Guida per il dimensionamento

Questa sezione fornisce informazioni sul dimensionamento di Kaspersky Security Center Linux.

Informazioni sulla guida

La Guida per il dimensionamento di Kaspersky Security Center Linux (denominata anche Kaspersky Security Center) è destinata ai professionisti che si occupano dell'installazione e dell'amministrazione di Kaspersky Security Center, nonché a quelli che forniscono assistenza tecnica alle organizzazioni che utilizzano Kaspersky Security Center.

Tutti i suggerimenti e i calcoli vengono forniti per le reti in cui Kaspersky Security Center gestisce la protezione dei dispositivi in cui è installato il software Kaspersky.

Per ottenere e mantenere prestazioni ottimali in diverse condizioni operative, è necessario tenere conto del numero di dispositivi in rete, della topologia della rete e del set di funzionalità di Kaspersky Security Center richiesto.

La presente Guida fornisce le seguenti informazioni:

• Limitazioni di Kaspersky Security Center
• Calcoli per i nodi chiave di Kaspersky Security Center (Administration Server e punti di distribuzione):
  • Requisiti hardware per Administration Server e punti di distribuzione
  • Calcolo del numero e gerarchia degli Administration Server
  • Calcolo del numero e configurazione dei punti di distribuzione
• Configurazione della registrazione degli eventi nel database in base al numero dei dispositivi in rete
• Best practice comuni per l'ottimizzazione delle prestazioni
• Configurazione di attività specifiche mirate alle prestazioni ottimali di Kaspersky Security Center
• Frequenza di traffico (carico di rete) tra Kaspersky Security Center Administration Server e ciascun dispositivo protetto

È consigliabile consultare questa guida nei seguenti casi:

• In caso di pianificazione delle risorse prima dell'installazione di Kaspersky Security Center
• In caso di pianificazione di cambiamenti significativi della portata della rete in cui viene distribuito Kaspersky Security Center
• In caso di passaggio dall'utilizzo di Kaspersky Security Center all'interno di un segmento di rete limitato (un ambiente di test) alla distribuzione su vasta scala di Kaspersky Security Center nella rete aziendale
• In caso di modifiche al set di funzionalità di Kaspersky Security Center utilizzate

Calcoli per gli Administration Server

In questa sezione vengono specificati i requisiti software e hardware per i dispositivi utilizzati come Administration Server. Vengono inoltre forniti suggerimenti per il calcolo del numero e della gerarchia di Administration Server in base alla configurazione della rete dell'organizzazione.

Calcolo delle risorse hardware per Administration Server

Questa sezione contiene i calcoli che forniscono istruzioni sulla pianificazione delle risorse hardware per Administration Server.

Requisiti hardware per il DBMS e l'Administration Server

Nelle seguenti tabelle sono riportati i requisiti hardware minimi consigliati per un DBMS e un Administration Server ottenuti durante i test. Per un elenco completo di sistemi operativi e DBMS supportati fare riferimento all'elenco dei requisiti hardware e software.

La rete comprende 50.000 dispositivi

Configurazione del dispositivo in cui è installato Administration Server

Configurazione del dispositivo in cui è installato PostgreSQL DBMS

Configurazione del dispositivo in cui sono installati sia Administration Server e che PostgreSQL DBMS

La rete comprende 30.000 dispositivi

Configurazione del dispositivo in cui è installato Administration Server

Configurazione del dispositivo in cui è installato PostgreSQL DBMS

Configurazione del dispositivo in cui sono installati sia Administration Server e che PostgreSQL DBMS

La rete comprende 10.000 dispositivi

Configurazione del dispositivo in cui è installato Administration Server

Configurazione del dispositivo in cui è installato PostgreSQL DBMS

Configurazione del dispositivo in cui sono installati sia Administration Server e che PostgreSQL DBMS

I test sono stati eseguiti con le seguenti impostazioni:

• L'assegnazione automatica dei punti di distribuzione è abilitata in Administration Server oppure i punti di distribuzione vengono assegnati manualmente in base alle tabella consigliata.
• Il DBMS PostgreSQL non include estensioni diverse da plpgsql.

Nel dispositivo in cui è installato il DBMS, il database utilizza circa 100 GB di spazio su disco e il registro delle transazioni utilizza circa 200 GB di spazio su disco.

