Quist'annu, assai cumpagnie anu cambiatu in fretta à u travagliu remoto. Per certi clienti noi urganizà più di centu impieghi remoti à settimana. Era impurtante per fà questu micca solu rapidamente, ma ancu in modu sicuru. A tecnulugia VDI hè ghjunta à u salvamentu: cù u so aiutu, hè cunvenutu per distribuisce e pulitiche di sicurezza in tutti i posti di travagliu è prutegge da e fughe di dati.
In questu articulu vi dicu cumu u nostru serviziu di desktop virtuale basatu in Citrix VDI funziona da un puntu di vista di sicurezza di l'infurmazioni. Vi mustraraghju ciò chì facemu per prutegge i desktop di i clienti da minacce esterne cum'è ransomware o attacchi mirati.
Chì prublemi di sicurità risolvemu?
Avemu identificatu parechje minacce di sicurezza principali à u serviziu. Da una banda, u desktop virtuale corre u risicu di esse infettatu da l'urdinatore di l'utilizatore. Per d 'altra banda, ci hè un periculu di esce da u desktop virtuale in u spaziu apertu di Internet è di scaricà un schedariu infettatu. Ancu s'ellu succede, ùn deve micca affettà tutta l'infrastruttura. Dunque, quandu creanu u serviziu, avemu risoltu parechji prublemi:
- Prutege tuttu u stand VDI da minacce esterne.
- Isolazione di i clienti l'una di l'altru.
- Prutezzione di i desktop virtuali stessi.
- Cunnetta in modu sicuru utilizatori da ogni dispusitivu.
U core di a prutezzione era FortiGate, un firewall di nova generazione da Fortinet. Monitora u trafficu di cabine VDI, furnisce una infrastruttura isolata per ogni cliente, è prutegge contr'à e vulnerabilità da u latu di l'utilizatori. E so capacità sò abbastanza per risolve a maiò parte di i prublemi di sicurità di l'infurmazioni.
Ma se una sucità hà esigenze di sicurezza speciale, offremu opzioni supplementari:
- Organizemu una cunnessione sicura per travaglià da l'urdinatori di casa.
- Offremu accessu per l'analisi indipendenti di i logs di sicurezza.
- Furnemu a gestione di a prutezzione antivirus nantu à i desktop.
- Prutegemu contr'à e vulnerabilità zero-day.
- Configuremu l'autentificazione multifattore per una prutezzione supplementaria contr'à e cunnessione micca autorizate.
Vi dicu in più dettagliu cumu risolvemu i prublemi.
Cumu prutege u stand è assicurà a sicurità di a rete
Segmentemu a parte di a reta. À u stand mettemu in risaltu un segmentu di gestione chjusu per a gestione di tutte e risorse. U segmentu di gestione hè inaccessibile da l'esternu: in casu d'attaccu à u cliente, l'attaccanti ùn puderanu micca ghjunghje.
FortiGate hè rispunsevule per a prutezzione. Unisce e funzioni di un antivirus, firewall è sistema di prevenzione di intrusioni (IPS).
Per ogni cliente creemu un segmentu di rete isolatu per desktop virtuale. Per questu scopu, FortiGate hà tecnulugia di duminiu virtuale, o VDOM. Permette di sparte u firewall in parechje entità virtuale è attribuisce ogni cliente u so propiu VDOM, chì si cumporta cum'è un firewall separatu. Creemu ancu un VDOM separatu per u segmentu di gestione.
Questu hè u schema seguente:
Ùn ci hè micca una cunnessione di rete trà i clienti: ognunu vive in u so propiu VDOM è ùn influenza micca l'altru. Senza sta tecnulugia, avissimu a separà i clienti cù e regule di firewall, è questu hè risicatu per l'errore umanu. Pudete paragunà tali règuli à una porta chì deve esse sempre chjusa. In u casu di VDOM, ùn lasciamu micca "porte".
In un VDOM separatu, u cliente hà u so propiu indirizzu è routing. Per quessa, attraversà i ranges ùn diventa micca un prublema per a cumpagnia. U cliente pò assignà l'indirizzi IP necessarii à i desktop virtuali. Questu hè convenientu per e grande cumpagnie chì anu i so piani IP.
