Eleni, mae llawer o gwmnïau wedi newid yn gyflym i waith o bell. I rai cleientiaid rydym trefnu mwy na chant o swyddi anghysbell yr wythnos. Roedd yn bwysig gwneud hyn nid yn unig yn gyflym, ond hefyd yn ddiogel. Mae technoleg VDI wedi dod i'r adwy: gyda'i help, mae'n gyfleus dosbarthu polisïau diogelwch i bob gweithle a diogelu rhag gollyngiadau data.
Yn yr erthygl hon byddaf yn dweud wrthych sut mae ein gwasanaeth bwrdd gwaith rhithwir yn seiliedig ar Citrix VDI yn gweithio o safbwynt diogelwch gwybodaeth. Byddaf yn dangos i chi beth rydyn ni'n ei wneud i amddiffyn byrddau gwaith cleientiaid rhag bygythiadau allanol fel ransomware neu ymosodiadau wedi'u targedu.
Pa broblemau diogelwch ydyn ni'n eu datrys?
Rydym wedi nodi nifer o brif fygythiadau diogelwch i'r gwasanaeth. Ar y naill law, mae'r bwrdd gwaith rhithwir mewn perygl o gael ei heintio o gyfrifiadur y defnyddiwr. Ar y llaw arall, mae perygl o fynd allan o'r bwrdd gwaith rhithwir i fan agored y Rhyngrwyd a lawrlwytho ffeil heintiedig. Hyd yn oed os bydd hyn yn digwydd, ni ddylai effeithio ar y seilwaith cyfan. Felly, wrth greu'r gwasanaeth, gwnaethom ddatrys nifer o broblemau:
- Yn amddiffyn y stondin VDI gyfan rhag bygythiadau allanol.
- Ynysu cleientiaid oddi wrth ei gilydd.
- Diogelu'r byrddau gwaith rhithwir eu hunain.
- Cysylltwch ddefnyddwyr yn ddiogel o unrhyw ddyfais.
Craidd yr amddiffyniad oedd FortiGate, wal dân cenhedlaeth newydd o Fortinet. Mae'n monitro traffig bwth VDI, yn darparu seilwaith ynysig ar gyfer pob cleient, ac yn amddiffyn rhag gwendidau ar ochr y defnyddiwr. Mae ei alluoedd yn ddigon i ddatrys y rhan fwyaf o faterion diogelwch gwybodaeth.
Ond os oes gan gwmni ofynion diogelwch arbennig, rydym yn cynnig opsiynau ychwanegol:
- Rydym yn trefnu cysylltiad diogel ar gyfer gweithio o gyfrifiaduron cartref.
- Rydym yn darparu mynediad ar gyfer dadansoddiad annibynnol o gofnodion diogelwch.
- Rydym yn rheoli amddiffyniad gwrthfeirws ar gyfrifiaduron bwrdd gwaith.
- Rydym yn amddiffyn rhag gwendidau dim diwrnod.
- Rydym yn ffurfweddu dilysiad aml-ffactor ar gyfer amddiffyniad ychwanegol rhag cysylltiadau anawdurdodedig.
Dywedaf wrthych yn fanylach sut y gwnaethom ddatrys y problemau.
Sut i amddiffyn y stondin a sicrhau diogelwch rhwydwaith
Gadewch i ni segmentu rhan y rhwydwaith. Ar y stondin rydym yn amlygu segment rheoli caeedig ar gyfer rheoli'r holl adnoddau. Mae'r segment rheoli yn anhygyrch o'r tu allan: os bydd ymosodiad ar y cleient, ni fydd ymosodwyr yn gallu cyrraedd yno.
FortiGate sy'n gyfrifol am amddiffyn. Mae'n cyfuno swyddogaethau gwrthfeirws, wal dân, a system atal ymyrraeth (IPS).
Ar gyfer pob cleient rydym yn creu segment rhwydwaith ynysig ar gyfer byrddau gwaith rhithwir. At y diben hwn, mae gan FortiGate dechnoleg parth rhithwir, neu VDOM. Mae'n caniatáu ichi rannu'r wal dân yn sawl endid rhithwir a dyrannu ei VDOM ei hun i bob cleient, sy'n ymddwyn fel wal dân ar wahân. Rydym hefyd yn creu VDOM ar wahân ar gyfer y segment rheoli.
