Антивірусних рішень для захисту корпоративної мережі сьогодні на ринку більш ніж достатньо. Від великої кількості брендів рябить в очах, засвітилися як зарубіжні виробники, так і вітчизняні. У таких умовах вибрати дійсно відповідне рішення дуже складно. Звичайні критерії відбору, якими керуються користувачі домашніх комп'ютерів, тут не прокотять, тому що на перший план виходять зручність управління і розгортання, а також підтримка потрібних ОС і додатків.
Як будемо вибирати?
Сучасний офіс може налічувати не один десяток, а то й сотню комп'ютерів, не кажучи вже про наявність декількох серверів, що грають різну роль: поштовий, файловий, колективної роботи і так далі. Використання звичайних антивірусів, які ми звикли бачити на десктопах, в таких умовах вкрай важко. Адже управління домашніми версіями проводиться безпосередньо з робочого місця, а пробігтися по кільком сотням комп'ютерів, щоб перевірити, наприклад, як накотилася оновлення, фізично неможливо (використання засобів віддаленого адміністрування тут теж не варіант). Довірити цю операцію користувачеві - значить піддати мережа небезпеки і звести нанівець усі зусилля щодо захисту. Та й фактично так ми позбавляємо себе частини хліба, кожен же має виконувати свою роботу. Саме тому ринок антивірусних корпоративних систем розвивається за своїми законами, і боротьба за замовника ведеться дуже серйозна, адже антівірь зазвичай вибирають один раз і потім дружать з ним багато років.
Корпоративні рішення будуються за схемою "клієнт-сервер", процес управління на всіх етапах від установки до оновлення баз та збору даних про роботу агентів здійснюється з віддаленої консолі. Серверна частина містить базу даних SQL, при цьому для невеликих мереж зазвичай вистачає можливостей, закладених у вбудованій базі, яка поставляється безкоштовно разом з дистрибутивом. З метою економії інтернет-трафіку оновлення антивірусних клієнтів відбувається з внутрішнього сервера. На цьому спільне між корпоративними антивірусами закінчується. Кожна реалізація має свої особливості: підтримка ОС і платформ для сервера і клієнтів, прив'язка до специфічного ПЗ (наприклад, IIS або SQL Server), функціональність клієнтських модулів, локалізація. І, звичайно ж, є відмінності в ціні і специфіці ліцензування. У всіх цих питаннях ми і спробуємо розібратися. У сьогоднішній огляд в якості піддослідних потрапили:
* Kaspersky Open Space Security (KOSS, kaspersky.ru) - лінійка продуктів Лабораторії Касперського для захисту корпоративних мереж будь-якого масштабу і складності;
* Dr.Web Enterprise Suite (ES, drweb.com) - рішення для захисту робочих станцій і файлових серверів Windows, поштових серверів Unix на підприємствах будь-якого розміру;
* ESET NOD32 Smart Security Business Edition (SSBE, esetnod32.ru) - комплексний захист серверів і робочих станцій Windows і Linux;
* Avast! Enterprise Suite (avast.com / ru-ru) - лінійка продуктів для захисту робочих станцій Windows, Windows і Linux серверів, а також продуктів Kerio Mail / WinRoute;
* Symantec Endpoint Protection (SEP, symantec.com / ru) - подальший розвиток Symantec AntiVirus Corporate Edition з поліпшеними функціями запобігання загроз.
Саме ці рішення перебувають у ТОП при пошуку на спеціалізованих ресурсах.
Комплектація та можливості
Kaspersky Open Space Security
Лінійка KOSS складається з декількох продуктів (близько 20), що забезпечують захист найрізноманітніших ресурсів: робочих станцій (Windows XP - Se7en 32/64-bit, Linux), смартфонів (Symbian), інтернетшлюзов, поштових (Sendmail, Qmail, Postfix, Exim, Exchange, Lotus) і файлових серверів (Windows, Linux, NetWare). Всі вони підпорядковуються єдиної консолі управління Kaspersky Administration Kit.
