annexe2 kaspersky for virtualisation light agent

Annexe 2
Kaspersky Security for Virtualization
Light Agent
Consulting Team
2015
KASPERSKY
LAB
1 Joseph Monier – 92859 Rueil Malmaison Cedex
– Immeuble l’Européen – 2, rue
Table des matières
Table des matières ............................................................................................................ 2
1.
Introduction ..................................................................................................... 4
1.1.
Protection d’une infrastructure virtuelle : les différentes approches ............................ 4
1.2.
Les points forts de Kaspersky Security for Virtualization Light Agent .......................... 10
1.2.1. Une sécurité optimisée pour les environnements virtuels Microsoft Hyper-V, Citrix
Xen et VMware ESXi ............................................................................................................... 10
1.2.2. Des technologies de lutte contre les programmes malveillants et de contrôle pour la
sécurité de Microsoft Hyper-V, Citrix Xen et VMware ESXi ..................................................... 11
1.2.3.
Protection de votre réseau contre les attaques ......................................................... 12
1.2.4.
Une protection efficace qui minimise l'impact sur les performances ......................... 13
1.2.5. Configuration rapide et administration simple, pour une disponibilité réseau accrue
et un coût réduit .................................................................................................................... 13
1.2.6. Prise en charge des technologies de base de l'hyperviseur, pour Microsoft Hyper-V,
Citrix Xen et VMware ESXi ...................................................................................................... 14
1.2.7.
2.
Hyperviseurs et systèmes d'exploitation supportés .................................................. 16
Kaspersky Security for Virtualization Light Agent ............................................ 17
2.1.
Les fonctions ............................................................................................................... 17
2.2.
Configurations Logicielles et matérielles ..................................................................... 23
2.3.
Architecture de l’application ....................................................................................... 24
2.3.1.
Présentation de l’architecture de l’application .......................................................... 24
2.3.2.
Options d’installation de la machine virtuelle de protection sur les hyperviseurs ..... 28
2.3.3.
Connexion de la machine virtuelle protégée à la machine virtuelle de protection .... 32
2.4.
Performance de l’infrastructure virtuelle .................................................................... 33
2.4.1. Performance de la machine virtuelle de protection en fonction du nombre de
machines virtuelles protégées ................................................................................................ 33
2.4.2.
3.
Performances de l'hyperviseur en fonction du nombre de machines virtuelles ......... 34
Administration centralisée avec Kaspersky Security Center ............................. 35
3.1.
Déploiement de la protection ..................................................................................... 35
3.2.
Installation de la machine virtuelle de sécurité ........................................................... 36
3.3.
Configuration initiale de la machine virtuelle de sécurité ............................................ 49
3.4.
Installation des Light Agents ....................................................................................... 51
3.4.1.
Installation sur des machines non-persistantes (VDI) ................................................ 52
2
3.4.2.
Compatibilité Citrix PVS............................................................................................. 53
3.5.
Structure des ordinateurs administrés ........................................................................ 55
3.6.
Configuration des paramètres de protection ............................................................... 58
3.6.1.
Algorithme d’analyse des fichiers .............................................................................. 58
3.6.2.
Technologie d’optimisation de l’analyse ................................................................... 59
3.6.3.
Technologies de détection......................................................................................... 62
3.7.
Stratégies .................................................................................................................... 64
3.8.
Tâches ......................................................................................................................... 67
3.9.
Mise à jour des bases .................................................................................................. 68
3.10.
Surveillance de la protection ....................................................................................... 70
3
1.
Introduction
1.1.
Protection d’une infrastructure virtuelle : les différentes
approches
Avec la généralisation de l’usage des technologies de virtualisation, le besoin de solutions de sécurité
adéquates est devenu une évidence. Bien qu’ils soient sujet aux cyber-attaques comme n’importe
quel système physique, les environnements virtuels disposent de caractéristiques uniques qui doivent
être pris en considération lors du choix des solutions de sécurité.
Kaspersky Lab a identifié 3 possibilités pour la sécurisation des environnements virtuels décrites dans
le schéma ci-dessous :
« Aucune sécurité » n’est pas considérée comme une 4ème option, ce n’est pas du tout envisageable !
4
La protection traditionnelle basée sur un agent peut offrir une bonne protection des systèmes virtuels
mais de mauvaises performances.
Le ratio de consolidation est si important dans les environnements virtuels, chaque application
installée doit fonctionner de manière optimisée. Les solutions de sécurité qui ne sont pas optimisées
pour les environnements virtuels utilisent des ressources précieuses, en installant une copie distincte
d’un logiciel anti-malware et les fichiers de signature sur chaque machine virtuelle par exemple. Cette
duplication est inutile pour ces environnements virtuels.
Plus vous pourrez exécuter de
environnement virtuel, mieux ça sera.
machines
dans
un
Mais lorsque plusieurs machines virtuelles mettent à jour leurs
bases de signature des menaces simultanément cela devient
un cauchemar pour la consommation de ressources, en créant
un « AV storms » (blitz antivirus) avec le risque de bloquer
complètement l’hôte.
Ce phénomène peut aussi se produit lorsque les différentes
instances de l’antivirus déclenche une analyse de leur système
en parallèle. Cela se traduit par un ralentissement global de
l’infrastructure virtuelle.
5
S’agissant des systèmes virtualisés, l’objectif principal est d’avoir un ratio de consolidation optimal, la
meilleure densité de machines virtuelles possible. Une protection traditionnelle n’est pas efficace dans
les environnements virtuels, car elle consomme des ressources qui pourraient être utilisées pour
ajouter des machines virtuelles.
Dans le cadre d’une VDI (Virtual Desktop Infrastructure),
les machines virtuelles sont parfois réinitialisées à un état
antérieur (snapshot) ou écrasées par une nouvelle image
issue d’un modèle.
Avec le temps, les bases antivirus intégrées dans ce
modèle (master) deviennent rapidement obsolètes et le
niveau de protection s’en trouve affecté.
De plus et afin d’éviter une 1ère mise à jour des bases
antivirus trop volumineuse pour les machines virtuelles de
la VDI après réinitialisation,
l’administrateur doit
régulièrement mettre à jour les bases antivirus dans
l’image de base.
De manière générale, les environnements virtuels
dynamiques ne doivent pas être protégés par un antivirus
résident dans la machine virtuelle. Cela oblige
l’administrateur de la solution à déployer la protection à
chaque réinitialisation du système ou à subir une mise à
jour volumineuse avec d’éventuels redémarrages du
système.
6
Kaspersky Security for Virtualization Agentless se repose sur une appliance virtuelle étroitement
intégrée avec la plate-forme VMware. Cette Appliance Virtuelle de Sécurité (SVA) réalise toutes les
tâches et protège chaque machine virtuelle de l’hôte. Une autre SVA peut également fournir une
protection du réseau virtuel VMware contre les attaques.
Ces appliances exploitent les technologies vShield Endpoint et vCloud Networking and Security de
VMware afin de communiquer directement avec les machines virtuelles sans installer d’agent
localement.
Cette approche « sans agent » de la protection d’un environnement virtuel offre les meilleures
performances avec une empreinte minime sur les ressources.
Par conséquent des ressources processeurs, de stockage et d’E/S sont disponibles pour créer plus de
machines virtuelles : la densité de machines est ainsi optimisée et l’environnement virtuel délivre le
meilleur retour sur investissement possible.
Cependant, une sécurité optimale des machines virtuelles requière un accès à sa mémoire et ses
fichiers, et ces accès ne sont pas disponibles avec une approche « sans agent ».
7
Kaspersky Security for Virtualization Light Agent se repose également sur une Appliance Virtuelle pour
des performances élevées. Un agent léger additionnel doit être installé sur chaque machine virtuelle,
offrant ainsi un niveau de sécurité plus élevé.
Kaspersky Security for Virtualization Light Agent est une solution intégrée offrant une protection
avancée des machines virtuelles fonctionnant sur les hyperviseurs Microsoft Hyper-V, Citrix XenServer
ou VMware ESXi. Il est optimisé pour assurer des performances maximales aux machines virtuelles que
vous souhaitez protéger contre les menaces connues ou les nouvelles menaces, les escroqueries et les
attaques réseau.
Chacune de ces menaces est traitée par un module particulier de l'application. Vous pouvez activer ou
désactiver les modules indépendamment les uns des autres et configurer leurs paramètres de
fonctionnement.
L'application protège les machines virtuelles dotées d'un système d'exploitation hôte Microsoft
Windows ainsi que les versions serveurs de ces systèmes.
8
Outre la protection en temps réel assurée par les modules de l'application, il est conseillé de réaliser
une analyse périodique des machines virtuelles et de leurs modèles à la recherche d'éventuels virus
et d'autres applications présentant une menace. Cette opération s'impose pour exclure la possibilité
de propager des applications malveillantes qui n'auraient pas été détectées par l'application en raison,
par exemple, d'un niveau de protection faible.
