Orientações para implementação do BitDefender GravityZone On-premise

Orientações para implementação do BitDefender GravityZone On-premise

SINTOMA:

Você precisa de orientações sobre como implementar o BitDefender GravityZone On-premise.

APLICA-SE À:

BitDefender GravityZone on-premise.

SOLUÇÃO:

SOBRE AS VERSÕES DE TESTE DO BITDEFENDER GRAVITYZONE

São características das versões de teste:

MIGRAÇÃO A PARTIR DE VERSÕES ANTIGAS

Caso você esteja migrando de uma versão antiga do BitDefender (Small Office Security, Client Security, Business Security ou Corporate Security) siga estes passos:

OBTENDO AJUDA PARA INSTALAÇÃO

A Lnx-IT oferece suporte técnico via e-mail, telefone  ou assistência remota para clientes que estejam testando o BitDefender GravityZone:

ARQUITETURA DA SOLUÇÃO

A arquitetura do BitDefender GravityZone cloud edition possui as seguintes características:

CONSOLE DE WEB:

Console web on-premise é compatível com computadores e dispositivos mobile. Ela permite gerir computadores protegidos a partir de um único ponto, mesmo que eles estejam em sua rede LAN ou conectados a sua empresa através de VPN. A comunicação entre agentes e console é protegida por criptografia alta.

O BitDefender GravityZone on-premise é distribuído unicamente no formato de virtual appliance compatível com as seguintes plataformas:

BITDEFENDER ENDPOINT SECURITY TOOLS:

O BitDefender Endpoint Security Tools (BEST) é o agente unificado do BitDefender Gravityzone. Ele protege estações de trabalho Windows e MAC e servidores com Windows Server e Linux. O agente possui diversos módulos de segurança a saber:

BITDEFENDER GRAVITYZONE MOBILE CLIENT:

BitDefender GravityZone Mobile Client é o agente do BitDefender GravityZone para dispositivos mobile, compatível com Android e IOS. Ele protege com antivírus e anti-phishing o sistema operacional, aplicativos, comunicações e navegação na Internet.
Ele está disponível para download na Google Play Store e Apple Store.

BitDefender GravityZone Security Server Virtual Appliance (SVA):

O BitDefender Security Server Virtual Appliance (SVA) é um virtual appliance para implementação de varredura de ambientes físicos e virtualizados de forma centralizada, o que permite reduzir a carga de CPU, memória e I/O em 30%.

ADDONS DO BITDEFENDER GRAVITYZONE:

BitDefender GravityZone possui os seguintes addons licenciados separadamente e por máquina que podem ser adquiridos a qualquer tempo para melhorar sua proteção.

SERVIÇOS OFERECIDOS PELO CONSOLE ON-PREMISE DO GRAVITYZONE:

Você poderá fazer o deploy deste appliance em qualquer um destes hypervisors. O appliance possui as seguintes funções embarcadas:

COMO FUNCIONA A COMUNICAÇÃO:

A comunicação segue regras simples a saber:
Arquitetura BitDefender Enterprise Security
Arquitetura do BitDefender GravityZone on-premise

PREPARO DE INFRA-ESTRUTURA REQUERIDO

É necessário preparar sua infra-estrutura para trabalhar com a solução BitDefender GravityZone. Estes passos garantem que você tenha uma implementação correta do produto:
1. Libere no seu firewall ou proxy os sites, URLs e portas usados pelo BitDefender GravityZone:
2. O BitDefender GravityZone Virtual Appliance é o servidor e console de gerenciamento da solução BitDefender GravityZone. Esteja certo de reservar um endereço IP fixo para o mesmo e de ter criado um apontamento no servidor de DNS local nas zonas diretas e reversas.
3. Se você possui filiais interligadas via VPN ou redes isoladas, você irá precisar implementar o BitDefender Endpoint Security com o módulo Relay em cada uma destes locais. O relay é um servidor de updates que baixa as vacinas do site official do fabricante e disponibiliza na rede local, ele também permite a instalação remota de agentes através do console web nestas redes.
Esteja certo de reservar um endereço IP fixo para cada relay que você pretende implementar e de ter criado um apontamento de DNS no servidor de DNS local nas zonas diretas e reversas para cada relay.
4. Antes de instalar o relay, você deve preparar o sistema operacional para receber a instalação do BitDefender Endpoint Security Tools (BEST). Siga estes procedimentos:

