Развертывание KSMG 2.1 в Yandex Cloud
Данная статья применима к версии KSMG 2.1. Если вас интересует размещение Kaspersky Secure Mail Gateway 2.0 в Yandex Cloud, рекомендуем обратиться к этой статье.
Электронная почта — основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и смотивировать его сделать то, что делать не рекомендуется.
В связи с современными тенденциями в области миграции почтовых служб на территорию РФ возникает необходимость обеспечить качественную и отказоустойчивую работу системы фильтрации от вредоносного контента в почтовом трафике. Построение локальной почтовой инфраструктуры не всегда отвечает требованиям к надежности и бесперебойной работе, и поэтому в таких случаях оптимальным решением является использование публичного облака одного из местных провайдеров.
В данной статье мы рассмотрим использование шлюза безопасности электронной почты Kaspersky Secure Mail Gateway 2.1 (в дальнейшем KSMG) в облаке Yandex Cloud.
Если вы хотите подробнее изучить продукт KSMG, то можете ознакомиться с нашими статьями по развертыванию, настройке и тестированию Kaspersky Secure Mail Gateway в локальной инфраструктуре:
Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.
Электронная почта — основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и смотивировать его сделать то, что делать не рекомендуется.
В связи с современными тенденциями в области миграции почтовых служб на территорию РФ возникает необходимость обеспечить качественную и отказоустойчивую работу системы фильтрации от вредоносного контента в почтовом трафике. Построение локальной почтовой инфраструктуры не всегда отвечает требованиям к надежности и бесперебойной работе, и поэтому в таких случаях оптимальным решением является использование публичного облака одного из местных провайдеров.
В данной статье мы рассмотрим использование шлюза безопасности электронной почты Kaspersky Secure Mail Gateway 2.1 (в дальнейшем KSMG) в облаке Yandex Cloud.
Если вы хотите подробнее изучить продукт KSMG, то можете ознакомиться с нашими статьями по развертыванию, настройке и тестированию Kaspersky Secure Mail Gateway в локальной инфраструктуре:
- Kaspersky Secure Mail Gateway 2.0
- KSMG 2.0. Интеграция с Kaspersky Anti Targeted Attack Platform (KATA)
Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.
Подготовка к развертыванию образа
Kaspersky Secure Mail Gateway, начиная с версии 2.1, поставляется в двух редакциях:
Второй же вариант представляет из себя классическое шлюзовое решение, объединяющее систему электронной почты и средства ее защиты в составе готового к использованию виртуального устройства безопасности. Оно поставляется в формате ISO-образа для развертывания на физических или виртуальных серверах.
Для нашего развертывания мы будем использовать именно такую редакцию. Для использования в виртуальной облачной среде Яндекса мы используем специально подготовленный образ в формате qcow2.
- rpm/deb-пакеты для развертывания на Linux операционных системах;
- как полностью интегрированное решение
Второй же вариант представляет из себя классическое шлюзовое решение, объединяющее систему электронной почты и средства ее защиты в составе готового к использованию виртуального устройства безопасности. Оно поставляется в формате ISO-образа для развертывания на физических или виртуальных серверах.
Для нашего развертывания мы будем использовать именно такую редакцию. Для использования в виртуальной облачной среде Яндекса мы используем специально подготовленный образ в формате qcow2.
Образ и учетные данные вы сможете получить, заполнив форму
Развертывание KSMG 2.1 в Yandex Cloud
Получить образ и учетные данные
Откроем консоль управления облаком Яндекса по адресу.
Регистрацию аккаунта в Яндекс Облаке я пропущу, инструкции и документацию можно найти на сайте Яндекс.
Регистрацию аккаунта в Яндекс Облаке я пропущу, инструкции и документацию можно найти на сайте Яндекс.
Загрузка файла образа в Object Storage
Первым делом для загрузки файла образа воспользуемся сервисом Object Storage. Его можно найти в меню сервисов через поиск в разделе «Инфраструктура и сеть»:
Откроется панель сервиса со списком бакетов (корзин хранения).
