情景:在云环境中部署
本节介绍 Kaspersky Security Center 的部署以在 Amazon Web Services、Microsoft Azure 和 Google Cloud 等云环境中工作。
在部署方案完成后,Kaspersky Security Center 管理服务器和管理控制台将启动并以默认参数配置。由 Kaspersky Security Center 管理的反病毒保护将会部署到所选 Amazon EC2 实例或 Microsoft Azure 虚拟机。然后您可以调整 Kaspersky Security Center 的配置,创建管理组复杂结构和为组创建不同的策略和任务。
在云环境中部署 Kaspersky Security Center 包含以下步骤:
- 准备工作
- 部署管理服务器
- 安装 Kaspersky 反病毒应用程序到需要被保护的虚拟设备
- 配置更新下载设置
- 配置设置以管理设备保护状态报告
云环境配置向导旨在执行初始化配置。第一次从现成映像部署 Kaspersky Security Center 时,它将自动启动。您可以随时手动启动该向导。此外,您可以手动运行向导执行的所有操作。
我们建议您至少分配一小时用于在云环境中部署 Kaspersky Security Center 管理服务器,以及至少一个工作日用于保护在云环境中的部署。
在云环境中部署 Kaspersky Security Center 分步骤进行:
- 计划云段配置
学习 Kaspersky Security Center 如何在云环境中工作。计划将在何处部署管理服务器(云环境内部还是外部),并确定计划保护多少个云段。如果您计划在云环境外部部署管理服务器,或者如果您计划保护超过 5000 台设备,您将需要手动安装管理服务器。
要使用 Google Cloud,只能手动安装管理服务器。
- 计划资源
确保您具有部署所需的一切。
- 订阅 Kaspersky Security Center 现成镜像
在 AWS Marketplace 选择现成 AMI 之一,或在 Azure 市场选择基于使用情况按月付费的 SKU,如有必要,根据 Marketplace 规则支付(或使用 BYOL 模型),然后使用该镜像部署安装了 Kaspersky Security Center 的 Amazon EC2 实例/Microsoft Azure 虚拟机。
该步骤仅在您计划部署管理服务器到云环境中的实例 / 虚拟机上,且您计划为不超过 5000 台设备部署保护时是必要的。否则该步骤不是必要的,而您必须手动安装管理服务器、管理控制台和 DBMS。
此步骤不可用于 Google Cloud。
- 决定 DBMS 的位置
如果您计划在云环境外部使用数据库,确保您拥有工作数据库。
如果您计划使用 Amazon Relational Database Service (RDS),请在 AWS 云环境中使用 RDS 创建数据库。
如果您计划使用 Microsoft Azure SQL DBMS,请在 Microsoft Azure 云环境中使用 Azure 数据库服务创建数据库。
如果您计划使用 Google MySQL,请在 Google Cloud 中创建数据库(有关详细信息,请参见 https://cloud.google.com/sql/docs/mysql)。
- 将管理服务器和管理控制台(基于 Microsoft Management Console 和/或基于 Web 的控制台)手动安装到所选设备
安装管理服务器、管理控制台和 DBMS 到所选设备,如 Kaspersky Security Center 主要安装方案所述。
该步骤在您计划放置管理服务器到云环境外,或您计划为超过 5000 台设备部署保护时是必要的。然后,确保您的管理服务器符合硬件要求。否则该步骤不必要,并且 AWS Marketplace、Azure 市场或 Google Cloud 中现成镜像形式的 Kaspersky Security Center 订阅已足够。
- 确保管理服务器具有使用云 API 的权限
在 AWS 中,转到 AWS 管理控制台并创建一个 IAM 角色或者一个 IAM 用户账户。创建的 IAM 角色(或 IAM 用户账户)将允许 Kaspersky Security Center 使用 AWS API:轮询云段并部署保护。
在 Azure,创建一个订阅和一个带有密码的应用程序 ID。Kaspersky Security Center 使用这些凭证以使用 Azure API:轮询云段和部署保护。
在 Google Cloud 中,注册一个项目,获取您的项目 ID 和私钥。Kaspersky Security Center 使用这些凭据通过 Google API 轮询云段。
- 为受保护实例(仅 AWS)创建 IAM 角色
在 AWS 管理控制台,创建一个 IAM 角色,以定义执行对 AWS 的请求的权限集。新创建的角色将被后续分配到新实例。IAM 角色用于使用 Kaspersky Security Center 安装应用程序到实例。
