Архитектура серверов KSC

[SkyNezu]

Добрый день.

Нужен совет от практиков.

Дано: несколько тысяч пользовательских ПК (win, linux), сотни серверов (win, linux), сети с асутп (сервера и ПК). Используется KES и KICS for Nodes.

Как правильнее построить инфраструктуру серверов KSC? Для каждой группы (ПК, сервера, АСУТП) сделать отдельный сервер KSC и сделать их подчиненными главному? Или для пользовательских ПК и серверов можно сделать один KSC, а для АСУТП отдельный? Или можно смешать все в кучу? И как быть с сервером обновлений? Выделять отдельный сервер в DMZ для скачивания обновлений? Или это можно "повесить" на один из серверов KSC?

 

[Demiad]

Добрый день.

Отвечу на часть вопросов. Я из своей практики администрирования KSC в схожей инфраструктуре уверенно скажу, что правильно будет разделить технологические АРМы + сервера (доменные и нет) и офисные ПК. То есть сделать две KSC'шки. На офисной будете в более спокойном режиме раскатывать обновления до новых версий KES, смотреть как работает, менять политики. Завязывать условия применения профилей политик* лучше на группы Active Directory. А на другом уже аккуратно точечно обновлять и настраивать защиту. Например, после тестовой обкатки обновления автопатча для KES (обновления до новой версии), его можно будет спокойно одобрить на все офисные ПК, на технологических АРМах я бы не стал так поступать и контролировал процесс на каждой группе хостов до которой дошёл с задачей перехода на новую версию.

*Если пока не сталкивались с настройкой KES/KSC, то строго рекомендую изучить применение Профилей политик для KES. Не надо делать отдельные политики в каждой из групп администрирования KSC!

Про схему получения обновлений не очень понял. Если задача обновлять внешние устройства (корпоративные ноутбуки дома, в командировках), то следует организовать шлюз соединений в виде установленного Агента администрирования на устройстве в DMZ, тут есть описание этого варианта и менее безопасного, когда сам KSC в DMZ.

Использовать на практике Виртуальные серверы мне не приходилось, не нашёл этому применение.

Второй сервер можно сделать подчинённым первому. Но тогда надёжнее расположить корневую политику KES на Головном сервере не в корне структуры "Управляемые устройства", а в подпапке и от неё уже строить структуру. Тогда никогда не случится, чтобы политика с Головного сервера пришла на Подчиненный и затёрла имеющуюся политику KES. Галки про наследование хотя и присутствуют, но всегда можно проглядеть.

Если защита на серверах ещё не развёрнута, то сразу устанавливайте KES (не ниже версии 11.8 для более полной поддержки работы на серверных ОС), новых релизов KSWS на текущий момент больше не ожидается.