В моем случае список пуст и выводится следующая информационная заглушка:
В моем случае список пуст и выводится следующая информационная заглушка:
Создадим бакет через кнопку в правом верхнем углу.
Я назову его tssolution-images и оставлю настройки по умолчанию.
Я назову его tssolution-images и оставлю настройки по умолчанию.
После создания бакета откроем его.
Нам предложат загрузить объекты:
Нам предложат загрузить объекты:
Нажимаем «Загрузить» и выбираем в проводнике файл образа с расширением qcow2, выбираем стандартное хранилище и нажимаем загрузить. Начнется загрузка.
Вы можете следить за ней, нажав «Подробнее» во всплывшем внизу справа маленьком окне.
Вы можете следить за ней, нажав «Подробнее» во всплывшем внизу справа маленьком окне.
Когда файл загрузится, он появится в списке объектов:
Для последующего его использования при создании виртуальной машины нам необходимо файл из Object Storage загрузить в хранилище образов. А для этого нам понадобится ссылка на файл.
Поэтому перейдем к свойствам файла. Нажав на него мы получим ссылку:
Поэтому перейдем к свойствам файла. Нажав на него мы получим ссылку:
При получении ссылки нас спросят срок её действия. Вводим 4 часа: этого вполне достаточно, чтобы загрузить файл. Ссылку скопируем, она нам ещё понадобится на следующем этапе.
Создание образа Compute Cloud из файла
Теперь нам необходимо перейти в сервис Compute Cloud.
В меню сервисов вы можете снова воспользоваться поиском:
В меню сервисов вы можете снова воспользоваться поиском:
Перейдем в раздел образы
Сейчас образов здесь нет.
Нажмём в верхней правой части экрана кнопку «Загрузить образ» и заполним сведения о файле образа:
Нажмём в верхней правой части экрана кнопку «Загрузить образ» и заполним сведения о файле образа:
В моем случае: я указал имя ksmg21-image, а ссылку указал ту, которую копировал ранее в сервисе Object Storage. Нажимаем «Загрузить».
Мы можем увидеть процесс создания снимка в списке образов.
Дожидаемся, пока статус перейдет в «Ready»:
Мы можем увидеть процесс создания снимка в списке образов.
Дожидаемся, пока статус перейдет в «Ready»:
На данном этапе мы готовы к развертыванию виртуальной машины.
Развертывание образа виртуальной машины
Перейдем в раздел «Виртуальные машины» в меню слева и нажмем «Создать ВМ».
Заполним имя и в разделе «Выбор образа/загрузочного диска» перейдем на вкладку «Пользовательские» и нажмем «Выбрать»:
Заполним имя и в разделе «Выбор образа/загрузочного диска» перейдем на вкладку «Пользовательские» и нажмем «Выбрать»:
В открывшемся окне перейдем во вкладку «Образ». Затем выберем наш подготовленный образ ksmg21-image и нажмем «Применить».
Далее выбираем количество виртуальных ядер и оперативной памяти (остальное я оставил по умолчанию). Исходя из рекомендаций, требуется 8 ядер и 16ГБ ОЗУ.
Также необходимо указать настройки доступа. Технически, создавая виртуальную машину из подготовленного образа, Яндекс Облако не сможет прописать учетную запись для доступа по SSH в конфигурацию операционной системы. Но данные поля являются обязательными, поэтому вам будет необходимо создать пару SSH-ключей если у вас её нет.
Процесс создания ключей опустим, так как он хорошо описан в документации Яндекс Облако. Обязательно сохраните пару ключей. Они понадобятся на последнем этапе (когда мы будем настраивать доступ из интерфейса KSMG).
Так как мы не сможем подключиться по SSH сразу, то нам необходимо обязательно поставить галочку «Разрешить доступ к серийной консоли» и нажать «Создать ВМ».
Процесс создания ключей опустим, так как он хорошо описан в документации Яндекс Облако. Обязательно сохраните пару ключей. Они понадобятся на последнем этапе (когда мы будем настраивать доступ из интерфейса KSMG).
Так как мы не сможем подключиться по SSH сразу, то нам необходимо обязательно поставить галочку «Разрешить доступ к серийной консоли» и нажать «Создать ВМ».