5. Prepare as estações de trabalho e servidores que irão receber o BitDefender Endpoint Security Tools (BEST):

INSTALANDO E CONFIGURANDO O CONSOLE ON-PREMISE

O processo de instalação do BitDefender GravityZone Virtual Appliance (console on-premise) segue diversas etapas a saber:
1. Faça o download do BitDefender GravityZone Virtual Appliance:
2.  Importe o BitDefender GravityZone Virtual Appliance em seu ambiente virtualizado:
Caso esteja importando em um ambiente com Oracle VM Virtualbox siga este artigo:
3. Realize a instalação do BitDefender GravityZone Virtual Appliance.
4. Terminada a instalação efetue o login no console de gerenciamento usando seu navegador:
https://IP-DO-BITDEFENDER-VIRTUAL-APPLIANCE
Onde: 
  • IP-DO-BITDEFENDER-VIRTUAL-APPLIANCE: É o endereço do BitDefender GravityZone Virtual Appliance.
Exemplo: meu virtual appliance está no endereço 10.0.0.254. Então, meu URL será:
https://10.0.0.254

CONFIGURANDO O FUSO HORÁRIO

Logo depois de logar no appliance a primeira ação pós-instalação a ser feita é a configuração do fuso horário. Siga o procedimento abaixo:
5. Realize a integração do BitDefender GravityZone Virtual Appliance com seu servidor de correio.
6. Se sua empresa possua um servidor proxy autenticado, será necessário integrar o BitDefender GravityZone Virtual Appliance com o seu servidor proxy.
7. Caso você possua um ambiente de rede gerido pelo Microsoft Active Directory, realize a integração do BitDefender GravityZone Virtual Appliance com este.
8. Caso você possua um ambiente virtualizado com Vmware ESX(i) com Vmware vCenter realize a integração com vCenter:
9. Caso você possua uma ambiente virtualizado com Citrix XenServer realize a integração com Citrix XenServer.
10. Caso você possua um ambiente virtualizado com Hyper-V, bastará realizar o deploy do BitDefender Security Server Virtual Appliance (SVA), criar o pacote do BitDefender Endpoint Security Tools (BEST) especialmente apontado para o endereço IP do SVA e instalar em cada VM remotamente. Siga este procedimento:
12. Caso você necessite proteger dispositivos mobile com Apple IOS você necessitará abrir as portas do serviço ‘Apple Push Notification Service’ e configurar os certificados digitais requeridos pelo mesmo.
13. Se você possui uma licença do addon de proteção do Amazon Web Services (AWS) e possui uma infra-estrutura na nuvem que gostaria de proteger, siga estas instruções para implementar a proteção. BitDefender é capaz de proteger instâncias do Amazon EC2.
14. Caso você deseje integrar com VMware vShield, NSX ou NSX-T siga para o capítulo ‘Implementando agentes em ambientes virtualizados’.
15. BitDefender GravityZone Virtual Appliance possui um servidor de atualização embutido, garanta que você fez o download de todos os agentes e publicou a atualização. Este processo pode ser manual ou automatizado:
16. Para que você possa instalar agentes localmente ou remotamente será necessário criar os pacotes de instalação. Siga este procedimento para criar um pacote de instalação do BitDefender Endpoint Security para proteção de máquinas físicas com Windows, Linux e MAC.
Caso queira implementar o BitDefender Endpoint Security Relay em suas filiais ligadas por VPN, unidades ou redes isoladas, siga este procedimento:
17. Caso você possua ambientes com Microsoft Exchange será necessário criar os pacotes de instalação. Siga o procedimento abaixo para criar o pacote de instalação do BitDefender Endpoint Security para Exchange:

18. Clique no menu ‘Políticas‘ -> botão ‘Adicionar‘, realize as configurações de acordo com suas necessidades e pressione ‘Salvar‘.  Consulte o documento abaixo para uma visão geral do processo:

19. Para aplicar a política a endpoints individuais ou grupos de computadores siga estas instruções:

INSTALANDO LICENÇAS

Se você adquiriu mais licenças ou tiver terminado o período de testes de 30 dias ou está renovando sua solução, será necessário instalar sua nova chave de licença.
Nota: em caso de chave expirada ou renovação, remova e instale a nova chave.

IMPLEMENTANDO AGENTES EM AMBIENTES FÍSICOS

A implementação do BitDefender Endpoint Security Tools nas máquinas físicas consiste dos seguintes passos:
1. Prepare os sistemas operacionais: Esteja certo de ter preparado o sistema operacional Microsoft Windows de máquinas físicas ou virtuais para receber uma instalação do BitDefender Endpoint Security Tools e os relays de sua rede (se existirem). O procedimento está disponível no link abaixo:
2. Instale o BitDefender Endpoint Security Tools nos ambientes com Windows remotamente, localmente ou via GPO ou ferramenta de deploy de terceiros:
3. Instale o BitDefender Endpoint Security no Linux: A instalação de máquinas físicas com Linux pode ser feita no local ou remotamente:
4. Instale o BitDefender Endpoint Security no MAC: A instalação de máquinas físicas com MAC pode ser feita no local ou remotamente (com limitações neste caso).
Para instalar no MAC você precisa habilitar o remote login e file sharing.

