In den letzten zwei Monaten habe ich auf einem VDI-Refresh-Engagement gearbeitet, an denen Technologien wie VMware Horizon View 5.2, VCN (vShield) und McAfee Verschieben, agentenlose Lösung. Der Kunde verwendet die zuvor eine Standard-Agent-Lösung McAfee, mit der in jedem virtuellen Windows-Desktop installierten Agenten. Allerdings besitzen sie die Lizenz für die agentenlose Lösung, und dachte, dass dies eine geeignete Zeit, dies zu untersuchen, um die Umwelt zu optimieren und die beste Leistung bieten, während sie weiterhin ihre virtuellen Desktops zu schützen.

Mit der agentenlose Lösung eine virtuelle Security-Appliance ist auf jedem Host ausgeführt werden, und führt alle Scan sowie Definition und Richtlinien-Updates. Dies reduziert die Last auf dem Host in Bezug auf Speicher und CPU, und auch die virtuellen Windows-Desktop, da es keine Anforderung für das Mittel ist in Windows installiert werden. Die Vorteile liegen auf der Hand, mit einem erhöhten virtuellen Desktop-Leistung und Anti-Viren-Updates und Scannen Stürme, eine Sache der Vergangenheit. Sie können auch die Lösung aus dem McAfee ePolicy Orchestrator verwalten.

Deshalb wird nach der Forschung und eine Probezeit, setzte ich die agentenlose Lösung, und ich dachte, dass ich den Prozess und Macken \ Probleme dokumentieren würde ich auf dem Weg zu finden, falls ein künftiges Engagement diese oder eine ähnliche agentenlose Lösung beinhaltet. Ich hoffe, dass auch andere diese nützlich finden können?

Zunächst einmal kann die McAfee Verschieben Lösung und Produktführer finden Sie hier:

Sie können auch andere externe Referenzen am Ende dieses Beitrags überprüfen.

Die folgende Grafik wird aus der obigen Anleitung von McAfee übernommen und die Komponenten in der Lösung beteiligt skizzieren.

• Erster Schritt ist die Bereitstellung von vCloud Networking and Security 5.1.2 (vShield Manager), in das Management-Cluster, der eine separate Instanz von einem anderen vCenter von den virtuellen Desktops Hosts verwaltet wird.
• Laden Sie die VCN-Appliance von VMware.com, und importieren Sie die OVF und Setup die entsprechenden Netzwerk Details um den Einrichtungsassistenten über den vSphere-Client. Die VCN-Bereitstellung und Admin-Führer können Sie hier:
• Sobald die "vShield Manager" VM bereitgestellt wird und im Netzwerk verfügbar, schließen Sie die URL des Geräts verwenden, Standardanmeldeinformationen admin und das Kennwort Standard mit
• Fahren Sie mit dem Setup von der 'Einstellungen und Berichte "Menü auf der linken Seite, den Lookup Service und anderen relevanten Einstellungen wie NTP und SSL konfigurieren. Lookup Service -

• Jetzt ist es Zeit VCN von 5.1.2 bis 5.1.2a (neueste Maintenance Release) zu aktualisieren,
• Laden Sie die vShield Upgrade-Bundle (von VMware.com) zu einem Ort, an dem vShield Manager zu suchen. Der Name des Upgrade-Bundle-Datei sollte sein: - VMware-vShield Manager-Upgrade-Bundle-wartungs 5.1.2-997359.tar.gz

Hinweis: Sicherstellen, dass das Upgrade-Bundle, wie oben genannt wird, sonst werden Sie eine Fehlermeldung erhalten, wenn sie versuchen vShield zu aktualisieren. Ich hatte die Datei nach dem Download umbenennen, um diese gearbeitet, um sicherzustellen. Dieses Problem wurde Dokument von einem anderen Blogger.

• Aus dem Inventar vShield Manager, klicken Sie auf Einstellungen und Berichte.
• Klicken Sie auf die Registerkarte Updates.
• Klicken Sie auf Hochladen Upgrade-Bundles.
• Klicken Sie auf Durchsuchen und wählen Sie die VMware-vShield Manager-Upgrade-Bundle-wartungs 5.1.2-997359.tar.gz Datei.
• Klicken Sie auf Öffnen.
• Klicken Sie auf Datei hochladen.
• Klicken Sie auf Installieren Sie den Upgrade-Prozess zu beginnen.
• Klicken Sie auf Bestätigen Installieren. Der Upgrade-Prozess neu startet vShield Manager, so dass Sie die Verbindung zum vShield Manager verlieren könnte. Keiner der anderen vShield-Komponenten neu gestartet werden.
• Überprüfen Sie die Wartungs-Update angewendet wurde

Es gibt ein paar von VMware KB-Artikel um diesen Prozess zu unterstützen.