La solution dispose du moteur anti-virus primé de Kaspersky Lab qui offre un taux de détection élevé
contre toutes formes de menaces.
La console d’administration Kaspersky Security Center offre une gestion globale de tous les terminaux
virtuels, physiques et mobiles pour une large variété de plate-forme. La gestion des rapports,
l’administration et l’application de stratégies sont intuitives et simple à mettre à gérer. Avec Kaspersky,
les professionnels de la sécurité informatique disposent d’une vue « simplifiée » des machines
protégées, ce qui leur permet d’agir en conséquence en cas d’incident. Kaspersky Security for
Virtualization Light Agent protège efficacement les environnements virtuels et offre aux professionnels
de la sécurité informatique les performances élevées, l’administration centralisée et la visibilité dont
ils ont besoin.
9
1.2. Les points forts de Kaspersky Security for Virtualization Light Agent
1.2.1. Une sécurité optimisée pour les environnements virtuels
Microsoft Hyper-V, Citrix Xen et VMware ESXi
L'association parfaite des technologies de protection et de virtualisation
Kaspersky Security for Virtualization | Light Agent associe les technologies Kaspersky Lab de lutte
contre les programmes malveillants et de protection réseau les plus récentes dans une solution
spécialement conçue pour les environnements virtuels. Kaspersky Security for Virtualization | Light
Agent nécessite l'installation d'une seule appliance virtuelle dédiée sur chaque hôte virtuel, là où les
produits de sécurité classiques requièrent l'installation d'un agent de sécurité complet sur chaque
machine virtuelle. Chaque machine virtuelle n'a ainsi besoin que d'un petit agent logiciel, appelé «
Light Agent ».
Performances des postes de travail et des serveurs virtuels préservées
Kaspersky Security for Virtualization | Light Agent protège votre environnement virtuel (y compris les
serveurs et postes de travail virtuels), avec une incidence minimale sur les performances de
l'hyperviseur. Vous êtes donc en mesure de protéger vos systèmes et données d'entreprise sensibles,
tout en bénéficiant de ratios de consolidation élevés et en assurant aux utilisateurs une excellente
qualité de service.
Réduction de la charge imposée à vos systèmes pour une augmentation des performances de chaque
hôte
Grâce à son architecture unique, Kaspersky Security for Virtualization | Light Agent réduit la charge sur
chaque hôte virtuel, notamment sur les ressources suivantes :
 E/S
 processeur
 mémoire
 stockage
Élimination des « blitz » dans le cadre de la lutte contre les programmes malveillants
La présence d'une seule appliance virtuelle dédiée sur chaque hôte virtuel permet à Kaspersky Security
for Virtualization | Light Agent d'éliminer les « blitz de mise à jour » et les « blitz antivirus » dans le
cadre de la lutte contre les programmes malveillants.
Une protection adaptée à la sécurité de Microsoft Hyper-V, Citrix Xen et VMware ESXi
Kaspersky Security for Virtualization | Light Agent supporte les technologies de virtualisation natives
intégrées à Microsoft Hyper-V, Citrix Xen et VMware ESXi.
Options de licence flexibles, permettant de simplifier les licences et de réaliser des économies
Que vous souhaitiez protéger votre infrastructure informatique en interne ou que vous dirigiez une
entreprise gérant de grands centres de données ou des offres IaaS (Infrastructure as a Service),
Kaspersky vous propose un large choix de modèles de licences, pour que vous puissiez sélectionner
l'option à même de répondre à vos besoins :
10
1.2.2. Des technologies de lutte contre les programmes malveillants et
de contrôle pour la sécurité de Microsoft Hyper-V, Citrix Xen et
VMware ESXi
Protection avancée contre les programmes malveillants
Kaspersky Security for Virtualization | Light Agent offre une protection à l'accès et à la demande contre
les programmes malveillants pour vos machines virtuelles, quel que soit leur état actuel. L'appliance
virtuelle de sécurité dédiée Kaspersky associe les technologies basées sur les signatures à l'analyse
heuristique, pour une protection rigoureuse des systèmes de fichiers sur les machines virtuelles,
notamment une protection contre les programmes malveillants complexes résidant dans la mémoire.
Prévention automatique des failles d'exploitation (AEP)
La technologie AEP de Kaspersky vous protège contre les programmes malveillants qui exploitent les
vulnérabilités au sein du système d'exploitation et des applications que vous exécutez.
Kaspersky Security Network (KSN)
La base de connaissances Kaspersky basée
sur le cloud est mise à jour en permanence
avec les informations les plus récentes sur
la réputation des fichiers, des ressources
Web et des logiciels, afin de permettre à
Kaspersky Security for Virtualization |
Light Agent de réagir avec une rapidité
extrême face aux menaces de type « zeroday ».
11
Des outils de contrôle flexibles
Les outils primés de contrôle des terminaux (parmi lesquels le contrôle des applications, le contrôle du
Web et le contrôle des appareils) ajoutent une couche supplémentaire de protection contre les
programmes malveillants et permettent désormais d'appliquer en toute simplicité les politiques de
sécurité de votre entreprise dans votre infrastructure virtuelle.
Contrôle des applications
Les outils de contrôle des applications sont flexibles et vous permettent de décider quelles applications
sont autorisées à se lancer sur les ordinateurs clients. Vous pouvez utiliser une politique d'autorisation
par défaut, qui autorise l'exécution de toutes les applications, à l'exception des éventuels programmes
figurant sur votre liste noire. Vous avez également la possibilité de mettre en œuvre une politique de
blocage par défaut, qui bloque tous les programmes, à l'exception de ceux figurant sur votre liste
blanche des applications sûres.
Contrôle du Web
Le contrôle du Web vous permet de gérer l'utilisation d'Internet. Vous pouvez ainsi bloquer l'accès aux
réseaux sociaux, à la musique, aux vidéos, aux messageries Web non professionnelles et à tout site
Web présentant du contenu inapproprié. Vous pouvez définir des contrôles différents en fonction des
services et choisir entre appliquer un blocage total ou bloquer simplement l'accès durant des périodes
spécifiques.
Contrôle des périphériques
En plus de spécifier les appareils amovibles autorisés à accéder à vos machines virtuelles, vous pouvez
également définir des périodes spécifiques pendant lesquelles les périphériques seront bloqués ou
bénéficieront d'un accès autorisé. Les règles de contrôle des périphériques peuvent être appliquées
très facilement à une large gamme de périphériques, notamment les lecteurs amovibles, imprimantes,
connexions réseau non professionnelles et appareils Wi-Fi.
1.2.3. Protection de votre réseau contre les attaques
Une protection multicouche pour votre réseau
Kaspersky Security for Virtualization | Light Agent vous protège contre les attaques réseau externes et
internes, y compris les menaces pouvant être dissimulées dans le trafic virtuel non transparent.
Chaque machine virtuelle est protégée par la sécurité réseau hébergée sur l'hôte, incluant les
technologies Kaspersky HIPS, de pare-feu et de blocage des attaques réseau (Network Attack Blocker).
Système de prévention des intrusions hébergé sur l'hôte (HIPS) et pare-feu individuel
Utilisé avec le pare-feu bidirectionnel de Kaspersky, le système HIPS contrôle à la fois le trafic entrant
et le trafic sortant sur votre réseau. Ces outils flexibles vous permettent de contrôler la sécurité selon
un large choix de paramètres, en définissant notamment un port, des adresses IP individuelles ou
l'activité réseau d'une application spécifique.
Blocage des attaques réseau
La technologie Network Attack Blocker de Kaspersky surveille le trafic réseau sur l'hyperviseur à la
recherche d'éventuelles activités caractéristiques des attaques réseau. En cas de détection, les
attaques réseau sont automatiquement bloquées.
12
Antiphishing
Le moteur antiphishing de Kaspersky bloque automatiquement les liens de phishing, améliorant ainsi
fortement la sécurité des environnements de postes de travail virtuels pour vos utilisateurs.
Protection renforcée par rapport aux appliances situées au niveau du périmètre
Concernant le trafic de virtualisation « non transparent » (c'est-à-dire entre les différentes machines
virtuelles), la sécurité Kaspersky, elle-même basée sur une machine virtuelle, offre une protection bien
plus proche et donc plus performante des opérations effectuées par des machines virtuelles qui
nécessitent d'être sécurisées. En comparaison aux appliances de sécurité situées au niveau du
périmètre, cette méthode est bien plus efficace contre les infections réseau internes, comme le ver
Conficker.
