Bu il bir çox şirkət tələsik distant işə keçdi. Bəzi müştərilər üçün biz həftədə yüzdən çox uzaq iş təşkil edir. Bunu təkcə tez deyil, həm də təhlükəsiz şəkildə etmək vacib idi. VDI texnologiyası köməyə gəldi: onun köməyi ilə təhlükəsizlik siyasətini bütün iş yerlərinə yaymaq və məlumat sızmasından qorunmaq rahatdır.
Bu yazıda sizə Citrix VDI əsaslı virtual masa üstü xidmətimizin informasiya təhlükəsizliyi baxımından necə işlədiyini izah edəcəyəm. Mən sizə müştəri iş masalarını fidyə proqramı və ya hədəflənmiş hücumlar kimi xarici təhlükələrdən qorumaq üçün nə etdiyimizi göstərəcəyəm.
Hansı təhlükəsizlik problemlərini həll edirik
Biz xidmət üçün bir neçə əsas təhlükəsizlik təhdidini müəyyən etdik. Bir tərəfdən, virtual iş masası istifadəçinin kompüterindən yoluxma riski daşıyır. Digər tərəfdən, virtual iş masasından İnternetin açıq sahəsinə çıxmaq və yoluxmuş faylı yükləmək təhlükəsi var. Bu baş versə belə, bütün infrastruktura təsir etməməlidir. Buna görə də, xidməti yaratarkən bir neçə problemi həll etdik:
- Bütün VDI stendinin xarici təhlükələrdən qorunması.
- Müştərilərin bir-birindən təcrid olunması.
- Virtual masaüstlərinin özlərini qorumaq.
- İstənilən cihazdan təhlükəsiz istifadəçi əlaqəsi.
Fortinet-dən yeni nəsil firewall olan FortiGate qorunmanın əsasını təşkil etdi. O, VDI stendinin trafikinə nəzarət edir, hər bir müştəri üçün təcrid olunmuş infrastruktur təmin edir və istifadəçi tərəfindəki zəifliklərdən qoruyur. Onun imkanları İD məsələlərinin əksəriyyətini bağlamaq üçün kifayətdir.
Lakin şirkətin xüsusi təhlükəsizlik tələbləri varsa, biz əlavə seçimlər təklif edirik:
- Biz ev kompüterlərindən işləmək üçün təhlükəsiz əlaqə təşkil edirik.
- Biz təhlükəsizlik qeydlərinin öz-özünə təhlilinə giriş veririk.
- Biz masaüstü kompüterlərdə anti-virus qorunmasının idarə edilməsini təmin edirik.
- Biz sıfır gün zəifliklərindən qoruyuruq.
- İcazəsiz qoşulmalara qarşı əlavə qorunma üçün çoxfaktorlu autentifikasiyanı qurun.
Tapşırıqların necə həll edildiyi barədə sizə daha ətraflı məlumat verəcəyəm.
Standı necə qoruyuruq və şəbəkə təhlükəsizliyini təmin edirik
Şəbəkə hissəsini seqmentləşdiririk. Stenddə biz bütün resursları idarə etmək üçün qapalı idarəetmə seqmenti ayırırıq. İdarəetmə seqmenti kənardan əlçatmazdır: müştəriyə hücum olarsa, təcavüzkarlar ora çata bilməyəcəklər.
FortiGate mühafizəyə cavabdehdir. O, antivirus, firewall, müdaxilənin qarşısının alınması sisteminin (IPS) funksiyalarını birləşdirir.
Hər bir müştəri üçün virtual masaüstləri üçün təcrid olunmuş şəbəkə seqmenti yaradırıq. Bunun üçün FortiGate-də virtual domen texnologiyası və ya VDOM var. O, firewall-u bir neçə virtual obyektə bölməyə və hər bir müştəriyə ayrıca firewall kimi davranan öz VDOM-unu ayırmağa imkan verir. Biz həmçinin idarəetmə seqmenti üçün ayrıca VDOM yaradırıq.
Bu sxem ortaya çıxır:
Müştərilər arasında şəbəkə bağlantısı yoxdur: hər biri öz VDOM-da yaşayır və digərinə təsir etmir. Bu texnologiya olmasaydı, müştəriləri firewall qaydaları ilə ayırmalı olardıq və bu, insan faktoruna görə risklidir. Bu cür qaydaları daim bağlanmalı olan bir qapı ilə müqayisə edə bilərsiniz. VDOM vəziyyətində biz "qapıları" ümumiyyətlə tərk etmirik.
Ayrı bir VDOM-da müştərinin öz ünvanlanması və marşrutu var. Ona görə də diapazonların kəsişməsi şirkət üçün problemə çevrilmir. Müştəri istədiyi IP ünvanlarını virtual masaüstlərinə təyin edə bilər. Bu, öz IP planları olan böyük şirkətlər üçün əlverişlidir.
