Guía de inicio para usuarios con Enterprise Console

En esta guía se explica cómo configurar Sophos for Virtual Environments y cómo gestionarlo con Sophos Enterprise Console.

Si está migrando a Sophos for Virtual Environments, consulte Apéndice: Migrar a Sophos for Virtual Environments.

Acerca de Sophos for Virtual Environments

Sophos for Virtual Environments es un sistema de seguridad para la protección de equipos virtuales. El funcionamiento es el siguiente:

  • Se ejecuta Sophos Security VM en un host de hipervisor. Esto puede detectar y bloquear amenazas en los equipos virtuales invitados conectados.
  • Se ejecuta Sophos Guest VM Agent en cada equipo virtual invitado. Esto permite que el equipo virtual se comunique con Sophos Security VM.
  • Se utiliza Sophos Enterprise Console para administrar Sophos Security VM y mantenerlo actualizado.


Pasos clave para la configuración

La configuración implica una serie de pasos clave, que se describen en las siguientes secciones:

  • Comprobar los requisitos del sistema.
  • Desinstalar otros productos antivirus.
  • Configurar Sophos Enterprise Console (el software de administración de Sophos).
  • Instalar Sophos Security VM.
  • Instalar Sophos Guest VM Agent en los equipos virtuales invitados.
  • Usar Enterprise Console para aplicar políticas.

Revise los requisitos del sistema

Los requisitos del sistema son los siguientes:

Requisitos de VMware

  • Host VMware ESXi 5.5, 6.0 o 6.5.
  • VMware vCenter 5.5, 6.0 o 6.5.
  • VMware vSphere client 5.5, 6.0 o 6.5.
  • Herramientas de VMware.

Requisitos de hardware para cada Sophos Security VM:

  • 2 procesadores.
  • 20 Gb de espacio en disco.
  • 4 Gb de RAM.

No imponga ningún límite de recursos de los procesadores en Sophos Security VM.

Se asignan 2 procesadores de forma predeterminada. Si necesita proteger muchos equipos virtuales invitados, puede configurar más procesadores después de la instalación. Consulte la guía de configuración de Sophos for Virtual Environments.

Sophos Security VM reserva memoria. Los sistemas de alta disponibilidad y equilibrio de cargas eligen de forma automática según las reservas de recursos para los equipos virtuales del entorno VMware. No elimine la reserva de memoria de Sophos Security VM.

Requisitos de Microsoft Hyper-V

El sistema Microsoft Hyper-V debe ser uno de los siguientes:

  • Hyper-V en Windows Server 2012 (Core, completo)
  • Hyper-V en Windows Server 2012 R2 (Core, completo)
  • Hyper-V en Windows Server 2016 (Core, Server con Experiencia de escritorio)

Los componentes de integración de Microsoft Hyper-V se instalarán automáticamente si la actualización de Windows está activada y funciona correctamente. Sin estas herramientas, el rendimiento de su equipo virtual podría verse reducido.

Microsoft publica directrices sobre cómo proteger su servidor Hyper-V de la forma más efectiva. Consulte Microsoft KBA 3105657.

Requisitos de los equipos virtuales invitados

  • Windows 10 (32 y 64 bits). El artículo de la base de conocimiento 125679 incluye una lista con todas las versiones compatibles.
  • Windows 8,1 (32 y 64 bits).
  • Windows 7 (32 y 64 bits) SP1+.
  • Windows Server 2016 (64 bits). El artículo de la base de conocimiento 125679 incluye una lista con todas las versiones compatibles.
  • Windows Server 2012 R2 (64 bits)
  • Windows Server 2012 (64 bits)
  • Windows Server 2008 R2 (64 bits)

Requisitos de red

• Sophos Security VM y los equipos virtuales invitados deben compartir una conexión de red. Lo ideal es que sea una red de área local (LAN) de alta velocidad sin limitación de tráfico de red.

• El tráfico de red entre Sophos Security VM y los equipos virtuales invitados no debe estar bloqueado por firewalls ni controladores de acceso a la red.