1.2.4. Une protection efficace qui minimise l'impact sur les
performances
Élimination des analyses inutiles, sans nuire à la sécurité
Les environnements virtuels comportent souvent plusieurs machines virtuelles semblables qui
accèdent chacune à plusieurs fichiers identiques. Certains produits de sécurité exécutent de multiples
analyses sur le même fichier, consommant inutilement du temps et des ressources. La fonctionnalité
de cache partagé de Kaspersky permet de partager les résultats des analyses de fichiers de façon
efficace afin de minimiser la charge sur vos machines hôtes.
Cache partagé
À chaque fois qu'un utilisateur ouvre un fichier sur une machine virtuelle, Kaspersky Security for
Virtualization | Light Agent analyse le fichier afin de s'assurer qu'il est sûr, puis enregistre le résultat
dans le cache partagé. Si le même fichier est ouvert sur une autre machine virtuelle du même hôte
virtuel, Kaspersky Security for Virtualization | Light Agent détecte automatiquement qu'il n'est pas
nécessaire d'effectuer une autre analyse. Le fichier ne sera analysé de nouveau que s'il est modifié ou
si l'utilisateur effectue une demande manuelle d'analyse.
1.2.5. Configuration rapide et administration simple, pour une
disponibilité réseau accrue et un coût réduit
Extrêmement simple à déployer et à administrer
Une fois l'appliance virtuelle de sécurité dédiée installée sur l'hôte virtuel, les agents légers sont
automatiquement distribués sur chaque machine virtuelle. Il est possible d'appliquer très facilement
différents paramètres de sécurité à différents groupes de machines virtuelles, ce qui permet d'exclure
des fonctions de sécurité particulières si celles-ci ne sont pas pertinentes pour une machine virtuelle
ou un groupe de machines spécifique.
Aucun redémarrage requis de l'hyperviseur ou des machines virtuelles
Pendant le déploiement, il n'est pas nécessaire de redémarrer les machines ou de placer l'hôte en
mode « maintenance ». Cette caractéristique permet de préserver la productivité de l'utilisateur et
13
s'avère essentielle pour les centres de données qui s'engagent à fournir un temps d'activité à « cinq
neuf » (99,999 %), voire mieux.
Une console d'administration centralisée, pour gérer tous les appareils physiques, virtuels et mobiles
Kaspersky Security for Virtualization | Light Agent comprend Kaspersky Security Center, une console
de gestion facile à utiliser, qui vous permet de configurer et de contrôler un large éventail de
technologies Kaspersky d'administration de systèmes et de sécurité via une console unique. Kaspersky
Security Center met à votre disposition une console unique pour administrer la sécurité dans :
 Vos environnements virtuels, notamment :
o Microsoft Hyper-V
o Citrix Xen
o VMware ESXi (qu’il soit protégé avec Kaspersky Security for Virtualization | Agentless
ou Kaspersky Security for Virtualization | Light Agent)
 Vos appareils physiques, notamment :
o ordinateurs portables
o ordinateurs de bureau
o serveurs
 Vos appareils mobiles, notamment :
o smartphones
o tablettes
1.2.6. Prise en charge des technologies de base de l'hyperviseur, pour
Microsoft Hyper-V, Citrix Xen et VMware ESXi
14
Une intégration fine qui renforce les performances et la sécurité
Grâce à l'intégration fine de Kaspersky Security for Virtualization | Light Agent avec Microsoft HyperV, Citrix Xen et VMware ESXi, vous bénéficiez de performances optimisées et de la prise en charge des
technologies de base dans l'hyperviseur sélectionné.
Support de Microsoft Hyper-V
Les technologies de Microsoft Hyper-V supportées par Kaspersky Security for Virtualization | Light
Agent incluent les éléments suivants :
 Mémoire dynamique
 Volumes partagés de cluster
 Sauvegarde instantanée
Support de Citrix Xen
Les technologies de Citrix Xen prises en charge par Kaspersky Security for Virtualization | Light Agent
incluent les éléments suivants :
 Contrôle dynamique de la mémoire
 Protection et récupération de machine virtuelle (VMPR)
 XenMotion (migration en direct)
 Multi-stream ICA
 Citrix Receiver
 Personal vDisk
Support de VMware ESXi
Les technologies de VMware supportées par Kaspersky Security for Virtualization | Light Agent incluent
les éléments suivants :
 vCenter Linked Mode
 vSphere High Availability (HA)
 Distributed Power Management (DPM)
 vMotion
 Horizon View
15
1.2.7. Hyperviseurs et systèmes d'exploitation supportés
Hyperviseurs supportés :
 Microsoft Windows Server 2008 R2 Hyper-V SP1 (en mode d’installation complète ou en
mode Server Core)
 Microsoft Windows Server 2012 Hyper-V (en mode d’installation complète)
 Microsoft Windows Server 2012 R2 Hyper-V (en mode d’installation complète ou en mode
Server Core)
 Citrix Xen 6.1
 Citrix Xen 6.2 SP1
 VMware ESXi 5.1u2
 VMware ESXi 5.5
Systèmes d’exploitation invites supportés :
 Systèmes « Postes de travail » :
o Microsoft Windows 7 Entreprise (32 / 64-bit)
o Microsoft Windows 7 Professionnel SP1 (32 / 64-bit)
o Microsoft Windows 8 Professionnel/Entreprise (32 / 64-bit)
o Microsoft Windows 8.1 Professionnel/Entreprise (32 / 64-bit)
 Systèmes « Serveurs » :
o Microsoft Windows Server 2003 R2 Standard/Entreprise SP2 (32 / 64-bit)
o Microsoft Windows Server 2008 R2 Standard/Entreprise SP1 (64-bit)
o Microsoft Windows Server 2012 (64-bit)
o Microsoft Windows Server 2012 R2 (64-bit)
Note : le support du système d’exploitation invité dépend de la technologie de virtualisation utilisé.
Voir le chapitre correspondant pour plus d’informations.
16
2.
Kaspersky Security for Virtualization Light
Agent
2.1. Les fonctions
Les modules suivants de l'application sont les modules de contrôle :
 Contrôle du lancement des applications : ce module recense les tentatives de lancement des
applications par les utilisateurs et régule ce processus.
 Contrôle de l'activité des applications : ce module enregistre les actions réalisées par les
applications sous le système d'exploitation de la machine virtuelle protégée et gère l'activité
des applications en fonction du groupe dans lequel le module place chaque application.
 Surveillance des vulnérabilités : Le module Surveillance des vulnérabilités analyse en temps
réel les applications exécutées sous le système d'exploitation de la machine virtuelle protégée.
 Contrôle des périphériques : Ce module permet d'établir en toute souplesse des restrictions
d'accès aux périphériques tenant lieu de sources de données, d'outils de transmission des
informations, d'outils de conversion des données en copie physique et d'interfaces permettant
aux périphériques de se connecter à la machine virtuelle protégée.
 Contrôle Internet. Ce module permet de configurer en toute souplesse des restrictions d'accès
aux sites Internet pour différents groupes d'utilisateurs.
Les modules de protection sont les modules suivants :
 Antivirus Fichiers : Ce module permet d'éviter l'infection du système de fichiers du système
d'exploitation de la machine virtuelle protégée
 System Watcher : Ce module récolte des données sur l'activité des applications sous le
système d'exploitation de la machine virtuelle protégée et transmet ces informations aux
autres modules afin de garantir une protection plus efficace.
 Antivirus Courrier : Ce module analyse l'ensemble des messages entrants et sortants à la
recherche d'éventuels virus et d'autres applications présentant une menace.
 Antivirus Internet : Ce module analyse le trafic entrant sur la machine virtuelle protégée via
les protocoles HTTP et FTP et définit si un lien appartient à la base des URL malveillantes ou
de phishing.
 Antivirus IM : Ce module analyse le trafic qui arrive sur la machine virtuelle protégée via les
protocoles de messagerie instantanée.
 Pare-feu : Ce module assure la protection des informations personnelles stockées dans le
système d'exploitation de la machine virtuelle protégée de l'utilisateur en bloquant toutes les
menaces éventuelles pour le système d'exploitation lorsque la machine virtuelle protégée est
connectée à Internet ou au réseau local.
 Surveillance du réseau : Ce module est prévu pour consulter en temps réel les informations
sur l'activité réseau de la machine virtuelle protégée.
 Prévention des intrusions : Ce module recherche dans le trafic entrant toute trace d'activité
réseau caractéristique des attaques réseau.
17
La disponibilité de ces modules de contrôle et de protection dépend du système d’exploitation de la
machine virtuelle :
Modules de sécurité
KSV Light Agent
Poste de travail
Serveur




























Antivirus Fichiers
Antivirus Courrier
Antivirus Internet
Antivirus IM (Messagerie Instantanée)
Désinfection avancée
System Watcher (Surveillance d’activité)
Surveillance des applications HIPS
Pare-feu
Détection des intrusions
Contrôle des applications
Contrôle des périphériques
Filtrage de contenu Internet
Détection des vulnérabilités
KSN (Kaspersky Security Network)
18
Administration du logiciel
L'administration de l'application s'opère via l'interface locale de la machine virtuelle et l'administration
à distance s'effectue via le Kaspersky Security Center. L'application Kaspersky Security Center permet
d'administrer les Light Agent en fonction de stratégies et de tâches.
