KATA
Защита периметра. Развертывание песочницы

Приветствуем вас в нашем цикле статей «Kaspersky Symphony XDR»!

В прошлой статье мы познакомились с решением. Пришло время его развернуть и изучить.

Развертывание будем производить в двухсерверном исполнении, используя для этого среду виртуализации VMware ESXi: Сенсор/Центральный узел и Песочница. Версия платформы KATA – 6.0.

Затрагивая вопрос аппаратных требований: на портале онлайн-справки Лаборатории Касперского представлен калькулятор масштабирования, который помогает рассчитать требования к процессору, ОЗУ и дисковым подсистемам для каждой роли. Однако наилучшим вариантом является заполнение опросника и запрос вендору. Они рассчитают ресурсы под ваш сценарий использования платформы.

Порядок установки серверов в нашем случае не играет роли. При установке роли Сенсора на отдельном сервере будет запрашиваться адрес сервера Центрального узла (поэтому его следует развернуть заранее).

Начнем мы с сервера песочницы, он менее требователен в плане подготовки к работе.

1. Подготовка инфраструктуры

Для начала подготовим виртуальную машину. Подробно здесь мы останавливаться не будем: ресурсы выделяем по рекомендациям из онлайн-справки Лаборатории Касперского для вашей платформы.

В нашем случае, так как развертывание производится в виртуальной среде, ресурсы необходимы следующие:

• 16 виртуальных ядер CPU (частота процессора не ниже 2,1ГГц);
• 32 Гб ОЗУ;
• HDD – 300 Гб.

В качестве Guest OS выбираем Ubuntu (64 bit).

Для сервера песочницы рекомендуется использовать 2 сетевых интерфейса:

• Первый интерфейс будет выступать в качестве Management: через него будет производиться управление инсталляцией и связь с центральным узлом.
• Второй интерфейс Malware будет использоваться гостевыми виртуальными машинами, на которых запускается потенциально вредоносное ПО. Через него также будет производиться обновление баз. Этот интерфейс должен иметь беспрепятственный и полный доступ к внешней сети и полный запрет на взаимодействие с локальной сетью организации. Malware интерфейс не должен принадлежать сетям 172.16.0.0/16, 172.17.0.0/16, 172.18.0.0/16, 10.255.0.0/16.

В случае отсутствия Malware-интерфейса песочница будет работать корректно. Для виртуальных машин будет использоваться «фальшивый интернет», это понизит качество обнаружения.

Management-интерфейс не будет использоваться для виртуальных машин песочницы ни при каких обстоятельствах.

На предпоследнем этапе Customize Hardware (настройки оборудования) сделаем несколько важных настроек.

Зарезервируем частоту процессора:

Следует отметить, что параметр Reservation для CPU можно высчитать по формуле <количество виртуальных ядер> * <значение частоты процессора>. Но реальная частота процессора будет чуть ниже, чем указано в характеристиках.

Вы можете узнать реальную частоту вашего процессора используя инструкции в интернете для вашей платформы. В нашем случае просто укажем на 10МГц меньше: не 2400, а 2390. 16*2390МГц=38240МГц.

Включим вложенную виртуализацию в этом же разделе:

Зарезервируем оперативную память:

Ниже во вкладке New CD/DVD Drive подцепляем ISO дистрибутив KATA Sandbox.

Далее во вкладке VM Options в разделе Boot Options убедитесь, что Firmware стоит BIOS:

Там же, в разделе Advanced переключим Latency Sensitivity в High.

Здесь можно нажать «Далее» и завершить создание виртуальной машины.

2. Мастер установки

После запуска виртуальной машины и начала процесса установки вас поприветствует стартовое окно.

Нажмем Ok.

Выберем язык (мы указываем русский, но по факту это влияет только на язык лицензионного соглашения). Ознакомьтесь с лицензионным соглашением и примите его, если согласны.

Далее вам предложат выбрать диск для размещения продукта. В нашем случае диск один, его мы и выбираем. Затем соглашаемся с его форматированием.

Ожидаем завершения распаковки компонентов системы.

Задаем FQDN системе.

Далее нам предлагается выбрать и осуществить настройку Management интерфейса:

Укажем список DNS- серверов. Эти сервера будут использоваться только для загрузки обновлений.

И зададим маршруты до подсети администраторов и других серверов платформы. В мастере уже указана подсеть 0.0.0.0/0, ею мы и воспользуемся при составлении маршрута по умолчанию.

Далее зададим минимальную длину пароля администратора.

И также зададим имя администратора (по умолчанию admin) и пароль. Требования к паролю указаны на этой же странице. Эти логин и пароль впоследствии будут использоваться как для доступа к консоли, так и для доступа в веб-интерфейс.

