Karong tuiga, daghang mga kompanya ang dali nga mibalhin sa layo nga trabaho. Alang sa pipila ka mga kliyente kami mag-organisar ug kapin sa usa ka gatos ka layo nga trabaho kada semana. Importante nga buhaton kini dili lamang sa madali, kondili luwas usab. Ang teknolohiya sa VDI nakaluwas: sa tabang niini, sayon ββββang pag-apod-apod sa mga palisiya sa seguridad sa tanan nga mga lugar sa trabahoan ug pagpanalipod batok sa mga pagtulo sa datos.
Sa kini nga artikulo isulti ko kanimo kung giunsa ang among virtual nga serbisyo sa desktop base sa Citrix VDI nagtrabaho gikan sa usa ka punto sa panglantaw sa seguridad sa impormasyon. Ipakita ko kanimo kung unsa ang among gibuhat aron mapanalipdan ang mga desktop sa kliyente gikan sa mga hulga sa gawas sama sa ransomware o gipunting nga mga pag-atake.
Unsang mga problema sa seguridad ang atong masulbad?
Nahibal-an namon ang daghang mga nag-unang hulga sa seguridad sa serbisyo. Sa usa ka bahin, ang virtual desktop adunay peligro nga mataptan gikan sa kompyuter sa tiggamit. Sa laing bahin, adunay kapeligrohan nga mogawas gikan sa virtual desktop ngadto sa hawan sa Internet ug mag-download sa nataptan nga file. Bisan kung kini mahitabo, dili kini makaapekto sa tibuuk nga imprastraktura. Busa, sa paghimo sa serbisyo, nasulbad namo ang daghang mga problema:
- Gipanalipdan ang tibuuk nga baruganan sa VDI gikan sa mga hulga sa gawas.
- Pag-inusara sa mga kliyente gikan sa usag usa.
- Pagpanalipod sa mga virtual desktop mismo.
- Luwas nga ikonektar ang mga tiggamit gikan sa bisan unsang aparato.
Ang kinauyokan sa pagpanalipod mao ang FortiGate, usa ka bag-ong henerasyon nga firewall gikan sa Fortinet. Gimonitor niini ang trapiko sa VDI booth, naghatag ug nahilit nga imprastraktura para sa matag kliyente, ug nanalipod batok sa mga kahuyangan sa bahin sa tiggamit. Ang mga kapabilidad niini igo na aron masulbad ang kadaghanan sa mga isyu sa seguridad sa impormasyon.
Apan kung ang usa ka kompanya adunay espesyal nga kinahanglanon sa seguridad, nagtanyag kami dugang nga mga kapilian:
- Nag-organisar kami usa ka luwas nga koneksyon alang sa pagtrabaho gikan sa mga kompyuter sa balay.
- Naghatag kami og access alang sa independenteng pagtuki sa mga log sa seguridad.
- Naghatag kami pagdumala sa proteksyon sa antivirus sa mga desktop.
- Kami nanalipod batok sa zero-day vulnerabilities.
- Gi-configure namo ang multi-factor authentication alang sa dugang nga proteksyon batok sa dili awtorisado nga mga koneksyon.
Sultihan ko ikaw sa mas detalyado kung giunsa namo pagsulbad ang mga problema.
Giunsa pagpanalipod ang baruganan ug pagsiguro sa seguridad sa network
Atong bahinon ang bahin sa network. Sa stand among gipasiugda ang usa ka sirado nga bahin sa pagdumala alang sa pagdumala sa tanan nga mga kapanguhaan. Ang bahin sa pagdumala dili ma-access gikan sa gawas: kung adunay pag-atake sa kliyente, ang mga tig-atake dili makaabut didto.
Ang FortiGate maoy responsable sa pagpanalipod. Gihiusa niini ang mga gimbuhaton sa usa ka antivirus, firewall, ug intrusion prevention system (IPS).