Ces paramètres sont utilisés pour l’analyse des fichiers, la mise à jour des bases de données, etc. Au
lancement, le Light Agent établit une connexion à la machine virtuelle de sécurité. Lorsque l’utilisateur
ouvre un fichier, le Light Agent intercepte cette opération. Une décision est alors prise concernant
l’analyse de ce fichier et il est transféré à la machine virtuelle de protection le cas échéant. Le résultat
est alors transmis au Light Agent, qui applique l’action correspondante : autoriser l’accès, désinfecter,
ou supprimer. Les données sont transmises entre le Light Agent et la machine virtuelle de sécurité via
une connexion TCP protégée par le certificat du Serveur d’Administration.
19
L'administration de l'application via l'interface locale de la machine virtuelle s'opère en fonction de
tâches et de la configuration des paramètres de l'application.
20
Services de l'application
Kaspersky Security for Virtualization Light Agent propose plusieurs services. Les fonctions de service
servent à maintenir le logiciel à jour, à élargir les fonctions de l'application et à fournir de l'aide pendant
l'utilisation de l'application.

Rapports. Pendant le fonctionnement de l'application, celle -ci génère un rapport pour chaque
module et chaque tâche de l'application. Le rapport contient la liste des événements survenus
pendant le fonctionnement de Kaspersky Security for Virtualization Light Agent et de toutes
les opérations exécutées par l'application.

Stockage des données. Si l'application détecte des fichiers infectés ou suspects lors de la
recherche d'éventuels virus ou applications dangereuses dans le système d'exploitation de la
machine virtuelle protégée, elle bloque les fichiers en question. Kaspersky Security for
Virtualization Light Agent déplace les fichiers potentiellement infectés vers un stockage
spécial : la quarantaine. L’application sauvegarde les copies des fichiers réparés ou supprimés
dans le dossier de sauvegarde.

Service des notifications. Le Service des notifications tient l'utilisateur informé sur l'état de la
protection du système d'exploitation de la machine virtuelle protégée et sur le
fonctionnement de Kaspersky Security for Virtualization Light Agent. Les notifications peuvent
être affichées à l'écran ou envoyées par courrier électronique.

Kaspersky Security Network. La participation à Kaspersky Security Network permet
d'améliorer l'efficacité de la protection du système d'exploitation de la machine virtuelle
protégée grâce à une collecte productive des informations sur la réputation des fichiers, des
ressources Internet et des applications reçus depuis le monde entier par l'utilisateur.
21

Licence. L'utilisation de l'application via une licence commerciale permet l'utilisation de
l'ensemble des fonctions de l'application, l'accès à la mise à jour de ses bases, l'obtention
d'informations détaillées et le recours aux experts du Service de support technique de
Kaspersky Lab.

Mise à jour. Kaspersky Security charge les mises à jour de la base de l'application. Ceci garantit
que la protection du système d'exploitation de la machine virtuelle est à jour contre les
nouveaux virus et autres programmes dangereux.

Support Technique. Tous les utilisateurs inscrits de Kaspersky Security peuvent bénéficier de
l'aide des experts du Support Technique de Kaspersky Lab. Vous pouvez envoyer une requête
via le service en ligne Kaspersky CompanyAccount sur le site du Support Technique.
22
2.2. Configurations Logicielles et matérielles
Le tableau ci-dessous dresse la liste des hyperviseurs supportés et des systèmes d’exploitation des
machines virtuelles :
Système d’exploitation invité installé
dans la machine virtuelle
Hyperviseurs
Microsoft
Windows Server
(Hyper-V)
Hyperviseurs
Citrix XenServer
















Windows 7 Entreprise (32 / 64-bit)
Windows 7 Professionnel SP1 (32 / 64bit)
Windows 8 Pro / Enterprise (32 / 64-bit)
Windows 8.1 Pro / Enterprise (32 / 64bit)
Windows Server 2003 R2 Standard SP2
(32 / 64-bit)
Windows Server 2008 R2 Standard SP1
(64-bit)
Windows Server 2012 (64-bit)
Windows Server 2012 R2 (64-bit)
Hyperviseurs
VMware ESXi








La machine virtuelle de sécurité (aussi appelée « Appliance Virtuelle de Sécurité ») doit disposer au
minimum des ressources systèmes suivante :
 processeur virtualisé cadencé à 2 GHz ;
 2 Go de mémoire vive disponible ;
 volume de l'espace libre sur le disque : 30 Go ;
 interface réseau virtualisée avec bande passante de 100 Mbit/s.
Vous pouvez réguler les performances de la machine virtuelle de protection à l’aide des ressource qui
lui sont octroyées (reportez-vous à la section « Performance de l’infrastructure virtuelle »).
23
Pour l’installation et le bon fonctionnement du module Light Agent, la machine virtuelle doit satisfaire
aux configurations minimales en fonction du système d’exploitation hôte qui y est installé :
Mémoire
vive
disponible
(Go)
Espace
disque
disponible
sur le
disque
(Go)
Bande
passante
de
l’interface
Réseau
virtualisée
(Mbit/s)
1
1
2
100
Windows 7 Entreprise / Professionnel SP1 (64bit)
1
2
2
100
Windows 8 Pro / Enterprise (32-bit)
1
1
2
100
Windows 8 Pro / Enterprise (64-bit)
1
2
2
100
Windows 8.1 Pro / Enterprise (32-bit)
1
1
2
100
Windows 8.1 Pro / Enterprise (64-bit)
1
2
2
100
Windows Server 2003 R2 Standard SP2 (32-bit)
1.5
1
2
100
Windows Server 2003 R2 Standard SP2 (64-bit)
1.5
1
2
100
Windows Server 2008 R2 Standard SP1 (64-bit)
1.5
2
2
100
Windows Server 2012 (64-bit)
1.5
2
2
100
Windows Server 2012 R2 (64-bit)
1.5
2
2
100
Cadence
du
processeur
virtualisé
(GHz)
Windows 7 Entreprise / Professionnel SP1 (32bit)
Système d’exploitation
2.3. Architecture de l’application
2.3.1. Présentation de l’architecture de l’application
Les modules suivants font partie du programme :
 Serveur de protection de Kaspersky Security for Virtualization Light Agent (ci-après "Serveur
de protection").
 Light Agent de Kaspersky Security (ci-après "Light Agent");
Le serveur de protection se présente sous la forme d'une image de machine virtuelle de protection. La
machine virtuelle de protection est une machine virtuelle dotée d'un module Serveur de protection
sur un hyperviseur. La machine virtuelle de protection doit être installée sur chaque hyperviseur dont
vous souhaitez protéger les machines virtuelles à l'aide de Kaspersky Security.
24
Le Light Agent s'installe sur les machines virtuelles et les modèles de machines virtuelles. Machine
virtuelle protégée : machine virtuelle dotée du module Light Agent de l'application. Le Light Agent doit
être installé sur chaque machine virtuelle à protéger à l'aide de Kaspersky Security for Virtualization
Light Agent. Le Light Agent s'installe soit :
 Via l'interface locale de la machine virtuelle
 A distance via le Kaspersky Security Center
 Via l'éditeur d'administration des stratégies de groupe des services de catalogue (Active
Directory Group Policies).
La configuration et l'administration du fonctionnement de l'application s'effectue à distance via le
Kaspersky Security Center, ainsi que via l'interface locale du Light Agent.
L'interaction entre Kaspersky Security for Virtualization Light Agent et l'application Kaspersky Security
Center est assurée par l'agent d'administration, le module de Kaspersky Security Center. L'Agent
d'administration figure dans l'image de la machine virtuelle de protection de Kaspersky Security for
25
Virtualization Light Agent. Si vous souhaitez administrer le fonctionnement du Light Agent installé sur
les machines virtuelles protégées avec le Kaspersky Security Center, il est nécessaire d'installer l'Agent
d'administration sur ces machines virtuelles. Si l'Agent d'administration n'est pas installé sur la
machine virtuelle protégée, l'administration du fonctionnement du Light Agent sur cette machine
virtuelle s'effectue via l'interface locale du Light Agent.
Lors du lancement, le Light Agent met en place et assure la connexion au Serveur de protection. Par
défaut, le Light Agent se connecte au Serveur de protection installé sur la machine virtuelle de
protection située sur l'hyperviseur comportant la machine virtuelle protégée.
