テナントの保護インフラストラクチャの導入

Integration Server REST API を使用して作成されたテナントの保護インフラストラクチャは、Kaspersky Security Center 仮想管理サーバーの使用に基づいています。テナントごとに、仮想管理サーバーとテナントの管理者が仮想管理サーバーへの接続に使用するアカウントがあります。

1 台の Kaspersky Security Center 管理サーバーで最大 500 の仮想管理サーバーをサポートできます。

Light Agent がインストールされたテナントの仮想マシンは、テナントの仮想管理サーバーに配置されています。

テナントの管理者が仮想管理サーバーで実行可能な動作は次の通りです：

• Light Agent ポリシーとグループタスクを使用した仮想マシンの保護の一元的な管理。
• 仮想管理サーバーで使用可能なイベント通知およびレポートを使用して、インフラストラクチャの保護ステータスに関する情報を受信。
• このテナントの全仮想マシンのバックアップ保管領域に配置されたファイルコピーの使用。

仮想管理サーバーの詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

プロバイダーの管理者は本製品をインフラストラクチャにインストールし、Light Agent およびその他のアプリケーションが正しく動作するように設定します：

• テナントの仮想マシンにインストールされた Light Agent から SVM、Integration Server への接続設定の編集。
• 本製品のアクティベーションとライセンスの制限の管理。
• 定義データベースとソフトウェアモジュールのアップデート。
• Protection Server の設定の編集。

プロバイダーの管理者も、テナントの仮想マシンの全般的な保護設定を編集できます。

動作中、個人情報や機密情報を含む可能性のある情報が、プロバイダーのインフラストラクチャおよびテナントの仮想マシンにインストールされた Kaspersky Security と Kaspersky Security Center の間で転送されます。

テナントの保護インフラストラクチャの作成前に、次のステップを実行します：

1. Kaspersky Security のインストールまたはアップデート。

   プロバイダーのインフラストラクチャに次のコンポーネントをインストールする必要があります：

   • Kaspersky Security MMC プラグイン、Integration Server、Integration Server コンソール
   • Protection Server

   Web インターフェイスを Kaspersky Security Center との対話に使用するには、Web プラグインも Web コンソール を使用してインストールする必要があります。

2. 本製品での作業に必要なものを準備します：
   • Protection Server の動作を準備します。
   • Integration Server コンソールで、マルチテナンシーアカウントの既定のパスワードを変更します。マルチテナンシーアカウントは、Integration Server のインストール結果として自動的に作成されます。このアカウントは、Integration Server REST API との対話に必要です。
   • Integration Server コンソールで、Integration Server の Kaspersky Security Center 管理サーバーへの接続を設定します。これらの設定は、Integration Server REST API へのリクエストの実行時に、Kaspersky Security Center 管理サーバーでの認証で必要になります。

テナントの保護インフラストラクチャの導入は、次のステップで構成されます：

1. テナントおよび テナント用の Kaspersky Security Center 仮想管理サーバーの作成。
2. テナント仮想マシンを保護する SVM の場所の設定、および Protection Server の動作設定。
3. テナント仮想マシンにインストールされている Light Agent の SVM 検出設定と動作の全般設定。
4. テナントの仮想マシンへの Kaspersky Security Center ネットワークエージェント と Light Agent のインストール、テナント用に設定された仮想管理サーバーへの仮想マシンの移動。
5. Integration Server データベースにテナントの仮想マシンを登録。
6. テナントのアクティブ化：
7. Kaspersky Security Center 仮想管理サーバーの接続設定のうち、次をテナント管理者へ転送：
   • テナント用に設定された仮想管理サーバーのアドレス。
   • 仮想管理サーバーの管理者アカウントの設定。

   プロバイダーの管理者から受け取ったアカウントのパスワードを、テナントの管理者が変更することを推奨します。

テナントの保護インフラストラクチャの導入ステップは、Integration Server REST API と Kaspersky Security Center OpenAPI を使用して自動化できます。

