Architecture
ESET PROTECT est une nouvelle génération de système de gestion à distance. ESET PROTECT n'est que partiellement compatible avec ERA 6 et n'est pas rétrocompatible avec ERA 5. Toutefois, la compatibilité est maintenue avec les versions précédentes des produits de sécurité ESET.
Avec ESET PROTECT, ESET a développé une nouvelle génération de produits de sécurité avec un nouveau système de licences.
Pour effectuer un déploiement complet du portefeuille de solutions de sécurité ESET, les composants suivants doivent être installés (plates-formes Windows et Linux) :
Bien que les composants de prise en charge suivants soient facultatifs, il est recommandé de les installer pour optimiser les performances de l'application sur le réseau :
•Connecteur de périphérique mobile
Les composants ESET PROTECT utilisent des certificats pour communiquer avec ESET PROTECT Server. Consultez cet article de la base de connaissances pour obtenir des informations supplémentaires sur les certificats dans ESET PROTECT.
Présentation des éléments de l'infrastructure
Le tableau suivant présente les éléments de l'infrastructure d'ESET PROTECT et leurs fonctions principales :
Fonctionnalité |
ESET PROTECT Server |
ESET Management Agent |
Produit de sécurité ESET |
Proxy HTTP |
Serveurs ESET |
Connecteur de périphérique mobile |
Gestion à distance des produits de sécurité ESET (création de politiques, tâches, rapports, etc.) |
✔ |
x |
x |
x |
x |
x |
Communication avec ESET PROTECT Server et gestion du produit de sécurité ESET sur l'appareil client |
x |
✔ |
x |
x |
x |
✔ |
Fourniture des mises à jour, validation des licences |
x |
x |
x |
x |
✔ |
x |
Mise en cache et transfert des mises à jour (moteur de détection, programmes d'installation, modules) |
x |
x |
✔ |
✔ |
x |
x |
Transfert du trafic réseau entre ESET Management Agent et ESET PROTECT Server |
x |
x |
x |
✔ |
x |
x |
Sécurisation de l'appareil client |
x |
x |
✔ |
x |
x |
x |
Administration à distance des appareils mobiles |
x |
x |
x |
x |
x |
✔ |
Serveur
ESET PROTECT Server est l'application d'exécution qui traite toutes les données reçues des clients se connectant au serveur (par le biais d'ESET Management Agent ou d'HTTP Proxy). Pour traiter correctement les données, ERAS requiert une connexion stable à un serveur de base de données où sont stockées les données réseau. Il est recommandé d'installer le serveur de base de données sur un autre ordinateur pour des performances optimales.
Console Web
La console web ESET PROTECT Web Console est une interface utilisateur web qui vous permet de gérer les solutions de sécurité ESET dans votre environnement. Elle affiche une vue d'ensemble de l'état des clients sur le réseau et peut être utilisée pour déployer à distance les solutions ESET sur des ordinateurs non administrés. Elle est accessible à l'aide de votre navigateur (voir Navigateurs Web pris en charge). Si vous décidez de rendre le serveur Web accessible à partir d'Internet, vous pouvez utiliser ESET PROTECT à partir de presque n'importe quel emplacement, sur presque tous les périphériques.
La console web utilise Apache Tomcat en tant que serveur web HTTP. Lorsque vous utilisez la version de Tomcat intégrée au programme d'installation ESET ou à l'appliance virtuelle, elle n'autorise que les connexions TLS 1.2 et 1.3 à la console web.
Proxy HTTP
Qu'est-ce qu'un proxy HTTP et en quoi peut-il être utile ?
Un proxy HTTP effectue le transfert des communications des Agents au ESET PROTECT Server dans des environnements où les machines Agent ne peuvent pas accéder au serveur.
Quel était le rôle d'ERA 6.x Proxy et pourquoi a-t-il été supprimé ?
ERA Proxy permettait de concentrer le trafic des Agents clients. Il autorisait la connexion de plusieurs Agents à ERA Proxy qui redistribuait ensuite le trafic à ERA Server. ESET PROTECT utilise un nouveau protocole de réplication qui permet de transférer la réplication au nouveau proxy. ERA 6.x Proxy ne peut pas lire ce protocole. Celui-ci ne peut donc pas être utilisé avec les ESET Management Agents.
ERA 6.x Proxy peut-il être utilisé avec ESET PROTECT ?
Oui, dans une certaine mesure. ERA 6.x Proxy peut transférer les communications des Agents 6.x vers ESET PROTECT 7 Server, mais les ESET Management Agents ne peuvent pas se connecter à ERA 6.x Proxy/Serveur. Tenez compte de cette modification lors de la mise à niveau de votre infrastructure depuis la version 6.x.