Адміністратор самостійно збирає мозаїку з компонентів, необхідних для захисту систем і сервісів. Але при цьому процес їх відбору та підрахунку суми ліцензії дуже прозорий, тому неприємних сюрпризів вдається уникнути. Ліцензія розраховується з кількості обраних компонентів, тип компонента на ціну не впливає. Клієнт антивіруса Касперського для Windows / Linux Workstation, що встановлюється на робочі місця користувачів, забезпечує комплексний захист і включає в себе антивірус, IDS / IPS, антифішинг, контроль трафіку і підключення зовнішніх пристроїв. Крім цього, в KOSS реалізована підтримка Cisco NAC і Microsoft NAP (докладніше про технологію захисту мережевого доступу NAP дивися в статті "Мережевий коп", опублікованій в] [12.2008).
Dr.Web Enterprise Suite
Недавно анонсований Dr.Web ES 5.0 позиціонується як універсальний засіб для захисту робочих станцій і файлових серверів Windows (Win95 - Win7, клієнти лише 32-bit, сервери 32/64-bit), а також поштових серверів Unix (Linux, FreeBSD до 7.1, Solaris). Наявність у списку застарілих версій ОС часто є вирішальним аргументом при виборі цієї розробки в організаціях, де таких систем багато, а апгрейд небажаний або неможливий. Відповідно, невисокі і системні вимоги, необхідні для роботи агента Dr.Web на комп'ютерах користувачів. Всі компоненти (агент і сервер) розгортаються з одного дистрибутива, що помітно спрощує процес установки. Управління проводиться за допомогою локалізованих консолі управління та / або веб-інтерфейсу. Останній з'явився у версії 5.0 і зроблений з урахуванням можливої роботи непідготовленого користувача. У залежності від виду ліцензії, агент буде забезпечувати різну функціональність. Для ліцензії "антивірус" отримуємо антивірус, антіруткит і антишпигун, за наявності ліцензії "комплексного захисту" додаються антиспам, веб-антивірус і офісний контроль (управління доступом до мережевих і локальних ресурсів). Додатково може встановлюватися NAP Validator, що забезпечує перевірку відповідності політикам NAP.
ESET NOD32 Smart Security Business Edition
Розробка від ESET є комплексним рішенням, призначеним для захисту як робочих станцій, так і серверів. Можливості клієнтської частини антивіруса збігаються з оснащенням NOD32, який ми звикли бачити на десктопах. Основою є модуль ThreatSense, що використовує сигнатурний і евристичний / проактивний аналіз для захисту від вірусів, руткітів і шпигунських модулів. Також в стандартну поставку входить фільтр пошти та веб-сторінок. Модуль ThreatSense може інтегруватися до деяких поштові клієнти (MS Outlook, Thunderbird, The Bat! Та інші). У версії Smart Security до зазначених вище модулів додаються персональний фаєр і антиспам. Файервол, перевіряючи мережеві з'єднання, визначає і блокує деякі типи атак, відстежує зміни у виконуваних файлах і в разі розбіжності забороняє з'єднання до прийняття рішення користувачем. В якості клієнтських систем можуть виступати 32 і 64-бітові версії Windows від 2000 до Se7en (включаючи і редакцію Server), а також Linux / BSD / Solaris і Novell Netware. Централізоване управління здійснюється з консолі ESET Remote Administrator.
avast! Enterprise Suite
Продукт компанії ALWIL Software, що займається розробкою відомого антивіруса avast! Free antivirus. Основу корпоративної версії становить антивірус avast! Professional Edition (або NetClient Edition для використання інструменту керування ADNM), який призначений для захисту робочих станцій від вірусів, руткітів і шпигунського ПЗ. Крім цього, у клієнті реалізована перевірка вхідної та вихідної пошти, P2P і IM-трафіку, блокування потенційне небезпечних скриптів на веб-сторінках. Модуль Network Shield, що входить до складу клієнта, забезпечує захист від деяких мережевих атак. Підтримуються все не серверні версії Windows від 95 до Vista, у тому числі і 64-бітові редакції. Інсталятор автоматично визначає розрядність ОС. Для захисту інших компонентів мережі використовуються відповідні додатки, що встановлюються окремо: сервера Windows (з плагінами Exchange, ISA, Sharepoint і т.д.) і Linux / Unix, модулі підтримки Kerio і PDA. Управління здійснюється централізовано з консолі avast! Distributed Network Manager (ADNM).