Requisitos de redes NAT

Si tiene equipos virtuales invitados dentro de una red NAT (traducción de direcciones de red), puede protegerlos con Sophos Security VM dentro o fuera de esa red.

Durante la instalación, configure Sophos Security VM con los datos siguientes:

• Una dirección IP principal fuera de la red NAT (esta dirección debe poder comunicarse con la consola de administración)

• Una dirección IP secundaria dentro de la red NAT.

Requisitos de subredes

Puede configurar Sophos Security VM con varias direcciones IP. Cada dirección IP debe encontrarse en una subred diferente.

Microsoft Hyper-V admite 3 subredes. VMware ESXi admite 5 subredes.

Desinstalar otros productos antivirus

No puede utilizar Sophos for Virtual Environments para proteger equipos virtuales invitados que ejecutan otros productos antivirus.
  • Desinstale todos los productos antivirus, incluidos los productos de Sophos, que ya estén instalados en sus equipos virtuales invitados.

    No olvide que los productos de servidor o puerta de enlace de Sophos pueden incluir o requerir componentes antivirus.

  • Deshabilite Windows Defender en las plataformas de servidor donde no esté presente el centro de seguridad. Se recomienda que lo haga mediante una política de grupo.

Para más información, vea el artículo 125679 en la base de conocimiento.

Configurar el software de administración de Sophos

Antes de instalar los Sophos Security VM, debe:

  • Instalar Sophos Enterprise Console (si no dispone ya de una instalación). Se utiliza para descargar actualizaciones del software de protección y administrar los equipos virtuales que protege.
  • Crear una unidad compartida de red para Sophos for Virtual Environments. Esta unidad compartida se utiliza para mantener actualizados los Sophos Security VM.

En las secciones siguientes se describe cómo hacerlo.

Si ya utiliza Sophos Enterprise Console

Si ya utiliza Sophos Enterprise Console para administrar otros productos de Sophos y desea añadir Sophos for Virtual Environments, es posible que sus credenciales de cliente no le permitan configurar la unidad compartida de red de Sophos. Si esto ocurre, compruebe que su licencia incluye este producto. Puede enviar las consultas relativas a las licencias a customercare@sophos.com

Instalar Sophos Enterprise Console

Si ya tiene Sophos Enterprise Console instalado, vaya a Crear una unidad compartida de actualización de Sophos.

Debe instalar Sophos Enterprise Console en un equipo Windows que se encuentre en la misma red que el Sophos Security VM.

Siga las instrucciones que aparecen en la Guía rápida de inicio de Sophos Enterprise Console. Cuando tenga que seleccionar las plataformas que desea proteger, incluya Sophos for Virtual Environments. Se creará la unidad compartida de red de Sophos for Virtual Environments.
Nota: Esto proporciona la versión recomendada (Recommended). Si desea la versión de avance (Preview), que le da acceso a funciones nuevas, consulte Crear una unidad compartida de actualización de Sophos.

Después de la instalación, consulte Comprobar el acceso a la unidad compartida de actualización de Sophos.

Crear una unidad compartida de actualización de Sophos

Si acaba de realizar una nueva instalación de Sophos Enterprise Console y se ha suscrito a Sophos for Virtual Environments, puede saltarse esta sección.

  1. En Sophos Enterprise Console, en el menú Ver, seleccione Gestores de actualización.
  2. Cree una "suscripción" a Sophos for Virtual Environments:
    1. En la vista Gestores de actualización, haga clic en Añadir en la parte superior del panel de suscripciones.
    2. En el cuadro de diálogo Suscripción de software, indique un nombre en el cuadro Suscripción.
    3. En la lista de plataformas, seleccione Sophos for Virtual Environments.
      Nota: Si no ve esta opción en la lista, significa que necesita actualizar las credenciales de cliente. Póngase en contacto con el soporte técnico de Sophos.
    4. En el cuadro de versión, seleccione Recommended o Preview. Preview proporciona acceso anticipado a funciones nuevas.
      Nota: Debe utilizar la misma versión al instalar los Sophos Security VM con posterioridad.
  3. Configure el gestor de actualización para que utilice esta suscripción:
    1. En el panel Gestores de actualización, seleccione el gestor de actualización que está instalado en este servidor. Haga clic con el botón derecho y seleccione Ver/editar configuración.
    2. En el cuadro de diálogo Configuración del gestor de actualización, en la ficha Suscripciones, compruebe que la suscripción nueva aparece en la lista Suscrito.
    3. Haga clic en Aceptar.
Continúe en la siguiente sección.