Comment fonctionne le proxy dans ESET PROTECT ?
ESET PROTECT8 utilise une version personnalisée d'Apache HTTP Proxy en tant que composant proxy. Après une configuration adéquate, le proxy HTTP peut agir en tant que proxy pour les ESET Management Agents. Le proxy ne met pas en cache et n'ouvre pas les communications. Il les transfère uniquement.
Puis-je utiliser un proxy autre que le Proxy HTTP Apache?
Les solutions de proxy qui remplissent les conditions suivantes peuvent être utilisées avec ESET Management Agent :
•peuvent transférer les communicationsSSL ;
•prennent en chargeHTTP CONNECT ;
•n'utilisent pas de nom d'utilisateur ni de mot de passe.
En quoi le nouveau protocole de communication est-il différent ?
ESET PROTECT Server communique avec les ESET Management Agents par le biais du protocole gRPC. Les communications utilisent TLS et HTTP2 afin de pouvoir traverser les serveurs proxy. De nouvelles fonctionnalités de récupération automatique et une connexion persistante permettent en outre d'améliorer les performances globales des communications.
Quel est l'impact sur les performances ?
L'utilisation du proxy HTTP n'a pas d'impact significatif sur les performances.
Quand utiliser un proxy ?
Il est recommandé d'utiliser un proxy lorsque votre infrastructure respecte un ou plusieurs critères suivants :
•Si les machines Agent ne peuvent pas se connecter directement à ESET PROTECT Server.
•Si vous disposez d'un emplacement distant ou d'une filiale et si vous souhaitez utiliser un proxy pour gérer les communications :
oentre ESET PROTECT Server et le proxy
oentre le proxy et les ordinateurs clients à un emplacement distant
Configuration du proxy HTTP
Pour utiliser le proxy, le nom de l'hôte du proxy HTTP doit être configuré dans la politique de l'Agent (Paramètres avancés > Proxy HTTP). Vous pouvez utiliser différents proxys pour la mise en cache et le transfert. Reportez-vous aux configurations de politique suivantes :
•Proxy global : vous utilisez une solution de proxy unique pour la mise en cache des téléchargements et le transfert des communications de l'Agent.
•Différent proxy par service : vous utilisez des solutions de proxy distinctes pour la mise en cache et le transfert des communications.
|
Remarque •Quelles sont les autres fonctions du proxy HTTP Apache ? •Comment mettre à niveau une infrastructure avec ERA 6.x Proxy vers ESET PROTECT ? |
Agent
ESET Management Agent est un composant essentiel d'ESET PROTECT. Le nom du composant a changé par rapport à celui de la version 6.x précédente (ERA Agent), mais ce composant a toujours le même objectif. ESET Management Agent utilise un nouveau protocole de communication amélioré.
Les clients ne communiquent pas directement avec ESET PROTECT Server, c’est l’Agent qui facilite cette communication. L'Agent collecte les informations du client et les envoie à ESET PROTECT Server. Si ESET PROTECT Server envoie une tâche destinée au client, celle-ci est envoyée à l'Agent qui l'envoie à son tour au client.
Pour simplifier la mise en œuvre de la protection des points de terminaison, le composant ESET Management Agent autonome est inclus dans la suite ESET PROTECT. Il s'agit d'un service simple, léger et hautement modulaire qui couvre toutes les communications entre ESET PROTECT Server et les autres produits ESET ou systèmes d'exploitation. Au lieu de communiquer directement avec ESET PROTECT Server, les produits ESET communiquent par le biais de l'Agent. Les ordinateurs clients qui disposent d'ESET Management Agent et qui peuvent communiquer avec ESET PROTECT Server sont appelés ordinateurs administrés. Vous pouvez installer l'Agent sur n'importe quel ordinateur, qu'un autre logiciel ESET soit installé ou non.
Les avantages sont les suivants :
•Installation aisée : il est possible de déployer l'Agent dans le cadre d'une installation d'entreprise standard.
•Gestion de la sécurité sur place : dans la mesure où l'Agent peut être configuré pour stocker plusieurs scénarios de sécurité, le temps de réaction face aux détections est considérablement réduit.
•Gestion de la sécurité hors ligne : l'Agent peut répondre à un événement s'il n'est pas connecté à ESET PROTECT Server.
|
IMPORTANT Le protocole de communication entre l'Agent et ESET PROTECT Server ne prend pas en charge l'authentification. Toute solution de proxy utilisée pour transférer les communications de l'Agent à ESET PROTECT Server qui demande une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un port autre que celui par défaut pour la console Web ou l'Agent, un ajustement du pare-feu peut être nécessaire. Sinon, l'installation peut ne pas réussir. |