Vanjaar het baie maatskappye inderhaas na afgeleë werk oorgeskakel. Vir sommige kliënte ons organiseer meer as honderd afgeleë werksgeleenthede per week. Dit was belangrik om dit nie net vinnig te doen nie, maar ook veilig. VDI-tegnologie het tot die redding gekom: met die hulp daarvan is dit gerieflik om sekuriteitsbeleide na alle werkplekke te versprei en teen datalekkasies te beskerm.
In hierdie artikel sal ek jou vertel hoe ons virtuele lessenaardiens gebaseer op Citrix VDI werk vanuit 'n inligtingsekuriteitsoogpunt. Ek sal jou wys wat ons doen om kliënte se rekenaars te beskerm teen eksterne bedreigings soos losprysware of geteikende aanvalle.
Watter sekuriteitsprobleme los ons op?
Ons het verskeie hoofsekuriteitsbedreigings vir die diens geïdentifiseer. Aan die een kant loop die virtuele lessenaar die risiko om vanaf die gebruiker se rekenaar besmet te word. Aan die ander kant is daar 'n gevaar om van die virtuele lessenaar na die oop ruimte van die internet te gaan en 'n besmette lêer af te laai. Selfs al gebeur dit, behoort dit nie die hele infrastruktuur te beïnvloed nie. Daarom, toe ons die diens geskep het, het ons verskeie probleme opgelos:
- Beskerming van die hele VDI-stand teen eksterne bedreigings.
- Isolasie van kliënte van mekaar.
- Beskerm die virtuele lessenaars self.
- Veilige gebruikerverbinding vanaf enige toestel.
FortiGate, 'n nuwe generasie firewall van Fortinet, het die kern van die beskerming geword. Dit monitor VDI-stalletjieverkeer, bied 'n geïsoleerde infrastruktuur vir elke kliënt, en beskerm teen kwesbaarhede aan die gebruikerskant. Sy vermoëns is genoeg om die meeste van die IS-kwessies te sluit.
Maar as 'n maatskappy spesiale sekuriteitsvereistes het, bied ons bykomende opsies:
- Ons organiseer 'n veilige verbinding om van tuisrekenaars af te werk.
- Ons gee toegang tot self-analise van sekuriteit logs.
- Ons bied bestuur van anti-virus beskerming op rekenaars.
- Ons beskerm teen nul-dag kwesbaarhede.
- Ons stel multi-faktor-verifikasie op vir bykomende beskerming teen ongemagtigde verbindings.
Ek sal jou meer vertel oor hoe die take opgelos is.
Hoe om die staanplek te beskerm en netwerksekuriteit te verseker
Ons segmenteer die netwerkdeel. By die standplaas beklemtoon ons 'n geslote bestuursegment vir die bestuur van alle hulpbronne. Die bestuursegment is van buite ontoeganklik: in die geval van 'n aanval op die kliënt sal aanvallers nie daar kan uitkom nie.
FortiGate is verantwoordelik vir beskerming. Dit kombineer die funksies van 'n antivirus-, firewall- en inbraakvoorkomingstelsel (IPS).
Vir elke kliënt skep ons 'n geïsoleerde netwerksegment vir virtuele rekenaars. Vir hierdie doel het FortiGate virtuele domeintegnologie, of VDOM. Dit laat jou toe om die firewall in verskeie virtuele entiteite te verdeel en elke kliënt sy eie VDOM toe te ken, wat soos 'n aparte firewall optree. Ons skep ook 'n aparte VDOM vir die bestuursegment.
Dit blyk dat hierdie skema:
Daar is geen netwerkverbinding tussen kliënte nie: elkeen woon in sy eie VDOM en beïnvloed nie die ander nie. Sonder hierdie tegnologie sal ons kliënte met firewall-reëls moet skei, wat riskant is as gevolg van menslike foute. Jy kan sulke reëls vergelyk met 'n deur wat voortdurend toe moet wees. In die geval van VDOM los ons glad nie “deure” nie.
In 'n aparte VDOM het die kliënt sy eie adressering en roetering. Daarom word die kruising van reekse nie 'n probleem vir die maatskappy nie. Die kliënt kan die nodige IP-adresse aan virtuele rekenaars toewys. Dit is gerieflik vir groot ondernemings wat hul eie IP-planne het.
