Ove godine mnoge kompanije su užurbano prešle na rad na daljinu. Za neke klijente mi organizirati više od stotinu udaljenih poslova sedmično. Bilo je važno to učiniti ne samo brzo, već i sigurno. VDI tehnologija je priskočila u pomoć: uz nju je zgodno distribuirati sigurnosne politike na sva radna mjesta i štititi od curenja podataka.
U ovom članku ću vam reći kako naš virtuelni desktop servis baziran na Citrix VDI funkcioniše sa tačke gledišta bezbednosti informacija. Pokazat ću vam šta radimo da zaštitimo desktope klijenata od vanjskih prijetnji kao što su ransomware ili ciljani napadi.
Koje sigurnosne probleme rješavamo?
Identificirali smo nekoliko glavnih sigurnosnih prijetnji servisu. S jedne strane, virtuelna radna površina rizikuje da bude zaražena sa računara korisnika. S druge strane, postoji opasnost od izlaska sa virtuelne radne površine na otvoreni prostor interneta i preuzimanja zaražene datoteke. Čak i ako se to dogodi, to ne bi trebalo da utiče na celokupnu infrastrukturu. Stoga smo prilikom kreiranja usluge riješili nekoliko problema:
- Štiti cijeli VDI postolje od vanjskih prijetnji.
- Izolacija klijenata jednih od drugih.
- Zaštita samih virtuelnih desktopa.
- Sigurno povežite korisnike s bilo kojeg uređaja.
Srž zaštite bio je FortiGate, nova generacija firewall-a iz Fortinet-a. On prati promet VDI štanda, pruža izolovanu infrastrukturu za svakog klijenta i štiti od ranjivosti na strani korisnika. Njegove mogućnosti su dovoljne za rješavanje većine problema sigurnosti informacija.
Ali ako kompanija ima posebne sigurnosne zahtjeve, nudimo dodatne opcije:
- Organizujemo sigurnu vezu za rad sa kućnih računara.
- Pružamo pristup za nezavisnu analizu sigurnosnih dnevnika.
- Pružamo upravljanje antivirusnom zaštitom na desktop računarima.
- Štitimo od ranjivosti nultog dana.
- Konfiguriramo višefaktorsku autentifikaciju za dodatnu zaštitu od neovlaštenih veza.
Reći ću vam detaljnije kako smo riješili probleme.
Kako zaštititi štand i osigurati sigurnost mreže
Segmentirajmo dio mreže. Na štandu ističemo zatvoreni segment upravljanja za upravljanje svim resursima. Segment upravljanja je nedostupan izvana: u slučaju napada na klijenta, napadači neće moći tamo doći.
FortiGate je odgovoran za zaštitu. Kombinira funkcije antivirusnog programa, firewall-a i sistema za sprječavanje upada (IPS).
Za svakog klijenta kreiramo izolovani mrežni segment za virtuelne desktope. U tu svrhu, FortiGate ima tehnologiju virtuelne domene ili VDOM. Omogućava vam da podijelite zaštitni zid na nekoliko virtualnih entiteta i svakom klijentu dodijelite vlastiti VDOM, koji se ponaša kao poseban zaštitni zid. Također kreiramo poseban VDOM za segment upravljanja.
Ispada da je ovo sljedeći dijagram:
Ne postoji mrežna povezanost između klijenata: svaki živi u svom VDOM-u i ne utiče na drugog. Bez ove tehnologije, morali bismo da odvojimo klijente sa pravilima zaštitnog zida, što je rizično zbog ljudske greške. Takva pravila možete uporediti sa vratima koja moraju biti stalno zatvorena. U slučaju VDOM-a uopće ne ostavljamo „vrata“.
U zasebnom VDOM-u, klijent ima vlastito adresiranje i rutiranje. Stoga prelazak raspona ne predstavlja problem za kompaniju. Klijent može dodijeliti potrebne IP adrese virtuelnim radnim površinama. Ovo je zgodno za velike kompanije koje imaju svoje IP planove.
