የደንበኛ ምናባዊ ዴስክቶፖችን ከቫይረሶች፣ ስፓይዌር እና ጥቃቶች እንዴት እንደምንከላከል

በዚህ አመት, ብዙ ኩባንያዎች በችኮላ ወደ ሩቅ ስራ ቀይረዋል. ለአንዳንድ ደንበኞች እኛ ረድቷል በሳምንት ከመቶ በላይ የርቀት ስራዎችን ያደራጁ። ይህንን በፍጥነት ብቻ ሳይሆን በአስተማማኝ ሁኔታም ማድረግ አስፈላጊ ነበር. የቪዲአይ ቴክኖሎጂ ለማዳን መጣ፡ በእሱ እርዳታ የደህንነት ፖሊሲዎችን በሁሉም የስራ ቦታዎች ለማሰራጨት እና ከውሂብ ፍንጣቂዎች ለመከላከል ምቹ ነው። 

በዚህ ጽሑፍ ውስጥ የእኛ በሲትሪክ ቪዲአይ ላይ የተመሠረተ ምናባዊ ዴስክቶፕ አገልግሎት ከመረጃ ደህንነት አንፃር እንዴት እንደሚሰራ እነግርዎታለሁ። የደንበኛ ዴስክቶፖችን እንደ ራንሰምዌር ካሉ ውጫዊ ስጋቶች ለመጠበቅ ምን እንደምናደርግ አሳይሃለሁ። 

ምን ዓይነት የደህንነት ችግሮችን እንፈታዋለን 

በአገልግሎቱ ላይ በርካታ ዋና ዋና የደህንነት ስጋቶችን ለይተናል። በአንድ በኩል፣ ቨርቹዋል ዴስክቶፕ ከተጠቃሚው ኮምፒውተር የመበከል አደጋን ይፈጥራል። በሌላ በኩል ከቨርቹዋል ዴስክቶፕ ወደ ኢንተርኔት ክፍት ቦታ መውጣት እና የተበከለውን ፋይል ማውረድ አደጋ አለ። ይህ ቢከሰትም መላውን መሠረተ ልማት ሊጎዳ አይገባም። ስለዚህ አገልግሎቱን ስንፈጥር ብዙ ችግሮችን ፈትተናል- 

• የጠቅላላው VDI ጥበቃ ከውጭ አደጋዎች ይቆማል.
• የደንበኞችን እርስ በርስ ማግለል.
• ምናባዊ ዴስክቶፖችን እራሳቸው መጠበቅ. 
• ደህንነቱ የተጠበቀ የተጠቃሚ ግንኙነት ከማንኛውም መሳሪያ።

ከፎርቲኔት የመጣ አዲስ ትውልድ ፋየርዎል የሆነው ፎርቲጌት የጥበቃው ዋና አካል ሆነ። የቪዲአይ መቆሚያውን ትራፊክ ይቆጣጠራል፣ ለእያንዳንዱ ደንበኛ ገለልተኛ መሠረተ ልማት ያቀርባል እና ከተጠቃሚው ጎን ተጋላጭነቶችን ይከላከላል። አቅሙ አብዛኛዎቹን የአይኤስ ጉዳዮች ለመዝጋት በቂ ነው። 

ግን ኩባንያው ልዩ የደህንነት መስፈርቶች ካሉት ተጨማሪ አማራጮችን እናቀርባለን- 

• ከቤት ኮምፒተሮች ለመስራት ደህንነቱ የተጠበቀ ግንኙነት እናደራጃለን።
• የደህንነት ምዝግብ ማስታወሻዎችን በራስ የመመርመር መዳረሻ እንሰጣለን።
• በዴስክቶፕ ላይ የፀረ-ቫይረስ ጥበቃ አስተዳደርን እናቀርባለን።
• ከዜሮ ቀን ተጋላጭነቶች እንጠብቃለን። 
• ያልተፈቀዱ ግንኙነቶችን ለመከላከል ለተጨማሪ ጥበቃ ባለብዙ ደረጃ ማረጋገጫን ያዘጋጁ።

ተግባሮቹ እንዴት እንደተፈቱ የበለጠ እነግርዎታለሁ። 

ዳሱን እንዴት እንደምንጠብቅ እና የአውታረ መረብ ደህንነትን እናረጋግጣለን።

የኔትወርክን ክፍል እንከፋፍለን. በዳስ ውስጥ ሁሉንም ሀብቶች ለማስተዳደር የተዘጋ የአስተዳደር ክፍል እንመድባለን። የአስተዳደሩ ክፍል ከውጭ ተደራሽ አይደለም: በደንበኛው ላይ ጥቃት በሚሰነዝርበት ጊዜ አጥቂዎች እዚያ መድረስ አይችሉም. 