Comprobar el acceso a la unidad compartida de actualización de Sophos

Debe localizar la unidad compartida de actualización de Sophos y asegurarse de que se pueda acceder a ella utilizando credenciales válidas o una cuenta de invitado.

Nota: A menos que se haya especificado de otro modo, a la unidad compartida de actualización de Sophos se accede con la cuenta de usuario establecida durante la instalación de Sophos Enterprise Console, donde aparece como la cuenta de "Update Manager", y que suele utilizarse con el nombre de usuario SophosUpdateMgr.
  1. En Sophos Enterprise Console, en el menú Ver, seleccione Ubicación de archivos de inicio.
    Se mostrará una lista con las ubicaciones disponibles.
  2. Busque la ubicación de Sophos for Virtual Environments y anótela. Necesitará esta información cuando instale los Sophos Security VM.
    Necesitará el nombre completo de dominio de esta ubicación.
  3. Si la unidad compartida está en Windows Server 2008 o 2012, puede que necesite cambiar la configuración del Firewall de Windows de forma temporal en el servidor para permitir el acceso del programa de instalación de Sophos Security VM.
    Las siguientes reglas de entrada deben estar activadas (opción predeterminada):
    • Uso compartido de archivos e impresoras (NB-Datagram-In)
    • Uso compartido de archivos e impresoras (NB-Name-In)
    • Uso compartido de archivos e impresoras (NB-Session-In)
    Puede volver a desactivarlas después de instalar los Sophos Security VM.

Notas:

Si dispone de un instalación personalizada de Enterprise Console o si ha creado alguna otra unidad compartida de red para actualizar el Sophos Security VM, tenga en cuenta que:

  • Si se requieren credenciales, deben almacenarse en los Sophos Security VM tras la instalación, por lo que se recomienda que utilice credenciales de solo lectura.
  • Si la unidad compartida de red está en un ordenador distinto de Sophos Enterprise Console (o el gestor de actualización de Sophos Enterprise Console), asegúrese de que también se pueda acceder a ella usando una cuenta con acceso de escritura.

Instalar el Sophos Security VM

Puede instalar uno o más Sophos Security VM en cada host en el que desee proteger equipos virtuales invitados.

Siga los pasos que se incluyen en las secciones que figuran a continuación.

  • Comprobar que dispone de las contraseñas necesarias.
  • Comprobar que los sistemas están sincronizados.
  • Comprobar los requisitos de instalación.
  • Instalar el Sophos Security VM.

Comprobar que dispone de las contraseñas necesarias

Necesita las contraseñas para las siguientes cuentas:

  • La cuenta utilizada para acceder a la unidad compartida de red de Sophos for Virtual Environments (o "carpeta de actualización de Sophos").
  • Si se encuentra en un entorno MVware, la cuenta de administrador de vCenter.

Comprobar que los sistemas están sincronizados

Asegúrese de que la hora esté sincronizada en el servidor de Sophos Enterprise Console, en el host en el que instala el Sophos Security VM y en los equipos virtuales invitados.

Puede utilizar la sincronización NTP (protocolo de tiempo de redes) para cada host.

Aviso: Si la hora no está sincronizada, podrá instalar el Sophos Security VM pero no podrá administrarlo desde Enterprise Console.

Comprobar los requisitos de instalación

Compruebe que el ordenador y la cuenta de usuario que va a utilizar cumplan los requisitos.