Symantec Endpoint Protection
SEP - нащадок знаменитого Norton Antivirus. Пакет забезпечує захист робочих станцій, ноутбуків і серверів, що працюють під управлінням 32/64-бітних Win 2k - Se7en (клієнтські та серверні), Linux, Novell Open Enterprise Server (OES/OES2) і VMWare ESX. Клієнт, що встановлюється на робочі станції та сервера, має повний набір модулів захисту: антивірус, антишпигун, файервол, IPS і контроль додатків. Інструмент VxMS (Veritas Mapping Service) дозволяє виявляти руткіти; проактивний модуль Proactive ThreatScan аналізує поведінку додатків і у разі виявлення відхилень блокує виконання небезпечного коду. Адміністратор, диригуючи політиками з консолі Symantec Endpoint Protection Manager, управляє не тільки налаштуваннями сканування і оновлення модулів, але і доступом користувачів до файлів, каталогів та програмами, контролює цілісність системи, записи реєстру. По окремій ліцензії пропонується модуль Network Access Control, перевіряючий системи на відповідність встановленим політикам і на основі їх стану дозволяє доступ до ресурсів мережі. Тепер розглянемо, що необхідно для розгортання та управління представленими антивірусами. Тут також є свої особливості.
Розгортання та управління
Kaspersky Open Space Security
Почнемо з продукту Лабораторії Касперського. Централізоване управління здійснюється за допомогою інструменту Kaspersky Administration Kit, до складу якого входить консоль управління (локалізована), агент управління (встановлюється на кожну систему) і сервер адміністрування. На останнього, власне, і покладаються всі функції з управління роботою агентів, збір інформації про їх стан, оновлення антивірусних баз і зберігання налаштувань. Причому в мережі може працювати декілька пов'язаних між собою серверів адміністрування, тому дуже легко розподілити навантаження серверів у великих розгалужених мережах. Все управління здійснюється з єдиної консолі. Для установки програм адміністратор копіює дистрибутиви на сервер, а потім поширює на інші системи; також пропонується традиційний (ручний) варіант установки.
Для розгортання сервера знадобиться комп'ютер під Win 2k/2k3/2k8/XP/Vista, а також база даних MS SQL Server, MSDE / Express або MySQL. Установчий пакет самодостатній, тому MSDE і всі необхідні бібліотеки будуть інстальовані з одного файлу.
Зверни увагу на наявність у списку десктопних версій ОС - це дозволяє в невеликих мережах використовувати під сервер малонавантажені робочу станцію.
Для зручності адміністрування великою кількістю систем використовується концепція логічної мережі, в якій кожна група систем має свої налаштування. За замовчуванням її конфігурація збігається з фізичної, але це необов'язково - можна легко виділити системи в групу за певним критерієм. Також хочеться відзначити наявність майстрів початкового налаштування та віддаленої установки, які дозволяють з ходу зробити потрібні налаштування і розгорнути систему захисту, не розбираючись з інтерфейсом консолі.
Dr.Web Enterprise Suite
Як зазначалося раніше, розробники Dr.Web пішли дещо іншим шляхом; їхній продукт - це єдине рішення, що включає сервер і агент. Серверна частина складається з антивірусного сервера, консолі адміністратора і SQL сервера. Призначення компонентів збігається з Kaspersky Administration Kit. У мережі можна розгорнути кілька серверів, об'єднаних в ієрархічну структуру і взаємодіючих між собою. Управління здійснюється з єдиної консолі (локальної або веб), куди також виводиться інформація про стан агентів.