Alang sa matag kliyente naghimo kami usa ka nahilit nga bahin sa network alang sa mga virtual desktop. Alang niini nga katuyoan, ang FortiGate adunay virtual nga teknolohiya sa domain, o VDOM. Gitugotan ka niini nga bahinon ang firewall sa daghang mga virtual nga entidad ug igahin ang matag kliyente sa kaugalingon nga VDOM, nga naglihok sama sa usa ka lahi nga firewall. Naghimo usab kami usa ka bulag nga VDOM alang sa bahin sa pagdumala.
Kini mao ang mosunod nga diagram:
Walaβy koneksyon sa network tali sa mga kliyente: ang matag usa nagpuyo sa kaugalingon nga VDOM ug walaβy impluwensya sa lain. Kung wala kini nga teknolohiya, kinahanglan namon nga ibulag ang mga kliyente nga adunay mga lagda sa firewall, nga peligro tungod sa sayup sa tawo. Mahimo nimong itandi ang ingon nga mga lagda sa usa ka pultahan nga kinahanglan kanunay nga sirado. Sa kaso sa VDOM, wala kami magbilin ug "mga pultahan" sa tanan.
Sa usa ka bulag nga VDOM, ang kliyente adunay kaugalingon nga pag-address ug pag-ruta. Busa, ang pagtabok sa mga han-ay dili mahimong problema sa kompanya. Mahimong i-assign sa kliyente ang kinahanglan nga mga adres sa IP sa mga virtual desktop. Kombenyente kini alang sa mga dagkong kompanya nga adunay kaugalingon nga mga plano sa IP.
Gisulbad namo ang mga isyu sa koneksyon sa corporate network sa kliyente. Ang usa ka bulag nga buluhaton mao ang pagkonektar sa VDI sa imprastraktura sa kliyente. Kung ang usa ka kompanya nagtago sa mga sistema sa korporasyon sa among sentro sa datos, mahimo ra namon nga ipadagan ang usa ka network cable gikan sa kagamitan niini hangtod sa firewall. Apan mas kanunay nga nag-atubang kami sa usa ka hilit nga site - lain nga sentro sa datos o opisina sa kliyente. Sa kini nga kaso, naghunahuna kami pinaagi sa usa ka luwas nga pagbinayloay sa site ug paghimo sa site2site VPN gamit ang IPsec VPN.
Ang mga laraw mahimong magkalainlain depende sa pagkakomplikado sa imprastraktura. Sa pipila ka mga lugar igo na ang pagkonektar sa usa ka network sa opisina sa VDI - igo na ang static nga ruta didto. Ang mga dagkong kompanya adunay daghang mga network nga kanunay nga nagbag-o; dinhi ang kliyente nanginahanglan ug dinamikong ruta. Gigamit namo ang lain-laing mga protocol: aduna nay mga kaso sa OSPF (Open Shortest Path First), GRE tunnels (Generic Routing Encapsulation) ug BGP (Border Gateway Protocol). Gisuportahan sa FortiGate ang mga protocol sa network sa lainlaing mga VDOM, nga wala makaapekto sa ubang mga kliyente.
Mahimo ka usab magtukod GOST-VPN - pag-encrypt nga gibase sa proteksyon sa cryptographic nagpasabut nga gi-sertipikado sa FSB sa Russian Federation. Pananglitan, gamit ang mga solusyon sa klase sa KS1 sa virtual nga palibot nga "S-Terra Virtual Gateway" o PAK ViPNet, APKSH "Continent", "S-Terra".
Pagpahimutang sa mga Polisiya sa Grupo. Miuyon kami sa kliyente sa mga polisiya sa grupo nga gipadapat sa VDI. Dinhi ang mga prinsipyo sa pagpahimutang walay kalainan sa pagtakda sa mga palisiya sa opisina. Nagbutang kami og integrasyon sa Active Directory ug gitugyan ang pagdumala sa pipila ka mga polisiya sa grupo ngadto sa mga kliyente. Ang mga tigdumala sa tenant mahimong mag-aplay ug mga palisiya sa Computer object, pagdumala sa organisasyonal nga unit sa Active Directory, ug paghimo og mga tiggamit.