  • Debe ejecutar el programa de instalación en un ordenador Windows que tenga acceso a su servidor VMware vCenter o Microsoft Hyper-V a través de la red.
  • Debe instalar Sophos Security VM en la red local. Actualmente el programa de instalación no admite el uso de un proxy autenticado.
  • No es posible utilizar el programa de instalación en Windows XP o Windows Server 2003.
  • Se requiere autenticación NTLMv2. El programa de instalación la utiliza para acceder al recurso compartido en el que consigue los certificados y paquetes de productos que necesita.
  • Asegúrese de que los puertos necesarios están abiertos en su firewall. Consulte el artículo de la base de conocimiento 126313.
  • Asegúrese de que tiene acceso a la consola de administración de Sophos.

Asegúrese también de que cumple estos requisitos del hipervisor:

  • Usuarios de VMware ESXI: Asegúrese de que es administrador para el host VMware vCenter y ESXi.
  • Usuarios de Microsoft Hyper-V: Debe ejecutar el programa de instalación como usuario con derechos para crear y controlar equipos virtuales en el servidor Hyper-V. Esto puede ser una cuenta de usuario local en el servidor Hyper-V o un usuario de dominio.
  • Desactive el programador de recursos distribuidos (DRS) de VMware y la alta disponibilidad (HA) durante la instalación

El ordenador donde se ejecuta el programa de instalación se utiliza solo para la instalación. No se usa para la administración ni la protección de Sophos Security VM ni de equipos virtuales invitados posteriormente.

Instalar el Sophos Security VM

Ahora descargue un programa de instalación y ejecútelo para instalar Sophos Security VM.

Puede descargar el programa de instalación en cualquier ordenador y después transferirlo al ordenador desde el que desea instalar Sophos Security VM.

  1. Vaya a www.sophos.com/es-es/support/downloads e inicie sesión con su Sophos ID.
  2. Seleccione su licencia (si se le solicita). En Programas de instalación independientes, haga clic en Sophos for Virtual Environments.
  3. Descargue el programa de instalación.
    Elija la misma versión (Recommended o Preview) a la que se haya suscrito en Enterprise Console.
  4. Haga doble clic en el archivo descargado.
  5. Un asistente le guiará durante la instalación de Sophos Security VM. Es muy recomendable que lea Consejos para la instalación.
  6. Si falla la instalación, pruebe lo siguiente:
    • Revise el registro para obtener más información.
    • Haga clic en Empezar de nuevo para intentarlo de nuevo.
  7. Cuando la instalación se haya completado, compruebe que vea Sophos Security VM. Vaya a Enterprise Console y localice Sophos Security VM en el grupo de ordenadores No asignados.
    Si cambia el nombre de un Sophos Security VM más adelante, seguirá apareciendo en Enterprise Console con el nombre original.

Consejos para la instalación

Aquí se incluye información que le resultará útil para completar el asistente de instalación de Sophos Security VM.

VMware vCenter credentials

Introduzca el nombre de usuario del administrador con el formato exacto que utilice para iniciar sesión en vCenter usando vSphere Client.

Sophos update folder details

Introduzca los detalles de la unidad compartida de red de Sophos for Virtual Environments que creó anteriormente.

  • Utilice una ruta UNC incluyendo el nombre completo del dominio o una dirección web. Para comprobar la ubicación del recurso compartido, vaya a Enterprise Console. En el menú Ver, haga clic en Ubicación de archivos de inicio.
  • El nombre de usuario y la contraseña que necesita son para la cuenta de "Update Manager". La mayoría de usuarios le dan el nombre de usuario SophosUpdateMgr.

Datastore for the Security VM

Sophos Security VM protege los equipos virtuales invitados incluso si sus plantillas se guardan en distintos almacenes de datos.

IP settings for the Security VM

Introduzca la configuración de IP para todas las redes en las que desea proteger equipos virtuales invitados. Utilice los botones "+" y "-" que aparecen encima de los campos para añadir o quitar una red. Utilice los botones "<" y ">" para desplazarse por las opciones de configuración de las distintas redes.