• Ein Upgrade auf vCloud Networking and Security 5.1.2a Best Practices (2.044.458)

• Die Anwendung des 5.1.2-997359 vShield Manager-Patch

Nach dem VCN (vShield Manager) 5.1.2a aktualisiert wurde, war es Zeit, die vShield Endpoint-Komponente auf jedem ESXi-Host zu installieren. Sie können die Best Practices Guide von hier überprüfen

• Sie können diesen Schritt ausführen, entweder aus dem vSphere-Client oder vShield Manager. Ich ziehe das letztere zu verwenden, nur um zu überprüfen, die Dinge aus der vShield Manager Sicht. Suchen Sie nach Ihrer Host (s) und wählen Sie mit Hilfe des Inventar-Menü auf der linken Seite und sehen Sie die Zusammenfassung von der rechten Seite.

• Installieren Sie die vShield Endpoint-Komponente und warten für die Überprüfung der Installation abgeschlossen ist, können Sie die verschiedenen Aufgaben aus dem vSphere-Client anzeigen. Sobald erfolgreich abgeschlossen wurde, werden Sie ein ähnliches Ergebnis an die unten beobachten.

• Überprüfen Sie den Endpoint-Status, einschließlich der Ereignisse protokollieren.

• Führen Sie diesen Schritt für alle verbleibenden Hosts.
• Nun sind die VCN und benötigten Komponenten (Endpoint) installiert, die McAfee Verschieben virtueller Security Appliances (VSA) kann nun eingesetzt werden.

In Vorbereitung auf die McAfee Verschieben virtueller Security Appliances (VSA) auf jedem ESXi-Host, McAfee ePolicy Orchestrator-Software, die für die Lösung als Management-Station fungiert muss bereitgestellt werden. Die neueste Version 5.01 wurde heruntergeladen und installiert auf Windows Server 2008. Diese vom Kunden durchgeführt wurde, aber es ist ein einfacher Prozess, entweder eine SQL Express oder dedizierten SQL Server-Installation, abhängig von der Größe der Umgebung wählen. Weitere Informationen finden Sie in der Dokumentation von McAfee oder externe Referenzen am Ende des Beitrags.

Im Anschluss an die ePO-Einsatz, müssen Sie "Produkterweiterungen" installieren, um die Funktionalität der ePO-Software zu erweitern und für den Umzug agentenlose Lösung ermöglichen.

• Innerhalb von ePO installieren, um die Erweiterungen über Menü> Software> Erweiterungen> Erweiterung installieren Hauptprodukterweiterung MOVE-AV-AL_EXT_3.0.0.zip Lizenzerweiterung MOVE-AV-AL_License_EXT_3.0.0.zip
• Stellen Sie die VSA mit dem McAfee MOVE-AV-Agentless OVF (MOVE-AV-AL-OVF_3.0.0.zip)

Hinweis: Wenn Sie die Details Abschluss im Abschnitt Eigenschaften der Vorlage Deploy OVF ich einige dieser Einstellungen nicht gefunden nach der Bereitstellung der VM zutraf. Zum Beispiel, wenn Sie ein neues Admin-Kennwort für das svaadmin Konto aus irgendeinem Grund das Kennwort ein, wenn nicht zuerst Es gelten die VSA am Konsolenbildschirm einrichten, Sie immer noch das Standardkennwort admin verwenden müssen.

Auch Einstellungen wie die vShield und ePO galt auch nicht, und ich musste neu eingeben diese über die Konsole.

• Schließen Sie die Konfiguration des Gerätes an der Konsole Bildschirm aus dem vSphere-Client. Ich lief durch die ganze Einrichtung nur alle relevanten Einstellungen, um sicherzustellen, korrekt waren, da einige nicht gelten (aus irgendeinem Grund?), Aus dem Einsatz des VSA aus dem OVF-Assistenten.

• Bestätigen Sie die Einstellung über die Konsole abgeschlossen ist, stellen Sie sicher, das eingestellt wurde und registriert das Gerät mit vShield Manager und ePO-Server, das Gerät zu ermöglichen, zu kommunizieren und Funktion mit beiden.
• Von der vShield Registerkarte innerhalb des vSphere-Client oder vShield Manager, bestätigen Sie den Dienst Virtual Machine erkannt wurde.