Ons los verbindingskwessies met die kliënt se korporatiewe netwerk op. 'n Afsonderlike taak is die koppel van VDI met die kliëntinfrastruktuur. As 'n maatskappy korporatiewe stelsels in ons datasentrum hou, kan ons eenvoudig 'n netwerkkabel van sy toerusting na die firewall laat loop. Maar meer dikwels het ons te doen met 'n afgeleë webwerf - 'n ander datasentrum of kliënt se kantoor. In hierdie geval dink ons deur 'n veilige uitruil met die webwerf en bou site2site VPN met behulp van IPsec VPN.
Skemas kan verskil, afhangende van die kompleksiteit van die infrastruktuur. Op sommige plekke is dit genoeg om 'n enkele kantoornetwerk aan VDI te koppel - statiese roetering is genoeg daar. Groot maatskappye het baie netwerke wat voortdurend verander; hier het die kliënt dinamiese roetering nodig. Ons gebruik verskillende protokolle: daar was reeds gevalle met OSPF (Open Shortest Path First), GRE-tonnels (Generic Routing Encapsulation) en BGP (Border Gateway Protocol). FortiGate ondersteun netwerkprotokolle in aparte VDOM's, sonder om ander kliënte te beïnvloed.
U kan ook GOST-VPN bou - enkripsie gebaseer op kriptografiese beskermingsmiddele wat deur die RFD van die Russiese Federasie gesertifiseer is. Byvoorbeeld, die gebruik van KS1-klasoplossings in die virtuele omgewing "S-Terra Virtual Gateway" of PAK ViPNet, APKSH "Continent", "S-Terra".
Stel Groepbeleide op. Ons stem saam met die kliënt oor groepbeleide wat op VDI toegepas word. Hier verskil die beginsels van instelling nie van die opstel van beleide in die kantoor nie. Ons stel integrasie met Active Directory op en delegeer beheer van sommige groepbeleide aan kliënte. Huurderadministrateurs kan beleide op die rekenaarobjek toepas, 'n organisatoriese eenheid in Active Directory bestuur en gebruikers skep.
Op FortiGate, vir elke kliënt VDOM, skryf ons 'n netwerk sekuriteit beleid, stel toegang beperkings, en stel verkeer inspeksie op. Ons gebruik verskeie FortiGate-modules:
- IPS-module skandeer verkeer vir wanware en voorkom indringers;
- die antivirus beskerm die rekenaars self teen wanware en spyware;
- webfiltrering blokkeer toegang tot onbetroubare hulpbronne en werwe met kwaadwillige of onvanpaste inhoud;
- firewall-instellings kan gebruikers toelaat om slegs op sekere werwe toegang tot die internet te kry.
Soms wil 'n kliënt onafhanklik werknemertoegang tot webwerwe bestuur. Meer dikwels as nie, kom banke met hierdie versoek: sekuriteitsdienste vereis dat toegangsbeheer aan die maatskappy se kant bly. Sulke maatskappye monitor self verkeer en maak gereeld veranderings aan beleide. In hierdie geval draai ons alle verkeer vanaf FortiGate na die kliënt. Om dit te doen, gebruik ons 'n gekonfigureerde koppelvlak met die maatskappy se infrastruktuur. Hierna konfigureer die kliënt self die reëls vir toegang tot die korporatiewe netwerk en die internet.
Ons kyk na die gebeure by die standplaas. Saam met FortiGate gebruik ons FortiAnalyzer, 'n houtversamelaar van Fortinet. Met sy hulp kyk ons na alle gebeurtenislogboeke op VDI op een plek, vind verdagte aksies en spoor korrelasies na.
Een van ons kliënte gebruik Fortinet-produkte in hul kantoor. Daarvoor het ons logboekoplaai gekonfigureer - sodat die kliënt alle sekuriteitsgebeurtenisse vir kantoormasjiene en virtuele rekenaars kon ontleed.
Hoe om virtuele rekenaars te beskerm
Van bekende dreigemente. As die kliënt onafhanklik anti-virusbeskerming wil bestuur, installeer ons ook Kaspersky Security vir virtuele omgewings.
