Mnoho společností letos narychlo přešlo na práci na dálku. Pro některé klienty my organizovat více než sto vzdálených úloh týdně. Bylo důležité to udělat nejen rychle, ale také bezpečně. Technologie VDI přišla na pomoc: s její pomocí je vhodné distribuovat bezpečnostní zásady na všechna pracoviště a chránit před úniky dat.
V tomto článku vám řeknu, jak naše služba virtuálního desktopu založená na Citrix VDI funguje z hlediska bezpečnosti informací. Ukážu vám, co děláme pro ochranu klientských počítačů před vnějšími hrozbami, jako je ransomware nebo cílené útoky.
Jaké bezpečnostní problémy řešíme?
Identifikovali jsme několik hlavních bezpečnostních hrozeb pro službu. Na jedné straně je virtuální plocha vystavena riziku infekce z počítače uživatele. Na druhou stranu existuje nebezpečí odchodu z virtuální plochy do volného prostoru internetu a stažení infikovaného souboru. I kdyby k tomu došlo, nemělo by to mít vliv na celou infrastrukturu. Proto jsme při vytváření služby vyřešili několik problémů:
- Chrání celý stojan VDI před vnějšími hrozbami.
- Izolace klientů od sebe navzájem.
- Ochrana samotných virtuálních desktopů.
- Bezpečně připojte uživatele z jakéhokoli zařízení.
Jádrem ochrany byl FortiGate, firewall nové generace od Fortinetu. Monitoruje provoz stánku VDI, poskytuje izolovanou infrastrukturu pro každého klienta a chrání před zranitelností na straně uživatele. Jeho schopnosti jsou dostatečné k vyřešení většiny problémů s bezpečností informací.
Ale pokud má společnost speciální požadavky na zabezpečení, nabízíme další možnosti:
- Zajistíme bezpečné připojení pro práci z domácích počítačů.
- Poskytujeme přístup pro nezávislou analýzu bezpečnostních protokolů.
- Zajišťujeme správu antivirové ochrany na desktopech.
- Chráníme před zranitelností zero-day.
- Konfigurujeme vícefaktorovou autentizaci pro dodatečnou ochranu před neoprávněným připojením.
Řeknu vám podrobněji, jak jsme problémy vyřešili.
Jak chránit stojan a zajistit bezpečnost sítě
Pojďme segmentovat síťovou část. Na stánku zdůrazňujeme uzavřený segment managementu pro správu všech zdrojů. Segment správy je zvenčí nepřístupný: v případě napadení klienta se tam útočníci nedostanou.
FortiGate je zodpovědný za ochranu. Kombinuje funkce antiviru, firewallu a systému prevence narušení (IPS).
Pro každého klienta vytváříme izolovaný segment sítě pro virtuální desktopy. Pro tento účel má FortiGate technologii virtuální domény neboli VDOM. Umožňuje rozdělit firewall na několik virtuálních entit a každému klientovi přidělit vlastní VDOM, který se chová jako samostatný firewall. Vytváříme také samostatný VDOM pro segment management.
Ukázalo se, že jde o následující diagram:
Mezi klienty neexistuje žádná síťová konektivita: každý žije ve svém vlastním VDOM a neovlivňuje ostatní. Bez této technologie bychom museli klienty oddělovat pravidly firewallu, což je riskantní kvůli lidské chybě. Taková pravidla můžete přirovnat ke dveřím, které musí být neustále zavřené. V případě VDOM nenecháváme vůbec žádné „dveře“.
V samostatném VDOM má klient své vlastní adresování a směrování. Překračování rozsahů se proto pro společnost nestává problémem. Klient může virtuálním desktopům přiřadit potřebné IP adresy. To je výhodné pro velké společnosti, které mají vlastní IP plány.
Řešíme problémy s konektivitou s firemní sítí klienta. Samostatným úkolem je propojení VDI s klientskou infrastrukturou. Pokud má společnost firemní systémy v našem datovém centru, můžeme jednoduše vést síťový kabel od jejího zařízení k firewallu. Častěji ale máme co do činění se vzdáleným místem – jiným datovým centrem nebo kanceláří klienta. V tomto případě myslíme na zabezpečenou výměnu s webem a vytváříme site2site VPN pomocí IPsec VPN.
Schémata se mohou lišit v závislosti na složitosti infrastruktury. Někde stačí na VDI připojit jedinou kancelářskou síť - tam stačí statické směrování. Velké společnosti mají mnoho sítí, které se neustále mění; zde klient potřebuje dynamické směrování. Používáme různé protokoly: již se vyskytly případy s OSPF (Open Shortest Path First), GRE tunely (Generic Routing Encapsulation) a BGP (Border Gateway Protocol). FortiGate podporuje síťové protokoly v samostatných VDOM, aniž by to ovlivnilo ostatní klienty.
Můžete také vybudovat GOST-VPN - šifrování založené na kryptografických ochranných prostředcích certifikovaných FSB Ruské federace. Například pomocí řešení třídy KS1 ve virtuálním prostředí „S-Terra Virtual Gateway“ nebo PAK ViPNet, APKSH „Continent“, „S-Terra“.
Nastavení zásad skupiny. Dohodneme se s klientem na zásadách skupiny, které jsou aplikovány na VDI. Zde se principy nastavení neliší od nastavení politik v kanceláři. Nastavili jsme integraci s Active Directory a delegovali správu některých skupinových zásad na klienty. Správci tenantů mohou aplikovat zásady na objekt Počítač, spravovat organizační jednotku ve službě Active Directory a vytvářet uživatele.
