Aquest any, moltes empreses han passat ràpidament al treball a distància. Per a alguns clients nosaltres organitzar més d'un centenar de treballs a distància per setmana. Era important fer-ho no només ràpidament, sinó també amb seguretat. La tecnologia VDI ha vingut al rescat: amb la seva ajuda, és convenient distribuir polítiques de seguretat a tots els llocs de treball i protegir-se de les fuites de dades.
En aquest article us explicaré com funciona el nostre servei d'escriptori virtual basat en Citrix VDI des del punt de vista de la seguretat de la informació. Us mostraré què fem per protegir els ordinadors dels clients d'amenaces externes, com ara ransomware o atacs dirigits.
Quins problemes de seguretat resolem?
Hem identificat diverses amenaces de seguretat principals per al servei. D'una banda, l'escriptori virtual corre el risc d'infectar-se des de l'ordinador de l'usuari. D'altra banda, hi ha el perill de sortir de l'escriptori virtual a l'espai obert d'Internet i descarregar un fitxer infectat. Encara que això passi, no hauria d'afectar tota la infraestructura. Per tant, en crear el servei, hem resolt diversos problemes:
- Protegeix tot l'estand VDI de les amenaces externes.
- Aïllament dels clients entre ells.
- Protecció dels propis escriptoris virtuals.
- Connecteu usuaris de manera segura des de qualsevol dispositiu.
El nucli de la protecció era FortiGate, un tallafocs de nova generació de Fortinet. Supervisa el trànsit de la cabina VDI, proporciona una infraestructura aïllada per a cada client i protegeix contra les vulnerabilitats de l'usuari. Les seves capacitats són suficients per resoldre la majoria dels problemes de seguretat de la informació.
Però si una empresa té requisits de seguretat especials, oferim opcions addicionals:
- Organitzem una connexió segura per treballar des d'ordinadors domèstics.
- Oferim accés per a l'anàlisi independent dels registres de seguretat.
- Oferim la gestió de la protecció antivirus als ordinadors de sobretaula.
- Protegim contra les vulnerabilitats de dia zero.
- Configurem l'autenticació multifactor per a una protecció addicional contra connexions no autoritzades.
Us explicaré amb més detall com hem resolt els problemes.
Com protegir l'estand i garantir la seguretat de la xarxa
Segmentem la part de la xarxa. A l'estand destaquem un segment de gestió tancat per a la gestió de tots els recursos. El segment de gestió és inaccessible des de l'exterior: en cas d'atac al client, els atacants no hi podran arribar.
FortiGate és responsable de la protecció. Combina les funcions d'un antivirus, tallafoc i sistema de prevenció d'intrusions (IPS).
Per a cada client creem un segment de xarxa aïllat per a escriptoris virtuals. Per a això, FortiGate disposa de tecnologia de domini virtual, o VDOM. Us permet dividir el tallafoc en diverses entitats virtuals i assignar a cada client el seu propi VDOM, que es comporta com un tallafoc independent. També creem un VDOM independent per al segment de gestió.
Aquest resulta ser el següent diagrama:
No hi ha connectivitat de xarxa entre clients: cadascun viu en el seu propi VDOM i no influeix en l'altre. Sense aquesta tecnologia, hauríem de separar els clients amb regles de tallafoc, cosa que és arriscada a causa d'un error humà. Podeu comparar aquestes regles amb una porta que s'ha de tancar constantment. En el cas de VDOM, no deixem "portes" en absolut.
En un VDOM independent, el client té el seu propi adreçament i encaminament. Per tant, creuar les franges no es converteix en un problema per a l'empresa. El client pot assignar les adreces IP necessàries als escriptoris virtuals. Això és convenient per a grans empreses que tenen els seus propis plans IP.
Solucionem problemes de connectivitat amb la xarxa corporativa del client. Una tasca independent és connectar VDI amb la infraestructura del client. Si una empresa manté sistemes corporatius al nostre centre de dades, simplement podem executar un cable de xarxa des del seu equip fins al tallafoc. Però més sovint estem tractant amb un lloc remot: un altre centre de dades o l'oficina d'un client. En aquest cas, pensem en un intercanvi segur amb el lloc i construïm una VPN site2site mitjançant VPN IPsec.
Els esquemes poden variar en funció de la complexitat de la infraestructura. En alguns llocs n'hi ha prou amb connectar una única xarxa d'oficines a VDI: n'hi ha prou amb l'encaminament estàtic. Les grans empreses tenen moltes xarxes que canvien constantment; aquí el client necessita un encaminament dinàmic. Utilitzem diferents protocols: ja hi ha hagut casos amb OSPF (Open Shortest Path First), túnels GRE (Generic Routing Encapsulation) i BGP (Border Gateway Protocol). FortiGate admet protocols de xarxa en VDOM separats, sense afectar altres clients.
També podeu crear GOST-VPN: xifratge basat en mitjans de protecció criptogràfics certificats per l'FSB de la Federació Russa. Per exemple, utilitzant solucions de classe KS1 a l'entorn virtual "S-Terra Virtual Gateway" o PAK ViPNet, APKSH "Continent", "S-Terra".
Configuració de polítiques de grup. Estem d'acord amb el client sobre les polítiques de grup que s'apliquen a VDI. Aquí, els principis d'establiment no són diferents dels d'establir polítiques a l'oficina. Configurem la integració amb Active Directory i deleguem la gestió d'algunes polítiques de grup als clients. Els administradors de llogaters poden aplicar polítiques a l'objecte Computer, gestionar la unitat organitzativa a Active Directory i crear usuaris.