Guest VM migration

  • Para obtener ayuda con la creación de certificados, consulte el artículo 127562 de la base de conocimiento.
  • Para obtener más información sobre la migración de equipos virtuales invitados clonados desde una plantilla, consulte el artículo 127955 de la base de conocimiento.
  • Se recomienda utilizar Sophos Security VM con las mismas políticas de seguridad para garantizar uniformidad en la limpieza y generación de informes.

Instalar Sophos Guest VM Agent

Debe ejecutar Sophos Guest VM Agent en todos los equipos virtuales invitados que desee proteger.

  1. En el equipo virtual invitado, abra Windows Explorer y vaya al recurso compartido Public de Sophos Security VM.
    • Utilice la dirección IP que ha configurado de la siguiente forma: \\SVM-IP-Address\Public.
    • Acceda al recurso compartido con el nombre de usuario sophospublic y la contraseña que haya establecido al desplegar Sophos Security VM.
  2. Haga doble clic en SVE-Guest-Installer.exe y siga las instrucciones en pantalla.
    También puede utilizar la implementación de política de grupo. Consulte http://support.microsoft.com/kb/816102.
  3. Compruebe que el equipo virtual invitado esté protegido:
    1. Busque Seguridad y mantenimiento en el menú de inicio. Si no encuentra esta opción, busque Centro de actividades.
    2. Haga clic en la flecha desplegable junto a Seguridad. Debería ver que Sophos for Virtual Environments está habilitado.
    Si tiene algún problema, consulte los consejos para la solución de problemas de la guía de configuración.

Recomendamos que haga una instantánea del equipo virtual invitado antes de instalar el agente. Esto le permitirá revertir el equipo virtual invitado de forma segura posteriormente en caso de que sea necesario.

Ahora utilice la consola de administración de Sophos para aplicar las políticas.

Usar Sophos Enterprise Console para aplicar políticas

  1. En Sophos Enterprise Console, cree una política de actualización y una políticas antivirus y HIPS. Haga clic con el botón derecho en cada política y seleccione Restaurar la política predeterminada.
  2. Haga doble clic en la política de actualización nueva para abrirla.
  3. En el cuadro de diálogo Política de actualización:
    1. Haga clic en la ficha Suscripción y seleccione la suscripción para Sophos for Virtual Environments.
    2. Haga clic en la ficha Servidor primario y asegúrese de que la ubicación de la carpeta de actualización incluye el nombre de dominio completo. Guarde la política.
  4. Cree un nuevo grupo de ordenadores para incluir el Sophos Security VM.
  5. Aplique las nuevas políticas al nuevo grupo.
  6. Arrastre el Sophos Security VM del grupo No asignados al nuevo grupo.

Mantener el Sophos Security VM

Esta sección ofrece consejos sobre las tareas de mantenimiento y posteriores a la instalación.

  • Debe encender el Sophos Security VM de forma manual cada vez que retire el host del modo de mantenimiento o espera. Enciéndalo antes que los equipos virtuales invitados para que estén protegidos de forma inmediata.
  • Recomendamos que no "suspenda" Sophos Security VM. Sus equipos virtuales estarán desprotegidos mientras esté suspendido y puede tardar mucho tiempo en recuperarse.
  • Verifique que el Sophos Security VM esté recibiendo actualizaciones de seguridad de Sophos. Para hacerlo, revise su estado de actualización en Enterprise Console.
  • Copias de seguridad. Recomendamos que el Sophos Security VM se excluya de las tareas periódicas de copia de seguridad, ya que esto puede afectar al rendimiento. Si necesita recuperarse el Sophos Security VM debido a fallos en la infraestructura, le recomendamos que vuelva a desplegar el Sophos Security VM.

Apéndice: Migrar a Sophos for Virtual Environments

¿Desde qué productos puedo realizar la migración?

Puede migrar a Sophos for Virtual Environments desde estos productos.

