跳至主内容

VMware vCenter

与vCenter服务器集成

您可以将 GravityZone 与一个或多个vCenter服务器系统集成。

链接模式下的vCenter服务器系统必须单独添加到 控制中心 .

要设置与vCenter服务器的集成,请按照以下步骤操作:

  1. 进入 配置 页面(通过 控制中心 左侧菜单),然后导航至 虚拟化供应商 > 管理平台 .

  2. 点击 add.png 添加 按钮位于表格上方,并从菜单中选择 vCenter Server 。随后将出现配置窗口。

  3. 指定vCenter Server详细信息:

    • vCenter Server系统在 控制中心

    • vCenter Server系统的主机名或IP地址

    • vCenter Server端口(默认为 443 )

  4. 指定用于vCenter Server身份验证的凭据。

    您可选择使用为Active Directory集成提供的凭据,或另一组不同凭据。

    提供凭据的用户必须在vCenter Server中具有root或管理员权限。

  5. 选择环境中安装的VMware平台并相应配置设置:

    • 。对于NSX-T或未安装VMware特定平台的情况选择此选项,然后点击 保存 。集成需要接受自签名安全证书。

    • 要配置NSX-T Manager集成并通过 GravityZone Guest Introspection策略为虚拟机应用终端防护,请参阅 在VMware NSX-T中管理终端防护 .

    • NSX-V 。指定与vCenter Server集成的NSX Manager详细信息:

      • NSX Manager的主机名或IP地址

      • NSX Manager端口(默认为 443 )

      • 用于在NSX Manager上进行身份验证的用户名和密码。

        这些凭证将保存在受保护实体上,而非凭证管理器中。

      • 选中 发现病毒时标记 复选框,以便在虚拟机上发现恶意软件时使用默认的NSX安全标记。

      • 根据威胁的风险等级,机器可能会被标记三种不同的安全标记:

        • ANTI_VIRUS.VirusFound.threat=low ,当 Bitdefender 发现可删除的低风险恶意软件时应用于机器。

        • ANTI_VIRUS.VirusFound.threat=medium ,当 Bitdefender 无法删除受感染文件但可对其进行消毒时应用于机器。

        • ANTI_VIRUS.VirusFound.threat=high ,当 Bitdefender 既无法删除也无法消毒受感染文件但会阻止对其访问时应用于机器。

        同一台机器上检测到不同风险等级的威胁时,将应用所有关联标记。例如,同时发现高风险和低风险恶意软件的机器将具有两种安全标记。

        注意

        您可以在VMware vSphere的 网络 > 安全 > NSX管理器 > NSX管理器 > 管理 > 安全标签 选项卡。

        尽管您可以创建任意数量的标签,但只有上述三个标签可与 Bitdefender .

  6. 限制从网络视图分配策略 。此选项用于控制网络管理员通过 计算机和虚拟机 视图更改虚拟机策略的权限,该视图位于 网络 页面。选择此选项后,管理员只能从网络清单的 虚拟机 视图中更改虚拟机策略。

  7. 点击 保存 。系统将要求您接受vCenter Server和NSX Manager的安全证书。这些证书可确保 GravityZone 与VMware组件之间的安全通信,从而防范中间人攻击风险

  8. 您可以通过对比浏览器中显示的VMware组件站点信息与 控制中心 .

  9. 勾选复选框以确认接受使用这些证书。

  10. 点击 保存 。您将能在活动集成列表中查看vCenter Server。

  11. 如果您使用NSX-V平台:

    1. 请转至 更新 > 组件 标签页。

    2. 下载并发布 安全服务器 (VMware with NSX) 安装包。有关如何更新 GravityZone 组件的更多信息,请参阅 更新 GravityZone .

    3. 前往 配置 > 虚拟化供应商 标签页。

    4. 操作 列中,点击与集成NSX的vCenter对应的 register.png 注册 按钮,以向VMware NSX Manager注册 Bitdefender 服务。

    警告

    当安全证书过期且vCenter尝试同步时,将弹出提示要求更新。进入vCenter Server集成的配置窗口,点击 保存 ,接受新证书后再次点击 保存 再次。

    注册完成后, Bitdefender 将添加到VMware vSphere控制台:

    • Bitdefender 服务

    • Bitdefender 服务管理器

    • 三个新的默认服务配置文件,分别对应宽松、常规和激进扫描模式。

      注意

      您还可以在 策略 页面的 控制中心 中查看这些服务配置文件。点击 按钮位于右侧窗格右上角以查看附加信息。

随后,您可看到vCenter服务器正在同步。请等待几分钟直至同步完成。

在使用VMware Horizon View和 GravityZone SVE

时保护虚拟桌面基础设施(VDI) GravityZone 虚拟化环境安全方案。

概述

VMware Horizon View 从数据中心交付桌面服务,实现终端用户自由与IT管理控制。

桌面和应用程序虚拟化技术为IT部门提供了更高效、安全的方式来管理用户,并交付灵活按需的桌面服务。

Bitdefender GravityZone 虚拟化环境安全 (SVE) ,是一款针对虚拟化数据中心的综合安全解决方案,可为Windows和Linux系统上的虚拟化服务器和桌面提供保护。