Rješavamo probleme povezivanja s korporativnom mrežom klijenta. Poseban zadatak je povezivanje VDI-a sa infrastrukturom klijenta. Ako kompanija drži korporativne sisteme u našem data centru, možemo jednostavno provući mrežni kabl od njene opreme do zaštitnog zida. Ali češće imamo posla s udaljenom lokacijom - drugim podatkovnim centrom ili uredom klijenta. U ovom slučaju razmišljamo o bezbednoj razmeni sa sajtom i gradimo site2site VPN koristeći IPsec VPN.
Šeme se mogu razlikovati u zavisnosti od složenosti infrastrukture. Na nekim mjestima je dovoljno povezati jednu kancelarijsku mrežu na VDI - tamo je dovoljno statičko rutiranje. Velike kompanije imaju mnogo mreža koje se stalno mijenjaju; ovdje je klijentu potrebno dinamičko usmjeravanje. Koristimo različite protokole: već je bilo slučajeva sa OSPF-om (Prvo otvori najkraći put), GRE tunelima (Generička enkapsulacija rutiranja) i BGP-om (Border Gateway Protocol). FortiGate podržava mrežne protokole u zasebnim VDOM-ovima, bez uticaja na druge klijente.
Također možete izgraditi GOST-VPN - enkripciju zasnovanu na sredstvima kriptografske zaštite koja je certificirala FSB Ruske Federacije. Na primjer, korištenjem rješenja klase KS1 u virtualnom okruženju “S-Terra Virtual Gateway” ili PAK ViPNet, APKSH “Continent”, “S-Terra”.
Postavljanje grupnih politika. Sa klijentom se dogovaramo o grupnim politikama koje se primjenjuju na VDI. Ovdje se principi postavljanja ne razlikuju od postavljanja politika u kancelariji. Postavili smo integraciju sa Active Directory-jem i delegirali upravljanje nekim grupnim politikama klijentima. Administratori stanara mogu primijeniti politike na objekt Computer, upravljati organizacijskom jedinicom u Active Directory-u i kreirati korisnike.
Na FortiGate-u, za svaki klijent VDOM pišemo mrežnu sigurnosnu politiku, postavljamo ograničenja pristupa i konfiguriramo inspekciju prometa. Koristimo nekoliko FortiGate modula:
- IPS modul skenira promet u potrazi za zlonamjernim softverom i sprječava upade;
- antivirus štiti same desktope od malvera i špijunskog softvera;
- web filtriranje blokira pristup nepouzdanim resursima i web lokacijama sa zlonamjernim ili neprikladnim sadržajem;
- Postavke zaštitnog zida mogu omogućiti korisnicima pristup Internetu samo određenim lokacijama.
Ponekad klijent želi samostalno upravljati pristupom zaposlenika web stranicama. Banke najčešće dolaze s ovim zahtjevom: sigurnosne službe zahtijevaju da kontrola pristupa ostane na strani kompanije. Takve kompanije same prate promet i redovno mijenjaju politike. U ovom slučaju sav promet od FortiGate-a skrećemo prema klijentu. Da bismo to uradili, koristimo konfigurisani interfejs sa infrastrukturom kompanije. Nakon toga, klijent sam konfiguriše pravila za pristup korporativnoj mreži i Internetu.
Pratimo dešavanja na štandu. Zajedno sa FortiGate-om koristimo FortiAnalyzer, sakupljač dnevnika iz Fortinet-a. Uz njegovu pomoć pregledavamo sve zapise događaja na VDI na jednom mjestu, pronalazimo sumnjive radnje i pratimo korelacije.
Jedan od naših klijenata koristi Fortinet proizvode u svom uredu. Za to smo konfigurisali otpremanje dnevnika - tako da je klijent mogao da analizira sve bezbednosne događaje za kancelarijske mašine i virtuelne desktope.
Kako zaštititi virtuelne radne površine
Od poznatih pretnji. Ako klijent želi samostalno da upravlja antivirusnom zaštitom, dodatno instaliramo Kaspersky Security za virtuelna okruženja.