• Melden Sie sich bei McAfee ePO (und von der Systemstruktur, suchen Sie nach Lage Meine Organisation> Lost & Found> none
• Sie sollten Ihr Gerät, verschieben (Drag & Drop), um die VSA in die eigene Organisation Setup zu sehen, von hier aus können Sie \ assign Richtlinien und Client-Aufgaben zu übernehmen. Ich Setup einen Ordner "ESXi VSA" genannt, die alle Geräte enthält, und die entsprechenden Policen werden dann an dieser Stelle aufgebracht.

• Sie können auch das Executive Dashboard überprüfen, um Ihre VSA ist sicherzustellen, einhalten.

• Sie können über "konform" von diesem Armaturenbrett bohren weiter nach unten, das Ihr VSAs auflistet. Sie können eine bestimmte VSA wählen, dann erkunden und alle Eigenschaften und Systemdetails.

• Verwalten Sie die Richtlinien über den Richtlinienkatalog. Wählen Sie Verschieben AV agentless aus dem Produkt der Dropdown-Liste. Mein Standard (Scan) und My Standard (SVA) sind die Richtlinien zu verwalten und entsprechend umbenannt werden.

• Mein Standard (Scan) Richtlinie können Sie die folgenden Einstellungen aktivieren oder deaktivieren. Ich fand die meisten Standardeinstellungen ziemlich korrekt zu sein, aber diese sollten nach jeder einzigartigen Umgebung abgestimmt werden. Hier können Sie On-Demand-Scan aktivieren, wenn gewünscht, einen Scan aller virtuellen Maschinen durch den VSA auf dem Host, während eines ausgewählten Fenster geschützt auszuführen.

• Meine Standard (SVA) Politik erfordert die Registerkarte Authentifizierung die entsprechenden Details Ihrer vCenter Server und Anmeldeinformationen. Verwenden Sie die "Test-Verbindungseinstellungen", diese Einstellung zu überprüfen.

• Registerkarte Scaneinstellungen, ermöglicht diese weitere Steuerung der On-Demand-Scan-Einstellungen, die Sie aus dem Standard (Scan) Richtlinie aktivieren können. Sie können diese zwicken, wie gewünscht, können Sie die Scan-Zeitfenster ändern möchten Ihre Umgebung anpassen. Sie können auch die On-Demand-Scan-Intervall der Zeit ändern (Standard: 7 Tage).

Die VM-basierten Scan-Konfiguration ermöglichen eine weitere granulare Kontrolle, zu einer Gruppe von virtuellen Maschinen geschützt, und dann Richtlinien für diese Gruppen gelten. Sie müssen die entsprechenden Data Center Connector für vSphere zu installieren, die entdeckt und importiert beide laufen und gestoppt Maschine Instanzen von VMware vCenter auf die McAfee ePO-Server. Dieses Produkt integriert das Management-Funktion von McAfee ePO mit dem VMware vCenter Server und zeigt die importierten virtuellen Maschinen und deren Schutzstatus auf McAfee ePO.

Fehlerbehebung

• Ich stolperte über ein paar Probleme in der gesamten Bereitstellungsprozess. Sie können über den folgenden Fehler kommen, wenn sie versuchen das Verschieben Gerät mit vShield Manager zu registrieren.

"Keine Route zum Host '

Das fand ich ein Setup-Problem zu sein, nach einem schnellen Ping-Test des Gerätes, die versagt, ich doppelt das Gerät geprüft VM. Beim ersten Einsatz der OVF-Vorlage, ich falsch konfiguriert ist, das Management-Netzwerk, und ausgewählt, um die nächste VLAN in der Liste. Nachdem schnell die VM Bearbeitung und die richtige vNetwork- Auswahl, konnte ich mein Gerät ping und mit vShield Manager registrieren.

• Der folgende Fehler kann beim Start des Geräts angezeigt werden. Ich fand ein paar Minuten warten, würde das Gerät booten und Funktion als normal. Stellen Sie sicher, von vShield Manager und ePolicy Orchestrator.

• Wenn es einen Grund gibt, das Verschieben-Appliance-Protokolle zu überprüfen, vielleicht ist das Gerät nicht mit ePolicy Orchestrator beim erstmaligen Konfiguration in Verbindung steht, oder die Dienste nicht eine error.Run den folgenden Befehl ls / opt / McAfee / move / Protokoll starten oder anzeigen /

Sie können Linux-Befehle wie "Schwanz" verwenden, um die Protokolle zu überprüfen -

Die Protokolle sind ziemlich selbsterklärend, in meiner Erfahrung habe ich den mcafee_agent_registration.log und mvsvc.log, während der Fehlersuche Kommunikation vom Gerät auf dem ePO-Server.