Calcolo dello spazio del database

La quantità approssimativa di spazio che deve essere riservata nel database può essere calcolata utilizzando la seguente formula:

(600 * C + 2.3 * E + 2.5 * A + 1.2 * N * F), KB

dove:

• C è il numero dei dispositivi.
• E è il numero di eventi da memorizzare.
• A è il numero totale degli oggetti di Active Directory:
  • Account dispositivo
  • Account utente
  • Account dei gruppi di protezione
  • Unità organizzative di Active Directory

  Se la scansione di Active Directory è disabilitata, A è considerato uguale a zero.

• N è il numero medio di file eseguibili di cui è stato eseguito l'inventario in un dispositivo endpoint.
• F è il numero di dispositivi endpoint nei quali è stato eseguito l'inventario dei file eseguibili.

Se (nelle impostazioni dei criteri di Kaspersky Endpoint Security) si intende abilitare la notifica di Administration Server nelle applicazioni eseguite, è necessaria una quantità aggiuntiva di (0,03 * C) gigabyte per archiviare nel database le informazioni sulle applicazioni eseguite.

Durante l'esecuzione, nel database è sempre presente una determinata quantità di spazio non allocato. Pertanto, la dimensione effettiva del file di database risulta spesso essere circa il doppio della quantità di spazio occupato nel database.

Non è consigliabile limitare esplicitamente la dimensione del registro delle transazioni. È consigliabile mantenere il valore predefinito del parametro MAXSIZE.

Calcolo dello spazio su disco

Lo spazio su disco di Administration Server richiesto per la cartella var/opt/kaspersky/klnagent_srv/ può essere stimato approssimativamente utilizzando la formula:

(724 * C + 0,15 * E + 0,17 * A) KB

dove:

• C è il numero dei dispositivi.
• E è il numero di eventi da memorizzare.
• A è il numero totale degli oggetti di Active Directory:
  • Account dispositivo
  • Account utente
  • Account dei gruppi di protezione
  • Unità organizzative di Active Directory

Se la scansione di Active Directory è disabilitata, A è considerato uguale a zero.

Calcolo del numero e configurazione degli Administration Server

Per ridurre il carico sull'Administration Server primario, è possibile assegnare un Administration Server separato a ciascun gruppo di amministrazione. Il numero di Administration Server secondari non può essere superiore a 500 per un singolo Administration Server primario.

È consigliabile creare la configurazione degli Administration Server in base alla configurazione della rete della propria organizzazione.

Suggerimenti per la connessione di macchine virtuali dinamiche a Kaspersky Security Center

Le macchine virtuali dinamiche (denominate anche VM dinamiche) consumano più risorse rispetto alle macchine virtuali statiche.

Per ulteriori informazioni sulle macchine virtuali dinamiche, vedere Supporto delle macchine virtuali dinamiche.

Quando viene connessa una nuova VM dinamica, Kaspersky Security Center Linux crea un record per questa VM dinamica in Kaspersky Security Center Web Console e sposta la VM dinamica nel gruppo di amministrazione. Successivamente, la VM dinamica viene aggiunta al database di Administration Server. Administration Server è completamente sincronizzato con Network Agent installato in questa VM dinamica.

Nella rete di un'organizzazione, Network Agent crea i seguenti elenchi di reti per ogni macchina virtuale dinamica:

• Hardware
• Software installato
• Vulnerabilità rilevate
• Eventi ed elenchi di file eseguibili del componente Controllo Applicazioni

Network Agent trasferisce questi elenchi di reti all'Administration Server. La dimensione degli elenchi di rete dipende dai componenti installati nella VM dinamica e può influire sulle prestazioni di Kaspersky Security Center Linux e il sistema di gestione database (DBMS). Si noti che il carico può crescere in modo non lineare.

Dopo che l'utente ha terminato di utilizzare la macchina virtuale dinamica e l'ha spenta, quest'ultima viene quindi rimossa dall'infrastruttura virtuale e le voci relative a questa macchina vengono rimosse dal database di Administration Server.

Tutte queste azioni consumano molte risorse del database di Kaspersky Security Center Linux e Administration Server e possono ridurre le prestazioni di Kaspersky Security Center Linux e DBMS. Si consiglia di connettere fino a 20.000 macchine virtuali dinamiche a Kaspersky Security Center Linux.

È possibile connettere più di 20.000 VM dinamiche a Kaspersky Security Center Linux se le VM dinamiche connesse eseguono operazioni standard (ad esempio, aggiornamenti del database) e consumano non più dell'80% della memoria e del 75-80% dei core disponibili.