Hierdie oplossing werk goed in die wolk. Ons is almal gewoond aan die feit dat die klassieke Kaspersky-antivirus 'n "swaar" oplossing is. Anders as dit, laai Kaspersky Security for Virtualization nie virtuele masjiene nie. Alle virusdatabasisse is op die bediener geleë, wat uitsprake vir alle virtuele masjiene van die nodus uitreik. Slegs die ligagent is op die virtuele lessenaar geïnstalleer. Dit stuur lêers na die bediener vir verifikasie.
Hierdie argitektuur bied terselfdertyd lêerbeskerming, internetbeskerming en aanvalbeskerming sonder om die werkverrigting van virtuele masjiene te benadeel. In hierdie geval kan die kliënt onafhanklik uitsonderings op lêerbeskerming instel. Ons help met die basiese opstel van die oplossing. Ons sal praat oor die kenmerke daarvan in 'n aparte artikel.
Van onbekende dreigemente. Om dit te doen, verbind ons FortiSandbox – 'n “sandbox” van Fortinet. Ons gebruik dit as 'n filter ingeval die antivirus 'n nul-dag-bedreiging mis. Nadat ons die lêer afgelaai het, skandeer ons dit eers met 'n antivirus en stuur dit dan na die sandbox. FortiSandbox boots 'n virtuele masjien na, loop die lêer en neem die gedrag daarvan waar: watter voorwerpe in die register is toegang verkry, of dit eksterne versoeke stuur, ensovoorts. As 'n lêer verdag optree, word die sandboxed virtuele masjien uitgevee en die kwaadwillige lêer beland nie op die gebruiker VDI nie.
Hoe om 'n veilige verbinding met VDI op te stel
Ons kontroleer of die toestel voldoen aan die vereistes van inligtingsekuriteit. Sedert die begin van afgeleë werk, het kliënte ons genader met versoeke: om die veilige werking van gebruikers vanaf hul persoonlike rekenaars te verseker. Enige inligtingsekuriteitspesialis weet dat die beskerming van tuistoestelle moeilik is: jy kan nie die nodige antivirus installeer of groepbeleide toepas nie, aangesien dit nie kantoortoerusting is nie.
By verstek word VDI 'n veilige "laag" tussen 'n persoonlike toestel en die korporatiewe netwerk. Om VDI te beskerm teen aanvalle vanaf die gebruikermasjien, deaktiveer ons die knipbord en verbied USB-aanstuur. Maar dit maak nie die gebruikertoestel self veilig nie.
Ons los die probleem op met behulp van FortiClient. Dit is 'n eindpuntbeskermingsinstrument. Die maatskappy se gebruikers installeer FortiClient op hul tuisrekenaars en gebruik dit om aan 'n virtuele lessenaar te koppel. FortiClient los 3 probleme gelyktydig op:
- word 'n "enkele venster" van toegang vir die gebruiker;
- kyk of jou persoonlike rekenaar 'n antivirus en die nuutste bedryfstelselopdaterings het;
- bou 'n VPN-tonnel vir veilige toegang.
Die werknemer kry slegs toegang as dit die verifikasie slaag. Terselfdertyd is die virtuele rekenaars self ontoeganklik vanaf die internet, wat beteken dat hulle beter beskerm word teen aanvalle.
As 'n maatskappy self eindpuntbeskerming wil bestuur, bied ons FortiClient EMS (Endpoint Management Server). Die kliënt kan lessenaarskandering en voorkoming van indringing opstel, en 'n wit lys van adresse skep.
Voeg verifikasiefaktore by. By verstek word gebruikers geverifieer deur Citrix netscaler. Ook hier kan ons sekuriteit verbeter deur multifaktor-verifikasie gebaseer op SafeNet-produkte. Hierdie onderwerp verdien spesiale aandag; ons sal ook hieroor in 'n aparte artikel praat.
Ons het sulke ondervinding opgedoen in die werk met verskillende oplossings oor die afgelope jaar se werk. Die VDI-diens word afsonderlik vir elke kliënt gekonfigureer, so ons het die mees buigsame instrumente gekies. Miskien sal ons in die nabye toekoms nog iets byvoeg en ons ervaring deel.
Op 7 Oktober om 17.00:XNUMX sal my kollegas praat oor virtuele rekenaars by die webinar "Is VDI nodig, of hoe om afstandwerk te organiseer?"
, as jy wil bespreek wanneer VDI-tegnologie geskik is vir 'n maatskappy en wanneer dit beter is om ander metodes te gebruik.
Bron: will.com