不正アクセスを防止するために、SVM と、Kaspersky Security Center 管理サーバーおよび Integration Server がインストールされたデバイスを、専用の仮想ネットワークに導入することを推奨します。また、アドレス変換（SNAT）を使用して、テナントのサブネットからこのサブネットにルーティングするように設定することを推奨します。

Integration Server から Kaspersky Security Center 管理サーバーへの接続設定を編集

リクエスト実行中の Integration Server REST API と Kaspersky Security Center 管理サーバー間の対話には、Kaspersky Security Center の次の権限があるアカウントが必要です：

• 管理サーバーの機能に対する権限：
  • 全般的な機能 → 基本的な機能：読み取り、変更
  • 全般的な機能 → 管理グループの管理：変更
  • 全般的な機能 → ユーザー権限：アクセス管理リストの変更
  • 全般的な機能 → 仮想管理サーバー：読み取り、変更、実行、管理
• Light Agent 設定に関連する機能領域で、オブジェクトを読み取りおよび変更する権限。

Kaspersky Security Center 管理サーバーの［セキュリティ］セクションのプロパティウィンドウで、Integration Server を Kaspersky Security Center に接続するために使用するアカウントを作成および設定できます。

既定では、管理サーバーのプロパティウィンドウで［セキュリティ］セクションは表示されません。［セキュリティ］セクションが表示されるようにするには、［インターフェイスの設定］ウィンドウ（コンテキストメニューの［表示］→［インターフェイスの設定］メニュー）で、［セキュリティ設定セクションの表示］をオンにし、Kaspersky Security Center 管理コンソールを再起動します。

Kaspersky Security Center でのユーザーアカウント権限の詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

Integration Server と Kaspersky Security Center 管理サーバーの接続を設定するには：

1. Integration Server コンソールを開き、Integration Server に接続します。
2. 左のリストから、［Kaspersky Security Center 接続設定］セクションを選択します。
3. 次の接続設定を指定します：
   • Kaspersky Security Center 管理サーバーの IPv4 形式による IP アドレスまたは完全修飾ドメイン名（FQDN）。
   • Integration Server REST API と Kaspersky Security Center 管理サーバー間の対話に使用されるアカウントの名前とパスワード。
4. 保存ボタンをクリックします。

   Integration Server が接続を試行し、指定された接続設定を検証します。Kaspersky Security Center 管理サーバーから受信した SSL 証明書が Integration Server で信頼されない場合、通知が表示されます。取得した証明書の詳細を表示するには、このウィンドウのリンクをクリックします。受信した証明書が組織のセキュリティポリシーに準拠している場合、［証明書のインストール］をクリックして証明書の信頼性を確認できます。受信した証明書は、Integration Server の信頼できる証明書として保存されます。

   接続の確立後、Integration Server は接続設定を保存します。

テナントと仮想化管理サーバーの作成

テナントの保護インフラストラクチャを導入するこのステップでは、テナントの情報が Integration Server データベースに追加され、仮想管理サーバーがテナント用に作成されます。Integration Server REST API を使用すると、この処理が自動化されます。

REST API リクエストへのレスポンスとして実行される動作は、REST API メソッドの呼び出し時に指定されるテナントタイプに応じて異なります：テナントの保護インフラストラクチャの導入は、複合的なテナントタイプの場合のみ可能です。

REST API リクエストの次の情報を指定します：

• テナント名。
• テナントタイプ：Complete（複合的なテナントタイプ）。
• テナント用に設定された仮想管理サーバーへ接続するためにテナントの管理者が使用するアカウント設定。処理中に、メインの管理サーバーの権限を持つアカウントが、仮想管理サーバーに自動的に作成されます。