Mae hyn yn troi allan i fod y diagram canlynol:
Nid oes unrhyw gysylltedd rhwydwaith rhwng cleientiaid: mae pob un yn byw yn ei VDOM ei hun ac nid yw'n dylanwadu ar y llall. Heb y dechnoleg hon, byddai'n rhaid i ni wahanu cleientiaid â rheolau wal dân, sy'n beryglus oherwydd gwall dynol. Gallwch gymharu rheolau o'r fath â drws y mae'n rhaid ei gau'n gyson. Yn achos VDOM, nid ydym yn gadael unrhyw “ddrysau” o gwbl.
Mewn VDOM ar wahân, mae gan y cleient ei gyfeiriad a'i lwybr ei hun. Felly, nid yw ystodau croesi yn dod yn broblem i'r cwmni. Gall y cleient aseinio'r cyfeiriadau IP angenrheidiol i fyrddau gwaith rhithwir. Mae hyn yn gyfleus i gwmnïau mawr sydd â'u cynlluniau IP eu hunain.
Rydym yn datrys problemau cysylltedd â rhwydwaith corfforaethol y cleient. Tasg ar wahân yw cysylltu VDI â'r seilwaith cleient. Os yw cwmni'n cadw systemau corfforaethol yn ein canolfan ddata, gallwn redeg cebl rhwydwaith o'i offer i'r wal dân. Ond yn amlach rydym yn delio â safle anghysbell - canolfan ddata arall neu swyddfa cleient. Yn yr achos hwn, rydym yn meddwl trwy gyfnewid diogel gyda'r wefan ac yn adeiladu site2site VPN gan ddefnyddio IPsec VPN.
Gall cynlluniau amrywio yn dibynnu ar gymhlethdod y seilwaith. Mewn rhai mannau mae'n ddigon i gysylltu rhwydwaith un swyddfa â VDI - mae llwybro statig yn ddigon yno. Mae gan gwmnïau mawr lawer o rwydweithiau sy'n newid yn gyson; yma mae angen llwybro deinamig ar y cleient. Rydym yn defnyddio gwahanol brotocolau: bu achosion eisoes gydag OSPF (Open Shortest Path First), twneli GRE (Generic Routing Encapsulation) a BGP (Border Gateway Protocol). Mae FortiGate yn cefnogi protocolau rhwydwaith mewn VDOMs ar wahân, heb effeithio ar gleientiaid eraill.
Gallwch hefyd adeiladu GOST-VPN - mae amgryptio yn seiliedig ar amddiffyniad cryptograffig yn golygu a ardystiwyd gan FSB Ffederasiwn Rwsia. Er enghraifft, defnyddio datrysiadau dosbarth CA1 yn yr amgylchedd rhithwir “S-Terra Virtual Gateway” neu PAK ViPNet, APKSH “Continent”, “S-Terra”.
Sefydlu Polisïau Grŵp. Rydym yn cytuno â'r cleient ar bolisïau grŵp sy'n cael eu cymhwyso ar VDI. Yma nid yw egwyddorion gosod yn wahanol i osod polisïau yn y swyddfa. Fe wnaethom sefydlu integreiddio gyda Active Directory a dirprwyo rheolaeth rhai polisïau grŵp i gleientiaid. Gall gweinyddwyr tenant gymhwyso polisïau i'r gwrthrych Cyfrifiadurol, rheoli'r uned sefydliadol yn Active Directory, a chreu defnyddwyr.
Ar FortiGate, ar gyfer pob cleient VDOM rydym yn ysgrifennu polisi diogelwch rhwydwaith, yn gosod cyfyngiadau mynediad ac yn ffurfweddu archwiliad traffig. Rydym yn defnyddio sawl modiwl FortiGate:
- Mae modiwl IPS yn sganio traffig am ddrwgwedd ac yn atal ymwthiadau;
- mae'r gwrthfeirws yn amddiffyn y byrddau gwaith eu hunain rhag malware ac ysbïwedd;
- mae hidlo gwe yn rhwystro mynediad i adnoddau a gwefannau annibynadwy gyda chynnwys maleisus neu amhriodol;
- Gall gosodiadau mur gwarchod ganiatáu i ddefnyddwyr gael mynediad i'r Rhyngrwyd i rai gwefannau yn unig.