  • Sophos Anti-Virus para vShield en un entorno VMWare ESXi
  • Sophos Anti-Virus ejecutado localmente en cada equipo virtual invitado en un entorno VMware ESXi o un entorno Microsoft Hyper-V
  • Sophos for Virtual Environments en un entorno VMware ESXi o Microsoft Hyper-V gestionado por Sophos Enterprise Console
  • Productos antivirus de otros proveedores en un entorno VMware ESXi o un entorno Microsoft Hyper-V
Nota: Sophos for Virtual Environments protege equipos virtuales invitados en un host VMware ESXi incluso cuando se ejecuta en un entorno NSX. Sin embargo, Sophos for Virtual Environments no se integra con NSX Manager.
Nota: Sophos for Virtual Environments utiliza un Sophos Security VM para ofrecer un escaneado de amenazas centralizado. Cuando lo haya instalado, los equipos virtuales invitados ya no necesitarán actualizaciones de datos de amenazas.

¿Cómo realizo la migración?

Siga los pasos que incluimos a continuación. Encontrará más información sobre cada paso en esta guía.

Nota:

Si está migrando desde un software antivirus de terceros, tenga en cuenta lo siguiente:

  • Sophos for Virtual Environments requiere conectividad de red entre el Sophos Security VM y los equipos virtuales invitados.
  • Sophos for Virtual Environments admite tecnologías de equilibrio de cargas de equipos virtuales dinámico como vMotion y Live Migration, pero el rendimiento es mejor si se mantiene la conectividad de red de alta velocidad entre el Sophos Security VM y los equipos virtuales invitados.

Para migrar:

  1. Configure Enterprise Console para descargar software y administrar los equipos virtuales que protegerá. Consulte Configurar el software de administración de Sophos.
  2. Instale Sophos Security VM como se describe en esta guía. Consulte Instalar el Sophos Security VM.
    Nota: Este nuevo Sophos Security VM puede estar en el mismo host que un Sophos Security VM existente que ejecute SAV para vShield.
  3. Vaya a Enterprise Console y verifique que Sophos Security VM se esté actualizando.
  4. Apague el Sophos Security VM anterior o desinstale el software antivirus anterior.
    PRECAUCIÓN: Sus equipos virtuales invitados quedarán desprotegidos; asegúrese de garantizar su seguridad.
  5. Instale el nuevo agente ligero Sophos Guest VM Agent en los equipos virtuales. Consulte Instalar Sophos Guest VM Agent.
  6. Compruebe que los equipos virtuales invitados estén ahora protegidos.
    1. Vaya a un equipo virtual invitado y busque Seguridad y mantenimiento en el menú de inicio. Si no encuentra esta opción, busque Centro de actividades.
    2. Haga clic en la flecha desplegable junto a Seguridad. Debería ver que Sophos for Virtual Environments está habilitado.

Para obtener más información sobre cómo ver la lista de todos los equipos virtuales invitados protegidos, consulte la guía de configuración de Sophos for Virtual Environments.

Aviso legal

Copyright © 2018 Sophos Limited. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación ni transmitida de ninguna forma ni por ningún medio, sea éste electrónico, mecánico, por fotocopia, por grabación o cualquier otro, a menos que disponga de una licencia válida, en cuyo caso puede reproducirse según los términos del acuerdo de licencia, o con la previa autorización escrita por parte del propietario.

Sophos, Sophos Anti-Virus y SafeGuard son marcas registradas de Sophos Limited, Sophos Group y Utimaco Safeware AG según corresponda. Todos los demás nombres de productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.

Licencias de terceros

Para las licencias de terceros aplicables a su uso de este producto, consulte la siguiente carpeta del Sophos Security VM: /usr/share/doc.

Algunos programas de software se ofrecen al usuario bajo licencias de público general (GPL) o licencias similares de software gratuito que, entre otros derechos, permiten copiar, modificar y redistribuir ciertos programas o partes de los mismos, y tener acceso al código fuente. Las licencias de dichos programas, que se distribuyen al usuario en formato binario ejecutable, exigen que el código fuente esté disponible. Para cualquiera de tales programas que se distribuya junto con el producto de Sophos, se puede obtener el código fuente siguiendo las instrucciones que se incluyen en el artículo de la base de conocimiento 124427.