Развертывание KSMG 2.0 в Yandex Cloud. Использование шлюза безопасности электронной почты

Электронная почта — основной канал, по которому в корпоративные системы проникает вредоносное ПО, угрожающее IT-безопасности бизнеса. Чаще всего злоумышленники используют методы социальной инженерии, чтобы завоевать доверие получателя и мотивировать его сделать то, что делать не рекомендуется.

В связи с современными тенденциями в области миграции почтовых служб на территорию РФ возникает необходимость обеспечить качественную и отказоустойчивую работу системы фильтрации от вредоносного контента в почтовом трафике. Построение локальной почтовой инфраструктуры не всегда отвечает требованиям к надежности и бесперебойной работе, поэтому в таких случаях оптимальным решением является использование публичного облака одного из местных провайдеров. В данной статье мы рассмотрим использование шлюза безопасности электронной почты Kaspersky Secure Mail Gateway (в дальнейшем — KSMG) в облаке Yandex Cloud.

Если вы хотите подробнее изучить продукт KSMG, то можете ознакомиться с нашими статьями по развертыванию, настройке и тестированию Kaspersky Secure Mail Gateway в локальной инфраструктуре:

Kaspersky Secure Mail Gateway 2.0KSMG 2.0.

Интеграция с Kaspersky Anti Targeted Attack Platform (KATA)

KSMG эффективно борется с фишингом, попытками компрометации корпоративной электронной почты, шифровальщиками и даже продвинутыми атаками по электронной почте. Безопасный шлюз действует на ранних этапах цепочки поражения, пока угрозы не привели к инцидентам и не причинили ущерб. Благодаря этому эффективно снижается риск атаки, а сотрудники не отвлекаются на ненужную дополнительную работу. Интеллектуальная обработка данных осуществляется на всех уровнях защиты, подкрепленных технологией машинного обучения. Применение разных моделей машинного обучения, песочницы и облачной репутационной системы позволяет правильно фильтровать сообщения электронной почты, отделяя нужные от опасных.

Подготовка к развертыванию образа

Kaspersky Secure Mail Gateway — это полностью интегрированное решение, объединяющее систему электронной почты и средства ее защиты, в составе готового к использованию виртуального устройства безопасности. На текущий момент оно поставляется в формате ISO образа для развертывания на физических или виртуальных серверах. Для использования в виртуальной облачной среде Яндекса мы используем специально подготовленный образ в формате qcow2.

Образ и учетные данные вы можете получить, заполнив форму

Откроем консоль управления облаком Яндекса по адресу https://console.cloud.yandex.ru/.

Регистрацию аккаунта в Яндекс Облако я пропущу, инструкции и документацию можно найти на сайте Яндекс.

Загрузка файла образа в Object Storage

Первым делом для загрузки файла образа воспользуемся сервисом Object Storage. Его можно найти в меню сервисов через поиск в разделе «Инфраструктура и сеть»:

7dd6650327829a1491ed219876c938bf.png

У вас откроется панель сервиса со списком бакетов (корзин хранения). В моем случае список пуст и мне выводится информационная заглушка:

c3b4d1b4b2bfa9f7d6091a760c7f62c4.png

Создадим бакет через кнопку в правом верхнем углу. Я назову его tssolution-images и оставлю настройки по умолчанию.

8fe8e6c82774181b7a9d41a78e69c37c.png

После создания бакета нам предложат загрузить объекты.

Нажимаем «Загрузить объекты» и выбираем в проводнике файл образа с расширением qcow2, выбираем стандартное хранилище и нажимаем загрузить. Начнется загрузка, вы можете следить за ней, нажав «Подробнее» во всплывшем внизу справа маленьком окне.

afa30a3f52ad7721c98423e7ba844c3f.png

Когда файл загрузится, обновите страницу, и он появится в списке:

8dc028849aa0a646df47a14339c9677c.png

Для последующего использования его при создании виртуальной машины нам необходимо файл из Object Storage загрузить в хранилище образов, а для этого нам понадобится ссылка на файл. Поэтому перейдем к свойствам файла.

Нажав на него, получим ссылку:

1e1bb0c7a447c16ef37294636c094983.png

При получении ссылки нас спросят срок её действия. Вводим 4 часа, этого вполне достаточно, чтобы загрузить файл. Ссылку копируем, она нам ещё понадобится на следующем этапе.

