo gruppo con lo stesso nome nel gruppo Dispositivi gestiti\Cloud.

         Se questa opzione è disabilitata, Kaspersky Security Center non crea nuovi sottogruppi. Ad esempio, se viene rilevata una nuova subnet durante il polling della rete, non verrà creato un nuovo gruppo con lo stesso nome nel gruppo Dispositivi gestiti\Cloud e i dispositivi presenti nella subnet verranno spostati nel gruppo Dispositivi gestiti\Cloud.

         Per impostazione predefinita, questa opzione è abilitata.

       • Elimina i sottogruppi per cui non viene trovata una corrispondenza nei segmenti cloud

         Se questa opzione è abilitata, l'applicazione elimina dal gruppo Cloud tutti i sottogruppi a cui non corrisponde alcun oggetto cloud esistente.

         Se questa opzione è disabilitata, vengono mantenuti i sottogruppi a cui non corrisponde alcun oggetto cloud esistente.

         Per impostazione predefinita, questa opzione è abilitata.

       Se è stata abilitata l'opzione Sincronizza con il cloud durante l'esecuzione di Configura ambiente cloud, la regola Sincronizza con il cloud viene creata con le caselle di controllo Crea i sottogruppi corrispondenti ai contenitori dei nuovi dispositivi rilevati ed Elimina i sottogruppi per cui non viene trovata una corrispondenza nei segmenti cloud selezionate.

       Se non è stata abilitata l'opzione Sincronizza con il cloud, la regola Sincronizza con il cloud viene creata con queste opzioni disabilitate (deselezionate). Se l'utilizzo di Kaspersky Security Center richiede che la struttura dei sottogruppi nel sottogruppo di Dispositivi gestiti\Cloud corrisponda alla struttura dei segmenti cloud, selezionare le caselle di controllo Crea i sottogruppi corrispondenti ai contenitori dei nuovi dispositivi rilevati ed Elimina i sottogruppi per cui non viene trovata una corrispondenza nei segmenti cloud nelle proprietà della regola e quindi applicare la regola.

6. Nell'elenco a discesa Dispositivo rilevato tramite API selezionare uno dei seguenti valori:
   • AWS. Il dispositivo viene rilevato tramite l'API AWS, quindi si trova senz'altro nell'ambiente cloud AWS.
   • Azure. Il dispositivo viene rilevato tramite l'API Azure, quindi si trova senz'altro nell'ambiente cloud Azure.
   • Google Cloud. Il dispositivo viene rilevato tramite l'API Google, quindi si trova senz'altro nell'ambiente cloud Google.
   • No. Il dispositivo non può essere rilevato tramite l'API AWS, Azure o Google, ad esempio perché si trova all'esterno dell'ambiente cloud oppure si trova nell'ambiente cloud ma non può essere rilevato tramite un'API.
7. Nessun valore. Questa condizione non viene applicata. Se necessario, configurare le proprietà delle altre regole nelle altre sezioni.
8. Se necessario, applicare la regola facendo clic sul pulsante Forza nella parte inferiore della finestra.

   Verrà avviata l'Aggiunta guidata regola di esecuzione. Seguire le istruzioni della procedura guidata. Al termine della procedura guidata, la regola verrà eseguita e la struttura dei sottogruppi nel sottogruppo Dispositivi gestiti\Cloud corrisponderà alla struttura dei segmenti cloud.

9. Fare clic sul pulsante OK.

Le proprietà verranno impostate e salvate.

Per disabilitare la regola Sincronizza con il cloud:

1. Nella struttura della console fare clic con il pulsante destro del mouse sul nodo Device discovery.
2. Nel menu di scelta rapida selezionare Proprietà.
3. Nella finestra Proprietà visualizzata, nel riquadro Sezioni, selezionare Sposta dispositivi.
4. Nell'elenco delle regole di spostamento dei dispositivi nell'area di lavoro disabilitare (deselezionare) l'opzione Sincronizza con il cloud, quindi fare clic su OK.

La regola verrà disabilitata e non sarà più applicata.

Utilizzo di script di distribuzione per la distribuzione delle applicazioni di protezione

Quando Kaspersky Security Center viene distribuito in un ambiente cloud, è possibile utilizzare script di distribuzione per l'automazione della distribuzione delle applicazioni di protezione. Gli script di distribuzione per Amazon Web Services, Microsoft Azure e Google Cloud sono disponibili come file ZIP nella pagina di assistenza Kaspersky.

È possibile distribuire le versioni più recenti di Kaspersky Endpoint Security for Linux e Kaspersky Security for Windows Server utilizzando script di distribuzione solo se sono già stati creati pacchetti di installazione e plug-in di gestione per questi programmi. Per distribuire le versioni più recenti delle applicazioni di protezione utilizzando script di distribuzione, eseguire le seguenti operazioni in Administration Server nell'ambiente cloud:

1. Avviare l'operazione Configura ambiente cloud.
2. Seguire le istruzioni disponibili all'indirizzo https://support.kaspersky.com/14713.

Distribuzione di Kaspersky Security Center in Yandex.Cloud

È possibile distribuire Kaspersky Security Center in Yandex.Cloud. È disponibile solo la modalità a consumo; i database cloud non sono supportati.

In Yandex.Cloud sono disponibili i seguenti metodi di distribuzione per le applicazioni di protezione:

• Mediante i metodi offerti da Kaspersky Security Center, ovvero tramite l'attività Installazione remota (la distribuzione dei programmi di protezione è possibile solo se Administration Server e le macchine virtuali da proteggere si trovano sullo stesso segmento di rete)
• Tramite script di distribuzione

Per la distribuzione di Kaspersky Security Center in Yandex.Cloud, è necessario disporre di un account di servizio in Yandex.Cloud. È necessario fornire a questo account l'autorizzazione marketplace.meteringAgent e associare l'account alla macchina virtuale (fare riferimento a https://cloud.yandex.com/en per informazioni dettagliate).