Move-AV-Gerät - VM-Ressourcen

Die Standard-Einsatz der VM wird für 2 GB und 2 vCPU standardmäßig konfiguriert. Ich konnte keine Größen Führung innerhalb der Dokumentation finden, zum Beispiel empfohlenen Spezifikationen für 50+ VMs pro Host oder mehr als 100 VMs pro Host. Die Dokumentation erklärt ein Minimum der obigen Konfiguration. Daher anfänglich eingesetzten ich mit den Standardwerten.

On-Demand-Scans, in dem das Gerät alle VMs auf dem Host zu scannen, kann für ein Fenster Ihrer Wahl geplant werden (vorzugsweise aus der Produktion Stunden). Die On-Demand-Scan-Einstellung ist standardmäßig deaktiviert. Ich ermöglichte, das zu sehen, wie das Gerät und Host während einer Testperiode durchgeführt.

CPU - Ressourcen des Gerätes wurden im On-Demand-Scans ausgereizt, die standardmäßig maximal zwei VMs durchsucht. Sie können diese Einstellung ändern, aber wenn Sie die Anzahl gleichzeitiger Scans zu erhöhen, würde ich raten, eventuell bei der Suche das Verschieben Gerät bis 4 vCPU erhöhen. Solange On-Demand-Scans aus der Produktion Stunden auftreten, ein 4 vCPU Verschieben Gerät mit, die ohne Zweifel die volle Nutzung dieser vCPUs machen (obwohl ich nicht getestet), nicht anderen virtuellen Desktops, die auf dem Host beeinflussen sollte in Bezug auf die ESXi-Co-Scheduling.

RAM - Das Betriebssystem des Gerätes neigt um 1,5 GB RAM, aber wenn Scans On-Demand zu konsumieren statt, die VM alle RAM verfügbar verwendet. Gegen Ende des Scanfenster, fand ich ein paar verschiedene Geräte nur eingesperrt und stürzte ab. Der Host ausgeführt wurde mit rund 50 VMs.

Ich empfehle Erhöhung dies zumindest bis zu 4 GB RAM, möglicherweise 6GB oder 8 GB abhängig von der VM \ Host-Verhältnis.

Ungeschützte-Status

Innerhalb von vShield Manager, Service-VMs (Geräte von Endpoint verwaltet werden), sollte aus dem Inventar nicht sichtbar sein, als Management-Operationen werden nicht unterstützt. Allerdings entdeckte ich ein paar Verschieben Geräte, die unter der Übersichtsseite als Services "Ungeschützt" sichtbar und zeigt, waren.

Ich konnte keine Fehler oder Alarme in den Protokollen von vShield Manager oder über die vShield Registerkarte auf jedem Host in vCenter finden den Client. Von hier aus war der Endpoint-Status auch gut. Doch von der Seite Allgemein, bemerkte ich die "Service-Virtual Machines" Liste als leer. Andere Gastgeber waren die Auflistung der Service-VM.

Die Anmeldung in McAfee ePolicy Orchestrator, zeigten alle Geräte in Verbindung steht und innerhalb der Compliance. Allerdings habe ich aus jedem dieser drei Verschieben Geräte haben bemerkt, die "Bedrohungsereignisse" im ePO war relativ leer für die letzten paar Tage, im Vergleich zu den anderen verschieben Geräte.

Daher dieses Problem zu lösen, hatte ich das Verschieben Gerät von vShield Manager abzumelden, und dann das Gerät wieder zu registrieren.

Aus dem Verschieben-Appliance-Konsole als svaadmin anmelden und den folgenden Befehl ausführen, um die Setup-Konfigurationsskript auszuführen

sudo / opt / McAfee / Bewegung / bin / sva-config Geben Sie "Nein" für die Konfiguration anderer Elemente wie Host und Netzwerk wählen 'austragen' für vShield

Führen Sie den SVA-config Befehl erneut (verwenden Sie Tab), geben Sie "Nein" für andere Elemente konfigurieren.

Dieses Mal, wenn für vShield aufgefordert, wählen Sie "Register" und die Details liefern.

Warten auf ein oder zwei Minuten für die Registrierung abzuschließen, dann zu vShield Manager schnell wechseln und den VM-Auswahl zeigt "Operationen auf dieser virtuellen Maschine nicht unterstützt". Warten Sie eine Minute, und die VM aus dem Inventar verschwinden (was ein gutes Zeichen ist!).

Um alle Komponenten zu überprüfen, in vShield Manager, unter dem Inventar, klicken Sie auf Datacenter. Unter Allgemein überprüfen auf jedem Host die Service-VMs (Move Geräte) werden erkannt und ausgeführt wird. Auch überprüfen Endpoint wird für alle Hosts aktiviert.

Externe Referenzen