Le Serveur de protection remplit les fonctions suivantes :
 Identifie le Light Agent installé sur la machine virtuelle protégée.
 Collecte les informations en temps réel sur l'état de l'infrastructure virtuelle et les transmet au
Light Agent et à l'application Kaspersky Security Center.
 Recherche les virus et les autres menaces à la sécurité des fichiers de l'ensemble des machines
virtuelles sur lesquelles le Light Agent est installé.
 Utilisation de la technologie de cache partagé qui permet d'optimiser la vitesse d'analyse des
fichiers en excluant les fichiers ayant déjà été analysés sur une autre machine virtuelle. Au
cours de l'exécution de l'application sur la machine virtuelle de protection, des informations
concernant les fichiers analysés sont sauvegardées afin que ceux-ci ne soient pas analysés de
nouveau. S'il n'existe aucune information sur le fichier à analyser dans le cache de la machine
virtuelle de protection, l'analyse via le KSN est possible, sous réserve que vous participiez au
Kaspersky Security Network.
26



Charge le paquet de mise à jour depuis le stockage du Serveur d'administration Kaspersky
Security Center dans le dossier de la machine virtuelle de protection et met à jour les bases de
l'application sur cette dernière.
Les mises à jour des bases de l'application indispensables au bon fonctionnement du Light
Agent se chargent à partir du dossier de la machine virtuelle de protection vers la machine
virtuelle protégée.
Contrôle les clés et les restrictions de licence. L'activation de l'application s'effectue via l'ajout
de la clé sur l'ensemble des machines virtuelles de protection. Suite à l'ajout de la clé sur les
machines virtuelles de protection, le module Serveur de protection transmet les informations
sur la licence au module Light Agent installé sur les machines virtuelles protégées.
27
2.3.2. Options d’installation de la machine virtuelle de protection sur
les hyperviseurs
Installation sur des hyperviseurs autonomes
Les machines virtuelles de protection doivent être installées sur les hyperviseurs de l'infrastructure
virtuelle comportant les machines virtuelles que vous souhaitez protéger à l'aide de l'application
Kaspersky Security for Virtualization Light Agent.
Installation sur les hyperviseurs en clusters
L’un des avantages principaux des clusters dans les environnements virtuels résident dans le
regroupement des ressources. Les stratégies de répartition des charges permettent de déplacer
automatiquement les machines virtuelles d’un serveur subissant une charge plus élevée vers un
serveur disposant de plus de ressources.
28
Lorsque qu’elles sont installées dans un cluster, les machines virtuelles de protection ne doivent pas
se déplacer afin d’éviter la situation ou aucune machine virtuelle de protection ne soit présente sur un
hôte, ou, au contraire, qu’il y ait plusieurs d’entre elles sur le même hôte. De plus, il est très important
de démarrer automatiquement ces machines virtuelles de protection avec les hyperviseurs afin
d’assurer une protection lorsque le serveur physique est redémarré pour une maintenant ou suite à
une panne.
VMware vSphere
L’assistant d’installation des machines virtuelles de sécurité effectue les changements nécessaires
dans la configuration du cluster et des hôtes ESXi. La répartition des charges est assurée par le service
Distributed Resource Scheduler (DRS) dans VMware vSphere, elle est configurée au niveau du cluster.
Cette fonction est automatiquement désactivée pour les machines virtuelles de protection
Le démarrage automatique des machines virtuelles de protection est également configuré dans les
propriétés des hôtes ESXi.
29
Microsoft Hyper-V
La répartition des charges est assurée par System Center Virtual Machine Manager (SCVMM) mais
l’assistant d’installation n’interagit pas avec ce composant. L’administrateur doit exclure les machines
virtuelles de sécurité de la stratégie de répartition des charges depuis les propriétés de ces machines
virtuelles.
Le démarrage automatique des machines virtuelles est automatiquement activée dans Hyper-V, à
partir du moment où ces machines étaient démarrées lors de l’arrêt de l’hyperviseur. Vous pouvez
configurer le démarrage automatique des machines virtuelles de sécurité même si elles n’étaient pas
démarrées au préalable depuis leurs propriétés.
Citrix XenServer
Dans un pool de ressources, chaque hôte peuvent disposer d’un référentiel local propre. Une machine
virtuelle de protection installée dans un référentiel local ne peut pas être déplacée. Un référentiel
partagé peut être connecté à ce pool. Lorsqu’un référentiel partagé est utilisé, les machines virtuelles
ne sont pas liées à un hôte spécifique et peuvent être exécutées sur l’un des hôtes disposant de
suffisamment de RAM. Il n y’a pas d’exception pour la machine virtuelle de protection. Plusieurs
d’entre elles peuvent être exécutées sur l’un des hôtes, et aucune sur un autre hôte c’est pourquoi il
est nécessaire d’assigner un hôte prioritaire sur lequel la machine virtuelle démarrera. Cette
manipulation s’effectue depuis l’onglet « Home Server » des propriétés de la machine virtuelle de
sécurité.
30
31
2.3.3. Connexion de la machine virtuelle protégée à la machine virtuelle
de protection
Lorsqu’il est démarré, le Light Agent doit établir une connexion à la machine virtuelle de sécurité. Il lui
est impossible de trouver l’adresse de cette machine directement, car cette information n’est pas
stockée de manière centralisée. C’est pourquoi le multicast est utilisé pour la découverte de ces
machines virtuelles de sécurité. Elles envoient des paquets spéciaux avec les informations nécessaires
pour les Light Agent. Un Light Agent réceptionne les paquets issus du multicast et sélectionne la
machine virtuelle de sécurité positionnée sur le même hyperviseur.
Si la machine virtuelle de sécurité ne peut être contactée, une connexion est établie à une autre
machine virtuelle de sécurité à laquelle sont connectés le plus faible nombre d’Agents.
Dès que la machine virtuelle de sécurité située sur le même hyperviseur que la machine virtuelle
protégée devient accessible, le Light Agent s’y connecte.
Il est possible de désactiver cette fonction de recherche de la machine virtuelle de protection et
d’indiquer précisément celle à laquelle le Light Agent installé sur la machine virtuelle doit se connecter.
32
2.4. Performance de l’infrastructure virtuelle
2.4.1. Performance de la machine virtuelle de protection en fonction du
nombre de machines virtuelles protégées
Les ressources système suivantes sont attribuées par défaut à la machine virtuelle de protection :
 2 processeurs virtualisés (vCPU) ;
 processeur virtualisé cadencé à 2 GHz ;
 2 Go de mémoire vive disponible ;
 volume de l'espace libre sur le disque : 30 Go ;
 interface réseau virtualisée avec bande passante de 100 Mbit/s.
 75 flux parallèles d'analyse des fichiers s'exécutant sur la machine virtuelle de protection.
Vous pouvez réguler les performances de la machine virtuelle de protection en fonction du nombre de
machine virtuelles qu’elle protège. Lors de l'utilisation des ressources système attribuées par défaut à
la machine virtuelle de protection, elle peut interagir avec 50 à 70 machines virtuelles protégées dans
le cadre d'une activité utilisateurs de niveau moyen.
Si la quantité de machines virtuelles protégées dépasse 70 ou que les machines virtuelles protégées
sont utilisées de manière intensive, il est recommandé d'augmenter les quantités de ressources
système octroyées à la machine virtuelle de protection.
Vous pouvez utiliser les formules suivantes pour calculer la quantité de ressources système nécessaire
en fonction du nombre de machines virtuelles protégées :
Paramètre
Formule
50 VM
75 VM
100 VM
125 VM
150 VM
Flux d’analyse
VMs x 1.5*
75
113
150
188
225
RAM (Go)
1 + (Flux d’analyse - 25) / 50
1.5
2
2.5
3
3.5
CPU (cores)
VMs / 40**
2
2
3
4
4
* 50 flux d’analyse minimum
** 2 minimum et ne doit pas être supérieur au nombre de cœurs physiques de l’hôte (en prenant en
compte la technologie HyperThreading)
Si la quantité de machines virtuelles protégées dépasse 70, il est conseillé non seulement d'augmenter
la quantité de ressources système attribuées à la machine virtuelle de protection, mais également la
quantité de flux parallèles d'analyse des fichiers s'exécutant sur cette machine.
33
2.4.2. Performances de l'hyperviseur en fonction du nombre de
machines virtuelles
Le nombre maximal de machines virtuelles pouvant fonctionner sur l'hyperviseur sans entraîner de
perte de performances dépend de nombreux facteurs, parmi lesquels : le type d'hyperviseur utilisé,
les ressources matérielles, les systèmes d'exploitation hôtes des machines virtuelles, les paramètres
et le profil de la charge sur les systèmes d'exploitation hôtes des machines virtuelles.