La modifica delle impostazioni dei criteri, del software o del sistema operativo sulla VM dinamica può ridurre o aumentare il consumo di risorse. Il consumo dell'80-95% delle risorse è considerato ottimale.

Calcoli per punti di distribuzione e gateway di connessione

Questa sezione fornisce i requisiti hardware per i dispositivi utilizzati come punti di distribuzione insieme ai suggerimenti per il calcolo del numero di punti di distribuzione e di gateway di connessione in base alla configurazione della rete aziendale.

Requisiti per un punto di distribuzione

I requisiti hardware e software per i punti di distribuzione basati su Windows e Linux sono descritti in questo articolo.

Se in Administration Server è presente un'attività di installazione remota in sospeso, il dispositivo con il punto di distribuzione richiederà inoltre una quantità di spazio disponibile sul disco pari alle dimensioni totali dei pacchetti di installazione da installare.

Se in Administration Server sono presenti una o più istanze in sospeso delle attività di installazione degli aggiornamenti (patch) e di correzione delle vulnerabilità, il dispositivo con il punto di distribuzione richiederà ulteriore spazio disponibile sul disco, una quantità pari al doppio delle dimensioni totali di tutte le patch da installare.

Se si utilizza lo schema in cui i punti di distribuzione ricevono gli aggiornamenti dei database e dei moduli del software applicativo direttamente dai server di aggiornamento Kaspersky, i punti di distribuzione devono essere connessi a Internet.

Si sconsiglia di assegnare l'Administration Server come punto di distribuzione, poiché ciò aumenterà il carico sull'Administration Server.

Requisiti hardware per i punti di distribuzione basati su Windows

Requisiti hardware minimi per i punti di distribuzione basati su Windows

Requisiti hardware per i punti di distribuzione basati su Linux

Requisiti hardware minimi per i punti di distribuzione basati su Linux

Calcolo del numero e configurazione dei punti di distribuzione

Più dispositivi client contiene una rete, maggiore è il numero dei punti di distribuzione richiesti. È consigliabile non disabilitare l'assegnazione automatica dei punti di distribuzione. Quando è abilitata l'assegnazione automatica dei punti di distribuzione, Administration Server assegna i punti di distribuzione se il numero dei dispositivi client è ampio e definisce la configurazione.

Utilizzo di punti di distribuzione assegnati in modo esclusivo

Se si prevede di utilizzare alcuni dispositivi specifici come punti di distribuzione (ovvero, server assegnati in modo esclusivo), è possibile scegliere di non utilizzare l'assegnazione automatica dei punti di distribuzione. In questo caso, verificare che i dispositivi a cui assegnare il ruolo di punti di distribuzione dispongano di un volume sufficiente di spazio libero su disco, che non vengano arrestati regolarmente e che la modalità di sospensione sia disabilitata.

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di punti di distribuzione assegnati in modo esclusivo in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Utilizzo di dispositivi client standard (workstation) come punti di distribuzione

Se si prevede di utilizzare dispositivi client standard (ovvero, workstation) come punti di distribuzione, è consigliabile assegnare i punti di distribuzione come indicato nelle tabelle seguenti per evitare un carico eccessivo sui canali di comunicazione e su Administration Server:

Numero di workstation che operano come punti di distribuzione in una rete che contiene un solo segmento di rete, in base al numero di dispositivi di rete

Numero di workstation che operano come punti di distribuzione in una rete che contiene più segmenti di rete, in base al numero di dispositivi di rete

Se un punto di distribuzione viene arrestato (o non è disponibile per altri motivi), i dispositivi gestiti nel relativo ambito possono accedere ad Administration Server per gli aggiornamenti.

Calcolo del numero di gateway di connessione

Se si prevede di utilizzare un gateway di connessione, è consigliabile specificare un dispositivo specifico per questa funzione.

Un gateway di connessione può coprire un massimo di 10.000 dispositivi gestiti.

Registrazione delle informazioni sugli eventi per le attività e i criteri

Questa sezione contiene i calcoli associati all'archiviazione degli eventi nel database di Administration Server e offre suggerimenti su come ridurre al minimo il numero di eventi, riducendo quindi il carico su Administration Server.

Per impostazione predefinita, le proprietà di ogni attività e criterio consentono l'archiviazione di tutti gli eventi relativi all'esecuzione delle attività e all'applicazione dei criteri.