Серверна частина побудована з використанням Java, і сьогодні можлива установка на Windows 2k/XP/2k3/2k8, Linux, FreeBSD і Solaris. У якості СУБД підключається вбудована IntDB база даних (підходить для мереж малого і середнього розміру) або MS SQL Server CE, Oracle (або будь-яка інша через ODBC), в Linux підтримується PostgreSQL.
Сама консоль управління з четвертої версії практично не змінилася. Деякі завдання, щоб не шукати їх у списку, можна викликати з контекстного меню клацанням по іконці в треї. Веб-інтерфейс в базових операціях помітно зручніше консолі, особливо для збору даних про стан агентів. Щоб до нього підключитися, слід ввести в браузері адресу сервера і порт 9080/9081 (HTTP / HTTPS). Браузер повинен підтримувати виконання Java.
ESET NOD32 Smart Security Business Edition
Для централізованого адміністрування продуктів ESET використовується Remote Administrator (ERA), що складається з сервера (ERAS) і консолі управління (ERAC), що поставляються окремими збірками. Їх основне призначення збігається з рішеннями, описуваними раніше. Сервер забезпечує безпосереднє управління клієнтами та збір даних, додатково може бути дзеркалом оновлень. У мережі може бути встановлено кілька ERAS, які реплікує налаштування на основний сервер.
Локалізована консоль дозволяє управляти віддаленої установкою антивіруса, попередньо визначивши конфігурації для пакетів; наказувати налаштування, що відправляються клієнтам; створювати політики і отримувати звіти. Клієнти, встановлені звичайним чином, підключаються в "Настройки - Додаткові налаштування - Різне - Віддалене адміністрування". Просто відзначаємо прапорець "Підключитися до ESET Remote Administrator Server" і вказуємо адресу і порт (за умовчанням 2222) сервера. Через деякий час клієнт з'явиться у вікні консолі ERAC. Адміністратор визначає, які дані клієнт передає на сервера автоматично, а які - тільки за запитом. Редактор конфігурацій дозволяє вказати будь-які установки для рішень ESET з можливістю експорту у файл XML-формату, вони можуть бути використані для резервування налаштувань, імпорту в ERAC або конфігурування локального клієнта. Передбачений імпорт груп з Active Directory. Слід відзначити наявність ESET SysInspector, який допомагає зібрати дані про систему (драйвера, додатки, мережеві з'єднання і т.д.), і ESET SysRescue, призначеного для створення рятувального диска з антивірусом NOD32 (знадобиться WAIK, докладніше про нього дивися в статті "самозбірні вікна "в] [01.2009). Можливостей у ERAC дуже багато, тому доведеться витратити якийсь час на вивчення його особливостей.
Для установки ERAS знадобиться комп'ютер під Windows від NT4 до 2k8/Se7en (працює як служба), для консолі список ОЗ аналогічний, тільки відсутня NT4. У якості бази даних за замовчуванням пропонується вбудована MS Access, як варіант - MS SQL Server, Oracle або MySQL. Зручно, що ліцензія для ERAS не потрібно (ліцензуються тільки клієнтські системи), тому при необхідності можна абсолютно вільно розгорнути будь-яке їх кількість.
avast! Enterprise Suite
Серцем консолі управління антивірусами avast! ADNM є Management Server, до якого підключаються клієнти для отримання оновлень і нових політик. Щоб встановити такий сервер, знадобиться комп'ютер з 32/64-бітной версією WinNT/2k/XP/2k3/Vista/2k8. У великих мережах можливе використання декількох MS зі своїми SQL'нимі базами даних. При цьому передбачено два варіанти взаємодії: реплікація налаштувань або використання центрального (dedicaded) сервера. Установчий дистрибутив включає MSDE 2000 (достатньо для мережі до 1000 систем), замість нього можна використовувати повноцінний MS SQL Server 2k/2k5 (у тому числі і 2k5 Express Edition). Також адміністратор може вибрати один з двох методів взаємодії сервера з клієнтськими системами: PUSH і POP. Тобто, коли сервер управляє клієнтами примусово, опитуючи їх стан, або клієнти самі періодично підключаються до сервера за настройками. Сервер працює в якості сервісу (AMS service, AvEngine.exe) і, по суті, є додатковим Прослуховувач HTTP / S протоколу (підключається до процесу httpd.exe). Використання стандартного порту спрощує адміністрування і доступ через закриті фаєрів мережі. Програма установки інтуїтивно зрозуміла і локалізована. У більшості випадків достатньо вказати варіант "Нормальна", і все необхідне буде встановлено автоматично, включаючи пакети для підтримки російської мови. На етапі запиту ліцензії натискаємо "Демо" - потрібні ліцензії будуть згенеровані автоматично. Також на етапі установки створюється дзеркало антивірусних баз, за основу береться офсайт avast! або вже наявний сервер управління. За замовчуванням встановлюється обліковий запис Administrator з паролем admin.
