У гэтым годзе многія кампаніі спешна пераходзілі на выдаленне. Некаторым кліентам мы арганізоўваць больш за сотню аддаленых працоўных месцаў за тыдзень. Было важна зрабіць гэта не толькі хутка, але і бяспечна. На дапамогу прыйшла тэхналогія VDI: з яе дапамогай зручна распаўсюджваць палітыкі бяспекі на ўсе працоўныя месцы і бараніцца ад уцечак дадзеных.
У гэтым артыкуле я раскажу, як уладкованы наш сэрвіс віртуальных працоўных сталоў на базе Citrix VDI з пункта гледжання інфармацыйнай бяспекі. Пакажу, што мы робім, каб абараніць кліенцкія працоўныя сталы ад знешніх пагроз тыпу шыфравальшчыкаў або накіраваных нападаў.
Якія задачы бяспекі мы вырашаем
Мы вылучылі некалькі асноўных пагроз бяспецы для сэрвісу. З аднаго боку, віртуальны працоўны стол рызыкуе заразіцца з кампутара карыстальніка. З іншага, ёсць небяспека выйсці з віртуальнага працоўнага стала ў адкрыты космас інтэрнэт і спампаваць заражаны файл. Нават калі такое здарыцца, гэта не павінна паўплываць на ўсю інфраструктуру. Таму пры стварэнні сервісу мы вырашалі некалькі задач:
- Абарона за ўсё стэнда VDI ад знешніх пагроз.
- Ізаляцыя кліентаў адзін ад аднаго.
- Абарона саміх віртуальных працоўных сталоў.
- Бяспечнае падлучэнне карыстальнікаў з любых прылад.
Ядром абароны стаў FortiGate - міжсеткавы экран новага пакалення ад Fortinet. Ён кантралюе трафік стэнда VDI, забяспечвае ізаляваную інфраструктуру для кожнага кліента і абараняе ад уразлівасцяў на баку карыстальніка. Яго магчымасцяў хапае, каб закрыць большую частку пытанняў ИБ.
Але калі ў кампаніі ёсць спецыяльныя патрабаванні да бяспекі, мы прапануем дадатковыя магчымасці:
- Які арганізуецца абароненае злучэнне для працы з хатніх кампутараў.
- Даем доступ для самастойнага аналізу часопісаў бяспекі.
- Падаем кіраванне антывіруснай абаронай на працоўных сталах.
- Які абараняецца ад уразлівасцяў «нулявога дня».
- Наладжваем мультыфактарную аўтэнтыфікацыю для дадатковай абароны ад несанкцыянаванага падключэння.
Раскажу падрабязней, як вырашылі задачы.
Як абараняем стэнд і забяспечваем сеткавую бяспеку
Сегментуем сеткавую частку. На стэндзе мы вылучаем зачынены менеджмент-сегмент для кіравання ўсімі рэсурсамі. Мэнэджмент-сегмент недаступны звонку: у выпадку нападу на кліента зламыснікі не змогуць туды патрапіць.
За абарону адказвае FortiGate. Ён сумяшчае функцыі антывіруса, міжсеткавага экрана, сістэмы прадухілення ўварванняў (intrusion prevention system, IPS).
Пад кожнага кліента ствараем ізаляваны сеткавы сегмент для віртуальных працоўных сталоў. Для гэтага ў FortiGate ёсць тэхналогія віртуальных даменаў, ці VDOM. Яна дазваляе разбіваць міжсеткавы экран на некалькі віртуальных сутнасцяў і вылучаць кожнаму кліенту свой VDOM, які паводзіць сябе як асобны файрвол. Для менеджмент-сегмента таксама ствараем асобны VDOM.
Атрымліваецца вось такая схема:
Паміж кліентамі няма сеткавай складнасці: кожны жыве ў сваім VDOM'е і не ўплывае на іншага. Без гэтай тэхналогіі нам прыйшлося б падзяляць кліентаў правіламі міжсеткавага экрана, а гэта рызыкоўна з-за чалавечага фактару. Можна параўнаць такія правілы з дзвярыма, якую трэба ўвесь час зачыняць. У выпадку з VDOM'ом мы наогул не пакідаем "дзвярэй".
У асобным VDOM'е ў кліента сваё адрасаванне і маршрутызацыя. Таму скрыжаванне дыяпазонаў не становіцца праблемай для кампаніі. Кліент можа замацаваць за віртуальнымі працоўнымі сталамі патрэбныя IP-адрасы. Гэта зручна для буйных кампаній, у якіх ёсць свае IP-планы.