Tuttavia, se un'attività viene eseguita con una frequenza elevata (ad esempio più di una volta a settimana) e su un ampio numero di dispositivi (ad esempio più di 10.000), il numero di eventi può rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile selezionare una delle due opzioni nelle impostazioni dell'attività:

• Salva eventi correlati all'avanzamento dell'attività. In questo caso il database riceve solo le informazioni sull'avvio, sull'andamento e sul completamento dell'attività (completa, con avviso o con errore) da ciascun dispositivo in cui viene eseguita l'attività.
• Salva solo i risultati dell'esecuzione dell'attività. In questo caso il database riceve solo le informazioni sul completamento delle attività (completa, con avviso o con errore) da ciascun dispositivo in cui viene eseguita l'attività.

Se è stato definito un criterio per un ampio numero di dispositivi (ad esempio più di 10.000), il numero di eventi può anche rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile scegliere solo gli eventi più critici nelle impostazioni del criterio e abilitare la relativa registrazione. È consigliabile disabilitare la registrazione di tutti gli altri eventi.

In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.

È anche possibile ridurre il periodo di archiviazione per gli eventi associati a un'attività o a un criterio. Il periodo predefinito è di 7 giorni per gli eventi correlati alle attività e di 30 giorni per gli eventi correlati ai criteri. Quando si modifica il periodo di archiviazione di un evento è opportuno prendere in considerazione le procedure operative in atto nell'organizzazione e la quantità di tempo che l'amministratore di sistema può dedicare all'analisi di ciascun evento.

È consigliabile modificare le impostazioni di archiviazione degli eventi in uno dei seguenti casi:

• Gli eventi riguardanti modifiche degli stati intermedi delle attività di gruppo e gli eventi correlati all'applicazione dei criteri occupano un'ampia quota del totale degli eventi nel database di Kaspersky Security Center Linux.
• Il registro del sistema operativo inizia a mostrare le voci relative alla rimozione automatica degli eventi quando viene superato il limite stabilito sul numero totale di eventi archiviati nel database.

Scegliere le opzioni di registrazione degli eventi partendo dal presupposto che il numero ottimale di eventi che derivano da un singolo dispositivo in un giorno non deve essere superiore a 20. È possibile aumentare leggermente questo limite, se necessario, ma solo se il numero di dispositivi nella rete è relativamente piccolo (inferiore a 10.000).

Best practice per un Administration Server che gestisce un numero elevato di dispositivi

Best practice per l'utilizzo del DBMS

Configurare l'attività di Manutenzione di Administration Server in modo che venga eseguita periodicamente, soprattutto se si utilizza un DBMS PostgreSQL.

Escludere la cartella DBMS dalla scansione IOC.

Best practice per criteri e profili

Ridurre il numero di criteri attivi per un componente (ad esempio, Kaspersky Endpoint Security for Windows). È possibile i criteri con i profili criterio.

Best practice per un Administration Server che gestisce un numero elevato di dispositivi

Ridurre il numero di attività eseguite contemporaneamente, in particolare l'installazione remota e la gestione delle patch.

Ridurre il numero e ottimizzare la pianificazione per le attività che funzionano con le selezioni dispositivi.

Nella sezione Configurazione eventi delle impostazioni dei criteri, ridurre al minimo il numero di tipi di evento salvati.

Best practice per l'archiviazione degli eventi

Ridurre la frequenza degli eventi di tipo singolo provenienti dal componente Controllo Applicazioni. Informazioni sul blocco degli eventi frequentiPer ulteriori dettagli, consultare l'argomento seguente: Informazioni sul blocco degli eventi frequenti.

Ridurre il periodo di archiviazione per gli eventi dei componenti (ad esempio, Kaspersky Endpoint Security for Windows) e gli eventi informativi sulle vulnerabilità corrette.

Abilitare l'opzione Salva eventi correlati all'avanzamento dell'attività nelle impostazioni dell'attività per le attività comuni, ad esempio le attività di aggiornamento. Registrazione delle informazioni sugli eventi per le attività e i criteriPer informazioni dettagliate, fare riferimento al seguente argomento: Registrazione delle informazioni sugli eventi per le attività e i criteri.

Ottimizzare le impostazioni dell'attività di inventario. Per ulteriori dettagli, fare riferimento al seguente argomento: Attività di inventario.

Considerazioni specifiche e impostazioni ottimali di determinate attività

Determinate attività sono soggette a considerazioni specifiche relative al numero di dispositivi di rete. Questa sezione offre suggerimenti sulla configurazione ottimale delle impostazioni per tali attività.

Device discovery, attività di backup dei dati, attività di manutenzione del database e attività di gruppo per aggiornare Kaspersky Endpoint Security fanno parte della funzionalità di base di Kaspersky Security Center Linux.

