Wenden Sie sich direkt an unser Support-Team

Anleitung zum schutz von vdis unter Verwendung von VMware Horizon View und GravityZone Security for Virtualized Environments

Bitdefender GravityZone ermöglicht die transparente Darstellung der allgemeinen Sicherheitslage und globalen Sicherheitsbedrohungen im Unternehmen und gibt Benutzern die vollständige Kontrolle über die integrierten Sicherheitsdienste, die alle virtuellen oder physischen Desktops, Server und mobilen Geräten schützen. Alle Bitdefender-Lösungen für die Unternehmenssicherheit werden in der GravityZone über eine einzige zentrale Konsole verwaltet. In diesem Control Center können Benutzer in Übereinstimmung mit den verschiedenen Rollen im Unternehmen auf die Steuerungs- und Berichtsfunktionen sowie die Benachrichtigungsdienste zugreifen.

Dieser Artikel beschreibt, wie man die virtuelle Desktop-Infrastruktur (VDI) in einer VMware-Umgebung mit VMware Horizon View und GravityZone Security for Virtualized Environments schützen kann.

Überblick

VMware Horizon View liefert Desktop-Services über Ihr Rechenzentrum, um Endbenutzern mehr Freiheit zu geben und Verwaltung und Steuerung der IT zu ermöglichen.
Durch die Desktop- und Anwendungsvirtualisierung erhalten IT-Abteilungen die Möglichkeit, ihre Anwender noch einfacher und sicherer zu verwalten und ihnen flexible und bedarfsorientierte Desktop-Dienste anzubieten.

Bitdefender GravityZone Security for Virtualized Environments (SVE) ist eine vollumfängliche Sicherheitslösung für virtualisierte Rechenzentren, die virtualisierte Server und Desktops auf Windows, Linux und Solaris zuverlässig schützt.
SVE bietet mit dem Sicherheits-Server und den Bitdefender Tools umfassenden Schutz. Der Sicherheits-Server ist eine dedizierte virtuelle Maschine, die als Remote-Scan-Server dient und den Großteil der Malware-Schutz-Funktionen von Virenschutz-Clients dedupliziert und zentralisiert. Bitdefender Tools ist die Komponente, die auf den zu schützenden virtuellen Maschinen installiert wird.

Voraussetzungen Maßnahmen

Für GravityZone SVE müssen die folgenden Voraussetzungen erfüllt sein:

  • ESXi-Host
  • vCenter Server
  • Control Center mit dem GravityZone-SVE-Dienst
  • Security Server (VMware-Version), bereitgestellt auf mindestens einem ESXi-Host
  • BEST, installiert im Golden Image

Anleitung zum Schutz von VDIs

Sie können SVE auch dann in VMware-Umgebungen einsetzen, wenn vShield Endpoint nicht installiert wurde. In VMware-Umgebungen ohne vShield muss BEST auf jeder virtuellen Maschine installiert werden.

BEST lagert die Anti-Malware-Prozesse über TCP/IP an den Security Server aus. Durch den lokalen Cache von BEST und den zentralen Cache auf dem Security Server wird die Netzwerklast auf ein Minimum reduziert. BEST nutzt eine lokalen Cache der anhand von Umgebungsvariablen bereits im Voraus gefüllt wird; so kann
es die ausgelagerten Scans auf das Notwendige beschränken und sichere Objekte überspringen.

Bitte beachten Sie: Beim Einsatz von GravityZone SVE in VMware-Umgebungen ohne vShield ist es nicht notwendig, einen Security Server auf jedem ESXi-Host bereitzustellen.

Im Folgenden werden die Schritte zum Schutz von VDIs erläutert:

  1. Integrieren Sie das Control Center mit vCenter:
    1. Öffnen Sie das GravityZone Control Center.
    2. Gehen Sie zum Seite Konfiguration.
    3. Wechseln Sie zum Reiter Virtualisierung.
    4. Klicken Sie auf die Hinzufügen-Schaltfläche links oben in der Tabelle, und wählen Sie vCenter Server aus dem Menü.

    vCenter integration

  2. Installieren Sie den Security Server auf den ESXi-Hosts.
    1. Öffnen Sie die Netzwerkübersicht und wählen Sie den Dienst Virtuelle Maschinen aus.
    2. Wählen Sie den/die Host(s) aus, auf dem/denen Sie den Security Server bereitstellen.
    3. Öffnen Sie mit einem Rechtsklick das Kontextmenü und klicken Sie dann auf Aufgaben > Security Server installieren. Das Fenster für die Security Server-Installation wird angezeigt.

      Install Security Server

    4. Wählen Sie im Reiter Allgemein eine der folgenden Optionen aus:
      • Gemeinsame Einstellungen für alle Security Server verwenden. Wenn Sie bei der Bereitstellung mehrerer Security Server-Instanzen diese  Option auswählen, müssen alle Ziel-Hosts auf den gleichen Speicher zugreifen und identische Hardware-Spezifikationen haben. Zudem werden alle Security Server Teil des gleichen Management Netzwerksegments und automatisch über DHCP konfiguriert.

        Beachten Sie: Stellen Sie bei Verwendung von DHCP sicher, dass alle den Security Servern zugewiesenen IPs reserviert sind.