  Kaspersky Security Center は、メインの Kaspersky Security Center 管理サーバーおよびその仮想管理サーバーのすべてのアカウント名について一意性を検証します。既定では、アカウント名が一意でない場合、アカウント作成が失敗します。仮想管理サーバーのアカウント名に同一の名前を使用する場合、内部ユーザー名の一意性チェックを無効にすることができます。詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

この処理の実行結果として、次の動作が実行されます：

• テナントのデータが Integration Server データベースに保存され、テナントに一意の識別子が割り当てられます。
• Kaspersky Security Center 仮想管理サーバーと、テナント管理者が仮想管理サーバーへの接続に使用するアカウントが、テナントごとに作成されます。
• メインの Kaspersky Security Center 管理サーバーのコンソールツリーに最初のテナントが登録されると、［Multitenancy KSV LA］フォルダー（既定の名前）が［管理対象デバイス］フォルダーに作成されます。必要に応じて名前を変更できます。
• ［Multitenancy KSV LA］フォルダーに、次のフォルダーとノードの構造がテナントごとに作成されます：

  ［<テナント名>］フォルダー

  • ［管理サーバー］ノード
    • ［管理サーバー <テナント名>］ノード
      • テナントの保護の管理に必要なフォルダーと管理グループ。これらの構造は、メインの Kaspersky Security Center 管理サーバーのフォルダーと管理グループの構造と同一です。
• Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化または無効化するポリシーが、［Multitenancy KSV LA］ – <テナント名> フォルダーに作成されます。

  保護を有効または無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。保護を有効化または無効化するポリシーは、SVM 検出設定や、Light Agent の動作の全般設定を定義するために使用されます。

SVM の場所の設定と Protection Server の設定

テナントのセキュリティインフラストラクチャを導入するこのステップでは、次の操作が実行可能です：

1. Kaspersky Security Center 管理グループの階層構造にあるテナント仮想マシンを保護する SVM の場所を設定する。
2. Protection Server ポリシーを使用して、これらの SVM にインストールされた Protection Server の動作設定を編集する。
3. Light Agent ポリシーを使用して、テナント仮想マシンにインストールされる Light Agent の全般設定を編集する。

テナントの仮想マシンを保護する SVM を、メインの Kaspersky Security Center 管理サーバーの任意のフォルダーおよび管理グループに導入できます。

SVM と Protection Server ポリシーを、テナント管理者がアクセス可能なフォルダーおよび管理グループに導入することは推奨されません。［管理サーバー <テナント名>］ノードより下層のフォルダーおよび管理グループが、推奨されない配置場所です。

特定のテナントの仮想マシンのみを SVM で保護する場合、Light Agent から SVM へのアクセスを次のいずれかの方法で制限します：

• 接続タグの使用：タグを Protection Server ポリシー と Light Agent ポリシーで指定する必要があります。編集した設定をロックし、ローカルのアプリケーション設定または階層構造の下位レベルのポリシー設定で変更されることを禁止しておくことを推奨します。
• テナントのサブネットから SVM のサブネットの TCP ポート（80、9876、9877、11111、11112）へのネットワーク接続をブロック。

接続タグを、テナント管理者がアクセス可能なフォルダーおよび管理グループで編集することは推奨しません。［管理サーバー <テナント名>］ノードより下層のフォルダーおよび管理グループが、推奨されない配置場所です。

Kaspersky Security Center ポリシーが管理グループの階層構造内にあるすべての SVM に継承される順序で、既定の Protection Server ポリシーが適用されます。メインの管理サーバーに Kaspersky Security MMC プラグインをインストールすると、［管理対象デバイス］フォルダーにポリシーが作成されます。テナントの仮想マシンを保護する SVM に特定の動作設定を指定する場合、テナントの仮想マシンを保護する SVM が配置されているフォルダーに Protection Server ポリシーを作成します。

Kaspersky Security Network の使用を一元的に有効化し、テナントの仮想マシンを保護する場合は、テナントの個人データが合法的に処理されることを確認する必要があります。