Нас перекинет на начальную страницу раздела «Виртуальные машины». Дождитесь, пока ВМ не перейдет в статус «Running»: это будет означать, что она успешно развернулась и запустилась.
В фоне начнется загрузка системы. Это может занять некоторое время.
В фоне начнется загрузка системы. Это может занять некоторое время.
Подготовка к работе сервера KSMG
Несмотря на то, что мы развернули сервер и он включен: к полноценной работе он пока не готов. Нам необходимо произвести некоторые дополнительные настройки: настроить сетевой интерфейс и сменить имя сервера.
Перейдем в серийную консоль нашей виртуальной машины и войдем в режим технической поддержки.
Если после запуска виртуальной машины в вашей серийной консоли отображается черный экран, то просто подождите. Вероятно, она ещё не загрузилась до конца.
После загрузки и перехода в серийную консоль вы увидите приглашение ввести учетные данные. Используем пользователя root.
Перейдем в серийную консоль нашей виртуальной машины и войдем в режим технической поддержки.
Если после запуска виртуальной машины в вашей серийной консоли отображается черный экран, то просто подождите. Вероятно, она ещё не загрузилась до конца.
После загрузки и перехода в серийную консоль вы увидите приглашение ввести учетные данные. Используем пользователя root.
После успешного входа вас предупредит, что вы в режиме технической поддержки.
Настройка сетевого интерфейса
Из-за того, что в образе, который мы загрузили, и созданной виртуальной машине Яндекс Облака названия сетевых интерфейсов отличаются, нам необходимо перенастроить сетевые параметры.
Первым делом проверим, как у нас называется сетевой интерфейс:
ip a
Первым делом проверим, как у нас называется сетевой интерфейс:
ip a
Первый интерфейс — это loopback, поэтому нам интересен второй. Его название — ens8.
Для изменения сетевых параметров воспользуемся утилитой, которую предоставил нам вендор для своего продукта. Она уже находится в папке на сервере.
/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -e
Откроется псевдографический интерфейс.
Для изменения сетевых параметров воспользуемся утилитой, которую предоставил нам вендор для своего продукта. Она уже находится в папке на сервере.
/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -e
Откроется псевдографический интерфейс.
Перейдем в пункт Edit a connection. Там будет располагаться всего одно подключение «Wired connection 1». Нажмем Edit, чтобы перейти к его настройкам.
Поменяем название в графе Device на ens8.
В образе задано получать сетевые настройки автоматически, поэтому больше ничего менять не требуется. Нажмем О К и выйдем в начальное меню.
Изменение имени сервера
Для корректной работы служб KSMG необходимо, чтобы имя сервера KSMG разрешалось в ip-адрес при обращении к DNS-серверу.
В самом простом сценарии достаточно будет использовать FQDN, который нам предоставило само Яндекс Облако, так как оно уже занесено во внутренний DNS сервер (адрес которого мы получили для нашего интерфейса автоматически).
FQDN доступен в свойствах сервера в консоли Яндекс Облака:
В самом простом сценарии достаточно будет использовать FQDN, который нам предоставило само Яндекс Облако, так как оно уже занесено во внутренний DNS сервер (адрес которого мы получили для нашего интерфейса автоматически).
FQDN доступен в свойствах сервера в консоли Яндекс Облака:
В версии KSMG 2.1 менять имя хоста можно прямо из псевдографического интерфейса, в котором мы меняли сетевые настройки. Этим и воспользуемся. Нажмем Set system hostname.
Введем имя сервера из раздела Обзор и нажмем ОК.
После этого нас перекинет в начальное меню. Теперь мы можем нажать Quit и выйти.
Утилита перед применением проверит ваши новые настройки и сообщит, если возникнет проблема их применения. А также проверит, удается ли установить сетевое соединение.
Утилита перед применением проверит ваши новые настройки и сообщит, если возникнет проблема их применения. А также проверит, удается ли установить сетевое соединение.
Обновление IP адреса KSMG
До этого мы изменяли параметры операционной системы. Теперь нам надо применить их к службам сервера KSMG.