      • Jeden Security Server einzeln konfigurieren. Mit dieser Option können Sie für jede Security Server-Einstellung unterschiedliche Werte festlegen.
    5. Klicken Sie auf Weiter, um die Security Server-Instanz(en) zu konfigurieren:
      • Name – Der Name des Security Servers, der im VMware-Inventar angezeigt werden wird.
      • Container installieren – Der übergeordnete vCenter-Server-Container für den neuen Security Server.
      • Provisioning – Die Art der VMDK-Speicherzuweisung.
      • Erwartete Last – Die Zuweisung der Hardware-Ressourcen. Bei Auswahl von Benutzerdefiniert kann der Administrator die zugewiesenen CPUund Speicherressourcen genau festlegen.
      • Administrator-Passwort festlegen – Zum Zeitpunkt der Bereitstellung kann der Administrator das Root-Passwort des Security Servers ändern. Wird diese Option nicht ausgewählt, erhält das Root-Konto das Standardpasswort, dieses kann später nur über die VM-Konsole geändert werden.
      • Zeitzone – Einstellung der jeweiligen Zeitzone. Die Uhr wird automatisch über den NTPD-Dienst synchronisiert.
      • Netzwerk-Einstellungen – Die Einstellungen des VM-Management-Netzwerks.

      Security Server Installation window

    6. Falls Sie unterschiedliche Einstellungen für Ihre Security Server verwenden, klicken Sie nach Abschluss der Konfiguration auf Weiter, um mit der nächsten Instanz fortzufahren, andernfalls klicken Sie bitte auf Speichern. Die Bereitstellungsaufgabe wird gestartet.
      Hinweis: YSie können den Fortschritt der Bereitstellungsaufgabe unter Netzwerk > Aufgaben verfolgen. Den Aufgabenstatus können Sie über den entsprechenden Link in der Status-Spalte überprüfen. Hat die Bereitstellungsaufgabe den Status Wird ausgeführt 100% erreicht, wird der neue Security Server eingeschaltet und der Boot-Vorgang gestartet. Dies kann bis zu 3 Minuten in Anspruch nehmen. Die Bereitstellungsaufgabe zeigt den Status Fertig an, sobald der Management-Agent auf dem Security Server sich zum ersten Mal
      mit GravityZone synchronisiert hat. So wird dem Administrator mitgeteilt, dass der neue Security Server jetzt einsatzbereit ist.

    Security Server in Network inventory

  3. Legen Sie eine virtuelle Maschine (z. B. mit Windows 7) mit allen von den Benutzern benötigten Programmen an.
  4. Installieren Sie BEST auf dieser neuen virtuellen Maschine:
    1. Wählen Sie die VM aus, auf der Sie BEST installieren möchten.
    2. Öffnen Sie mit einem Rechtsklick das Kontextmenü und klicken Sie danach auf Aufgaben > Installieren. Das Fenster für die BEST-Installation wird angezeigt.

      Install Bitdefender Tools

    3. Geben Sie im Zugangsdaten-Manager die Administratorzugangsdaten an, die für die Fernauthentifizierung auf der virtuellen Maschine benötigt werden.
      Hinweis: Wenn Sie VMware Horizon View Persona Management verwenden, wird empfohlen, die Active Directory-Gruppenrichtlinien so zu konfigurieren, dass die folgenden Bitdefender-Prozesse ausgeschlossen werden (ohne den vollständigen Pfad):
      • bdredline.exe
      • epag.exe
      • epconsole.exe
      • epintegrationservice.exe
      • epprotectedservice.exe
      • epsecurityservice.exe
      • epupdateservice.exe
      • epupdateserver.exe
      Weitere Informationen finden Sie auf dieser VMware Horizon-Dokumentationsseite.
  5. Konfigurieren Sie den VMware Horizon View: Stellen Sie eine Verbindung zum VMware Horizon View Administrator her und legen Sie die Pools für die VDIs an.

    VMware Horizon View Administrator login

  6. Wurde VMware Horizon View konfiguriert und versucht ein Benutzer sich über einen VMware View Client mit einer VDI zu verbinden, werden neue virtuelle Desktops angelegt.

    VMware View Client login

  7. Alle VDIs aus dem VMware Horizon View werden geschützt.

    The VDIs in Network inventory

    Bitdefender Tools window

    Um sicherzustellen, dass alle VDIs geschützt werden, können Sie folgende Prüfungen durchführen:
    • Führen Sie einen EICAR-Test durch. Kopieren Sie die 68-Byte-Zeichenfolge in eine .txt-Datei und speichern Sie sie. Ist die VDI geschützt, wird diese .txt-Datei beim nächsten Öffnen leer sein. Zudem werden die Berichte und Diagramme im Control Center-Dashboard sowie in der Berichtsübersicht das Vorliegen von Malware auf der VDI anzeigen.
    • Auf Seiten des Security Servers können Sie überprüfen, ob dieser mit Ihrer VDI verbunden ist. Die Verbindung sollte über Port 7081 erfolgen.
      netstat | grep ESTABLISHED
      tcp6 0 0 gz2svamp.tstlabs:7081 vdi-01.tstlabs.bi:65299 ESTABLISHED
      tcp6 0 0 gz2svamp.tstlabs:7081 vdi-02.tstlabs.bi:64235 ESTABLISHED
Sie finden die Lösung für Ihr Problem nicht? Öffnen Sie bitte ein E-Mail-Ticket und wir werden Ihre Fragen oder Bedenken in der kürzesten Zeit beantworten.

Bewerten Sie diesen Artikel:

Senden