Создание образа Compute Cloud из файла

Теперь нам необходимо перейти в сервис Compute Cloud в меню сервисов, можете снова воспользоваться поиском:

a27298234d5cff8efa83d666a3acddae.png

Перейдем в раздел образы:

116fa49df5e8e2ef10050d4e5fcc4106.png

Сейчас образов здесь нет. Нажмем в верхней правой части экрана кнопку «Загрузить образ» и заполним сведения о файле образа:

f1720db83cacf501437e157c949712c2.png

В моем случае я указал имя ksmg-image, а ссылку указал ту, которую копировал ранее в сервисе Object Storage. Нажимаем «Загрузить».

Мы можем увидеть процесс создания снимка в списке образов, дожидаемся пока статус перейдет в «Ready»:

cb1d988ecc0aa367f3e4df2fbd69024c.png

На данном этапе мы готовы к развертыванию виртуальной машины.

Развертывание образа виртуальной машины

Перейдем в раздел «Виртуальные машины» в меню слева и нажмем «Создать ВМ». Заполним имя и в разделе «Выбор образа/загрузочного диска», перейдем на вкладку «Пользовательские» и нажмем «Выбрать»:

a1cbf2a31bb2ed8458f51bc19cc67f7c.png

В открывшемся окне перейдем во вкладку «Образ», выберем наш подготовленный образ ksmg-image и нажмем «Применить».

12fb7943ffbc8b1f26299a74c56aae2e.png

Далее выбираем количество виртуальных ядер и оперативной памяти, остальное я оставил по умолчанию. Исходя из рекомендаций требуется 8 ядер и 16ГБ ОЗУ.

f639d36f4ddb8dea92201c153ae19333.png

Также необходимо указать настройки доступа. Технически, создавая виртуальную машину из подготовленного образа, Яндекс Облако не сможет прописать учетную запись для доступа по SSH в конфигурацию операционной системы, но данные поля являются обязательными, поэтому вам необходимо создать пару SSH ключей, если у вас её нет. Процесс создания ключей опустим, так как он хорошо описан в документации Яндекс Облако. Обязательно сохраните пару ключей, она понадобится на последнем этапе, когда будем настраивать доступ из интерфейса KSMG.

Так как мы не сможем подключиться по SSH сразу, то нам необходимо обязательно поставить галку «Разрешить доступ к серийной консоли». Нажмем «Создать ВМ».

797e9f5fc6a073ab5f16092b3aa3531c.png

Нас перекинет на начальную страницу раздела «Виртуальные машины». Дождитесь пока ВМ не перейдет в статус «Running», это будет означать, что она успешно развернулась и запустилась.

Подготовка к работе сервера KSMG

Несмотря на то, что мы развернули сервер и он включен к полноценной работе, он пока не готов. Нам необходимо произвести некоторые дополнительные настройки.

Настройка сетевого интерфейса

Перейдем в серийную консоль нашей виртуальной машины и войдем в режим технической поддержки:

12f09bae4157ce759ffce5e2d471e8e5.png

Далее нам придется работать в консоли, меняя конфигурационные файлы. Для начала переименуем конфигурационный файл сетевого интерфейса, так как в подготовленном образе он назывался enp0s3, а в виртуальной машине Яндекс Облако он называется eth0:

mv /etc/sysconfig/network-scripts/ifcfg-enp0s3 /etc/sysconfig/network-scripts/ifcfg-eth0

Соответственно в самом конфигурационном файле название необходимо изменить тоже. Откроем его редактором Vim и изменим параметр DEVICE на eth0.

vi /etc/sysconfig/network-scripts/ifcfg-eth0

Файл должен выглядеть так:

250819012cbdd311c286dbd4598cfdf2.png

Сохранимся и закроем файл и запустим интерфейс eth0:

ifconfig eth0 up

Но доступ в глобальную сеть пока ещё не будет работать, необходимо прописать маршрут по умолчанию, для этого создадим файл:

vi /etc/sysconfig/network-scripts/route-eth0

В нашей подсети шлюз по умолчанию имеет IP 10.129.0.1, поэтому добавим в файл строку »0.0.0.0/0 via 10.129.0.1» (без кавычек), сохраним и закроем.

Теперь перезапустим службу сети, проверим настройки интерфейсов и связность с глобальной сетью:

systemctl restart network
ip a
ping 8.8.8.8

357750eb33e0d622130f83085b9f3cdf.png

Как мы видим, интерфейс eth0 получил настройки по DHCP и отклик от сервера 8.8.8.8, значит, сеть настроена успешно.