Ovo rješenje dobro funkcionira u oblaku. Svi smo navikli na činjenicu da je klasični Kaspersky antivirus „teško“ rješenje. Nasuprot tome, Kaspersky Security for Virtualization ne učitava virtuelne mašine. Sve baze virusa nalaze se na serveru, koji izdaje presude za sve virtuelne mašine čvora. Na virtuelnoj radnoj površini instaliran je samo light agent. Šalje fajlove serveru na verifikaciju.
Ova arhitektura istovremeno pruža zaštitu datoteka, internet zaštitu i zaštitu od napada bez ugrožavanja performansi virtuelnih mašina. U ovom slučaju, klijent može samostalno uvesti izuzetke za zaštitu datoteka. Pomažemo oko osnovnog podešavanja rješenja. O njegovim karakteristikama ćemo govoriti u posebnom članku.
Od nepoznatih pretnji. Da bismo to učinili, povezujemo FortiSandbox – „pješčanik“ iz Fortinet-a. Koristimo ga kao filter u slučaju da antivirus propusti prijetnju nultog dana. Nakon preuzimanja datoteke, prvo je skeniramo antivirusom, a zatim šaljemo u sandbox. FortiSandbox emulira virtuelnu mašinu, pokreće datoteku i posmatra njeno ponašanje: kojim objektima u registru se pristupa, da li šalje eksterne zahteve i tako dalje. Ako se datoteka ponaša sumnjivo, virtuelna mašina u zaštićenom okruženju se briše i zlonamerna datoteka ne završava na korisničkom VDI-u.
Kako postaviti sigurnu vezu na VDI
Provjeravamo usklađenost uređaja sa zahtjevima sigurnosti informacija. Od početka rada na daljinu, klijenti su nam se obraćali sa zahtjevima: da osiguramo siguran rad korisnika sa njihovih ličnih računara. Svaki stručnjak za sigurnost informacija zna da je zaštita kućnih uređaja teška: ne možete instalirati potrebnu antivirusnu zaštitu ili primijeniti grupna pravila, jer ovo nije uredska oprema.
Podrazumevano, VDI postaje siguran „sloj“ između ličnog uređaja i korporativne mreže. Da bismo zaštitili VDI od napada sa korisničke mašine, onemogućavamo međuspremnik i zabranjujemo USB prosleđivanje. Ali to ne čini sam uređaj korisnika sigurnim.
Problem rješavamo koristeći FortiClient. Ovo je alat za zaštitu krajnjih tačaka. Korisnici kompanije instaliraju FortiClient na svoje kućne računare i koriste ga za povezivanje sa virtuelnom radnom površinom. FortiClient rješava 3 problema odjednom:
- postaje „jedan prozor“ pristupa za korisnika;
- provjerava da li vaš lični računar ima antivirus i najnovije verzije OS-a;
- gradi VPN tunel za siguran pristup.
Zaposlenik dobija pristup samo ako prođe verifikaciju. Istovremeno, sami virtuelni desktopi su nedostupni sa Interneta, što znači da su bolje zaštićeni od napada.
Ako kompanija želi sama da upravlja zaštitom krajnjih tačaka, nudimo FortiClient EMS (Endpoint Management Server). Klijent može konfigurirati skeniranje radne površine i prevenciju upada, te kreirati bijelu listu adresa.
Dodavanje faktora autentifikacije. Po defaultu, autentikacija korisnika se vrši putem Citrix netscalera. I ovdje možemo poboljšati sigurnost korištenjem višefaktorske autentifikacije zasnovane na SafeNet proizvodima. Ova tema zaslužuje posebnu pažnju, o tome ćemo također govoriti u posebnom članku.
Takvo iskustvo u radu sa različitim rješenjima stekli smo u proteklih godinu dana rada. VDI servis se konfiguriše posebno za svakog klijenta, tako da smo odabrali najfleksibilnije alate. Možda ćemo u bliskoj budućnosti dodati još nešto i podijeliti svoje iskustvo.
7. oktobra u 17.00 moje kolege će govoriti o virtuelnim desktopima na webinaru „Da li je VDI neophodan ili kako organizovati rad na daljinu?“
, ako želite da razgovarate kada je VDI tehnologija pogodna za kompaniju, a kada je bolje koristiti druge metode.
izvor: www.habr.com