Для этого воспользуемся той же утилитой, но с ключом «-a»:
/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -a
Утилита проверит, есть ли А-запись для вашего имени хоста в DNS, и попросит нажать любую клавишу.
Для этого воспользуемся той же утилитой, но с ключом «-a»:
/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -a
Утилита проверит, есть ли А-запись для вашего имени хоста в DNS, и попросит нажать любую клавишу.
Далее KSMG попросит подтвердить ip-адрес сервера, порт кластера и порт веб-интерфейса.
Когда вы нажмете ОК, система перезапустит необходимые службы.
Настройка KSMG через веб-интерфейс
Базовая настройка KSMG 2.0 уже рассматривалась в статье, о которой я упоминал ранее: Kaspersky Secure Mail Gateway 2.0. В версии 2.1 кардинально в этом разрезе ничего не изменилось. Поэтому мы рассмотрим дополнительные шаги, которые требуется сделать после развертывания в Яндекс Облако.
Перейдем в веб интерфейс, используя полученный от Яндекс Облака ip-адрес. Его можно посмотреть в разделе «Обзор». Логин для входа: Administrator.
Перейдем в веб интерфейс, используя полученный от Яндекс Облака ip-адрес. Его можно посмотреть в разделе «Обзор». Логин для входа: Administrator.
Обеспечение доступа по SSH
Для начала добавим SSH-ключ для доступа к консоли удаленно. Для этого перейдем в раздел Параметры -> Доступ к программе -> Доступ SSH и нажмем «Добавить ключ»:
В описании можно написать имя администратора, а открытый ключ можно использовать тот же, что и на этапе создания виртуальной машины. Нажмем «Добавить» и наш ключ появится в списке.
Проверим работоспособность доступа через SSH в командной строке:
Проверим работоспособность доступа через SSH в командной строке:
Мы подключились успешно, а это значит, что можно отключить серийную консоль Яндекс Облако, так как это не является рекомендованным способом подключения.
Перейдем к параметрам виртуальной машины и уберем галку с дополнительного параметра «Разрешить доступ к серийной консоли»:
Перейдем к параметрам виртуальной машины и уберем галку с дополнительного параметра «Разрешить доступ к серийной консоли»:
Изменение пароля администратора
Довольно простая процедура, но не менее важная — это изменение пароля администратора. Нажмите на имя Administrator в левом нижнем углу и нажмите «Изменить пароль».
Заключение
Подытожим: в совокупности развертывание в облаке Яндекса и возможность построения кластерной архитектуры шлюза безопасности KSMG поможет вам достичь высочайшего уровня отказоустойчивости почтовых служб и сократит затраты на развитие и поддержку локальной инфраструктуры.
Надеемся, что эта статья смогла ответить на ключевые вопросы, связанные с использованием шлюза KSMG в облаке Yandex Cloud.
Если вы хотите побольше узнать о решении Kaspersky Secure Mail Gateway, то рекомендуем посмотреть наши вебинары, проведенные совместно с коллегами из Лаборатории Касперского:
Дополнительно вы можете ознакомиться с нашей статьей по настройке продукта для защиты интернет-шлюзов Kaspersky Web Traffic Security от Лаборатории Касперского:
До встречи в новых статьях на TS University!
Автор: Папазов Илья, Ведущий системный инженер TS Solution
Надеемся, что эта статья смогла ответить на ключевые вопросы, связанные с использованием шлюза KSMG в облаке Yandex Cloud.
Если вы хотите побольше узнать о решении Kaspersky Secure Mail Gateway, то рекомендуем посмотреть наши вебинары, проведенные совместно с коллегами из Лаборатории Касперского:
- Защита почты с Kaspersky Email Security
- Применение Kaspersky KATA & KEDR в контексте актуальных угроз
Дополнительно вы можете ознакомиться с нашей статьей по настройке продукта для защиты интернет-шлюзов Kaspersky Web Traffic Security от Лаборатории Касперского:
До встречи в новых статьях на TS University!
Автор: Папазов Илья, Ведущий системный инженер TS Solution