Biz müştərinin korporativ şəbəkəsi ilə əlaqə problemlərini həll edirik. Ayrı bir vəzifə VDI-nin müştəri infrastrukturu ilə birləşdirilməsidir. Əgər şirkət məlumat mərkəzimizdə korporativ sistemləri saxlayırsa, siz sadəcə olaraq onun avadanlıqlarından firewall-a şəbəkə kabelini çəkə bilərsiniz. Ancaq daha tez-tez biz uzaq bir saytla - başqa bir məlumat mərkəzi və ya müştərinin ofisi ilə məşğul oluruq. Bu halda, biz saytla təhlükəsiz mübadilə və IPsec VPN istifadə edərək site2site VPN qurmaq haqqında düşünürük.
İnfrastrukturun mürəkkəbliyindən asılı olaraq sxemlər müxtəlif ola bilər. Haradasa bir ofis şəbəkəsini VDI-yə qoşmaq kifayətdir - kifayət qədər statik marşrutlaşdırma var. Böyük şirkətlərin daim dəyişən çoxlu şəbəkələri var; burada müştəriyə dinamik marşrutlaşdırma lazımdır. Biz müxtəlif protokollardan istifadə edirik: OSPF (Open Shortest Path First), GRE tunelləri (Generic Routing Encapsulation) və BGP (Border Gateway Protocol) ilə bağlı hallar artıq olub. FortiGate digər müştərilərə təsir etmədən ayrı VDOM-larda şəbəkə protokollarını dəstəkləyir.
Siz həmçinin GOST-VPN qura bilərsiniz - Rusiya Federasiyasının FSB tərəfindən sertifikatlaşdırılmış kriptomühafizə vasitələrinə əsaslanan şifrələmə. Məsələn, "S-Terra virtual gateway" və ya HSS ViPNet, APKSh "Continent", "S-Terra" virtual mühitində KS1 sinif həllərindən istifadə etməklə.
Qrup Siyasətlərini qurun. Biz VDI-də tətbiq olunan müştəri qrupu siyasətləri ilə koordinasiya edirik. Burada qurulma prinsipləri ofisdəki siyasətdən heç bir fərqi yoxdur. Biz Active Directory ilə inteqrasiya qururuq və bəzi qrup siyasətlərinə nəzarəti müştərilərə həvalə edirik. İcarəçi administratorları Kompüter obyektinə siyasətlər tətbiq edə, Active Directory-də təşkilati bölməni idarə edə və istifadəçilər yarada bilər.
FortiGate-də hər bir VDOM müştərisi üçün biz şəbəkə təhlükəsizliyi siyasətini yazırıq, giriş məhdudiyyətlərini təyin edirik və trafikin yoxlanmasını təyin edirik. Bir neçə FortiGate modulundan istifadə edirik:
- IPS modulu zərərli proqram üçün trafiki yoxlayır və müdaxilələrin qarşısını alır;
- antivirus iş masalarını zərərli proqramlardan və casus proqramlardan qoruyur;
- veb filtrləmə etibarsız resurslara və zərərli və ya uyğun olmayan məzmunlu saytlara girişi bloklayır;
- firewall parametrləri istifadəçilərə yalnız müəyyən saytlarda İnternetə daxil olmaq imkanı verə bilər.
Bəzən müştəri saytlara işçilərin girişini müstəqil şəkildə idarə etmək istəyir. Daha tez-tez banklar belə bir tələblə gəlirlər: təhlükəsizlik xidmətləri giriş nəzarətinin şirkətin tərəfində qalmasını tələb edir. Bu cür şirkətlər trafiki özləri izləyir və mütəmadi olaraq siyasətlərdə dəyişiklik edirlər. Bu halda biz bütün trafiki FortiGate-dən müştəriyə yönəldirik. Bunun üçün biz şirkətin infrastrukturu ilə konfiqurasiya edilmiş interfeysdən istifadə edirik. Bundan sonra müştəri özü korporativ şəbəkəyə və İnternetə çıxış qaydalarını konfiqurasiya edir.
Stenddə hadisələri izləyir. FortiGate ilə birlikdə biz Fortinet-dən jurnal toplayıcısı olan FortiAnalyzer istifadə edirik. Onun köməyi ilə biz VDI-dəki bütün hadisə qeydlərinə bir yerdə baxırıq, şübhəli fəaliyyətləri tapırıq və korrelyasiyaları izləyirik.
Müştərilərimizdən biri ofisində Fortinet məhsullarından istifadə edir. Bunun üçün biz log yükləməni qurduq - beləliklə müştəri ofis maşınları və virtual masaüstləri üçün bütün təhlükəsizlik hadisələrini təhlil edə bilsin.
Virtual masaüstlərini necə qoruyuruq
Məlum təhdidlərdən. Müştəri antivirus müdafiəsini müstəqil idarə etmək istəyirsə, biz əlavə olaraq Kaspersky Security for Virtualization quraşdırırıq.