Light Agent の SVM 検出設定とテナント保護の全般設定

テナント保護フレームワーク導入のこの段階で、次のいずれかのフォルダーに Light Agent ポリシーを作成します：

• ［Multitenancy KSV LA – <テナント名>］フォルダーで、特定の 1 つのテナントの仮想マシンにインストールされるすべての Light Agent の全般設定を指定します。ポリシーをテナントごとに、［Multitenancy KSV LA – <テナント名>］フォルダーに作成する必要があります。
• ［Multitenancy KSV LA］フォルダーで、すべてのテナントの仮想マシンにインストールされるすべての Light Agent の全般設定を指定します。

Light Agent ポリシーで、Light Agent の動作設定を次のように指定します：

• Light Agent を SVM に接続する設定：
  • Light Agent ポリシーで、SVM 検出に Integration Server の使用を有効にします。完全なタイプのテナントの仮想マシンにインストールされた Light Agent は、接続できる SVM を検出するために、Integration Server を使用する必要があります。
  • 接続タグのメカニズムを使用して、Light Agent が SVM へアクセスするのを制限する場合は、接続タグを Light Agent に割り当てます。

    Standard ライセンスで製品を使用する場合、接続タグは使用できません。Light Agent の SVM へのアクセスを制限するために、テナントのサブネットから SVM のサブネットの TCP ポート（80、9876、9877、11111、11112）へのネットワーク接続をブロックできます。

  既定値は、Light Agent を SVM に接続する他の設定に使用できます。

  ローカルの製品設定およびまたは階層構造の下位レベルのポリシーでこれらの設定の変更を禁止するために、Light Agent を SVM に接続するすべての設定を「ロック」することをお勧めします。

• 必要に応じて、テナント仮想マシンにインストールされる Light Agent の全般設定を指定できます。

  「ロック」属性を使用することで、ローカルの製品設定、タスク設定、または階層構造の下位レベルのポリシー（下位の管理グループおよびセカンダリ管理サーバーの場合）において設定または設定のグループに対する変更を許可またはブロックできます。テナント管理者は、「ロック」の状態である設定を編集できません。「ロック」が解除されている場合、テナント管理者は Light Agent コンポーネントの操作を個別に設定できます。

Kaspersky Security for Virtualization 5.1 Light Agent の Light Agent と SVM がテナント仮想インフラストラクチャにインストールされている場合は、これらの Light Agent の全般設定を指定するために、［Multitenancy KSV LA – <テナント名>］フォルダーに自動的に作成されたテナント保護を有効にするポリシーを使用することを推奨します。

［管理サーバー <テナント名>］ノードより下層にあるような、テナント管理者がアクセス可能なフォルダーおよび管理グループに配置されているポリシーで、Light Agent の全般設定を編集することは推奨されません。

テナントの仮想マシンへの Light Agent のインストール

テナントのセキュリティインフラストラクチャを導入するこのステップでは、次の操作が実行されます：

• テナントの仮想管理サーバーに接続するように設定された Kaspersky Security Center ネットワークエージェントが、テナントの仮想マシンにインストールされます。
• テナントの仮想マシンが、テナント用に設定された仮想管理サーバーの［管理対象デバイス］フォルダーに移動されます。
• Light Agent for Windows または Light Agent for Linux がテナントの仮想マシンにインストールされます。

リストされた操作は、プロバイダー側およびテナント側で実行可能です。事前にテナント管理者に仮想管理サーバーへの接続設定が提供されている必要があります。

プロバイダー側でインストールを実行する場合

Kaspersky Security Center OpenAPI を使用して、テナントの仮想マシンへのアプリケーションのインストール、および管理グループへの仮想マシンの移動を自動化できます。詳細は、ナレッジベースを参照してください。