Sa FortiGate, alang sa matag kliyente nga VDOM nagsulat kami og polisiya sa seguridad sa network, nagtakda og mga pagdili sa pag-access ug nag-configure sa inspeksyon sa trapiko. Naggamit kami daghang mga module sa FortiGate:
- Ang module sa IPS nag-scan sa trapiko alang sa malware ug nagpugong sa mga pagsulod;
- gipanalipdan sa antivirus ang mga desktop mismo gikan sa malware ug spyware;
- gibabagan sa pagsala sa web ang pag-access sa dili kasaligan nga mga kapanguhaan ug mga site nga adunay makadaot o dili angay nga sulud;
- Ang mga setting sa firewall mahimong magtugot sa mga tiggamit sa pag-access sa Internet lamang sa pipila ka mga site.
Usahay gusto sa usa ka kliyente nga independente nga magdumala sa pag-access sa empleyado sa mga website. Mas kasagaran kay sa dili, ang mga bangko moabut uban niini nga hangyo: ang mga serbisyo sa seguridad nagkinahanglan nga ang kontrol sa pag-access magpabilin sa kiliran sa kompanya. Ang ingon nga mga kompanya mismo nag-monitor sa trapiko ug kanunay nga nagbag-o sa mga palisiya. Sa kini nga kaso, among gibalik ang tanan nga trapiko gikan sa FortiGate padulong sa kliyente. Aron mahimo kini, naggamit kami usa ka na-configure nga interface sa imprastraktura sa kompanya. Pagkahuman niini, ang kliyente mismo ang nag-configure sa mga lagda alang sa pag-access sa corporate network ug sa Internet.
Atong tan-awon ang mga panghitabo sa stand. Kauban sa FortiGate among gigamit ang FortiAnalyzer, usa ka tigkolekta sa troso gikan sa Fortinet. Uban sa tabang niini, among gitan-aw ang tanan nga mga log sa panghitabo sa VDI sa usa ka lugar, pangitaa ang mga kadudahang aksyon ug gisubay ang mga correlasyon.
Usa sa among mga kliyente naggamit sa mga produkto sa Fortinet sa ilang opisina. Alang niini, among gi-configure ang pag-upload sa log - aron masusi sa kliyente ang tanan nga mga panghitabo sa seguridad alang sa mga makina sa opisina ug virtual nga mga desktop.
Giunsa pagpanalipod ang mga virtual desktop
Gikan sa nahibal-an nga mga hulga. Kung gusto sa kliyente nga independente nga magdumala sa proteksyon sa anti-virus, gi-install usab namon ang Kaspersky Security alang sa mga virtual nga palibot.
Maayo kini nga solusyon sa panganod. Kitang tanan naanad sa kamatuoran nga ang klasiko nga Kaspersky antivirus usa ka "bug-at" nga solusyon. Sa kasukwahi, ang Kaspersky Security for Virtualization wala mag-load sa mga virtual machine. Ang tanan nga mga database sa virus nahimutang sa server, nga nag-isyu sa mga hukom alang sa tanan nga mga virtual machine sa node. Ang light agent ra ang gi-install sa virtual desktop. Nagpadala kini og mga file ngadto sa server alang sa pag-verify.
Kini nga arkitektura dungan nga naghatag proteksyon sa file, proteksyon sa Internet, ug proteksyon sa pag-atake nga dili ikompromiso ang performance sa mga virtual machine. Sa kini nga kaso, ang kliyente mahimong independente nga magpaila sa mga eksepsiyon sa pagpanalipod sa file. Nagtabang kami sa sukaranan nga pag-setup sa solusyon. Maghisgot kami bahin sa mga bahin niini sa usa ka lahi nga artikulo.