Les tests internes de Kaspersky Lab ont montré que le sous-système de disques de l'hyperviseur
s'avérait être la ressource clé lors de l'utilisation d'une infrastructure de postes de travail virtuels
(Virtual Desktop Infrastructure).
Lorsque l'application Kaspersky Security for Virtualization est installée, le nombre total d'opérations
d'entrée/sortie par seconde (IOPS) de l'hyperviseur augmente de la manière suivante :
 dans le cadre d'une charge de bureau classique : environ de 15 % (10 % en lecture et 35 % en
écriture) ;
 au démarrage du système d'exploitation des machines virtuelles (50 machines virtuelles
lancées à un intervalle de 20 secondes) : environ de 20 % (pic à 40 %).
34
3.
Administration centralisée avec Kaspersky
Security Center
3.1. Déploiement de la protection
L’installation de Kaspersky Security for Virtualization Light Agent dans l’infrastructure virtuelle
nécessite de respecter une certaine organisation :
Planification. Le déploiement de la protection nécessite l’installation de Kaspersky Security Center. Le
déploiement et l’administration des Light Agents impliquent que le Serveur d’Administration ait accès
à toutes les machines virtuelles qui seront protégées.
A ce stade il est nécessaire de définir l’emplacement des machines virtuelles de protection.
L’installation d’une machine virtuelle de sécurité par hyperviseur est recommandée.
La connexion réseau doit répondre aux exigences principales de la machine virtuelle de sécurité :
 Connexion à Kaspersky Security Center (pour la réception des mises à jour, des stratégies,
mais également pour l’envoi des événements) ;
 Connexion à toutes les machines virtuelles protégées
 Capacité à multi-diffuser (multicast) sur toutes les machines virtuelles (au moins au sein de
l’hôte)
Installation de Kaspersky Security Center. Kaspersky Security Center peut être installé sur une
machine physique ou virtuelle. Cette machine doit avoir accès à toutes les machines virtuelles qui
seront protégées.
Installation des machines virtuelles de sécurité. Utiliser Kaspersky Security Center pour déployer les
machines virtuelles de sécurité sur chaque hyperviseur. L’assistant d’installation spécifie
automatiquement tous les réseaux disponibles sur l’hyperviseur et permet de spécifier le stockage ou
sera stocké le disque de la machine virtuelle.
Installation des Light Agents. En dernier lieu, les Light Agents sont déployés sur les machines virtuelles
qui sont protégées.
35
3.2. Installation de la machine virtuelle de sécurité
Les machines virtuelles de protection doivent être installées sur les hyperviseurs de l'infrastructure
virtuelle comportant les machines virtuelles que vous souhaitez protéger à l'aide de l'application
Kaspersky Security. Chaque hyperviseur peut comporter une machine virtuelle de protection. Il est
possible d'installer plusieurs machines virtuelles de protection dans le stockage commun du pool de
serveurs Citrix XenServer.
Pour l’administrateur, la procédure d’installation est identique quel que soit le type d’hyperviseur. Elle
se déroule en plusieurs étapes :
36
Sélection de l’hyperviseur. L’administrateur sélectionne l’hôte pour l’installation de la machine
virtuelle de sécurité.
A cette étape il est nécessaire de spécifier :
 Le type d’hyperviseur (vCenter, Hyper-V ou XenServer)
 L’adresse IP de l’hyperviseur
 Le nom d’utilisateur et le mot de passe du compte administrateur de l’hyperviseur
37
Consultation des paramètres de l’hyperviseur (Hyper-V ou Citrix XenServer). Les informations sur
l’hyperviseur sélectionné s’affichent.
38
Sélection de l’image. La machine virtuelle de protection est basée sur SUSE Linux Enterprise Server 11
SP2. Elle est fournie sous la forme d’un modèle en différents formats : Hyper-V (*.vhd), XenServer
(*.xva) et VMware (*.ova).
39
Choix des hôtes pour l’installation de la machine virtuelle de protection (VMware). Les informations
relatives à la liste des hôtes sélectionnées s’affichent dans l’assistant.
40
Configuration la machine virtuelle de sécurité (Hyper-V ou Citrix XenServer). A cette étape,
l’administrateur sélectionne l’emplacement de stockage pour la machine virtuelle de sécurité, mais
également le réseau auquel elle sera connectée (sur Hyper-V, il est possible de spécifier l’identificateur
du VLAN).
41
Configuration la machine virtuelle de sécurité (VMware). A cette étape, l’administrateur sélectionne
l’emplacement de stockage pour les machines virtuelles de sécurité, mais également le réseau auquel
elles seront connectées.
42
Paramètres réseau de la Machine Virtuelle de Sécurité. Par défaut, la Machine Virtuelle de Sécurité
récupère les paramètres réseaux depuis un DHCP, mais la configuration statique de ces paramètres
est aussi possible. Si la configuration dynamique est sélectionnée, vous pouvez toutefois définir la
liste des serveurs DNS manuellement.
43
Configuration des accès à la machine virtuelle de sécurité et la connexion au Serveur d’Administration.
La machine virtuelle de sécurité dispose de 2 comptes, l’un est utilisé pour la configuration de cette
machine via SSH et l’autre pour la consultation des logs, les changements de configuration de
l’application ou encore pour le dépannage.
44
Configuration de la connexion de la Machine Virtuelle de Sécurité à l’hyperviseur. La Machine Virtuelle
de Protection contacte l’hyperviseur afin de définir le nombre de cœurs des processeurs présents sur
le serveur (pour le comptage des licences), et pour la découverte des Light Agents.
En fonction du type d’hyperviseur, ce compte requière des privilèges spécifiques.
Installation dans un cluster Hyper-V de volumes partagés
Les clusters de volumes partagés (CSV) permettent à plusieurs nœuds d’avoir un accès en
lecture/écriture simultanément sur un disque. Le disque doit alors être accessible via un bus partagé,
par exemple, iSCSI, FCoE ou SAS. Habituellement, CSV est utilisé dans un cluster failover.
L’assistant d’installation de la Machine Virtuelle de Sécurité considère le CSV comme le stockage local
de l’hyperviseur. Il faut simplement prêter attention à sélectionner différents chemins pour les disques
virtuels de Machines Virtuelles de Protection des différents nœuds du cluster, afin d’éviter un conflit
dans les noms.
45
46
Fin de l’assistant d’installation. Les informations relatives à l’installation des machines virtuelles de
protection sur les hyperviseurs s’affichent.
47
L’assistant affiche un lien vers le fichier comportant le journal de l’assistant.
48
3.3. Configuration initiale de la machine virtuelle de sécurité
L’activation de la machine virtuelle de sécurité nécessite l’installation d’une licence, cette action est
réalisée via une tâche. Les Lights Agents ne doivent pas être activé, ils reçoivent les informations
nécessaires sur la licence lorsqu’ils se connectent à la machine virtuelle de sécurité.
49
Il est également nécessaire de configurer une tâche de mise à jour pour la machine virtuelle de
sécurité. Les Light Agents téléchargeront automatiquement une partie des mises à jour depuis un
dossier partagé de la machine virtuelle de sécurité.
50
3.4. Installation des Light Agents
Le module Light Agent peut être installé sur la machine virtuelle de différentes manières :
 En local en mode interactif, à l’aide de l’assistant d’installation. Ce mode est conseillé pour
l’installation du module sur les modèles de machines virtuelles (VDI).
 En local en mode silencieux, à partir d’une ligne de commande de type setup.exe ou msiexec
/i
Différents paramètres peuvent être gérés pour le redémarrage ou encore la définition d’un
mot de passe de protection de l’application.
 A distance, à l’aide de l’application Kaspersky Security Center via une tâche de déploiement.
 A distance, à l’aide de l’éditeur d’administration des stratégies de groupe du service de
catalogues (Active Directory Group Policies).
Avant l’installation du module Light Agent, le processus d’installation vérifie les conditions suivantes :
 La conformité du système d’exploitation de la machine virtuelle selon les prérequis (cf chapitre
Hyperviseurs et systèmes d'exploitation supportés)
 L’absence d’applications incompatibles sur la machine virtuelle. Une recherche est effectuée
afin de détecter les applications qui, lorsqu’elles fonctionnent simultanément, peuvent
entraîner des conflits. Dans le cadre d’un déploiement distant, la suppression est silencieuse
et ne nécessite aucune interaction avec l’utilisateur.
51
L’installation du module Light Agent s’enchaîne sans redémarrage intermédiaire.
3.4.1. Installation sur des machines non-persistantes (VDI)
La virtualisation des postes de travail (VDI) permet aux entreprises de simplifier et de centraliser
l’administration. Une VDI est basée sur un modèle (une image maître), un ensemble de machines
virtuelles sont créées depuis ce modèle par clonage.