Вырашаем пытанні складнасці з карпаратыўнай сеткай кліента. Асобная задача - стыкоўка VDI з кліенцкай інфраструктурай. Калі кампанія трымае карпаратыўныя сістэмы ў нашым ЦАД, можна проста працягнуць сеткавы кабель ад яго абсталявання да міжсеткавага экрана. Але часцей мы маем справу з выдаленай пляцоўкай - іншым ЦАД або офісам кліента. У гэтым выпадку мы прадумваем бяспечны абмен з пляцоўкай і які будуецца site2site VPN з дапамогай IPsec VPN.
Схемы могуць быць рознымі, у залежнасці ад складанасці інфраструктуры. Дзесьці дастаткова падключыць да VDI адзіную офісную сетку - там хапае статычнай маршрутызацыі. У буйных кампаніях шмат сетак, якія ўвесь час змяняюцца; тут кліенту патрэбна дынамічная маршрутызацыя. Мы выкарыстоўваем розныя пратаколы: ужо былі кейсы з OSPF (Open Shortest Path First), GRE-тунэлямі (Generic Routing Encapsulation) і BGP (Border Gateway Protocol). FortiGate падтрымлівае сеткавыя пратаколы ў асобных VDOM'ах, без уплыву на іншых кліентаў.
Можна пабудаваць і ДАСТ-VPN – шыфраванне на базе сертыфікаваных ФСБ РФ сродкаў криптозащиты. Напрыклад, з дапамогай рашэнняў класа КС1 у віртуальным асяроддзі "З-Тэра віртуальны шлюз" ці ПАК ViPNet, АПКШ "Кантынент", "З-Тэра".
Наладжваем Group Policies. Мы ўзгадняем з кліентам групавыя палітыкі, якія прымяняюцца на VDI. Тут прынцыпы наладкі нічым не адрозніваюцца ад налад палітык у офісе. Мы наладжваем інтэграцыю з Active Directory і дэлегуем кліентам кіраванне некаторымі групавымі палітыкамі. Адміністратары кліента могуць прымяняць палітыкі на аб'ект Computer, кіраваць арганізацыйнай адзінкай у Active Directory і ствараць карыстальнікаў.
На FortiGate для кожнага кліенцкага VDOM'a мы пішам сеткавую палітыку бяспекі, задаём абмежаванні доступу і наладжваем праверку трафіку. Выкарыстоўваны некалькі модуляў FortiGate:
- модуль IPS правярае трафік на зловреды і прадухіляе ўварванні;
- антывірус абараняе самі працоўныя сталы ад шкоднаснага і шпіёнскага ПА;
- вэб-фільтэрынг блакуе доступ да нядобранадзейных рэсурсаў і сайтаў са шкоднасным або непрымальным змесцівам;
- настройкі міжсеткавага экрана могуць дазволіць выходзіць карыстальнікам у інтэрнэт толькі на пэўныя сайты.
Часам кліент жадае самастойна кіраваць доступам супрацоўнікаў да сайтаў. Часцей за з такім запытам прыходзяць банкі: службы бяспекі патрабуюць, каб кантроль доступу заставаўся на баку кампаніі. Такія кампаніі самі маніторыць трафік і рэгулярна ўносяць змены ў палітыкі. У гэтым выпадку ўвесь трафік з FortiGate мы разгортваем у бок кліента. Для гэтага выкарыстоўваем наладжаны стык з інфраструктурай кампаніі. Пасля гэтага кліент сам настройвае правілы доступу ў карпаратыўную сетку і інтэрнэт.
Назіраем за падзеямі на стэндзе. Разам з FortiGate мы выкарыстоўваем FortiAnalyzer - калектар логаў ад Fortinet. З яго дапамогай глядзім усе часопісы падзей на VDI у адным месцы, знаходзім падазроныя дзеянні і адсочваем карэляцыі.
Адзін з нашых кліентаў выкарыстоўвае прадукты Fortinet у сваім офісе. Для яго мы наладзілі выгрузку часопісаў - так кліент змог аналізаваць усе падзеі бяспекі для офісных машын і віртуальных працоўных сталоў.
Як абараняем віртуальныя працоўныя сталы
Ад вядомых пагроз. Калі кліент жадае самастойна кіраваць антывіруснай абаронай, мы дадаткова ставім Kaspersky Security для віртуальных асяроддзяў.
