Sommario
Pianificazione della distribuzione di Kaspersky Security Center Linux
Durante la pianificazione della distribuzione dei componenti di Kaspersky Security Center Linux nella rete di un'organizzazione, è necessario tenere conto delle dimensioni e dell'ambito del progetto, in particolare per quanto riguarda i seguenti fattori:
- Numero totale di dispositivi
- Numero di client MSP
Un solo Administration Server può supportare un massimo di 50.000 dispositivi. Se il numero totale di dispositivi nella rete di un'organizzazione è superiore a 50.000, il provider di servizi deve distribuire più Administration Server, che possono essere combinati in una gerarchia per gestirli comodamente in modo centralizzato.
È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.
In fase di pianificazione della distribuzione, deve essere valutata l'assegnazione di uno speciale certificato X.509 all'Administration Server. L'assegnazione del certificato X.509 all'Administration Server può essere utile nei seguenti casi (elenco parziale):
- Ispezione del traffico SSL (Secure Sockets Layer) per mezzo di un proxy con terminazione SSL
- Specificazione dei valori richiesti nei campi del certificato
- Specificazione del livello di criptaggio richiesto di un certificato
Concessione dell'accesso via Internet all'Administration Server
Per consentire ai dispositivi nella rete client di accedere ad Administration Server via Internet, è necessario rendere disponibili le seguenti porte di Administration Server:
- TCP 13000: porta TLS di Administration Server per la connessione dei Network Agent distribuiti nella rete client
- TCP 8061: porta HTTPS per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Kaspersky Security Center Web Console
- TCP 8060: porta HTTP per la pubblicazione dei pacchetti indipendenti utilizzando gli strumenti di Kaspersky Security Center Web Console
- TCP 13292: porta TLS necessaria solo se sono presenti dispositivi mobili da gestire
- TCP 8080: porta HTTPS per Kaspersky Security Center Web Console
Configurazione standard di Kaspersky Security Center Linux
Uno o più Administration Server vengono distribuiti nei server degli MSP. Il numero di Administration Server che è possibile selezionare può essere basato sull'hardware disponibile, sul numero totale di client MSP gestiti o sul numero totale di dispositivi gestiti.
Un solo Administration Server può supportare fino a 50.000 dispositivi. È necessario tenere conto della possibilità di aumentare il numero di dispositivi gestiti in futuro: può essere utile connettere un numero più limitato di dispositivi a un singolo Administration Server.
È possibile creare fino a 500 Server virtuali in un singolo Administration Server, pertanto è richiesto un singolo Administration Server ogni 500 client MSP.
Se vengono utilizzati più server, è consigliabile combinarli in una gerarchia. L'utilizzo di una gerarchia di Administration Server consente di evitare la duplicazione di criteri e attività e di amministrare l'intero set di dispositivi gestiti come se fossero gestiti da un singolo Administration Server (ricerca di dispositivi, creazione di selezioni di dispositivi e generazione di rapporti).
In ogni server virtuale corrispondente a un client MSP è necessario assegnare uno o più punti di distribuzione. Se i client MSP e Administration Server sono collegati via Internet, può essere utile creare un'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per i punti di distribuzione, in modo che scarichino gli aggiornamenti direttamente dai server di Kaspersky, invece che da Administration Server.
Se alcuni dispositivi della rete client MSP non hanno accesso diretto a Internet, è necessario attivare la modalità gateway di connessione per i punti di distribuzione. In questo caso, i Network Agent nei dispositivi nella rete del client MSP saranno connessi per l'ulteriore sincronizzazione ad Administration Server, ma attraverso il gateway, non direttamente.
Poiché in genere Administration Server non è in grado di eseguire il polling della rete del client MSP, può essere utile assegnare questa funzione a un punto di distribuzione.
Administration Server non potrà inviare notifiche tramite la porta UDP 15000 ai dispositivi gestiti posizionati dietro il NAT nella rete del client MSP. Per risolvere questo problema, può essere utile abilitare la modalità di connessione continua ad Administration Server nelle proprietà dei dispositivi che operano come punti di distribuzione e vengono eseguiti in modalità gateway di connessione (opzione Non eseguire la disconnessione da Administration Server). La modalità di connessione continua è disponibile se il numero totale di punti di distribuzione non è superiore a 300.
Un client MSP potrebbe voler gestire i dispositivi Android e i dispositivi iOS dei dipendenti. Administration Server gestisce i dispositivi mobili tramite TLS, porta TCP 13292.
Inizio paginaInformazioni sui punti di distribuzione
Il dispositivo in cui è installato Network Agent può essere utilizzato come punto di distribuzione. In questa modalità, Network Agent può eseguire le seguenti funzioni:
- Trasferire file ai dispositivi client, tra cui:
- Aggiornamenti dei moduli software e database Kaspersky
Gli aggiornamenti possono essere recuperati dall'Administration Server o dai server di Kaspersky. Nel secondo caso, è necessario creare l'attività Scarica aggiornamenti negli archivi dei punti di distribuzione per il dispositivo che opera come punto di distribuzione.