Na FortiGate pro každého klienta VDOM napíšeme politiku zabezpečení sítě, nastavíme omezení přístupu a nakonfigurujeme kontrolu provozu. Používáme několik modulů FortiGate:
- IPS modul skenuje provoz na malware a zabraňuje průnikům;
- antivirus chrání samotné desktopy před malwarem a spywarem;
- filtrování webu blokuje přístup k nespolehlivým zdrojům a stránkám se škodlivým nebo nevhodným obsahem;
- Nastavení brány firewall může uživatelům umožnit přístup k internetu pouze některým stránkám.
Někdy chce klient samostatně spravovat přístup zaměstnanců k webovým stránkám. S tímto požadavkem přicházejí banky častěji než ne: bezpečnostní služby vyžadují, aby kontrola přístupu zůstala na straně společnosti. Takové společnosti samy sledují provoz a pravidelně mění zásady. V tomto případě obracíme veškerý provoz z FortiGate směrem ke klientovi. K tomu používáme nakonfigurované rozhraní s infrastrukturou společnosti. Poté si klient sám nakonfiguruje pravidla pro přístup do podnikové sítě a internetu.
Dění sledujeme na stánku. Společně s FortiGate používáme FortiAnalyzer, sběrač log od Fortinetu. S jeho pomocí se podíváme na všechny protokoly událostí na VDI na jednom místě, najdeme podezřelé akce a sledujeme korelace.
Jeden z našich klientů používá ve své kanceláři produkty Fortinet. Pro něj jsme nakonfigurovali nahrávání protokolů - klient tak mohl analyzovat všechny bezpečnostní události pro kancelářské stroje a virtuální desktopy.
Jak chránit virtuální plochy
Ze známých hrozeb. Pokud chce klient samostatně spravovat antivirovou ochranu, nainstalujeme navíc aplikaci Kaspersky Security pro virtuální prostředí.
Toto řešení funguje dobře v cloudu. Všichni jsme zvyklí na to, že klasický antivirus Kaspersky je „těžké“ řešení. Naproti tomu Kaspersky Security for Virtualization nenačítá virtuální počítače. Všechny virové databáze jsou umístěny na serveru, který vydává verdikty pro všechny virtuální stroje uzlu. Na virtuální plochu je nainstalován pouze lehký agent. Odesílá soubory na server k ověření.
Tato architektura současně poskytuje ochranu souborů, internetovou ochranu a ochranu před útoky, aniž by byla ohrožena výkonnost virtuálních strojů. V tomto případě může klient samostatně zavést výjimky z ochrany souborů. Pomůžeme se základním nastavením řešení. O jeho vlastnostech si povíme v samostatném článku.
Od neznámých hrozeb. K tomu připojujeme FortiSandbox – „sandbox“ od Fortinetu. Používáme jej jako filtr v případě, že antivirus mine hrozbu zero-day. Po stažení soubor nejprve naskenujeme antivirem a poté odešleme do sandboxu. FortiSandbox emuluje virtuální stroj, spouští soubor a sleduje jeho chování: k jakým objektům v registru se přistupuje, zda odesílá externí požadavky a tak dále. Pokud se soubor chová podezřele, virtuální počítač v izolovaném prostoru se odstraní a škodlivý soubor neskončí na uživatelském VDI.
Jak nastavit zabezpečené připojení k VDI
Kontrolujeme, zda zařízení vyhovuje požadavkům na bezpečnost informací. Již od počátku práce na dálku se na nás klienti obraceli s požadavky: zajistit bezpečný provoz uživatelů z jejich osobních počítačů. Každý specialista na informační bezpečnost ví, že ochrana domácích zařízení je obtížná: nemůžete nainstalovat potřebný antivirus ani aplikovat skupinové zásady, protože se nejedná o kancelářské vybavení.
Ve výchozím nastavení se VDI stává bezpečnou „vrstvou“ mezi osobním zařízením a podnikovou sítí. Abychom chránili VDI před útoky z uživatelského počítače, deaktivujeme schránku a zakážeme předávání USB. To však neznamená, že samotné zařízení uživatele je bezpečné.
Problém řešíme pomocí FortiClient. Toto je nástroj ochrany koncových bodů. Uživatelé společnosti si instalují FortiClient na své domácí počítače a používají jej pro připojení k virtuální ploše. FortiClient řeší 3 problémy najednou:
- se pro uživatele stává „jediným oknem“ přístupu;
- zkontroluje, zda má váš osobní počítač antivirus a nejnovější aktualizace operačního systému;
- vytváří VPN tunel pro bezpečný přístup.
Zaměstnanec získá přístup pouze v případě, že projde ověřením. Samotné virtuální desktopy jsou přitom z internetu nedostupné, což znamená, že jsou lépe chráněny před útoky.
Pokud chce společnost spravovat ochranu koncových bodů sama, nabízíme FortiClient EMS (Endpoint Management Server). Klient může nakonfigurovat skenování plochy a prevenci narušení a vytvořit bílou listinu adres.
Přidání autentizačních faktorů. Ve výchozím nastavení jsou uživatelé ověřováni prostřednictvím Citrix netscaler. I zde můžeme zvýšit zabezpečení pomocí vícefaktorové autentizace založené na produktech SafeNet. Toto téma si zaslouží zvláštní pozornost, budeme o tom také mluvit v samostatném článku.
Za poslední rok práce jsme nashromáždili takové zkušenosti s prací s různými řešeními. Služba VDI je konfigurována zvlášť pro každého klienta, proto jsme zvolili ty nejflexibilnější nástroje. Snad v brzké době přidáme něco dalšího a podělíme se o naše zkušenosti.
7. října v 17.00:XNUMX budou moji kolegové hovořit o virtuálních desktopech na webináři „Je VDI nutné, aneb jak organizovat vzdálenou práci?“
, pokud chcete diskutovat o tom, kdy je technologie VDI pro firmu vhodná a kdy je lepší použít jiné metody.
Zdroj: www.habr.com