Risolvemu prublemi di cunnessione cù a reta corporativa di u cliente. Un compitu separatu hè di cunnette VDI cù l'infrastruttura di u cliente. Se una sucità mantene i sistemi corporativi in u nostru centru di dati, pudemu simplificà un cable di rete da u so equipamentu à u firewall. Ma più spessu si tratta di un situ remoto - un altru centru di dati o l'uffiziu di u cliente. In questu casu, pensemu à traversu un scambiu sicuru cù u situ è custruisce site2site VPN utilizendu IPsec VPN.
I schemi ponu varià secondu a cumplessità di l'infrastruttura. In certi lochi hè abbastanza per cunnette una sola reta di l'uffiziu à VDI - l'instradamentu staticu hè abbastanza quì. E grande cumpagnie anu parechje rete chì cambianu constantemente; quì u cliente hà bisognu di routing dinamicu. Utilizemu diversi protokolli: ci sò digià casi cù OSPF (Open Shortest Path First), tunnel GRE (Generic Routing Encapsulation) è BGP (Border Gateway Protocol). FortiGate supporta protokolli di rete in VDOM separati, senza affettà altri clienti.
Pudete ancu custruisce GOST-VPN - criptografia basatu nantu à a prutezzione criptografica significa certificata da u FSB di a Federazione Russa. Per esempiu, cù suluzioni classi KS1 in l 'ambienti virtuale "S-Terra Virtual Gateway" o PAK ViPNet, APKSH "Continente", "S-Terra".
Stabbilimentu di e pulitiche di u gruppu. Semu d'accordu cù u cliente nantu à e pulitiche di gruppu chì sò applicate nantu à VDI. Quì i principii di a stallazione ùn sò micca sfarente di e pulitiche in l'uffiziu. Avemu stabilitu l'integrazione cù Active Directory è delegate a gestione di alcune pulitiche di gruppu à i clienti. L'amministratori di l'inquilini ponu applicà pulitiche à l'ughjettu Computer, gestisce l'unità organizzativa in Active Directory, è creà utilizatori.
In FortiGate, per ogni cliente VDOM scrivemu una pulitica di sicurezza di a rete, stabilisce restrizioni d'accessu è cunfigurà l'ispezione di trafficu. Avemu aduprà parechji moduli FortiGate:
- U modulu IPS scansa u trafficu per malware è impedisce intrusioni;
- l'antivirus pruteghja i desktop stessi da malware è spyware;
- U filtru web blucca l'accessu à risorse è siti inaffidabili cù cuntenutu maliziusi o inappropriatu;
- I paràmetri di u firewall ponu permette à l'utilizatori di accede à Internet solu à certi siti.
A volte un cliente vole gestisce in modu indipendenti l'accessu di l'impiegati à i siti web. A maiò spessu, i banche venenu cù questa dumanda: i servizii di sicurità necessitanu chì u cuntrollu di l'accessu resta da a cumpagnia. Tali cumpagnie stessi monitoranu u trafficu è facenu regularmente cambiamenti à e pulitiche. In questu casu, turnemu tuttu u trafficu da FortiGate versu u cliente. Per fà questu, usemu una interfaccia cunfigurata cù l'infrastruttura di a cumpagnia. Dopu questu, u cliente stessu cunfigurà e regule per l'accessu à a reta corporativa è l'Internet.
Fighjemu l'avvenimenti à u stand. Inseme cù FortiGate usemu FortiAnalyzer, un cullettore di log da Fortinet. Cù u so aiutu, fighjemu tutti i logs di l'avvenimenti nantu à VDI in un locu, truvate l'azzioni sospette è tracciate correlazioni.
Unu di i nostri clienti usa i prudutti Fortinet in u so uffiziu. Per questu, avemu cunfiguratu u uploading di log - cusì u cliente hà sappiutu analizà tutti l'avvenimenti di sicurità per e macchine di l'uffiziu è i desktop virtuali.
Cumu prutegge i desktop virtuali
Da minacce cunnisciute. Se u cliente vole gestisce in modu indipendente a prutezzione antivirus, installemu in più Kaspersky Security per ambienti virtuali.
Sta suluzione funziona bè in u nuvulu. Semu tutti abituati à u fattu chì l'antivirus Kaspersky classicu hè una suluzione "pesante". In cuntrastu, Kaspersky Security for Virtualization ùn carica micca e macchine virtuali. Tutte e basa di dati di virus sò situate nantu à u servitore, chì emette verdicts per tutte e macchine virtuali di u node. Solu l'agente di luce hè stallatu nantu à u desktop virtuale. Mandate i schedari à u servitore per a verificazione.