Lorsque ces clones sont assignés aléatoirement aux utilisateurs et lorsque l’exploitation de ces
machines virtuelles est terminée, elles sont généralement restaurées à leur état initial ce qui annule
toutes les modifications apportées. Ces machines virtuelles sont « non-persistantes ».
L’Agent d’Administration Kaspersky dispose d’un mode spécial pour cet environnement : le mode
dynamique pour VDI. Lorsqu’une machine virtuelle est stoppée, l’Agent d’Administration envoi alors
un signal spécial au Serveur d’Administration afin de supprimer ses informations dans le Serveur
d’Administration.
Lorsque la machine virtuelle est stoppée et si l’Agent ne peut envoyer ce signal au Serveur
d’Administration, ses informations seront supprimées à l’expiration de la période de visibilité (3
intervalles de synchronisation par défaut, soit 45 minutes).
52
Dans ce mode l’Agent d’Administration change son identifiant à chaque démarrage, évitant ainsi le
mélange des hôtes dans la Console d’Administration.
Il existe également une option d’optimisation des paramètres de l’Agent d’Administration pour les
infrastructures virtuelles, qui désactive la collecte des informations sur le matériel, les applications
installées et les vulnérabilités détectées.
3.4.2. Compatibilité Citrix PVS
La technologie Provisionning Services permet aux clients ou aux périphériques cibles (terminologie
Citrix) de démarrer via le réseau depuis un disque virtuel (vDisk).
53
Kaspersky Security for Virtualization Light Agent dispose d’une option afin d’assurer la compatibilité
avec le système PVS.
Afin d’assurer un fonctionnement optimal du Light Agent avec Citrix PVS, les exclusions
recommandées sont disponibles par défaut dans l’assistant de création d’une stratégie de protection.
54
3.5. Structure des ordinateurs administrés
Afin de gérer efficacement les machines virtuelles protégées, il est recommandé de créer la structure
des groupes d’administration et d’y définir les tâches et stratégies comme suit :
 Machines virtuelles de sécurité (serveurs de protection)
 Machines virtuelles persistantes (si existantes)
 Machines virtuelles non-persistantes (VDI, si existantes)
Ces groupes peuvent être alimentés manuellement ou automatiquement à l’aide de règles de
déplacement automatique. Divers critères de déplacement sont disponibles pour le déplacement des
machines dans les groupes : par exemple, les paramètres réseaux, l’appartenance à un groupe ou à
une Unité d’Organisation Active Directory.
55
56
Les machines virtuelles peuvent être séparées des machines physiques, et les machines virtuelles qui
fonctionnent sur une plate-forme (par exemple, ESXi, Hyper-V) peuvent aussi être dissociées de celles
qui sont présentes sur une autre plate-forme.
Un autre paramètre est disponible pour distinguer les machines virtuelles membres d’une VDI, ce qui
permet de les assigner au groupe d’administration correspondant.
57
Les machines virtuelles de sécurité peuvent être déplacées automatiquement à partir des repères
définis au préalable dans les règles de déplacement automatique.
3.6. Configuration des paramètres de protection
3.6.1. Algorithme d’analyse des fichiers
Une requête réseau pour l’analyse d’un fichier prend toujours plus de temps qu’une vérification locale
des exclusions et/ou du cache ; de plus, ces opérations ne consomment pas de ressources. Pour cette
raison, le Light Agent traite les exclusions et le cache local, alors que la machine virtuelle de sécurité
analyse les fichiers. Elle contient également un cache partagé, qui stocke les informations sur les
fichiers analysés en provenance de toutes les machines virtuelles invitées.
L’algorithme d’analyse est le suivant. Les opérations sur les fichiers sont interceptées par le composant
correspondant : Antivirus Fichiers, Courrier, Internet ou IM. Les mêmes outils que ceux de Kaspersky
Endpoint Security 10 sont utilisés, par exemple, l’Antivirus Fichiers exploite un pilote klif.sys. L’objet
est bloqué puis confronté aux exclusions configurées par l’administrateur. Si l’objet ne correspond à
aucune exclusion, la technologie iSwift vérifie s’il a été modifié depuis l’analyse précédente et s’il doit
être analysé de nouveau. Si oui, alors une requête d’analyse est envoyée. La requête est transférée à
la machine virtuelle de sécurité au lieu du moteur antivirus local utilisé dans Kaspersky Endpoint
58
Security. Lorsqu’une menace est détectée dans l’un des objets analysés, la machine virtuelle de
sécurité peut désinfecter ou supprimer le fichier malicieux selon le type.
La machine virtuelle de sécurité vérifie d’abord la taille du fichier, puis le cache commun. Si le fichier
doit être analysé, la requête est transférée au moteur d’analyse des virus. Celui-ci retourne un verdict
à partir duquel l’action spécifiée est entreprise. Lorsque l’objet est sain, l’information est ajoutée au
cache partagée et au cache local iSwift sur la machine virtuelle invitée.
3.6.2. Technologie d’optimisation de l’analyse
Il existe plusieurs méthodes améliorant les performances de l’analyse Anti-Virus sans diminuer le
niveau de sécurité. Par exemple, les exclusions et la mise en cache. Cette dernière évite les analyses
inutiles. Lorsqu’un fichier a déjà été analysé et est de nouveau accédé, il n’est pas nécessaire de
l’analyser tant que les bases de données des mises à jour n’ont pas été actualisées entretemps. Si un
fichier est accédé après la mise à jour des signatures des bases de données des mises à jour, il sera de
nouveau analysé. Cela garantit qu’un fichier infecté ne soit pas mis en cache avant que les bases de
données qui permettent de détecter cette menace soient téléchargées.
Kaspersky Security for Virtualization Light Agent utilisent deux caches : l’un se trouve du côté de la
machine virtuelle invitée (iSwift), et l’autre correspond au cache partagé sur la machine virtuelle de
sécurité.
59
60
iSwift
La technologie iSwift utilise les informations du système de fichiers NTFS pour surveiller les
changements dans les fichiers, cette approche étant assez efficace : il n’est pas nécessaire de calculer
la somme de contrôle. La fréquence de l’analyse des objets est régulée par la période de quarantaine,
qui augmente graduellement tant que le fichier n’est pas modifié. La technologie iSwift est utilisée par
la protection en temps réel et par les tâches d’analyse à la demande.
Cache partagé
Le cache partagé permet en outre de réduire le nombre de requêtes d’analyse. Lorsqu’un fichier a été
analysé sur l’une des machines virtuelles, cette information devient immédiatement disponible pour
tous les Light Agents connectés à la machine virtuelle de sécurité correspondante. Les meilleures
performances sont atteintes sur les hyperviseurs où des machines virtuelles VDI sont implantées. En
effet, ces machines ont des fichiers et une configuration quasiment identiques, puisqu’elles sont
créées depuis la même image.
Ce cache est une base de données stockée dans la mémoire de la machine virtuelle de sécurité pour
un accès rapide. Il est effacé après un redémarrage. Il y’a une limitation sur le nombre
d’enregistrements ; lorsqu’elle est atteinte, l’enregistrement le moins souvent utilisé est alors
remplacé par le nouveau. Ce cache fonctionne comme suit :
 Le hash du chemin complet du fichier est utilisé
Cette information est calculé très rapidement, à la différence de la somme de contrôle MD5
 Les propriétés du fichier sont prises en compte (dates de création et de modification, taille)
Cela garantit que les enregistrements du cache correspondent à la version spécifique du
fichier. Ainsi, les modifications dans un fichier mis en cache seront décelées même si la
connexion à la machine virtuelle de sécurité est temporairement perdue
 Les horodatages de la base de données antivirus utilisée lors de la 1ère et de la dernière analyse
sont enregistrés.
Ils sont utilisés dans l’algorithme pour les analyses successives mentionné plus bas
 Les paramètres du Light Agent avec lesquels le fichier est de nouveau analysé sont pris en
compte
Les informations sur le profil de protection avec lequel l’objet a été analysé sont également
stockées dans le cache, et si les paramètres sont renforcés, le fichier sera de nouveau analysé
même s’il n’a pas été modifié.
Dans certains cas, le cache n’est pas utilisé :
 Lors de l’opération de fermeture de fichier
Les objets sont toujours analysés lors de leur fermeture, car le fichier peut avoir été modifié.
 Les objets stockés sur les ressources réseaux ou sur les disques amovibles
Ces objets ne sont pas mis en cache. Dans le cas contraire, il serait possible de connecter un
disque USB à une machine virtuelle protégée par Kaspersky Security for Virtualization, ces
fichiers seraient alors analysés et mis en cache, puis modifié sur une machine non protégée
évitant ainsi l’analyse à la prochaine connexion.