GravityZone SVE通过 安全服务器 BEST 提供防护。 安全服务器 是一台专用虚拟机,可对反恶意软件客户端的大部分功能进行去重和集中管理,充当扫描服务器角色。 BEST 是必须安装在待保护虚拟机上的组件。

先决条件

部署 GravityZone SVE需满足以下条件:

  • ESXi主机

  • vCenter Server

  • 控制中心 需配置 GravityZone SVE服务

  • 安全服务器 (VMware版本)至少部署在一台ESXi主机上

  • BEST 需预装于黄金镜像

如何保护虚拟桌面基础架构

要保护虚拟桌面基础架构,必须安装 BEST 在每台虚拟机上。

BEST 将反恶意软件处理任务卸载至 安全服务器 通过TCP/IP协议。由于 BEST 本地缓存及 安全服务器 . BEST 采用基于环境变量预填充的本地缓存,因此仅需卸载必要对象的扫描任务,同时排除安全对象。

保护虚拟桌面基础设施(VDI)的步骤如下:

  1. 控制中心 与vCenter集成:

    1. 打开 GravityZone 控制中心 .

    2. 从左侧菜单进入 配置 页面。

    3. 选择 虚拟化 选项卡。

    4. 点击表格左上角的 添加 按钮,并从菜单中选择 vCenter服务器

    7555_1.png

  2. 安装 安全服务器 于ESXi主机上。

    1. 前往 网络 页面(通过左侧菜单选择 虚拟机 服务)。

    2. 选择需部署 安全服务器 .

    3. 右键点击调出上下文菜单并选择 任务 > 安装 安全服务器 选项。 安全服务器 安装 窗口随即显示。

      7555_2.png

    4. 常规 选项卡中,选择下列选项之一:

      • 为所有 安全服务器 使用统一设置。 部署多个 安全服务器 实例时选择此选项,要求目标主机共享同一存储且硬件配置完全相同。此外,所有 安全服务器 将属于同一管理网段,并由DHCP自动完成配置。

        注意

        若使用DHCP,请确保分配给 安全服务器 的所有IP均为保留地址。

      • 为每台 安全服务器 进行差异化配置。 此选项允许您为每台 安全服务器 的各项设置指定不同参数值。

    5. 点击 下一步 以配置 安全服务器 实例:

      • 名称 ——该 安全服务器 在VMware清单中显示的命名。

      • 部署容器 ——vCenter服务器中用于存放新 安全服务器 .

      • 资源分配 ——VMDK磁盘资源分配类型。

      • 资源整合 ——硬件资源分配方案。若选择 自定义 级别,管理员可指定CPU和内存的分配量。

      • 设置管理员密码 – 部署时管理员可更改 安全服务器 的root密码。若未选择此选项,root账户将保留默认密码,后续只能通过访问虚拟机控制台修改。

      • 时区 – 时区设置。时钟由ntpd服务自动同步。

      • 网络设置 – 虚拟机的管理网络设置。

      7555_3.png

    6. 完成所有配置后,若您的 安全服务器 需要不同设置,请点击 下一步 继续配置下一个实例,否则点击 保存 。部署任务随即启动。

      注意

      您可在 网络 > 任务 页面查看部署进度。通过点击 状态 列中的链接可查看任务状态。当部署任务状态显示为 进行中 100% 时,新 安全服务器 将启动并开始引导过程。请预留最多3分钟完成引导操作。待 安全服务器 上的管理代理启动后,部署任务将显示为 已完成 GravityZone 首次同步时,会向管理员通知新的 安全服务器 已投入运行。

    7555_4.png

  3. 创建一台包含用户所需全部程序的虚拟机(例如Windows 7系统)。

  4. 在此新虚拟机上部署 BEST

    1. 选择要部署 BEST .

    2. 右键点击调出上下文菜单,选择 任务 > 安装 选项。随后将显示 BEST 安装 窗口。

      7555_5.png

    3. 凭证管理器 部分,指定虚拟机远程认证所需的管理员凭据。

      注意

      若使用VMware Horizon View Persona Management,建议通过Active Directory组策略排除以下 Bitdefender 进程(无需完整路径):

      • bdredline.exe

      • epag.exe

      • epconsole.exe

      • epintegrationservice.exe

      • epprotectedservice.exe

      • epsecurityservice.exe

      • epupdateservice.exe

      • epupdateserver.exe

      详情请下载 VMware Horizon官方文档 .

  5. 配置VMware Horizon View:连接VMware Horizon View Administrator并为VDI创建资源池。

    7555_6.png

  6. 当VMware Horizon View配置完成且用户尝试通过VMware View Client连接至VDI时,将创建新的虚拟桌面。

    7555_7.png

  7. 所有来自VMware Horizon View的VDI都将受到保护。

    7555_8.png
    7555_9.png

    如需确认VDI是否受保护,您可以:

    • 执行 EICAR 测试。将68字节字符串复制到 .txt 文件中保存。若VDI已受保护,当您重新打开该 .txt 文件时,内容将被清空。此外,仪表板组件和反恶意软件相关报告将显示VDI上存在恶意软件。

    • 安全服务器 上可检查VDI是否已连接。连接应通过端口 7081 :

      netstat|grepESTABLISHED

      tcp600gz2svamp.tstlabs:7081vdi-01.tstlabs.bi:65299ESTABLISHED

本节内容 :