ፎርቲጌት የጥበቃ ኃላፊነት አለበት። የፀረ-ቫይረስ ፣ የፋየርዎል ፣ የጣልቃ መከላከያ ስርዓት (አይፒኤስ) ተግባራትን ያጣምራል። 

ለእያንዳንዱ ደንበኛ ለምናባዊ ዴስክቶፖች ገለልተኛ የአውታረ መረብ ክፍል እንፈጥራለን። ይህንን ለማድረግ ፎርቲጌት የቨርቹዋል ዶሜይን ቴክኖሎጂ ወይም VDOM አለው። ፋየርዎልን ወደ ብዙ ምናባዊ አካላት እንዲከፍሉ እና ለእያንዳንዱ ደንበኛ የራሱን VDOM እንዲመድቡ ይፈቅድልዎታል ፣ ይህም እንደ የተለየ ፋየርዎል ነው። እንዲሁም ለአስተዳደር ክፍል የተለየ VDOM እንፈጥራለን።

ይህ እቅድ ይወጣል-


በደንበኞች መካከል ምንም የአውታረ መረብ ግንኙነት የለም: እያንዳንዱ በራሱ VDOM ውስጥ ይኖራል እና ሌላውን አይጎዳውም. ይህ ቴክኖሎጂ ከሌለ ደንበኞችን በፋየርዎል ደንቦች መለየት አለብን, እና ይህ በሰው ልጅ ምክንያት አደገኛ ነው. እንደነዚህ ያሉትን ደንቦች ያለማቋረጥ መዘጋት ካለበት በር ጋር ማወዳደር ይችላሉ. በ VDOM ጉዳይ ላይ "በሮች" ጨርሶ አንተወውም. 

በተለየ VDOM ውስጥ ደንበኛው የራሱ አድራሻ እና ማዘዋወር አለው። ስለዚህ የክልሎች መገናኛ ለኩባንያው ችግር አይፈጥርም. ደንበኛው የሚፈለጉትን የአይፒ አድራሻዎችን ወደ ምናባዊ ዴስክቶፖች መመደብ ይችላል። ይህ የራሳቸው የአይፒ እቅድ ላላቸው ትላልቅ ኩባንያዎች ምቹ ነው. 

የግንኙነት ችግሮችን ከደንበኛው የኮርፖሬት አውታረ መረብ ጋር እንፈታለን። የተለየ ተግባር ከደንበኛው መሠረተ ልማት ጋር የቪዲአይ መትከያ ነው። አንድ ኩባንያ የኮርፖሬት ሲስተሞችን በእኛ የመረጃ ማዕከል ውስጥ ካስቀመጠ በቀላሉ የኔትወርክ ገመድን ከመሳሪያዎቹ ወደ ፋየርዎል ማሄድ ይችላሉ። ግን ብዙ ጊዜ የምንገናኘው ከሩቅ ጣቢያ - ከሌላ የመረጃ ማእከል ወይም ከደንበኛ ቢሮ ጋር ነው። በዚህ አጋጣሚ ከጣቢያው ጋር ደህንነቱ የተጠበቀ ልውውጥ እያሰብን ነው እና IPsec VPN ን በመጠቀም site2site VPN እንገነባለን። 

እንደ የመሠረተ ልማት ውስብስብነት መርሃ ግብሮች የተለያዩ ሊሆኑ ይችላሉ. የሆነ ቦታ አንድ ነጠላ የቢሮ አውታር ከቪዲአይ ጋር ማገናኘት በቂ ነው - በቂ የማይንቀሳቀስ መስመር አለ. ትላልቅ ኩባንያዎች በየጊዜው የሚለዋወጡ ብዙ አውታረ መረቦች አሏቸው; እዚህ ደንበኛው ተለዋዋጭ አቅጣጫ ያስፈልገዋል. የተለያዩ ፕሮቶኮሎችን እንጠቀማለን፡ ቀደም ሲል በOSPF (ክፍት አጭሩ መንገድ መጀመሪያ)፣ ጂአርአይ ዋሻዎች (አጠቃላይ ራውቲንግ ኢንካፕስሌሽን) እና BGP (የድንበር ጌትዌይ ፕሮቶኮል) ጉዳዮች ነበሩ። FortiGate ሌሎች ደንበኞችን ሳይነካ በተለየ VDOM ውስጥ የአውታረ መረብ ፕሮቶኮሎችን ይደግፋል። 

እንዲሁም GOST-VPN ን መገንባት ይችላሉ - በሩሲያ ፌዴሬሽን FSB የተመሰከረላቸው በ cryptoprotection መሳሪያዎች ላይ የተመሠረተ ምስጠራ። ለምሳሌ፣ የክፍል KS1 መፍትሄዎችን በቨርቹዋል አካባቢ "S-Tera virtual gateway" ወይም HSS ViPNet፣ APKSh "Continent", "S-Tera" በመጠቀም።

የቡድን መመሪያዎችን ያዋቅሩ። በVDI ላይ ከሚተገበሩ የደንበኛ ቡድን ፖሊሲዎች ጋር እናስተባብራለን። እዚህ, የማቀናበር መርሆዎች በቢሮ ውስጥ ፖሊሲዎችን ከማዘጋጀት የተለዩ አይደሉም. ከActive Directory ጋር ውህደትን እያዘጋጀን እና የአንዳንድ የቡድን ፖሊሲዎችን ቁጥጥር ለደንበኞች እንሰጥዎታለን። የተከራይ አስተዳዳሪዎች ፖሊሲዎችን በኮምፒዩተር ነገር ላይ መተግበር፣ በActive Directory ውስጥ ያለውን ድርጅታዊ ክፍል ማስተዳደር እና ተጠቃሚዎችን መፍጠር ይችላሉ። 

በFortiGate ላይ፣ ለእያንዳንዱ ደንበኛ VDOM፣ የአውታረ መረብ ደህንነት ፖሊሲ እንጽፋለን፣ የመዳረሻ ገደቦችን እናዘጋጃለን እና የትራፊክ ፍተሻን እናዘጋጃለን። በርካታ FortiGate ሞጁሎችን እንጠቀማለን፡- 

• የአይፒኤስ ሞጁል የማልዌርን ትራፊክ ይፈትሻል እና ጣልቃ ገብነትን ይከላከላል።
• ጸረ-ቫይረስ ዴስክቶፖችን ከማልዌር እና ስፓይዌር ይጠብቃል ፤
• የድር ማጣሪያ አስተማማኝ ያልሆኑ ሀብቶችን እና ተንኮል-አዘል ወይም አግባብነት የሌለው ይዘት ያላቸውን ጣቢያዎች መዳረሻን ያግዳል;
• የፋየርዎል መቼቶች ተጠቃሚዎች በይነመረብን በተወሰኑ ጣቢያዎች ላይ ብቻ እንዲደርሱ ያስችላቸዋል። 

አንዳንድ ጊዜ ደንበኛ የሰራተኞችን የጣቢያዎች መዳረሻ በተናጥል ማስተዳደር ይፈልጋል። ብዙ ጊዜ ባንኮች እንደዚህ ዓይነት ጥያቄ ይዘው ይመጣሉ፡ የደህንነት አገልግሎቶች የመዳረሻ ቁጥጥር ከኩባንያው ጎን እንዲቆይ ይፈልጋሉ። እንደነዚህ ያሉ ኩባንያዎች ትራፊክን በራሳቸው ይቆጣጠራሉ እና በየጊዜው በፖሊሲዎች ላይ ለውጦችን ያደርጋሉ. በዚህ አጋጣሚ ሁሉንም ትራፊክ ከFortiGate ወደ ደንበኛው እናዞራለን። ይህንን ለማድረግ ከኩባንያው መሠረተ ልማት ጋር የተዋቀረ በይነገጽ እንጠቀማለን. ከዚያ በኋላ ደንበኛው ራሱ ወደ የኮርፖሬት አውታረመረብ እና በይነመረብ ለመግባት ደንቦቹን ያዋቅራል። 

በመድረኩ ላይ ያሉትን ክስተቶች በመመልከት ላይ። ከFortiGate ጋር፣ FortiAnalyzer የምንጠቀመው ከፎርቲኔት የመጣ የምዝግብ ማስታወሻ ሰብሳቢ ነው። በእሱ እርዳታ ሁሉንም የክስተት ምዝግብ ማስታወሻዎች በቪዲአይ ላይ በአንድ ቦታ እንመለከታለን, አጠራጣሪ እንቅስቃሴዎችን እና ግንኙነቶችን እንከታተላለን. 

ከደንበኞቻችን አንዱ የፎርቲኔት ምርቶችን በቢሮው ውስጥ ይጠቀማል። ለእሱ የምዝግብ ማስታወሻ መስቀልን አዘጋጅተናል - ስለዚህ ደንበኛው ሁሉንም የደህንነት ክስተቶች ለቢሮ ማሽኖች እና ምናባዊ ዴስክቶፖች መተንተን ይችላል።

ምናባዊ ዴስክቶፖችን እንዴት እንደምንከላከል

ከሚታወቁ ማስፈራሪያዎች. ደንበኛው በተናጥል የጸረ-ቫይረስ ጥበቃን ማስተዳደር ከፈለገ እኛ በተጨማሪ የ Kaspersky Security for Virtualization እንጭነዋለን። 

ይህ መፍትሄ በደመና ውስጥ በደንብ ይሰራል. ክላሲክ የ Kaspersky ጸረ-ቫይረስ "ከባድ" መፍትሄ መሆኑን ሁላችንም እንለማመዳለን. ከእሱ በተለየ የ Kaspersky Security for Virtualization ምናባዊ ማሽኖችን አይጭንም. ሁሉም የቫይረስ ዳታቤዝ በአገልጋዩ ላይ ይገኛሉ፣ ይህም ለሁሉም አስተናጋጅ ቨርችዋል ማሽኖች ውሳኔ ይሰጣል። በቨርቹዋል ዴስክቶፕ ላይ የብርሃን ወኪሉ ብቻ ተጭኗል። ለማረጋገጫ ፋይሎችን ወደ አገልጋዩ ይልካል። 

ይህ አርክቴክቸር በተመሳሳይ ጊዜ የፋይል ጥበቃን ፣ የበይነመረብ ጥበቃን ፣ ከጥቃቶች ይከላከላል እና የቨርቹዋል ማሽኖችን አፈፃፀም አይቀንስም። በዚህ አጋጣሚ ደንበኛው ለፋይል ጥበቃ በራሱ ልዩ ሁኔታዎችን ሊያደርግ ይችላል. የመፍትሄውን መሰረታዊ አቀማመጥ እንረዳዋለን. በተለየ ጽሑፍ ውስጥ ስለ ባህሪያቱ እንነጋገራለን.

ከማይታወቁ ማስፈራሪያዎች። ይህንን ለማድረግ, FortiSandbox, የ Fortinet ማጠሪያ እናገናኘዋለን. ጸረ-ቫይረስ የዜሮ ቀን ስጋት ካጣ እንደ ማጣሪያ እንጠቀማለን። ፋይሉን ካወረድን በኋላ በመጀመሪያ በፀረ-ቫይረስ እንፈትሻለን, ከዚያም ወደ ማጠሪያው እንልካለን. ፎርቲሳንድቦክስ ቨርቹዋል ማሽንን ይኮርጃል፣ ፋይል ያስነሳና ባህሪውን ይከታተላል፡ በመዝገቡ ውስጥ ምን አይነት ነገሮች እንደሚደርስባቸው፣ የውጪ ጥያቄዎችን መላክ እና ሌሎችም። ፋይሉ አጠራጣሪ ከሆነ፣ ማጠሪያ ያለው ቪኤም ይሰረዛል እና ተንኮል አዘል ፋይሉ በተጠቃሚው VDI ላይ አይቀመጥም። 

ከቪዲአይ ጋር ደህንነቱ የተጠበቀ ግንኙነት እንዴት ማዋቀር እንደሚቻል

የመሳሪያውን ተገዢነት ከመረጃ ደህንነት መስፈርቶች ጋር እናረጋግጣለን. የርቀት ሥራ ከተጀመረበት ጊዜ ጀምሮ ደንበኞቻችን በጥያቄዎች እያነጋገሩን ነበር፡ የተጠቃሚዎችን ደህንነቱ የተጠበቀ አሠራር ከግል ኮምፒውተሮቻቸው ለማረጋገጥ። ማንኛውም የኢንፎርሜሽን ደህንነት ባለሙያ የቤት ውስጥ መሳሪያዎችን ለመጠበቅ አስቸጋሪ እንደሆነ ያውቃል-እነዚህ የቢሮ እቃዎች ስላልሆኑ አስፈላጊውን ጸረ-ቫይረስ እዚያ መጫን ወይም የቡድን ፖሊሲዎችን መተግበር አይችሉም. 

በነባሪ፣ VDI በግል መሳሪያው እና በድርጅት አውታረመረብ መካከል ደህንነቱ የተጠበቀ “ንብርብር” ይሆናል። ቪዲአይ ከተጠቃሚው ማሽን ከሚደርስ ጥቃት ለመከላከል ክሊፕቦርዱን እናሰናክላለን፣ የዩኤስቢ ማስተላለፍን እናሰናክላለን። ነገር ግን ይሄ የተጠቃሚውን መሳሪያ እራሱን ደህንነቱ የተጠበቀ አያደርገውም። 

ችግሩን በ FortiClient እርዳታ እንፈታዋለን. ይህ የመጨረሻ ነጥቦችን ለመጠበቅ (የመጨረሻ ነጥብ ጥበቃ) መሳሪያ ነው. የኩባንያው ተጠቃሚዎች FortiClient በቤታቸው ኮምፒውተሮቻቸው ላይ ይጫኑት እና ከቨርቹዋል ዴስክቶፕ ጋር ለመገናኘት ይጠቀሙበታል። FortiClient 3 ተግባሮችን በአንድ ጊዜ ይፈታል፡ 

• ለተጠቃሚው የመዳረሻ "ነጠላ መስኮት" ይሆናል;
• የግሌ ኮምፒዩተሩ ጸረ-ቫይረስ እና የቅርብ ጊዜ የስርዓተ ክወና ማሻሻያ መኖሩን ያረጋግጣል; 
• ደህንነቱ የተጠበቀ መዳረሻ ለማግኘት የቪፒኤን ዋሻ ይገነባል። 

ሰራተኛው መዳረሻ የሚያገኘው ማረጋገጫውን ካለፈ ብቻ ነው። በተመሳሳይ ጊዜ, ቨርቹዋል ዴስክቶፖች እራሳቸው ከበይነመረቡ ተደራሽ አይደሉም, ይህም ማለት ከጥቃቶች በተሻለ ሁኔታ ይጠበቃሉ. 

አንድ ኩባንያ የመጨረሻ ነጥብ ጥበቃን በራሱ ማስተዳደር ከፈለገ፣ FortiClient EMS (የመጨረሻ ነጥብ አስተዳደር አገልጋይ) እናቀርባለን። ደንበኛው የዴስክቶፕ ቅኝትን እና ጣልቃ ገብነትን ማዋቀር ይችላል, ነጭ የአድራሻ ዝርዝር ይፍጠሩ. 

የማረጋገጫ ሁኔታዎችን ያክሉ። በነባሪ፣ ተጠቃሚዎች በCitrix netscaler በኩል የተረጋገጡ ናቸው። እዚህ ላይም በSafeNet ምርቶች ላይ ተመስርተን ባለ ብዙ ደረጃ ማረጋገጫ ደህንነትን ማሳደግ እንችላለን። ይህ ርዕስ ልዩ ትኩረት ሊሰጠው ይገባል, በተለየ ጽሑፍ ውስጥም እንነጋገራለን. 

ባለፈው የሥራ ዓመት ውስጥ ከተለያዩ መፍትሄዎች ጋር የመሥራት እንዲህ ዓይነት ልምድ አከማችተናል. የቪዲአይ አገልግሎት ለእያንዳንዱ ደንበኛ ለብቻው የተዋቀረ ነው, ስለዚህ በጣም ተለዋዋጭ መሳሪያዎችን መርጠናል. ምናልባት በቅርብ ጊዜ ውስጥ ሌላ ነገር ጨምረን ልምዳችንን እናካፍላለን።

ኦክቶበር 7 በ 17.00 ባልደረቦቼ በዌቢናር ላይ ስለ ምናባዊ ዴስክቶፖች ይነጋገራሉ "ቪዲአይ ያስፈልገኛል ወይስ የርቀት ስራን እንዴት ማደራጀት እንደሚቻል?"
ይመዝገቡ, VDI ቴክኖሎጂ ለኩባንያው ተስማሚ በሚሆንበት ጊዜ እና ሌሎች ዘዴዎችን መጠቀም የተሻለ በሚሆንበት ጊዜ ለመወያየት ከፈለጉ.

ምንጭ: hab.com