Изменение имени сервера

Далее для корректной настройки служб KSMG нам необходимо изменить имя сервера на FQDN виртуальной машины в Яндекс Облако. FQDN доступен в свойствах сервера:

d427d3f9c7ca3374384a8a9a64465046.png

Введем команду hostname , в моем случае:

hostname ksmg-serv.ru-central1.internal

А также изменим имя в файле /etc/hostname:

vi /etc/hostname

Проверим, что всё успешно изменено:

7c99900e48cdf9f7b8cccaaeb61827be.png

Перезагрузим сервер из консоли, используя команду reboot.

Обновление IP адреса KSMG

Откроем во вкладке браузера по протоколу HTTPS веб-интерфейс администратора KSMG, используя публичный IP адрес. После ввода логина и пароля администратора нас оповестят, что необходимо создать новый кластер. Так и сделаем:

bb2a9c051860be5ca6d3106cdfa20494.png

На данном этапе можно не обращать внимание, что IP адрес текущего сервера указан некорректный, мы это исправим сразу после создания кластера. После нажатия кнопки «Создать новый кластер» перед нами откроется дашборд KSMG.

90282ad4dc1a5a29ae8699349ababf05.png

Вернемся к серийной консоли и запустим команду смены сетевых настроек KSMG:

/opt/kaspersky/ksmg-appliance-addon/bin/change_network_settings.sh -a

Перед нами откроется меню, где нам нужно задать текущий IP адрес узла, но по умолчанию, если все настроено верно, он сам подхватит адрес из сетевых настроек и останется только нажать ОК. Также он запросит порт для кластерного взаимодействия, оставим 9045.

fdb54c7ea2dc0e8e8182ee5eda5460c5.png28c75179e34dfd388f2c975fcdf6a954.png

После этого нас оповестят, что операция прошла успешно. А также предупредят, что если у нас подключены вторичные узлы, то их необходимо заново привязать. Нажимаем любую клавишу, после этого службы будут перезапущены.

aaa5c25792f7d992c43a84c6db2632aa.png

Настройка KSMG через веб-интерфейс

Базовая настройка уже рассматривалась в статье о KSMG, о которой я упоминал выше, — Kaspersky Secure Mail Gateway 2.0. Поэтому я расскажу только о дополнительных шагах, которые требуется сделать после развертывания в Яндекс Облако.

Обеспечение доступа по SSH

Для начала добавим SSH ключ для доступа к консоли удаленно. Для этого перейдем в раздел Параметры → Доступ к программе → Доступ SSH и нажмем «Добавить ключ»:

9549a4de989a4b4aa0530498eb38df81.png

В описании можно написать имя администратора, а открытый ключ можно использовать тот же, что и на этапе создания виртуальной машины. Нажмем «Добавить», наш ключ появится в списке. Проверим работоспособность доступа через SSH в командной строке:

e8de4d5b2671be17e1ce5a7a3e2a2e48.png

Мы подключились успешно, а это значит, что можно отключить серийную консоль Яндекс Облако, так как это не является рекомендованным способом подключения.

Перейдем к параметрам виртуальной машины и уберем галку с дополнительного параметра «Разрешить доступ к серийной консоли»:

07d76c7102f1e34f5a1987b963db1b77.png

Изменение пароля администратора

Довольно простая процедура, но не менее важная, это изменение пароля администратора. Для этого перейдем в раздел Параметры → Доступ к программе → Локальный администратор, после ввода старого и нового паролей нажмем «Сохранить».

c3873370f2f1dee5756e040bacd54045.png

Заключение

Развертывание в облаке Яндекса и возможность построения кластерной архитектуры шлюза безопасности KSMG поможет вам достичь высокого уровня отказоустойчивости почтовых служб, а также сократит затраты на развитие и поддержку локальной инфраструктуры.

Если вы хотите побольше узнать о решении Kaspersky Secure Mail Gateway, то мы рекомендуем посмотреть наши вебинары,  проведенные совместно с коллегами из Лаборатории Касперского:
Защита почты с Kaspersky Email Security
Применение Kaspersky KATA & KEDR в контексте актуальных угроз

Дополнительно вы можете ознакомиться с нашей статьей по настройке продукта для защиты интернет-шлюзов Kaspersky Web Traffic Security от Лаборатории Касперского:
Интеграция Kaspersky Web Traffic Security с Континент 4, UserGate 6. Обеспечение безопасности веб-трафика с помощью потокового антивируса Kaspersky и песочницы KATA.

Автор:  Папазов Илья, инженер TS Solution

© Habrahabr.ru