- 使用 Amazon Relational Database Service 或 Microsoft Azure SQL 准备数据库
如果您计划使用 Amazon Relational Database Service(RDS),创建一个 Amazon RDS 数据库实例和一个要备份数据库的 S3 bucket。如果您想让数据库位于管理服务器所在 EC2 实例,或者如果您想让数据库位于其他地方,您可以跳过此步骤。
如果您计划使用 Microsoft Azure SQL,在 Microsoft Azure 中创建一个存储账户和一个数据库。
如果您计划使用 Google MySQL,请在 Google Cloud 中配置数据库。(有关详细信息,请参见 https://cloud.google.com/sql/docs/mysql。)
- 授权 Kaspersky Security Center 以在云环境中使用
要确保您已授权Kaspersky Security Center 使用云环境并提供激活码或密钥文件以便应用程序可以添加其到授权许可存储。该步骤可以在云环境配置向导中完成。
如果您正使用从基于 BYOL 模型的免费现成 AMI 安装的 Kaspersky Security Center,或者如果您正手动安装 Kaspersky Security Center 而不使用 AMI,该步骤是需要的。这些情况下,您将需要 Kaspersky Security for Virtualization 授权许可或者 Kaspersky Hybrid Cloud Security 授权许可以激活 Kaspersky Security Center。
如果您正使用从现成镜像安装的 Kaspersky Security Center,该步骤不是必须的,且对应的云环境配置向导窗口不被显示。
- 在云环境中授权
向 Kaspersky Security Center 提供 AWS、Azure 或 Google Cloud 凭据,以便 Kaspersky Security Center 可以使用必要权限操作。该步骤可以在云环境配置向导中完成。
- 轮询云段以便管理服务器可以接收云段中设备的信息
启动云段轮询。在 AWS 环境中,Kaspersky Security Center 将接收可以基于 IAM 角色或 IAM 用户权限访问的所有实例的地址和名称。在 Microsoft Azure 环境中,Kaspersky Security Center 将接收可以基于阅读者权限访问的所有虚拟机的地址和名称。
然后您可以使用 Kaspersky Security Center 在检测到的实例或虚拟机上安装 Kaspersky 应用程序和其他供应商的软件。
Kaspersky Security Center 定期启动轮询,这意味着新实例或虚拟机将被自动检测出。
- 组合所有网络设备到云管理组
移动所有发现的实例或虚拟机到受管理设备\云管理组,以便它们可以集中进行管理。如果您要将设备分配到子组,例如,根据在它们之上安装的操作,您可以在受管理设备\云组中创建几个管理组。您可以启用将常规轮询中检测到的所有设备自动移动到受管理设备\云组。
- 使用网络代理连接网络设备到管理服务器
安装网络代理到云环境中的设备。网络代理是为设备与管理服务器之间提供通信的 Kaspersky Security Center 组件。网络代理设置默认被自动配置。
您可以在每个设备本地安装网络代理。您也可以使用 Kaspersky Security Center 远程安装网络代理到设备。或者,您可以跳过该步骤并与最新版本的安全应用程序一并安装网络代理。
- 安装安全应用程序的最新版本到网络设备
选择要安装安全应用程序的设备,然后在这些设备上安装最新版本的安全应用程序。您可以在管理服务器上使用 Kaspersky Security Center 执行远程安装或执行本地安装。
您可能需要手动为这些程序创建安装包。
Kaspersky Endpoint Security for Linux 用于运行 Linux 的实例和虚拟机。
Kaspersky Security for Windows Server 用于运行 Windows 的实例和虚拟机。
- 配置更新设置
当云环境配置向导运行时,查找漏洞和所需更新任务被自动创建。您也可以手动创建任务。该任务自动查找和下载所需应用程序更新以便后续使用 Kaspersky Security Center 工具安装到网络设备。
建议在云环境配置向导结束后完成以下步骤:
- 配置报告管理
您可以在管理服务器节点工作区的监控选项卡查看报告。您还可以通过电子邮件接收报告。监控选项卡中的报告默认可用。要配置通过电子邮件接收报告,请指定应接收报告的电子邮件地址,然后配置报告格式。
结果
该方案完成后,您可以确保初始化配置是成功的:
- 您可以通过管理控制台或 Kaspersky Security Center 13.2 Web Console 连接到管理服务器。
- Kaspersky 安全应用程序的最新版本被安装并运行在受管理设备。
- Kaspersky Security Center 已为所有受管理设备创建了默认策略和任务。