Symantec Endpoint Protection
Система управління Symantec Endpoint Protection також складається з трьох компонентів: Manager (сервер), Console і Database. У мережі може працювати декілька Manager'ов, обмінюються політиками з батьківським сервером. У якості ОС для установки серверної частини підходять Win2k/XP/2k3/2k8 (32/64-bit). Консоль управління, крім цих систем, може бути встановлена на Vista/Se7en. У комплекті з програмою установки йде вбудована SQL'ная база даних (на основі Sybase), яку рекомендується використовувати при підключенні до 100 клієнтів (вона ставиться автоматом при виборі режиму інсталяції "Простий"). При наявності більшої кількості систем рекомендується задіяти повнофункціональний SQL-сервер - MS SQL Server 2kSP4/2k5SP2/2k8. Для роботи серверної частини буде потрібна наявність ролі IIS, яку необхідно встановити до розгортання Manager. Всі компоненти зібрані в єдиний архів (вагою 510 Мб), який доступний на офсайті. Завантажити його можна тільки за допомогою спеціального Java-додатки, що запускається автоматично при натисканні посилання (і реєстрації). Сам процес установки не повинен викликати проблем, буде зрозумілий навіть новачкові. Крім цього є дуже зручні майстри і інструменти. Так, майстер перенесення і розгортання, який стартує одразу після інсталяції, допомагає швидко встановити антивірус на клієнтських системах, перенести групи і політики з батьківських серверів SEP. У великих мережах вручну розсортувати клієнтські системи вельми непросто - тут на допомогу приходять інструменти Symantec'овской консолі. У критерії відбору систем можна задавати до 30 параметрів: ім'я комп'ютера, IP-адресу, частота CPU, версія BIOS і так далі.
Підсумки
Як бачимо, представлені рішення відрізняються за багатьма параметрами, і в першу чергу впадає в очі різні функціональні можливості клієнтських модулів, список підтримуваних ОС та особливості управління. Тому перед вибором свого рішення слід уважно оцінити наявні ресурси, а потім вибрати найбільш прийнятний варіант.
Microsoft Forefront Client Security
Ринок корпоративних антивірусів дуже ємний, тому постійно притягує нових гравців. Відносно недавно в лінійці продуктів Microsoft Forefront з'явився новий компонент Microsoft Forefront Client Security (раніше Microsoft Client Protection), призначений для захисту від шкідливого ПЗ на робочих станціях користувачів і серверах в корпоративній мережі. Клієнт включає антивірусний захист, антишпигун, перевірку відповідності політикам. Продукт базується на ранніх напрацюваннях - Windows Defender і OneCare, так що він не виник "з нічого" - перш ніж потрапити на "корпоратив", технології обкатувалися. В якості сервера управління та звітів використовується Win2k3/Win2k8, клієнтські системи - Win 2k. Можна відзначити дуже просте управління цим продуктом (з єдиної консолі) і одержання інформації у вигляді звітів. Інтегрований з іншими компонентами Microsoft. Так оновлення баз і модулів проводиться за допомогою Windows Update (можна використовувати WSUS), установка агентів - за допомогою GPO.
В іншому все огляди практично одностайно вказують на те, що за основними функціями він поки програє брендам, який виступає на цьому ринку. Хоча варто пам'ятати, що це тільки перша спроба.