Развертывание KSMG 2.0 в Yandex Cloud

Электронная почта – основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и мотивировать его сделать то, что делать не рекомендуется.

В связи с современными тенденциями в области миграции почтовых служб на территорию РФ возникает необходимость обеспечить качественную и отказоустойчивую работу системы фильтрации от вредоносного контента в почтовом трафике. Построение локальной почтовой инфраструктуры не всегда отвечает требованиям к надежности и бесперебойной работе, поэтому в таких случаях оптимальным решением является использование публичного облака одного из местных провайдеров. В данной статье мы рассмотрим использование шлюза безопасности электронной почты Kaspersky Secure Mail Gateway (в дальнейшем – KSMG) в облаке Yandex Cloud.

Если вы хотите подробнее изучить продукт KSMG, то можете ознакомиться с нашими статьями по развертыванию, настройке и тестированию Kaspersky Secure Mail Gateway в локальной инфраструктуре:
Kaspersky Secure Mail Gateway 2.0
KSMG 2.0. Интеграция с Kaspersky Anti Targeted Attack Platform (KATA)

KSMG эффективно борется с фишингом, попытками компрометации корпоративной электронной почты, шифровальщиками и даже продвинутыми атаками по электронной почте. Безопасный шлюз действует на ранних этапах цепочки поражения, пока угрозы не привели к инцидентам и не причинили ущерб. Благодаря этому эффективно снижается риск атаки, а сотрудники не отвлекаются на ненужную дополнительную работу. Интеллектуальная обработка данных осуществляется на всех уровнях защиты, подкрепленных технологией машинного обучения. Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.

Kaspersky Secure Mail Gateway – это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности. На текущий момент оно поставляется в формате ISO образа для развертывания на физических или виртуальных серверах. Для использования в виртуальной облачной среде Яндекса мы используем специально подготовленный образ в формате qcow2.

Откроем консоль управления облаком Яндекса по адресу https://console.cloud.yandex.ru/.

Регистрацию аккаунта в Яндекс Облако я пропущу, инструкции и документацию можно найти на сайте Яндекс.

Первым делом для загрузки файла образа воспользуемся сервисом Object Storage. Его можно найти в меню сервисов через поиск в разделе «Инфраструктура и сеть»:

У вас откроется панель сервиса со списком бакетов (корзин хранения). В моем случае список пуст и мне выводится информационная заглушка:

Создадим бакет через кнопку в правом верхнем углу. Я назову его tssolution-images и оставлю настройки по умолчанию.

После создания бакета нам предложат загрузить объекты.

Нажимаем «Загрузить объекты» и выбираем в проводнике файл образа с расширением qcow2, выбираем стандартное хранилище и нажимаем загрузить. Начнется загрузка, вы можете следить за ней, нажав «Подробнее» во всплывшем внизу справа маленьком окне.

Когда файл загрузится, обновите страницу, и он появится в списке:

Для последующего использования его при создании виртуальной машины нам необходимо файл из Object Storage загрузить в хранилище образов, а для этого нам понадобится ссылка на файл. Поэтому перейдем к свойствам файла. Нажав на него, получим ссылку:

При получении ссылки нас спросят срок её действия. Вводим 4 часа, этого вполне достаточно, чтобы загрузить файл. Ссылку копируем, она нам ещё понадобится на следующем этапе.

Теперь нам необходимо перейти в сервис Compute Cloud в меню сервисов, можете снова воспользоваться поиском:

Перейдем в раздел образы:

Сейчас образов здесь нет. Нажмем в верхней правой части экрана кнопку «Загрузить образ» и заполним сведения о файле образа:

В моем случае я указал имя ksmg-image, а ссылку указал ту, которую копировал ранее в сервисе Object Storage. Нажимаем «Загрузить».

Мы можем увидеть процесс создания снимка в списке образов, дожидаемся пока статус перейдет в «Ready»:

На данном этапе мы готовы к развертыванию виртуальной машины.

Перейдем в раздел «Виртуальные машины» в меню слева и нажмем «Создать ВМ». Заполним имя и в разделе «Выбор образа/загрузочного диска», перейдем на вкладку «Пользовательские» и нажмем «Выбрать»:

В открывшемся окне перейдем во вкладку «Образ», выберем наш подготовленный образ ksmg-image и нажмем «Применить».

Далее выбираем количество виртуальных ядер и оперативной памяти, остальное я оставил по умолчанию. Исходя из рекомендаций требуется 8 ядер и 16ГБ ОЗУ.

Также необходимо указать настройки доступа. Технически, создавая виртуальную машину из подготовленного образа, Яндекс Облако не сможет прописать учетную запись для доступа по SSH в конфигурацию операционной системы, но данные поля являются обязательными, поэтому вам необходимо создать пару SSH ключей, если у вас её нет. Процесс создания ключей опустим, так как он хорошо описан в документации Яндекс Облако. Обязательно сохраните пару ключей, она понадобится на последнем этапе, когда будем настраивать доступ из интерфейса KSMG.

Так как мы не сможем подключиться по SSH сразу, то нам необходимо обязательно поставить галку «Разрешить доступ к серийной консоли». Нажмем «Создать ВМ».

Нас перекинет на начальную страницу раздела «Виртуальные машины». Дождитесь пока ВМ не перейдет в статус «Running», это будет означать, что она успешно развернулась и запустилась.