別のインストール方法も使用できます：

• 仮想マシンへのリモートインストールを、インストールウィザードまたはリモートインストールタスクを使用して実行する。

  Windows オペレーティングシステムの仮想マシンへのインストールには、ネットワークエージェントのインストールパッケージが必要です。ネットワークエージェントのインストールパッケージは、テナントごとに用意する必要があります。インストールパッケージのプロパティに、テナント用に設定された仮想管理サーバーの接続設定が含まれている必要があります。ネットワークエージェントのインストール後に、仮想マシンの移動先である管理グループを指定できます。パッケージのプロパティ、またはリモートインストールタスクのプロパティでの指定が可能です。インストールパッケージの設定に関する詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

  Linux オペレーティングシステムの仮想マシンへのインストールには、ネットワークエージェントのインストールパッケージを別に用意する必要はありません。ネットワークエージェントは、Light Agent for Linux のインストールパッケージに含まれています。ネットワークエージェントから仮想管理サーバーへの接続設定は、Light Agent for Linux のインストールパッケージのプロパティで設定する必要があります。

  Light Agent for Windows、Light Agent for Linux、ネットワークエージェントのインストールに必要なインストールパッケージは、メインの Kaspersky Security Center 管理サーバーの［詳細］ → ［リモートインストール］ → ［インストールパッケージ］フォルダーに配置されます。管理サーバーのタスクを使用して、選択した仮想管理サーバーへインストールパッケージを配布できます。また、Kaspersky Security Center OpenAPI を使用して、パッケージの配布を自動化することも可能です。詳細は、ナレッジベースを参照してください。

• Windows オペレーティングシステムの仮想マシンを仮想マシンテンプレートから導入する。

  仮想マシンテンプレートを、テナントの仮想管理サーバーへの接続が設定されているネットワークエージェント、および Light Agent とともにテナントごとに用意する必要があります。用意した後、このテンプレートから仮想マシンをテナントへ導入できます。

  仮想マシンテンプレートへのネットワークエージェントのインストール時に、VDI 向けのネットワークエージェント設定の最適化を有効にすることを推奨します。

テナント側でインストールを実行する場合

インストールパッケージまたはプロバイダー管理者が用意した仮想マシンテンプレートがある場合、テナントの管理者はネットワークエージェントと Light Agent をテナントの仮想マシンにインストールできます。

テナントの仮想マシンの登録

テナントのセキュリティインフラストラクチャを導入するこのステップでは、テナントの仮想マシンが登録されます。Integration Server REST API を使用すると、この処理が自動化されます。

REST API へのリクエストで、仮想マシンの識別子（BIOS ID）と、仮想マシンが属するテナントの識別子を指定します。

これにより、仮想マシンに関する情報が、Integration Server データベースに登録され、仮想マシンとテナント間の接続が確立されます。

テナントのアクティブ化

テナントのセキュリティインフラストラクチャを導入するこのステップでは、テナントがアクティブになります。テナントは、Integration Server データベースに「非アクティブ」のステータスで登録されています。テナントが非アクティブの場合、テナントの仮想マシンにインストールされている Light Agent は、接続できる SVM に関する情報を受信せず、テナント仮想マシンの保護が無効になります。テナントの仮想マシンの保護を開始するには、テナントをアクティブにする必要があります。

Integration Server REST API を使用すると、テナントをアクティブにする処理が自動化されます。

この処理の実行結果として、次の動作が実行されます：

• テナントのステータスが「アクティブ」に変更されます。テナントステータスは Integration Server データベースに保存されます。Integration Server REST API を使用するか、Integration Server コンソールでテナントのリストを表示することで、テナントのステータスに関する情報を取得できます。
• テナント仮想マシンにインストールされた Light Agent は、Integration Server から接続に使用可能な SVM のリストを受け取ります。Light Agent は、SVM 接続設定に従って接続に最適な SVM を選択することで、テナント仮想マシンの保護が可能になります。
• Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化または無効化するポリシーのステータスが変更されます。

  保護を有効または無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。