A FortiGate, per a cada client VDOM escrivim una política de seguretat de xarxa, establim restriccions d'accés i configurem la inspecció de trànsit. Utilitzem diversos mòduls de FortiGate:
- El mòdul IPS escaneja el trànsit a la recerca de programari maliciós i evita intrusions;
- l'antivirus protegeix els propis ordinadors de programari maliciós i espia;
- el filtratge web bloqueja l'accés a recursos i llocs poc fiables amb contingut maliciós o inadequat;
- La configuració del tallafoc pot permetre als usuaris accedir a Internet només a determinats llocs.
De vegades, un client vol gestionar de manera independent l'accés dels empleats als llocs web. Molt sovint, els bancs vénen amb aquesta sol·licitud: els serveis de seguretat requereixen que el control d'accés es mantingui al costat de l'empresa. Aquestes empreses controlen el trànsit i fan canvis regularment a les polítiques. En aquest cas, desviem tot el trànsit de FortiGate cap al client. Per fer-ho, utilitzem una interfície configurada amb la infraestructura de l'empresa. Després d'això, el mateix client configura les regles d'accés a la xarxa corporativa i a Internet.
Veiem els esdeveniments a l'estand. Juntament amb FortiGate fem servir FortiAnalyzer, un col·lector de registres de Fortinet. Amb la seva ajuda, mirem tots els registres d'esdeveniments de VDI en un sol lloc, trobem accions sospitoses i fem un seguiment de les correlacions.
Un dels nostres clients utilitza productes Fortinet a la seva oficina. Per això, vam configurar la càrrega de registres, de manera que el client va poder analitzar tots els esdeveniments de seguretat per a màquines d'oficina i escriptoris virtuals.
Com protegir els escriptoris virtuals
A partir d'amenaces conegudes. Si el client vol gestionar de manera independent la protecció antivirus, també instal·lem Kaspersky Security per a entorns virtuals.
Aquesta solució funciona bé al núvol. Tots estem acostumats al fet que el clàssic antivirus Kaspersky és una solució "pesada". En canvi, Kaspersky Security for Virtualization no carrega màquines virtuals. Totes les bases de dades de virus es troben al servidor, que emet veredictes per a totes les màquines virtuals del node. Només l'agent lleuger està instal·lat a l'escriptori virtual. Envia fitxers al servidor per a la verificació.
Aquesta arquitectura proporciona simultàniament protecció de fitxers, protecció d'Internet i protecció contra atacs sense comprometre el rendiment de les màquines virtuals. En aquest cas, el client pot introduir de manera independent excepcions a la protecció de fitxers. Ajudem amb la configuració bàsica de la solució. Parlarem de les seves característiques en un article separat.
D'amenaces desconegudes. Per fer-ho, connectem FortiSandbox, un "sandbox" de Fortinet. L'utilitzem com a filtre per si l'antivirus passa a faltar una amenaça de dia zero. Després de descarregar el fitxer, primer l'escanegem amb un antivirus i després l'enviem al sandbox. FortiSandbox emula una màquina virtual, executa el fitxer i observa el seu comportament: a quins objectes del registre s'accedeix, si envia peticions externes, etc. Si un fitxer es comporta de manera sospitosa, s'elimina la màquina virtual amb caixa de sorra i el fitxer maliciós no acaba a la VDI de l'usuari.
Com configurar una connexió segura a VDI
Comprovem el compliment del dispositiu amb els requisits de seguretat de la informació. Des de l'inici del treball a distància, els clients s'han dirigit a nosaltres amb peticions: garantir el funcionament segur dels usuaris des dels seus ordinadors personals. Qualsevol especialista en seguretat de la informació sap que protegir els dispositius domèstics és difícil: no es pot instal·lar l'antivirus necessari ni aplicar polítiques de grup, ja que no es tracta d'equips d'oficina.
Per defecte, VDI es converteix en una "capa" segura entre un dispositiu personal i la xarxa corporativa. Per protegir VDI dels atacs de la màquina de l'usuari, desactivem el porta-retalls i prohibem el reenviament USB. Però això no fa que el dispositiu de l'usuari sigui segur.
Solucionem el problema amb FortiClient. Aquesta és una eina de protecció de punt final. Els usuaris de l'empresa instal·len FortiClient als seus ordinadors domèstics i l'utilitzen per connectar-se a un escriptori virtual. FortiClient resol 3 problemes alhora:
- esdevé una “finestra única” d'accés per a l'usuari;
- comprova si el vostre ordinador personal té un antivirus i les últimes actualitzacions del sistema operatiu;
- crea un túnel VPN per a un accés segur.
Un empleat només té accés si passa la verificació. Al mateix temps, els propis escriptoris virtuals són inaccessibles des d'Internet, la qual cosa significa que estan millor protegits dels atacs.
Si una empresa vol gestionar la protecció dels punts finals ella mateixa, oferim FortiClient EMS (Servidor de gestió de punts finals). El client pot configurar l'escaneig de l'escriptori i la prevenció d'intrusions i crear una llista blanca d'adreces.
Afegir factors d'autenticació. Per defecte, els usuaris s'autentiquen mitjançant Citrix netscaler. Aquí també podem millorar la seguretat mitjançant l'autenticació multifactor basada en productes SafeNet. Aquest tema mereix una atenció especial; també en parlarem en un article a part.
Hem acumulat aquesta experiència treballant amb diferents solucions durant l'últim any de treball. El servei VDI es configura per separat per a cada client, per això hem escollit les eines més flexibles. Potser en un futur proper afegirem alguna cosa més i compartirem la nostra experiència.
El 7 d'octubre a les 17.00 els meus companys parlaran dels escriptoris virtuals al webinar "És necessari VDI o com organitzar el treball remot?"
, si voleu discutir quan la tecnologia VDI és adequada per a una empresa i quan és millor utilitzar altres mètodes.
Font: www.habr.com