Bu həll buludda yaxşı işləyir. Klassik Kaspersky antivirusunun "ağır" bir həll olduğuna hamımız öyrəşmişik. Bundan fərqli olaraq, Kaspersky Security for Virtualization virtual maşınları yükləmir. Bütün virus verilənlər bazaları serverdə yerləşir və bütün host virtual maşınları üçün hökmlər verir. Virtual iş masasında yalnız işıq agenti quraşdırılıb. Faylları yoxlamaq üçün serverə göndərir.
Bu arxitektura eyni zamanda faylların qorunmasını, İnternetin qorunmasını, hücumlardan qorunmasını təmin edir və virtual maşınların işini azaltmır. Bu halda, müştəri fayl mühafizəsinin özündə istisnalar edə bilər. Biz həllin əsas qurulmasında kömək edirik. Onun xüsusiyyətləri haqqında ayrı bir məqalədə danışacağıq.
Naməlum təhdidlərdən. Bunun üçün biz Fortinet-dən Sandbox olan FortiSandbox-a qoşuluruq. Antivirusun sıfır gün təhlükəsini qaçırması halında onu filtr kimi istifadə edirik. Faylı yüklədikdən sonra əvvəlcə onu antivirusla yoxlayırıq, sonra isə onu sandboxa göndəririk. FortiSandbox virtual maşını təqlid edir, faylı işə salır və onun davranışına nəzarət edir: reyestrdəki hansı obyektlərə daxil olur, xarici sorğular göndərib-göndərmir və s. Fayl şübhəli davranarsa, qum qutusuna salınmış VM silinir və zərərli fayl istifadəçinin VDI-sinə yerləşdirilmir.
VDI ilə təhlükəsiz əlaqəni necə qurmaq olar
Biz cihazın informasiya təhlükəsizliyi tələblərinə uyğunluğunu yoxlayırıq. Uzaqdan işləməyə başlayandan müştərilər bizimlə sorğularla əlaqə saxlayırlar: istifadəçilərin şəxsi kompüterlərindən təhlükəsiz işləməsini təmin etmək. Hər hansı bir məlumat təhlükəsizliyi mütəxəssisi bilir ki, ev cihazlarını qorumaq çətindir: orada lazımi antivirus quraşdıra və ya qrup siyasətlərini tətbiq edə bilməzsiniz, çünki bunlar ofis avadanlığı deyil.
Varsayılan olaraq, VDI şəxsi cihaz və korporativ şəbəkə arasında təhlükəsiz "qat" olur. VDI-ni istifadəçinin maşınının hücumlarından qorumaq üçün biz buferi söndürürük, USB yönləndirməni deaktiv edirik. Lakin bu, istifadəçi cihazının özünü təhlükəsiz etmir.
Problemi FortiClient-in köməyi ilə həll edirik. Bu, son nöqtələri qorumaq üçün bir vasitədir (son nöqtənin qorunması). Şirkətin istifadəçiləri FortiClient-i ev kompüterlərinə quraşdırır və virtual iş masasına qoşulmaq üçün ondan istifadə edirlər. FortiClient eyni anda 3 vəzifəni həll edir:
- istifadəçi üçün girişin "vahid pəncərəsinə" çevrilir;
- fərdi kompüterdə antivirusun və ən son OS yeniləmələrinin olub olmadığını yoxlayır;
- təhlükəsiz giriş üçün VPN tuneli qurur.
İşçi yalnız yoxlamadan keçdiyi təqdirdə giriş əldə edir. Eyni zamanda, virtual masaüstlərinin özləri də İnternetdən əlçatan deyil, yəni onlar hücumlardan daha yaxşı qorunur.
Əgər şirkət son nöqtə mühafizəsini özü idarə etmək istəyirsə, biz FortiClient EMS (Endpoint Management Server) təklif edirik. Müştəri masa üstü tarama və müdaxilənin qarşısının alınmasını konfiqurasiya edə, ünvanların ağ siyahısını yarada bilər.
Doğrulama faktorlarını əlavə edin. Varsayılan olaraq, istifadəçilər Citrix netscaler vasitəsilə autentifikasiya edilir. Burada da SafeNet məhsullarına əsaslanan çoxfaktorlu autentifikasiya ilə təhlükəsizliyi gücləndirə bilərik. Bu mövzu xüsusi diqqətə layiqdir, bu barədə ayrıca bir məqalədə də danışacağıq.
Biz son iş ilində müxtəlif həllərlə işləmək üzrə belə təcrübə toplamışıq. VDI xidməti hər bir müştəri üçün ayrıca konfiqurasiya edilir, ona görə də biz ən çevik alətləri seçdik. Ola bilsin ki, yaxın gələcəkdə başqa bir şey əlavə edib təcrübəmizi bölüşək.
Oktyabrın 7-də saat 17.00-da həmkarlarım “Mənə VDI lazımdırmı, yoxsa distant işi necə təşkil etmək olar?” vebinarında virtual iş masaları haqqında danışacaqlar.
, VDI texnologiyasının bir şirkət üçün nə vaxt uyğun olduğunu və başqa üsullardan istifadə etməyin daha yaxşı olduğunu müzakirə etmək istəyirsinizsə.
Mənbə: www.habr.com