Weithiau mae cleient eisiau rheoli mynediad gweithwyr i wefannau yn annibynnol. Yn amlach na pheidio, daw banciau â’r cais hwn: mae gwasanaethau diogelwch yn mynnu bod rheolaeth mynediad yn aros ar ochr y cwmni. Mae cwmnïau o'r fath eu hunain yn monitro traffig ac yn gwneud newidiadau i bolisïau yn rheolaidd. Yn yr achos hwn, rydym yn troi'r holl draffig o FortiGate tuag at y cleient. I wneud hyn, rydym yn defnyddio rhyngwyneb wedi'i ffurfweddu â seilwaith y cwmni. Ar ôl hyn, mae'r cleient ei hun yn ffurfweddu'r rheolau ar gyfer mynediad i'r rhwydwaith corfforaethol a'r Rhyngrwyd.
Rydyn ni'n gwylio'r digwyddiadau ar y stondin. Ynghyd â FortiGate rydym yn defnyddio FortiAnalyzer, casglwr boncyffion o Fortinet. Gyda'i help, rydym yn edrych ar yr holl logiau digwyddiad ar VDI mewn un lle, yn dod o hyd i weithredoedd amheus ac yn olrhain cydberthnasau.
Mae un o'n cleientiaid yn defnyddio cynhyrchion Fortinet yn eu swyddfa. Ar ei gyfer, fe wnaethom ffurfweddu uwchlwytho logiau - felly roedd y cleient yn gallu dadansoddi'r holl ddigwyddiadau diogelwch ar gyfer peiriannau swyddfa a byrddau gwaith rhithwir.
Sut i ddiogelu byrddau gwaith rhithwir
O fygythiadau hysbys. Os yw'r cleient am reoli amddiffyniad gwrth-firws yn annibynnol, rydym hefyd yn gosod Kaspersky Security ar gyfer amgylcheddau rhithwir.
Mae'r ateb hwn yn gweithio'n dda yn y cwmwl. Rydym i gyd yn gyfarwydd â'r ffaith bod y gwrthfeirws Kaspersky clasurol yn ddatrysiad “trwm”. Mewn cyferbyniad, nid yw Kaspersky Security for Virtualization yn llwytho peiriannau rhithwir. Mae'r holl gronfeydd data firws wedi'u lleoli ar y gweinydd, sy'n cyhoeddi rheithfarnau ar gyfer holl beiriannau rhithwir y nod. Dim ond yr asiant ysgafn sydd wedi'i osod ar y bwrdd gwaith rhithwir. Mae'n anfon ffeiliau i'r gweinydd i'w gwirio.
Mae'r bensaernïaeth hon ar yr un pryd yn darparu amddiffyniad ffeiliau, amddiffyniad Rhyngrwyd, ac amddiffyniad rhag ymosodiad heb gyfaddawdu ar berfformiad peiriannau rhithwir. Yn yr achos hwn, gall y cleient gyflwyno eithriadau i amddiffyn ffeiliau yn annibynnol. Rydym yn helpu gyda gosodiad sylfaenol yr ateb. Byddwn yn siarad am ei nodweddion mewn erthygl ar wahân.
O fygythiadau anhysbys. I wneud hyn, rydym yn cysylltu FortiSandbox - “blwch tywod” o Fortinet. Rydyn ni'n ei ddefnyddio fel hidlydd rhag ofn i'r gwrthfeirws fethu bygythiad dim diwrnod. Ar ôl lawrlwytho'r ffeil, rydym yn gyntaf yn ei sganio â gwrthfeirws ac yna'n ei hanfon i'r blwch tywod. Mae FortiSandbox yn efelychu peiriant rhithwir, yn rhedeg y ffeil ac yn arsylwi ei ymddygiad: pa wrthrychau yn y gofrestrfa sy'n cael eu cyrchu, p'un a yw'n anfon ceisiadau allanol, ac ati. Os yw ffeil yn ymddwyn yn amheus, caiff y peiriant rhithwir blwch tywod ei ddileu ac nid yw'r ffeil faleisus yn dod i ben ar VDI y defnyddiwr.