ENTENDENDO AS LIMITAÇÕES DA INSTALAÇÃO REMOTA NO MAC

A partir do macOS High Sierra (10.13) é possível instalar remotamente o BitDefender Endpoint Security Tools, porém é necessária uma aprovação por parte do usuário final  para carregar as extensões do kernel. Até que o usuário aprove as extensões do kernel do Bitdefender, os módulos de proteção contra adulteração do Endpoint Security para Mac, controle de conteúdo e controle de dispositivos não funcionarão. Além disso, a interface do usuário do Endpoint Security for Mac mostrará um problema crítico. Veja maiores detalhes neste artigo.

Você pode pré-aprovar as extensões do kernel do Bitdefender e, assim, eliminar a intervenção do usuário, colocando na lista de permissões as extensões do Bitdefender usando uma ferramenta de Gerenciamento de Dispositivos Móveis, como o Jamf Pro. Para detalhes, consulte

IMPLEMENTAÇÃO EM AMBIENTES VIRTUALIZADOS

Existem dois dois tipos de proteção ambientes virtualizados:

Arquitetura do BitDefender GravityZone Security for Virtualization
Arquitetura do BitDefender GravityZone Security for Virtualization

ETAPAS DA IMPLEMENTAÇÃO CENTRALIZADA SIMPLES

Siga estes passos para implementar o BitDefender com proteção centralizada:

ETAPAS DA IMPLEMENTAÇÃO CENTRALIZADA SEM AGENTE

Siga estes passos para integrar o BitDefender GravityZone ao VMware vShield, NSX ou NSX-T.

Arquitetura do BitDefender GravityZone integrado ao VMware NSX
Arquitetura do BitDefender GravityZone integrado ao VMware NSX

IMPLEMENTANDO AGENTES EM DISPOSITIVOS MOBILE

Para implementar a proteção em dispositivos mobile você precisa entender os requerimentos, como funciona a comunicação e finalmente o processo de implementação. Estes itens são descritos abaixo:

1. REQUERIMENTOS DE HARDWARE, SISTEMA E REDE :

1. Confira os requerimentos da proteção de dispositivos mobile.

2. FUNCIONAMENTO DA COMUNICAÇÃO COM OS AGENTES

A proteção de  dispositivos móveis usa notificações push para alertar os clientes móveis quando  atualizações ou tarefas ou políticas estão disponíveis. As notificações push são enviadas pelo servidor de comunicação do BitDefender GravityZone através do serviço fornecido pelo fabricante do sistema operacional do dispositivo mobile.
Veja abaixo o esquema de comunicação que ilustra o funcionamento:

3. A COMUNICAÇÃO EM DISPOSITIVOS ANDROID

O serviço Google Cloud Messaging (GCM) é usado para comunicação em dispositivos Android. Para que o GCM funcione, os seguintes pré-requesitos são necessários:
  • O Google Play Store deve estar instalado.
  • Os dispositivos devem estar vinculados à uma conta Google.
  • Para enviar notificações push, as seguintes portas TCP devem estar abertas: 5228, 5229 e 5230.

4. A COMUNICAÇÃO EM DISPOSITIVOS IOS

O serviço Apple Push Notifications service (APNs) é usado para comunicação nos dispositivos IOS. Os dispositivos que utilizam APNs precisam de uma conexão direta com o servidor da Apple. Se um dispositivo não conseguir se conectar usando dados mobiles, ele tentará usar wi-fi se disponível. Se houver um servidor proxy na rede wi-fi, o dispositivo não poderá usar APNs, porque o APNs requer uma conexão direta e persistente de um dispositivo para outro.
  • Porta TCP 5223 (usada por dispositivos para se comunicar com os servidores APNs).
  • Porta TCP 2195 (usada para enviar notificações para as APNs).
  • Porta TCP 2196 (usada pelo serviço de feedback APNs).
Os servidores APNs usam balanceamento de carga. Seus dispositivos nem sempre se conectam ao mesmo endereço IP público para notificações. Todo o bloco de endereço 17.0.0.0/8 é atribuído à Apple, portanto, é melhor permitir esse alcance nas configurações do seu firewall.

5. REALIZANDO A IMPLEMENTAÇÃO:

Siga as orientações abaixo para implementar a proteção de dispositivos com Android ou IOS:

LIDANDO COM PROBLEMAS COMUNS

Abaixo uma lista de artigos e questões mais comuns:
Alteração de credenciais para instalação remota: Como criar regras de exceção e lidar com falsos positivos: Como usar o controle de acesso à web: Como usar o controle de dispositivos: Como fazer varreduras: Como desativar e ativar recursos: Configurar políticas para proteção do Microsoft Exchange: Como restaurar itens da quarentena: Como usar a mídia bootável do BitDefender para remoção de malware: Como fazer relatórios: Como criar contas para os demais administradores da solução: Como configurar alertas e notificações: