ProHoster > بلوق > إدارة > كيف نحمي أجهزة سطح المكتب الافتراضية للعملاء من الفيروسات وبرامج التجسس والهجمات

كيف نحمي أجهزة سطح المكتب الافتراضية للعملاء من الفيروسات وبرامج التجسس والهجمات

هذا العام، تحولت العديد من الشركات على عجل إلى العمل عن بعد. لبعض العملاء نحن ساعد تنظيم أكثر من مائة وظيفة عن بعد أسبوعيًا. وكان من المهم القيام بذلك ليس بسرعة فحسب، بل بأمان أيضًا. لقد أتت تقنية VDI للإنقاذ: فبمساعدتها أصبح من السهل توزيع سياسات الأمان على جميع أماكن العمل والحماية من تسرب البيانات. 

سأخبرك في هذه المقالة كيف تعمل خدمة سطح المكتب الافتراضي الخاصة بنا والمعتمدة على Citrix VDI من وجهة نظر أمن المعلومات. سأوضح لك ما نقوم به لحماية أجهزة سطح المكتب العميلة من التهديدات الخارجية مثل برامج الفدية أو الهجمات المستهدفة. 

كيف نحمي أجهزة سطح المكتب الافتراضية للعملاء من الفيروسات وبرامج التجسس والهجمات

ما هي المشاكل الأمنية التي يمكننا حلها؟ 

لقد حددنا العديد من التهديدات الأمنية الرئيسية للخدمة. فمن ناحية، يتعرض سطح المكتب الافتراضي لخطر الإصابة من كمبيوتر المستخدم. ومن ناحية أخرى، هناك خطر الخروج من سطح المكتب الافتراضي إلى الفضاء المفتوح للإنترنت وتنزيل ملف مصاب. وحتى لو حدث ذلك، فلا ينبغي أن يؤثر على البنية التحتية بأكملها. لذلك، عند إنشاء الخدمة، قمنا بحل العديد من المشاكل: 

  • يحمي حامل VDI بأكمله من التهديدات الخارجية.
  • عزل العملاء عن بعضهم البعض.
  • حماية أجهزة الكمبيوتر المكتبية الافتراضية نفسها. 
  • قم بتوصيل المستخدمين بشكل آمن من أي جهاز.

كان جوهر الحماية هو FortiGate، وهو جيل جديد من جدار الحماية من Fortinet. فهو يراقب حركة مرور كشك VDI، ويوفر بنية تحتية معزولة لكل عميل، ويحمي من الثغرات الأمنية من جانب المستخدم. قدراتها كافية لحل معظم مشكلات أمن المعلومات. 

ولكن إذا كانت الشركة لديها متطلبات أمنية خاصة، فإننا نقدم خيارات إضافية: 

  • نقوم بتنظيم اتصال آمن للعمل من أجهزة الكمبيوتر المنزلية.
  • نحن نوفر إمكانية الوصول للتحليل المستقل لسجلات الأمان.
  • نحن نقدم إدارة الحماية من الفيروسات على أجهزة الكمبيوتر المكتبية.
  • نحن نحمي من ثغرات يوم الصفر. 
  • نقوم بتكوين مصادقة متعددة العوامل لتوفير حماية إضافية ضد الاتصالات غير المصرح بها.

سأخبرك بمزيد من التفاصيل كيف قمنا بحل المشكلات. 

كيفية حماية الحامل وضمان أمن الشبكة

دعونا نقسم جزء الشبكة. نسلط الضوء في المنصة على قسم الإدارة المغلق لإدارة جميع الموارد. لا يمكن الوصول إلى قطاع الإدارة من الخارج: في حالة حدوث هجوم على العميل، لن يتمكن المهاجمون من الوصول إلى هناك. 

FortiGate هي المسؤولة عن الحماية. فهو يجمع بين وظائف برنامج مكافحة الفيروسات وجدار الحماية ونظام منع التسلل (IPS). 

نقوم بإنشاء شريحة شبكة معزولة لكل عميل لسطح المكتب الافتراضي. ولهذا الغرض، لدى FortiGate تقنية المجال الافتراضي، أو VDOM. فهو يسمح لك بتقسيم جدار الحماية إلى عدة كيانات افتراضية وتخصيص كل عميل VDOM خاص به، والذي يتصرف كجدار حماية منفصل. نقوم أيضًا بإنشاء VDOM منفصل لقطاع الإدارة.

ويتبين أن هذا هو الرسم البياني التالي:
كيف نحمي أجهزة سطح المكتب الافتراضية للعملاء من الفيروسات وبرامج التجسس والهجمات

لا يوجد اتصال بالشبكة بين العملاء: كل منهم يعيش في VDOM الخاص به ولا يؤثر على الآخر. بدون هذه التقنية، سيتعين علينا فصل العملاء بقواعد جدار الحماية، وهو أمر محفوف بالمخاطر بسبب خطأ بشري. يمكنك مقارنة هذه القواعد بالباب الذي يجب إغلاقه باستمرار. في حالة VDOM، لا نترك أي "أبواب" على الإطلاق. 

في VDOM منفصل، يكون لدى العميل عنونة وتوجيه خاصين به. ولذلك فإن تجاوز النطاقات لا يشكل مشكلة بالنسبة للشركة. يمكن للعميل تعيين عناوين IP اللازمة لسطح المكتب الافتراضي. يعد هذا مناسبًا للشركات الكبيرة التي لديها خطط IP خاصة بها. 

نحن نحل مشكلات الاتصال بشبكة شركة العميل. هناك مهمة منفصلة وهي توصيل VDI بالبنية الأساسية للعميل. إذا احتفظت إحدى الشركات بأنظمة الشركة في مركز البيانات الخاص بنا، فيمكننا ببساطة توصيل كابل الشبكة من معداتها إلى جدار الحماية. ولكن في كثير من الأحيان نتعامل مع موقع بعيد - مركز بيانات آخر أو مكتب العميل. في هذه الحالة، نفكر من خلال تبادل آمن مع الموقع وبناء site2site VPN باستخدام IPsec VPN. 

قد تختلف المخططات اعتمادًا على مدى تعقيد البنية التحتية. في بعض الأماكن، يكفي توصيل شبكة مكتبية واحدة بـ VDI - ويكفي التوجيه الثابت هناك. تمتلك الشركات الكبيرة العديد من الشبكات التي تتغير باستمرار؛ هنا يحتاج العميل إلى التوجيه الديناميكي. نحن نستخدم بروتوكولات مختلفة: كانت هناك بالفعل حالات مع OSPF (افتح أقصر مسار أولاً)، وأنفاق GRE (تغليف التوجيه العام)، وBGP (بروتوكول بوابة الحدود). يدعم FortiGate بروتوكولات الشبكة في وحدات VDOM منفصلة، ​​دون التأثير على العملاء الآخرين. 

يمكنك أيضًا إنشاء GOST-VPN - تشفير يعتمد على وسائل حماية التشفير المعتمدة من قبل FSB في الاتحاد الروسي. على سبيل المثال، استخدام حلول فئة KS1 في البيئة الافتراضية "S-Terra Virtual Gateway" أو PAK ViPNet، وAPKSH "Continent"، و"S-Terra".

إعداد سياسات المجموعة. نحن نتفق مع العميل على سياسات المجموعة التي يتم تطبيقها على VDI. وهنا لا تختلف مبادئ الإعداد عن وضع السياسات في المكتب. قمنا بإعداد التكامل مع Active Directory وتفويض إدارة بعض سياسات المجموعة للعملاء. يمكن للمسؤولين المستأجرين تطبيق السياسات على كائن الكمبيوتر، وإدارة الوحدة التنظيمية في Active Directory، وإنشاء المستخدمين. 

في FortiGate، نكتب لكل عميل VDOM سياسة أمان الشبكة ونضع قيود الوصول ونقوم بتكوين فحص حركة المرور. نحن نستخدم العديد من وحدات FortiGate: 

  • تقوم وحدة IPS بفحص حركة المرور بحثًا عن البرامج الضارة وتمنع عمليات التطفل؛
  • يحمي برنامج مكافحة الفيروسات أجهزة الكمبيوتر المكتبية نفسها من البرامج الضارة وبرامج التجسس؛
  • تمنع تصفية الويب الوصول إلى الموارد والمواقع غير الموثوقة التي تحتوي على محتوى ضار أو غير مناسب؛
  • قد تسمح إعدادات جدار الحماية للمستخدمين بالوصول إلى الإنترنت لمواقع معينة فقط. 

في بعض الأحيان يرغب العميل في إدارة وصول الموظفين إلى مواقع الويب بشكل مستقل. في أغلب الأحيان، تأتي البنوك بهذا الطلب: تتطلب خدمات الأمن أن يظل التحكم في الوصول من جانب الشركة. تقوم هذه الشركات بنفسها بمراقبة حركة المرور وإجراء تغييرات على السياسات بانتظام. في هذه الحالة، نقوم بتحويل كل حركة المرور من FortiGate نحو العميل. للقيام بذلك، نستخدم واجهة تم تكوينها مع البنية التحتية للشركة. بعد ذلك، يقوم العميل نفسه بتكوين قواعد الوصول إلى شبكة الشركة والإنترنت. 

نشاهد الأحداث على المنصة. بالتعاون مع FortiGate، نستخدم FortiAnalyzer، وهو أداة تجميع السجلات من Fortinet. وبمساعدتها، فإننا ننظر إلى جميع سجلات الأحداث على VDI في مكان واحد، ونجد الإجراءات المشبوهة ونتتبع الارتباطات. 

يستخدم أحد عملائنا منتجات Fortinet في مكاتبهم. ومن أجل ذلك، قمنا بتكوين تحميل السجل - حتى يتمكن العميل من تحليل جميع الأحداث الأمنية لأجهزة المكاتب وأجهزة سطح المكتب الافتراضية.

كيفية حماية أجهزة سطح المكتب الافتراضية

من التهديدات المعروفة. إذا كان العميل يريد إدارة الحماية من الفيروسات بشكل مستقل، فإننا نقوم أيضًا بتثبيت Kaspersky Security للبيئات الافتراضية. 

يعمل هذا الحل بشكل جيد في السحابة. لقد اعتدنا جميعًا على حقيقة أن برنامج مكافحة الفيروسات الكلاسيكي من Kaspersky هو حل "ثقيل". وفي المقابل، لا يقوم Kaspersky Security for Virtualization بتحميل الأجهزة الافتراضية. توجد جميع قواعد بيانات الفيروسات على الخادم، الذي يصدر الأحكام لجميع الأجهزة الافتراضية للعقدة. يتم تثبيت العامل الخفيف فقط على سطح المكتب الافتراضي. يرسل الملفات إلى الخادم للتحقق. 

توفر هذه البنية حماية للملفات وحماية الإنترنت والحماية من الهجمات في نفس الوقت دون المساس بأداء الأجهزة الافتراضية. في هذه الحالة، يمكن للعميل تقديم استثناءات بشكل مستقل لحماية الملف. نحن نساعد في الإعداد الأساسي للحل. وسنتحدث عن مميزاته في مقال منفصل.

من التهديدات المجهولة. للقيام بذلك، نقوم بتوصيل FortiSandbox - "sandbox" من Fortinet. نستخدمه كمرشح في حالة فشل برنامج مكافحة الفيروسات في تهديد يوم الصفر. بعد تنزيل الملف، نقوم أولاً بفحصه باستخدام أحد برامج مكافحة الفيروسات ثم إرساله إلى وضع الحماية. يحاكي FortiSandbox جهازًا افتراضيًا، ويقوم بتشغيل الملف ومراقبة سلوكه: ما هي الكائنات الموجودة في السجل التي يتم الوصول إليها، وما إذا كان يرسل طلبات خارجية، وما إلى ذلك. إذا كان سلوك الملف مريبًا، فسيتم حذف الجهاز الظاهري في وضع الحماية ولا ينتهي الأمر بالملف الضار على VDI الخاص بالمستخدم. 

كيفية إعداد اتصال آمن بـ VDI

نقوم بالتحقق من امتثال الجهاز لمتطلبات أمن المعلومات. منذ بداية العمل عن بعد، اتصل بنا العملاء بطلبات: ضمان التشغيل الآمن للمستخدمين من أجهزة الكمبيوتر الشخصية الخاصة بهم. يعرف أي متخصص في أمن المعلومات أن حماية الأجهزة المنزلية أمر صعب: لا يمكنك تثبيت برامج مكافحة الفيروسات اللازمة أو تطبيق سياسات المجموعة، لأنها ليست معدات مكتبية. 

افتراضيًا، يصبح VDI "طبقة" آمنة بين الجهاز الشخصي وشبكة الشركة. لحماية VDI من الهجمات من جهاز المستخدم، نقوم بتعطيل الحافظة ونحظر إعادة توجيه USB. لكن هذا لا يجعل جهاز المستخدم نفسه آمنًا. 

نحن نحل المشكلة باستخدام FortiClient. هذه أداة لحماية نقطة النهاية. يقوم مستخدمو الشركة بتثبيت FortiClient على أجهزة الكمبيوتر المنزلية الخاصة بهم ويستخدمونه للاتصال بسطح مكتب افتراضي. FortiClient يحل 3 مشاكل في وقت واحد: 

  • تصبح "نافذة واحدة" للوصول للمستخدم؛
  • يتحقق مما إذا كان جهاز الكمبيوتر الشخصي الخاص بك يحتوي على برنامج مكافحة فيروسات وآخر تحديثات نظام التشغيل؛ 
  • يبني نفق VPN للوصول الآمن. 

لا يحصل الموظف على إمكانية الوصول إلا في حالة اجتياز عملية التحقق. وفي الوقت نفسه، لا يمكن الوصول إلى أجهزة سطح المكتب الافتراضية نفسها من الإنترنت، مما يعني أنها محمية بشكل أفضل من الهجمات. 

إذا كانت الشركة تريد إدارة حماية نقطة النهاية بنفسها، فإننا نقدم FortiClient EMS (خادم إدارة نقطة النهاية). يمكن للعميل تكوين فحص سطح المكتب ومنع التطفل وإنشاء قائمة بيضاء بالعناوين. 

إضافة عوامل المصادقة. بشكل افتراضي، تتم مصادقة المستخدمين من خلال Citrix netscaler. وهنا أيضًا، يمكننا تعزيز الأمان باستخدام المصادقة متعددة العوامل المستندة إلى منتجات SafeNet. ويستحق هذا الموضوع اهتماما خاصا، وسنتحدث عنه أيضا في مقال منفصل. 

لقد تراكمت لدينا هذه الخبرة في العمل مع حلول مختلفة خلال العام الماضي من العمل. يتم تكوين خدمة VDI بشكل منفصل لكل عميل، لذلك اخترنا الأدوات الأكثر مرونة. ربما سنضيف شيئًا آخر ونشارك تجربتنا في المستقبل القريب.

في 7 أكتوبر، الساعة 17.00، سيتحدث زملائي عن أجهزة سطح المكتب الافتراضية في الندوة عبر الإنترنت "هل VDI ضروري، أو كيفية تنظيم العمل عن بعد؟"
الاشتراك، إذا كنت تريد مناقشة متى تكون تقنية VDI مناسبة لشركة ما ومتى يكون من الأفضل استخدام طرق أخرى.

المصدر: www.habr.com

إضافة تعليق