Sut i sefydlu cysylltiad diogel â VDI
Rydym yn gwirio cydymffurfiaeth y ddyfais â gofynion diogelwch gwybodaeth. Ers dechrau gwaith o bell, mae cleientiaid wedi cysylltu â ni gyda cheisiadau: i sicrhau gweithrediad diogel defnyddwyr o'u cyfrifiaduron personol. Mae unrhyw arbenigwr diogelwch gwybodaeth yn gwybod ei bod yn anodd amddiffyn dyfeisiau cartref: ni allwch osod y gwrthfeirws angenrheidiol na chymhwyso polisïau grŵp, gan nad offer swyddfa yw hwn.
Yn ddiofyn, mae VDI yn dod yn “haen” ddiogel rhwng dyfais bersonol a'r rhwydwaith corfforaethol. Er mwyn amddiffyn VDI rhag ymosodiadau gan y peiriant defnyddiwr, rydym yn analluogi'r clipfwrdd ac yn gwahardd anfon USB ymlaen. Ond nid yw hyn yn gwneud dyfais y defnyddiwr ei hun yn ddiogel.
Rydym yn datrys y broblem gan ddefnyddio FortiClient. Offeryn amddiffyn diweddbwynt yw hwn. Mae defnyddwyr y cwmni yn gosod FortiClient ar eu cyfrifiaduron cartref ac yn ei ddefnyddio i gysylltu â bwrdd gwaith rhithwir. Mae FortiClient yn datrys 3 phroblem ar unwaith:
- yn dod yn “ffenestr sengl” mynediad i'r defnyddiwr;
- gwirio a oes gan eich cyfrifiadur personol wrthfeirws a'r diweddariadau OS diweddaraf;
- yn adeiladu twnnel VPN ar gyfer mynediad diogel.
Dim ond os yw'n pasio dilysiad y bydd gweithiwr yn cael mynediad. Ar yr un pryd, mae'r byrddau gwaith rhithwir eu hunain yn anhygyrch o'r Rhyngrwyd, sy'n golygu eu bod yn cael eu hamddiffyn yn well rhag ymosodiadau.
Os yw cwmni eisiau rheoli amddiffyniad endpoint ei hun, rydym yn cynnig FortiClient EMS (Endpoint Management Server). Gall y cleient ffurfweddu sganio bwrdd gwaith ac atal ymyrraeth, a chreu rhestr wen o gyfeiriadau.
Ychwanegu ffactorau dilysu. Yn ddiofyn, mae defnyddwyr yn cael eu dilysu trwy Citrix netscaler. Yma, hefyd, gallwn wella diogelwch gan ddefnyddio dilysu aml-ffactor yn seiliedig ar gynhyrchion SafeNet. Mae'r pwnc hwn yn haeddu sylw arbennig; byddwn hefyd yn siarad am hyn mewn erthygl ar wahân.
Rydym wedi cronni profiad o'r fath o weithio gyda gwahanol atebion dros y flwyddyn ddiwethaf o waith. Mae'r gwasanaeth VDI wedi'i ffurfweddu ar wahân ar gyfer pob cleient, felly fe wnaethom ddewis yr offer mwyaf hyblyg. Efallai yn y dyfodol agos y byddwn yn ychwanegu rhywbeth arall ac yn rhannu ein profiad.
Ar Hydref 7 am 17.00 bydd fy nghydweithwyr yn siarad am gyfrifiaduron bwrdd gwaith rhithwir yn y weminar “A yw VDI yn angenrheidiol, neu sut i drefnu gwaith o bell?”
, os ydych chi eisiau trafod pryd mae technoleg VDI yn addas ar gyfer cwmni a phryd mae'n well defnyddio dulliau eraill.
Ffynhonnell: hab.com