Questa architettura furnisce simultaneamente a prutezzione di i schedari, a prutezzione di Internet, a prutezzione contra l'attacchi, è ùn riduce micca u rendiment di e macchine virtuali. In questu casu, u cliente pò intruduce indipindentamente eccezzioni à a prutezzione di i schedari. Aiutemu cù a cunfigurazione di basa di a suluzione. Avemu da parlà di e so caratteristiche in un articulu separatu.
Da minacce scunnisciute. Per fà questu, cunnette FortiSandbox - un "sandbox" da Fortinet. U usemu cum'è filtru in casu chì l'antivirus manca una minaccia zero-day. Dopu avè scaricatu u schedariu, avemu prima scansatu cù un antivirus è dopu mandatu à u sandbox. FortiSandbox emula una macchina virtuale, eseguisce u schedariu è osserva u so cumpurtamentu: ciò chì l'uggetti in u registru sò accessu, s'ellu manda richieste esterne, è cusì. Se un schedariu si cumporta sospetti, a macchina virtuale sandboxed hè sguassata è u schedariu maliziusu ùn finisce micca nantu à l'utilizatori VDI.
Cumu stabilisce una cunnessione sicura à VDI
Cuntrollamu u rispettu di u dispusitivu cù i requisiti di sicurezza di l'infurmazioni. Dapoi u principiu di u travagliu remoto, i clienti ci anu avvicinatu cù dumande: per assicurà u funziunamentu sicuru di l'utilizatori da i so urdinatore persunale. Qualchese specialista in securità di l'infurmazioni sapi chì a prutezzione di i dispositi di casa hè difficiule: ùn pudete micca installà l'antivirus necessariu o applicà pulitiche di gruppu, postu chì questu ùn hè micca un equipamentu d'uffiziu.
Per automaticamente, VDI diventa una "capa" sicura trà un dispositivu persunale è a reta corporativa. Per prutege VDI da attacchi da a macchina di l'utilizatori, disattivemu u clipboard è pruibite l'invio USB. Ma questu ùn face micca u dispusitivu di l'utilizatore stessu sicuru.
Risolvimu u prublema cù FortiClient. Questu hè un strumentu di prutezzione di endpoint. L'utilizatori di a cumpagnia stallanu FortiClient in i so computer di casa è l'utilizanu per cunnette à un desktop virtuale. FortiClient risolve 3 prublemi in una volta:
- diventa una "finestra unica" di accessu per l'utilizatori;
- verifica se u vostru urdinatore persunale hà un antivirus è l'ultime aghjurnamenti OS;
- crea un tunnel VPN per un accessu sicuru.
Un impiigatu accede solu s'ellu passa a verificazione. À u listessu tempu, i desktop virtuali stessi sò inaccessibili da Internet, chì significa chì sò megliu prutetti da attacchi.
Se una cumpagnia vole gestisce a prutezzione di l'endpoint stessu, offre FortiClient EMS (Endpoint Management Server). U cliente pò cunfigurà u scanning di u desktop è a prevenzione d'intrusioni, è creà una lista bianca di indirizzi.
Aghjunghjendu fattori di autentificazione. Per automaticamente, l'utilizatori sò autenticati attraversu Citrix netscaler. Quì, ancu, pudemu rinfurzà a sicurità usendu l'autentificazione multifattore basata nantu à i prudutti SafeNet. Stu tema merita una attenzione particulari; parleremu ancu di questu in un articulu separatu.
Avemu accumulatu una tale sperienza in u travagliu cù diverse suluzioni annantu à l'annu passatu di travagliu. U serviziu VDI hè cunfiguratu separatamente per ogni cliente, cusì avemu sceltu l'arnesi più flessibili. Forse in un futuru vicinu aghjunghjemu qualcosa d'altru è spartemu a nostra sperienza.
U 7 d'ottobre à 17.00 i mo culleghi parleranu di desktop virtuali à u webinar "Hè necessariu VDI, o cumu urganizà u travagliu remoto?"
, Se vulete discutiri quandu a tecnulugia VDI hè adattata per una cumpagnia è quandu hè megliu aduprà altre metudi.
Source: www.habr.com