Гэтае рашэнне добра працуе ў воблаку. Усе мы абвыклі, што класічны антывірус Касперскага гэта цяжкае рашэнне. У адрозненне ад яго, Kaspersky Security для віртуальных асяроддзяў не нагружае віртуальныя машыны. Усе вірусныя базы знаходзяцца на серверы, які выдае вердыкты для ўсіх віртуальных машын вузла. На віртуальным працоўным стале ўсталяваны толькі лёгкі агент. Ён дасылае файлы для праверкі на сервер.
Такая архітэктура адначасова забяспечвае файлавую абарону, інтэрнэт-абарону, абарону ад нападаў і не змяншае прадукцыйнасць віртуальных машын. Пры гэтым кліент можа сам уносіць выключэнні ў файлавую абарону. Мы дапамагаем з базавай настройкай рашэння. Пра яе асаблівасці раскажам у асобным артыкуле.
Ад невядомых пагроз. Для гэтага падлучальны FortiSandbox – "пясочніцу" ад Fortinet. Мы выкарыстоўваем яе як фільтр на выпадак, калі антывірус прапусціць пагрозу "нулявога дня". Пасля запампоўкі файла спачатку правяраем яго антывірусам, а затым адпраўляем у "пясочніцу". FortiSandbox эмулюе віртуальную машыну, запускае файл і назірае за яго паводзінамі: да якіх аб'ектаў у рэестры звяртаецца, ці адпраўляе вонкавыя запыты і гэтак далей. Калі файл паводзіць сябе падазрона, віртуалка ў пясочніцы выдаляецца, і шкоднасны файл не пападае на карыстацкую VDI.
Як наладжваем бяспечнае падлучэнне да VDI
Правяраем адпаведнасць прылады патрабаванням ИБ. З пачатку выдалення кліенты звярталіся да нас з запытамі: забяспечыць бяспечную працу карыстачоў з іх асабістых кампутараў. Любы спецыяліст па ИБ ведае, што абараніць хатнія прылады складана: нельга ўсталяваць туды патрэбны антывірус ці прымяніць групавыя палітыкі, бо гэта не офіснае абсталяванне.
Па змаўчанні VDI становіцца бяспечнай «праслойкай» паміж асабістай прыладай і карпаратыўнай сеткай. Для абароны VDI ад нападаў з карыстацкай машыны мы адключаем буфер абмену, забараняем пракід USB. Але гэта не робіць само карыстацкае прылада бяспечным.
Праблему развязальны з дапамогай FortiClient. Гэты сродак для абароны канчатковых кропак (endpoint-абароны). Карыстальнікі кампаніі ставяць FortiClient на свае хатнія кампутары і з яго дапамогай падключаюцца да віртуальнага працоўнага стала. FortiClient вырашае адразу 3 задачы:
- становіцца "адзіным акном" доступу для карыстальніка;
- правярае, ці ёсць на асабістым кампутары антывірус і апошнія абнаўленні АС;
- будуе VPN-тунэль для абароненага доступу.
Супрацоўнік атрымоўвае доступ, толькі калі праходзіць праверку. Пры гэтым самі віртуальныя працоўныя сталы недаступныя з інтэрнэту, а значыць, лепш абаронены ад нападаў.
Калі кампанія жадае сама кіраваць endpoint-абаронай, мы прапануем FortiClient EMS (Endpoint Management Server). Кліент можа сам наладжваць сканаванне працоўных сталоў і прадухіленне ўварванняў, фармаваць белы спіс адрасоў.
Дадаем фактары аўтэнтыфікацыі. Па змаўчанні карыстачы аўтэнтыфікуюцца праз Citrix netscaler. Тут мы таксама можам узмацніць бяспеку з дапамогай мультыфактарнай аўтэнтыфікацыі на базе прадуктаў SafeNet. Гэтая тэма заслугоўвае асобнай увагі, пра гэта таксама раскажам у асобным артыкуле.
Такі досвед працы з рознымі рашэннямі ў нас назапасіўся за апошні год працы. Сэрвіс VDI наладжваецца асобна пад кожнага кліента, таму мы выбіралі максімальна гнуткія прылады. Магчыма, у хуткім будучыні дадамо нешта яшчэ і падзелімся вопытам.
7 кастрычніка ў 17.00 мае калегі раскажуць пра віртуальныя працоўныя сталы на вэбінары «Ці патрэбны VDI, ці як арганізаваць выдаленую працу?».
, калі хочаце абмеркаваць, калі кампаніі падыдзе тэхналогія VDI, а калі лепш выкарыстоўваць іншыя спосабы.
Крыніца: habr.com