На этом установка завершена. Мастер установки предложит перейти в веб-интерфейс для дальнейшей настройки. Веб-интерфейс будет доступен через браузер по протоколу https, IP-адресу инсталляции и использует порт 8443.

Далее нам остается лишь нажать Ok и дождаться перезагрузки.

3. Настройка

Переходим в веб-интерфейс и вводим учетные данные администратора.

Создание других учетных данных на сервере Sandbox, кроме локального администратора, не предусмотрено (но здесь они и не требуются).

С точки зрения лицензирования: сервер песочницы не требует отдельной лицензии, так как лицензируется центральный узел. А помимо центрального узла иного метода передачи объектов в песочницу не предусмотрено.

Интерфейс встречает нас страницей обновления баз.

Нажмем «Обновить» и пока что оставим этот раздел. Обновление займет какое-то время.

Стоит упомянуть, что поддерживается 3 вида источника обновлений:

• сервер обновлений Лаборатории Касперского без шифрования (http),
• сервер обновлений Лаборатории Касперского с шифрованием (https),
• другой сервер.

Под другим сервером может указываться как выделенная папка на файловом хранилище организации, куда специальной программой загружаются базы обновлений, так и сервер центрального узла.

После установления связи между центральным узлом и песочницей продукт при выборе «Другой сервер» сам предложит вам вписать адрес центрального узла в этом разделе.
В этом же разделе можно будет указать параметры корпоративного прокси-сервера, если прямой доступ к интернету не предусмотрен.

В разделе «Авторизация KATA» осуществляется авторизация центрального узла, на данном этапе мы этот раздел пропустим и вернемся к нему позже. Перейдем в раздел «Сетевые интерфейсы».

В этом разделе мы можем управлять теми же настройками, что были и в мастере установки:

• имя хоста;
• DNS- серверы;
• параметры Management интерфейса;
• параметры Malware интерфейса;
• а также статические маршруты.

Хорошим тоном будет назначить для Management-интерфейса узкие статические маршруты до других серверов KATA и подсети администрирования, а для Malware интерфейса указать широкий маршрут 0.0.0.0/0.

Перейдем к настройке даты и времени.
Указываем страну и часовой пояс.

Для взаимодействия узлов платформы очень важна синхронизация времени между ними. Допускается только минимальное расхождение в несколько минут. Поэтому лучшим решением будет настроить синхронизацию с NTP-серверами. Можно использовать корпоративные, например, контроллеры домена, а также публичные сервера.

По умолчанию публичные сервера с сайта ntp.org уже вписаны в настройки. Остается только переключить тумблер и применить настройки.

Прежде, чем мы приступим к подготовке виртуальных машин, давайте перейдем к разделу «Администрирование».

В этом разделе мы можем изменить пароль администратора, выключить/перезагрузить сервер, экспортировать/импортировать параметры. Помимо этого, можно скачать журнал системы если потребуется отладка. И задать максимальное количество одновременно запущенных виртуальных машин.

По настройке максимального количества запущенных ВМ требуется пояснение. Максимальное количество одновременно запущенных ВМ не может быть больше 200. Расчет этого параметра необходимо производить по формуле «количество ядер процессора х1,5». В случае если сервер Sandbox развертывается на гипервизоре, то одна такая инсталляция не поддерживает более 12 виртуальных машин. По умолчанию задано 48 ВМ.

Давайте зададим 12 виртуальных машин, так как мы производим развертывание в среде виртуализации ESXi и сохраним конфигурацию.

Установка шаблонов виртуальных машин

Платформа KATA 6.0 предлагает предварительно настроенные шаблоны виртуальных машин: Windows 7, Windows 10, Astra Linux 1.7, CentOS 7.8. На них установлен весь набор стандартных офисных программ, исходя из их популярности на этих ОС: для просмотра мультимедиа, браузеры, офисный пакет и др.

Для того чтобы создать или загрузить шаблон виртуальной машины, необходимо перейти в раздел «Шаблоны и Хранилище -> Шаблоны».

Нажмем «Добавить» и импортируем поочередно шаблоны CentOS 7.8, Windows 7 и Windows 10. Прогресс показывается в столбце «Состояние».

После загрузки появится надпись «Готова к установке».

При поднесении курсора к строке с нашим загруженным шаблоном в столбце «Действие» появятся кнопки «Создать ВМ» и «Удалить шаблон».

Запустим распаковку и дождемся завершения. В случае с шаблонами на Windows необходимо будет принять лицензионное соглашение. Распаковку так же можно отслеживать из раздела «Виртуальные машины».

Теперь, когда распаковка окончена, в разделе «Виртуальные машины» можно увидеть список готовых к установке виртуальных машин:

Нажмем «Установить готовые ВМ». У всех ВМ в списке появится надпись «Выполняется установка…». Дождемся завершения.