Несмотря на то, что мы развернули сервер и он включен к полноценной работе, он пока не готов. Нам необходимо произвести некоторые дополнительные настройки.

Перейдем в серийную консоль нашей виртуальной машины и войдем в режим технической поддержки:

Далее нам придется работать в консоли, меняя конфигурационные файлы. Для начала переименуем конфигурационный файл сетевого интерфейса, так как в подготовленном образе он назывался enp0s3, а в виртуальной машине Яндекс Облако он называется eth0:

mv /etc/sysconfig/network-scripts/ifcfg-enp0s3 /etc/sysconfig/network-scripts/ifcfg-eth0

Соответственно в самом конфигурационном файле название необходимо изменить тоже. Откроем его редактором Vim и изменим параметр DEVICE на eth0.

vi /etc/sysconfig/network-scripts/ifcfg-eth0

Файл должен выглядеть так:

Сохранимся и закроем файл и запустим интерфейс eth0:

ifconfig eth0 up

Но доступ в глобальную сеть пока ещё не будет работать, необходимо прописать маршрут по умолчанию, для этого создадим файл:

vi /etc/sysconfig/network-scripts/route-eth0

В нашей подсети шлюз по умолчанию имеет IP 10.129.0.1, поэтому добавим в файл строку «0.0.0.0/0 via 10.129.0.1» (без кавычек), сохраним и закроем.

Теперь перезапустим службу сети, проверим настройки интерфейсов и связность с глобальной сетью:

systemctl restart network
ip a
ping 8.8.8.8

Как мы видим, интерфейс eth0 получил настройки по DHCP и отклик от сервера 8.8.8.8, значит, сеть настроена успешно.

Далее для корректной настройки служб KSMG нам необходимо изменить имя сервера на FQDN виртуальной машины в Яндекс Облако. FQDN доступен в свойствах сервера:

Введем команду hostname <FQDN>, в моем случае:

hostname ksmg-serv.ru-central1.internal

А также изменим имя в файле /etc/hostname:

vi /etc/hostname

Проверим, что всё успешно изменено:

Перезагрузим сервер из консоли, используя команду reboot.

Откроем во вкладке браузера по протоколу HTTPS веб-интерфейс администратора KSMG, используя публичный IP адрес. После ввода логина и пароля администратора нас оповестят, что необходимо создать новый кластер. Так и сделаем:

На данном этапе можно не обращать внимание, что IP адрес текущего сервера указан некорректный, мы это исправим сразу после создания кластера. После нажатия кнопки «Создать новый кластер» перед нами откроется дашборд KSMG.

Вернемся к серийной консоли и запустим команду смены сетевых настроек KSMG:

/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -a

Перед нами откроется меню, где нам нужно задать текущий IP адрес узла, но по умолчанию, если все настроено верно, он сам подхватит адрес из сетевых настроек и останется только нажать ОК. Также он запросит порт для кластерного взаимодействия, оставим 9045.

После этого нас оповестят, что операция прошла успешно, и предупредят, что если у нас подключены вторичные узлы, то их необходимо заново привязать. Нажимаем любую клавишу, после этого службы будут перезапущены.

На этом предварительную настройку можно считать оконченной и перейти к настройке через веб-интерфейс.

Базовая настройка уже рассматривалась в статье о KSMG, о которой я упоминал выше, — Kaspersky Secure Mail Gateway 2.0. Поэтому я расскажу только о дополнительных шагах, которые требуется сделать после развертывания в Яндекс Облако.

Для начала добавим SSH ключ для доступа к консоли удаленно. Для этого перейдем в раздел Параметры -> Доступ к программе -> Доступ SSH и нажмем «Добавить ключ»:

В описании можно написать имя администратора, а открытый ключ можно использовать тот же, что и на этапе создания виртуальной машины. Нажмем «Добавить», наш ключ появится в списке. Проверим работоспособность доступа через SSH в командной строке:

Мы подключились успешно, а это значит, что можно отключить серийную консоль Яндекс Облако, так как это не является рекомендованным способом подключения.

Перейдем к параметрам виртуальной машины и уберем галку с дополнительного параметра «Разрешить доступ к серийной консоли»:

Довольно простая процедура, но не менее важная, это изменение пароля администратора. Для этого перейдем в раздел Параметры -> Доступ к программе -> Локальный администратор, после ввода старого и нового паролей нажмем «Сохранить».

Развертывание в облаке Яндекса и возможность построения кластерной архитектуры шлюза безопасности KSMG поможет вам достичь высочайшего уровня отказоустойчивости почтовых служб, сократит затраты на развитие и поддержку локальной инфраструктуры.

Если вы хотите побольше узнать о решении Kaspersky Secure Mail Gateway, то рекомендуем посмотреть наши вебинары, проведенные совместно с коллегами из Лаборатории Касперского:
Защита почты с Kaspersky Email Security
Применение Kaspersky KATA & KEDR в контексте актуальных угроз

Дополнительно вы можете ознакомиться с нашей статьей по настройке продукта для защиты интернет-шлюзов Kaspersky Web Traffic Security от Лаборатории Касперского:

Интеграция Kaspersky Web Traffic Security с Континент 4, UserGate 6. Обеспечение безопасности веб-трафика с помощью потокового антивируса Kaspersky и песочницы KATA.

Автор: Папазов Илья, инженер TS Solution