Gikan sa wala mailhi nga mga hulga. Aron mahimo kini, among gikonektar ang FortiSandbox - usa ka "sandbox" gikan sa Fortinet. Gigamit namo kini isip filter kung ang antivirus masipyat sa zero-day threat. Pagkahuman sa pag-download sa file, una namon nga gi-scan kini gamit ang usa ka antivirus ug dayon ipadala kini sa sandbox. Ang FortiSandbox nagsundog sa usa ka virtual nga makina, nagpadagan sa file ug nag-obserbar sa kinaiya niini: unsa nga mga butang sa registry ang ma-access, kung kini nagpadala sa mga eksternal nga hangyo, ug uban pa. Kung ang usa ka file naglihok nga kadudahan, ang sandboxed virtual machine mapapas ug ang malisyosong file dili mapunta sa user VDI.
Giunsa ang pag-set up sa usa ka luwas nga koneksyon sa VDI
Gisusi namon ang pagsunod sa aparato sa mga kinahanglanon sa seguridad sa kasayuran. Sukad sa pagsugod sa hilit nga trabaho, ang mga kliyente miduol kanamo uban ang mga hangyo: aron masiguro ang luwas nga operasyon sa mga tiggamit gikan sa ilang personal nga mga kompyuter. Ang bisan unsang espesyalista sa seguridad sa impormasyon nahibal-an nga ang pagpanalipod sa mga gamit sa balay lisud: dili nimo ma-install ang kinahanglan nga antivirus o magamit ang mga palisiya sa grupo, tungod kay dili kini kagamitan sa opisina.
Sa kasagaran, ang VDI nahimong luwas nga "layer" tali sa usa ka personal nga device ug sa corporate network. Aron mapanalipdan ang VDI gikan sa mga pag-atake gikan sa makina sa tiggamit, among gi-disable ang clipboard ug gidid-an ang pagpasa sa USB. Apan wala kini maghimo nga luwas ang aparato mismo sa tiggamit.
Gisulbad namon ang problema gamit ang FortiClient. Kini usa ka himan sa pagpanalipod sa endpoint. Ang mga tiggamit sa kompanya nag-install sa FortiClient sa ilang mga kompyuter sa balay ug gigamit kini aron makonektar sa usa ka virtual desktop. Gisulbad sa FortiClient ang 3 nga mga problema sa usa ka higayon:
- nahimong "usa ka bintana" sa pag-access alang sa user;
- susihon kung ang imong personal nga kompyuter adunay antivirus ug ang labing bag-o nga mga update sa OS;
- nagtukod ug VPN tunnel alang sa luwas nga pag-access.
Makakuha lang og access ang usa ka empleyado kung makapasar sila sa verification. Sa parehas nga oras, ang mga virtual nga desktop mismo dili ma-access gikan sa Internet, nga nagpasabut nga sila labi nga gipanalipdan gikan sa mga pag-atake.
Kung gusto sa usa ka kompanya nga magdumala mismo sa proteksyon sa endpoint, gitanyag namon ang FortiClient EMS (Endpoint Management Server). Ang kliyente maka-configure sa desktop scanning ug intrusion prevention, ug makahimo og puti nga listahan sa mga adres.
Pagdugang mga hinungdan sa pag-authenticate. Sa kasagaran, ang mga tiggamit gipamatud-an pinaagi sa Citrix netscaler. Dinhi, usab, mahimo natong mapalambo ang seguridad gamit ang multifactor authentication base sa mga produkto sa SafeNet. Kini nga hilisgutan angay nga espesyal nga atensyon; hisgutan usab naton kini sa usa ka lahi nga artikulo.
Natigom namo ang maong kasinatian sa pagtrabaho uban sa lain-laing mga solusyon sa miaging tuig sa trabaho. Ang serbisyo sa VDI gi-configure nga gilain alang sa matag kliyente, mao nga gipili namon ang labing kadali nga himan. Tingali sa umaabot nga panahon magdugang kami ug lain pa ug ipaambit ang among kasinatian.
Sa Oktubre 7 sa 17.00 ang akong mga kauban maghisgot bahin sa mga virtual desktop sa webinar "Kinahanglan ba ang VDI, o kung giunsa ang pag-organisar sa layo nga trabaho?"
, kung gusto nimong hisgutan kung ang teknolohiya sa VDI angay alang sa usa ka kompanya ug kung mas maayo nga gamiton ang ubang mga pamaagi.
Source: www.habr.com