 La tâche d’analyse de virus
La tâche d’analyse de virus vérifie tous les objets. Les résultats de cette analyse sont également
mis en cache afin d’être exploité par la protection en temps réel.
61
Après la 1ère analyse, les données du fichier sont ajoutées au cache, avec l’horodatage des bases de
données utilisées pour l’analyse. Par la suite ce fichier ne sera pas de nouveau analysé jusqu’à ce que
la machine virtuelle de sécurité télécharge de nouvelles bases de données. Lorsqu’une requête
d’analyse est reçue depuis une machine virtuelle quelconque, l’objet est de nouveau analysé et
l’horodatage de la base de données est mise à jour dans l’enregistrement du cache. Les requêtes
d’analyses ultérieures, quel que soit la machine virtuelle qui en est à l’origine, seront traitées selon les
informations présentes dans le cache. Cet algorithme est utilisé jusqu’à ce que la différence entre les
horodatages des bases de données utilisées entre la première et la dernière analyse soit inférieure à
48 heures. Passé ce délai, le fichier n’est pas de nouveau analysé.
3.6.3. Technologies de détection
Lors de l’analyse d’un fichier, Kaspersky Security for Virtualization exploite les mêmes outils que
l’Antivirus Fichiers de Kaspersky Endpoint Security for Windows. L’analyse par signature est la base de
la procédure d’analyse, elle est effectuée en première. Si aucune menace n’est détectée, une analyse
heuristique est alors exécutée. Elle exploite un émulateur qui exécute un ensemble d’instructions sur
l’objet afin de comprendre son fonctionnement lorsqu’il est démarré. Plus le niveau de l’heuristique
est élevée, plus il y’aura d’instructions exécutées et plus le verdict retourné sera précis, mais cela
diminue les performances.
Enfin, une vérification KSN est effectuée. La somme de contrôle du fichier est calculée pour la requête
KSN, qui est tout d’abord confrontée au cache local. Si un enregistrement similaire y est trouvé, le
62
verdict correspondant est alors retourné ; dans le cas contraire, la requête est transmise au cloud KSN.
En fonction du résultat des deux premières technologies, une requête synchrone ou asynchrone est
envoyée au KSN. Cette dernière est utilisée lorsqu’une menace est détectée dans l’objet, et le fichier
est bloqué jusqu’à ce que le verdict soit reçu du KSN. Lorsque le verdict est « clean », l’accès est
autorisé, et la requête KSN est envoyée en tâche de fond. Dans tous les cas, le verdict du KSN est
prioritaire, quel que soit les résultats retournés par les autres technologies. Le verdict reçu est
enregistré dans le cache local du KSN. Si la réponse n’est pas reçue avant le délai d’expiration, le verdict
reçu précédemment est considéré comme définitif. Les tâches d’analyse à la demande utilisent
uniquement des requêtes KSN synchrones.
A la manière des Light Agents, les machines virtuelles de sécurité n’établissent pas de connexions vers
l’extérieur. Le proxy KSN de Kaspersky Security Center est utilisé. Si le proxy KSN est désactivé dans
Kaspersky Security Center, Kaspersky Security for Virtualization ne pourra pas utiliser cette
technologie.
63
3.7. Stratégies
Les modules de protection et les paramètres sont pratiquement identiques à ceux proposés dans
Kaspersky Endpoint Security for Windows.
Il existe une différence dans la liste des modules de protection disponibles entre les systèmes
d'exploitation pour poste de travail et serveurs lors de l'installation du produit. La liste des fonctions
proposées sont décrites dans ce document au chapitre correspondant.
L’application Kaspersky Security for Virtualization Light Agent est paramétrée à l’aide de stratégies
configurées dans la plate-forme d’administration Kaspersky Security Center.
Il est possible de créer des stratégies depuis un fichier de configuration issu du poste client ou d’une
autre stratégie exportée au préalable.
L'ensemble des paramètres seront importés sous forme d'une stratégie pouvant être appliqué à des
groupes de postes.
64
Chaque option d’une stratégie dispose d’un système de cadenas :
Ce système permet :
 De verrouiller les fonctionnalités pour les administrateurs des sous-branches concernés.
 De verrouiller les fonctionnalités sur les interfaces graphiques de l’antivirus local qui
appartiennent au groupe concerné ou aux sous-groupes.
65
Ces paramètres peuvent être désactivés temporairement sur le poste client par l'utilisation d'un mot
de passe.
66
3.8. Tâches
Les paramètres des tâches de Kaspersky Security for Virtualization Light Agent sont également
similaires à celles de Kaspersky Endpoint Security for Windows. Ces deux produits disposent de tâches
de Recherche de virus, d’Inventaire et de Modification de la sélection des modules de l’application.
67
3.9. Mise à jour des bases
Kaspersky Security for Virtualization offre une protection à de multiples niveaux afin de fournir le plus
haut niveau de sécurité. La plupart de ces composants requièrent des mises à jour régulières car le
nombre de menaces augmentent en permanence et elles deviennent de plus en plus sophistiquées.
Pour contrer ce phénomène, plusieurs bases de données sont utilisées. Certaines sont destinées au
Light Agent et sont stockées sur la machine virtuelle protégée mais la plupart d’entre elles résident sur
la machine virtuelle de sécurité, qui analyse les objets. Ainsi, le meilleur compromis entre performance
et efficacité est atteint. Les Light Agents n’effectuent pas d’opérations trop consommatrice de
ressources ; ils gèrent les fonctionnalités qui ne requièrent pas de mises à jour fréquentes et qui ne
nécessitent pas de déplacement d’objets sur la machine virtuelle de sécurité. Par exemple, si le
composant System Watcher opérait sur chaque machine virtuelle, cela nécessiterait l’envoi d’une
grande quantité d’informations sur le réseau concernant l’activité des applications, cela affecterait les
performances de la solution. Ainsi, la machine virtuelle de sécurité utilise les bases de données des
signatures et heuristiques, et les Light Agents – Les bases de données des liens malicieux et de phishing
et les bases de données conçues pour les composants System Watcher et Prévention des intrusions.
Tous les composants sont mis à jour de manière centralisée via Kaspersky Security Center, qui
télécharge les bases de données depuis les serveurs Kaspersky Lab sur Internet. La machine virtuelle
de sécurité télécharge les bases de données depuis le stockage du Serveur d’Administration selon la
planification de la tâche de mise à jour créée par l’Administrateur.
Lorsque les machines virtuelles de sécurité ont téléchargé toutes les bases de données nécessaires,
elles sont utilisées comme source de mise à jour pour les Light Agents. Elles sont accessibles au travers
du répertoire partagé de la machine virtuelle de sécurité. Afin d’offre la possibilité de revenir sur le set
de base de données précédent (rollback), chaque nouveau set de base de données est placé dans un
répertoire individuel dont le nom inclut l’horodatage. Finalement, les anciens répertoires sont
68
supprimés. Les Light Agents réalisent automatiquement la mise à jour et cela ne nécessite pas une
quelconque interaction avec l’administrateur. Les bases de données sont chargées selon la
planification indiquée dans la tâche locale de mise à jour, une fois toute les 2 heures par défaut.
Cette architecture offre des mises à jour pour toutes les machines virtuelles et permet
significativement de diminuer la charge sur le Serveur d’Administration en comparaison avec
Kaspersky Endpoint Security. L’algorithme de sélection de la machine virtuelle de sécurité pour les
Light Agents assure une distribution optimale de la charge réseau.
69
3.10. Surveillance de la protection
Les diverses fonctionnalités de Kaspersky Security Center sont utilisées pour surveiller l’état de la
protection de Kaspersky Security for Virtualization Light Agent :
 Rapports
 Statistiques
 Evènements
 Sélections d’ordinateurs
 Stockages
L’application dispose d’une particularité par rapport à, par exemple, Kaspersky Endpoint Security
puisque ses fonctionnalités sont divisées entre la machine virtuelle de sécurité et le Light Agent.
Ainsi, la licence est installée sur la machine virtuelle de sécurité et son exploitation est aussi
comptabilisée par ces machines virtuelle de sécurité. L’information est envoyée au Serveur
d’Administration Kaspersky et est visible dans les rapports. En fonction du type de clé (par cœur ou
nombre de machines virtuelles), le rapport contient les informations sur la consommation de licences.
Les licences sont comptabilisées par les machines virtuelles de sécurité :
 Par cœur : selon le nombre de cœur physiques sur l’hyperviseur
 Par machine virtuelle : seules les machines virtuelles démarrées sont prises en compte, les
serveurs et les postes de travail sont considérés séparément.
70
Le rapport des bases utilisées inclut les données des machines virtuelles de sécurité et des Light
Agents :
Les fichiers sont analysés par la machine virtuelle de sécurité, mais les évènements de détection des
menaces sont liés aux machines virtuelles protégées.
71