L'attività di inventario fa parte della funzionalità Vulnerability e patch management e non è disponibile se questa funzionalità non è attivata.

Frequenza della device discovery

Non è consigliabile aumentare la frequenza predefinita della device discovery poiché ciò può creare un carico eccessivo nei controller di dominio. È invece consigliabile pianificare il polling con la frequenza minima consentita dalle esigenze dell'organizzazione. Nella tabella di seguito vengono forniti i suggerimenti per il calcolo della pianificazione ottimale.

Pianificazione della device discovery

Attività di backup dei dati di Administration Server e attività di manutenzione dei database

Administration Server smette di funzionare quando sono in esecuzione le seguenti attività:

• Backup dei dati di Administration Server
• Manutenzione di Administration Server

Quando queste attività sono in esecuzione, il database non può ricevere alcun dato.

Potrebbe essere necessario ripianificare queste attività in modo che non vengano eseguite contemporaneamente ad altre attività di Administration Server.

Attività di gruppo per l'aggiornamento di Kaspersky Endpoint Security

Se Administration Server opera come sorgente degli aggiornamenti, l'opzione di pianificazione consigliata per le attività di aggiornamento di gruppo di Kaspersky Endpoint Security 10 e versioni successive è Quando vengono scaricati nuovi aggiornamenti nell'archivio con la casella di controllo Usa automaticamente il ritardo casuale per l'avvio delle attività selezionata.

Se si crea un'attività locale di download degli aggiornamenti dai server Kaspersky nell'archivio in ogni punto di distribuzione, la pianificazione periodica è consigliata per l'attività di aggiornamento di gruppo di Kaspersky Endpoint Security. In questo caso il valore del periodo con impostazione casuale deve essere di un'ora.

Attività di inventario

È possibile ridurre il carico sul database mentre si ottengono informazioni sui file eseguibili. A tale scopo, si consiglia di eseguire un'attività di inventario per Kaspersky Endpoint Security sui dispositivi di riferimento in cui è installato un set standard di software.

Il numero di file eseguibili ricevuti da Administration Server da un singolo dispositivo non può essere superiore a 150.000. Quando Kaspersky Security Center Linux raggiunge questo limite, non può ricevere nuovi file.

In genere, il numero di file in un dispositivo client comune non può essere superiore a 60.000. Il numero di file eseguibili in un file server può essere maggiore e può addirittura superare la soglia di 150.000.

Dettagli del carico di rete trasmesso fra Administration Server e dispositivi protetti

Questa sezione fornisce i risultati delle misurazioni di prova del traffico di rete con una descrizione delle condizioni di esecuzione delle misurazioni. È possibile fare riferimento a queste informazioni quando si pianifica l'infrastruttura di rete e la capacità di throughput dei canali di rete all'interno dell'organizzazione (o tra Administration Server e un'altra organizzazione con i dispositivi da proteggere). Conoscendo la capacità di throughput della rete, è inoltre possibile stimare approssimativamente il tempo richiesto dalle diverse operazioni di trasmissione dei dati.

Consumo del traffico in diversi scenari

La tabella di seguito consente di visualizzare i risultati dei test di misurazione condotti sul traffico tra Administration Server e un dispositivo gestito in scenari diversi.

Per impostazione predefinita, i dispositivi vengono sincronizzati con Administration Server ogni 15 minuti o con un intervallo più lungo. Tuttavia, se si modificano le impostazioni di un criterio o di un'attività in Administration Server, si verifica una sincronizzazione anticipata nei dispositivi a cui è applicabile il criterio (o l'attività), pertanto le nuove impostazioni vengono trasmesse ai dispositivi.

Frequenza di traffico tra Administration Server e un dispositivo gestito

Utilizzo del traffico medio nell'arco di 24 ore

L'utilizzo medio del traffico tra Administration Server e un dispositivo gestito nell'arco di 24 ore è il seguente:

• Il traffico da Administration Server al dispositivo gestito è di 840 KB.
• Il traffico dal dispositivo gestito ad Administration Server è di 1 MB.

Il traffico è stato calcolato nell'ambito delle seguenti condizioni:

• Nel dispositivo gestito erano installati Network Agent e Kaspersky Endpoint Security for Linux.
• Al dispositivo non era assegnato un punto di distribuzione.
• Vulnerability e patch management non era abilitata.
• La frequenza di sincronizzazione con Administration Server era di 15 minuti.