- Aggiornamenti software di terze parti
- Pacchetti di installazione
- Aggiornamenti dei moduli software e database Kaspersky
- Installare il software (inclusa la distribuzione iniziale dei Network Agent) in altri dispositivi.
- Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Un punto di distribuzione può applicare gli stessi metodi di device discovery di Administration Server.
La distribuzione dei punti di distribuzione nella rete di un'organizzazione ha i seguenti obiettivi:
- Ridurre il carico su Administration Server se questo opera come sorgente degli aggiornamenti.
- Ottimizzare il traffico Internet poiché, in questo caso, ogni dispositivo nella rete del client MSP non deve accedere ai server di Kaspersky o ad Administration Server per gli aggiornamenti.
- Concedere l'accesso ad Administration Server ai dispositivi dietro il NAT (rispetto ad Administration Server) della rete del client MSP, consentendo ad Administration Server di eseguire le seguenti azioni:
- Inviare notifiche ai dispositivi tramite UDP nella rete IPv4 o IPv6
- Eseguire il polling della rete IPv4 o IPv6
- Eseguire la distribuzione iniziale
- Fungere da server push
Un punto di distribuzione viene assegnato a un gruppo di amministrazione. In questo caso, l'ambito del punto di distribuzione include tutti i dispositivi contenuti nel gruppo di amministrazione e in tutti i relativi sottogruppi. Tuttavia, il dispositivo che opera come punto di distribuzione può non essere incluso nel gruppo di amministrazione a cui è stato assegnato.
È possibile far funzionare un punto di distribuzione come gateway di connessione. In questo caso, i dispositivi nell'ambito del punto di distribuzione saranno connessi all'Administration Server tramite il gateway, non direttamente. È possibile utilizzare questa modalità negli scenari che non consentono di stabilire una connessione diretta tra i dispositivi con Network Agent e un Administration Server.
I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.
Gerarchia di Administration Server
Alcune società clienti, ad esempio MSP, possono eseguire più Administration Server. Poiché può essere scomodo amministrare più Administration Server distinti, è possibile applicare una gerarchia. In una gerarchia, un Administration Server basato su Linux può fungere sia da server primario che da server secondario. Il server primario basato su Linux può gestire sia i server secondari basati su Linux che quelli basati su Windows. Un server primario basato su Windows può gestire un server secondario basato su Linux.
Una configurazione "primario/secondario" per due Administration Server fornisce le seguenti opzioni:
- Un Administration Server secondario eredita i criteri, le attività, i ruoli utente e i pacchetti di installazione dall'Administration Server primario, evitando così la duplicazione delle impostazioni.
- Le selezioni di dispositivi nell'Administration Server primario possono includere i dispositivi degli Administration Server secondari.
- I rapporti nell'Administration Server primario possono contenere dati (incluse informazioni dettagliate) ottenuti dagli Administration Server secondari.
- È possibile utilizzare un Administration Server primario come sorgente degli aggiornamenti per l'Administration Server secondario.
L'Administration Server primario riceve i dati solo dagli Administration Server secondari non virtuali nell'ambito delle opzioni elencate sopra. Questa limitazione non si applica agli Administration Server virtuali, che condividono il database con l'Administration Server primario.
Inizio paginaAdministration Server virtuali
Sulla base di un Administration Server fisico, è possibile creare più Administration Server virtuali, simili agli Administration Server secondari. Rispetto al modello di accesso discrezionale, che è basato su elenchi di controllo di accesso (ACL), il modello degli Administration Server virtuali è più funzionale e fornisce un maggior livello di isolamento. Oltre a una struttura dedicata di gruppi di amministrazione per i dispositivi assegnati con criteri e attività, ogni Administration Server virtuale dispone di un proprio gruppo di dispositivi non assegnati, di insiemi di rapporti, dispositivi ed eventi selezionati, pacchetti di installazione, regole di spostamento e così via. Per il massimo isolamento reciproco dei client MSP, è consigliabile scegliere Administration Server virtuali come funzionalità da utilizzare. Inoltre, la creazione di un Administration Server virtuale per ogni client MSP consente di offrire ai client opzioni di base per l'amministrazione della rete tramite Kaspersky Security Center Web Console.
Gli Administration Server virtuali sono molto simili agli Administration Server secondari, ma con le seguenti distinzioni:
- Un Administration Server virtuale non dispone della maggior parte delle impostazioni globali e di specifiche porte TCP.
- Un Administration Server virtuale non dispone di Administration Server secondari.
- Un Administration Server virtuale non include altri Administration Server virtuali.
- Un Administration Server fisico visualizza i dispositivi, i gruppi, gli eventi e gli oggetti nei dispositivi gestiti (elementi in Quarantena, registro delle applicazioni e così via) di tutti i relativi Administration Server virtuali.
- Un Administration Server virtuale può eseguire solo la scansione della rete a cui sono connessi punti di distribuzione.