I år gik mange virksomheder hastigt over til fjernarbejde. For nogle kunder har vi organisere mere end hundrede fjernjobs om ugen. Det var vigtigt at gøre dette ikke kun hurtigt, men også sikkert. VDI-teknologien er kommet til undsætning: Med dens hjælp er det praktisk at distribuere sikkerhedspolitikker til alle arbejdspladser og beskytte mod datalækager.
I denne artikel vil jeg fortælle dig, hvordan vores virtuelle desktop-tjeneste baseret på Citrix VDI fungerer ud fra et informationssikkerhedssynspunkt. Jeg vil vise dig, hvad vi gør for at beskytte klientcomputere mod eksterne trusler såsom ransomware eller målrettede angreb.
Hvilke sikkerhedsproblemer løser vi?
Vi har identificeret flere hovedsikkerhedstrusler mod tjenesten. På den ene side risikerer det virtuelle skrivebord at blive inficeret fra brugerens computer. På den anden side er der en fare for at gå ud fra det virtuelle skrivebord til det åbne rum på internettet og downloade en inficeret fil. Selvom dette sker, bør det ikke påvirke hele infrastrukturen. Derfor løste vi flere problemer, da vi oprettede tjenesten:
- Beskytter hele VDI-standen mod eksterne trusler.
- Isolering af klienter fra hinanden.
- Beskyttelse af selve de virtuelle skriveborde.
- Forbind brugere sikkert fra enhver enhed.
Kernen i beskyttelsen var FortiGate, en ny generation af firewall fra Fortinet. Den overvåger VDI-standtrafikken, giver en isoleret infrastruktur til hver klient og beskytter mod sårbarheder på brugersiden. Dens muligheder er nok til at løse de fleste informationssikkerhedsproblemer.
Men hvis en virksomhed har særlige sikkerhedskrav, tilbyder vi yderligere muligheder:
- Vi organiserer en sikker forbindelse til at arbejde fra hjemmecomputere.
- Vi giver adgang til uafhængig analyse af sikkerhedslogfiler.
- Vi leverer styring af antivirusbeskyttelse på desktops.
- Vi beskytter mod nul-dages sårbarheder.
- Vi konfigurerer multifaktorgodkendelse for yderligere beskyttelse mod uautoriserede forbindelser.
Jeg vil fortælle dig mere detaljeret, hvordan vi løste problemerne.
Sådan beskytter du stativet og sikrer netværkssikkerhed
Lad os segmentere netværksdelen. På standen fremhæver vi et lukket ledelsessegment til styring af alle ressourcer. Ledelsessegmentet er utilgængeligt udefra: I tilfælde af et angreb på klienten vil angriberne ikke være i stand til at komme dertil.
FortiGate er ansvarlig for beskyttelse. Det kombinerer funktionerne i et antivirus, firewall og indtrængningsforebyggelsessystem (IPS).
For hver klient opretter vi et isoleret netværkssegment til virtuelle desktops. Til dette formål har FortiGate virtuel domæneteknologi eller VDOM. Det giver dig mulighed for at opdele firewallen i flere virtuelle enheder og tildele hver klient sin egen VDOM, som opfører sig som en separat firewall. Vi opretter også en separat VDOM til ledelsessegmentet.
Dette viser sig at være følgende diagram:
Der er ingen netværksforbindelse mellem klienter: hver bor i sin egen VDOM og påvirker ikke den anden. Uden denne teknologi ville vi være nødt til at adskille klienter med firewall-regler, hvilket er risikabelt på grund af menneskelige fejl. Du kan sammenligne sådanne regler med en dør, der konstant skal være lukket. I tilfældet med VDOM efterlader vi ingen "døre" overhovedet.
I en separat VDOM har klienten sin egen adressering og routing. Derfor bliver det ikke et problem for virksomheden at krydse rækkevidder. Klienten kan tildele de nødvendige IP-adresser til virtuelle skriveborde. Dette er praktisk for store virksomheder, der har deres egne IP-planer.
Vi løser forbindelsesproblemer med kundens virksomhedsnetværk. En separat opgave er at forbinde VDI med klientinfrastrukturen. Hvis en virksomhed beholder virksomhedssystemer i vores datacenter, kan vi blot føre et netværkskabel fra dets udstyr til firewallen. Men oftere har vi at gøre med et eksternt websted - et andet datacenter eller en kundes kontor. I dette tilfælde gennemtænker vi en sikker udveksling med webstedet og bygger site2site VPN ved hjælp af IPsec VPN.
Ordningerne kan variere afhængigt af kompleksiteten af infrastrukturen. Nogle steder er det nok at forbinde et enkelt kontornetværk til VDI - statisk routing er nok der. Store virksomheder har mange netværk, der konstant ændrer sig; her har klienten brug for dynamisk routing. Vi bruger forskellige protokoller: Der har allerede været tilfælde med OSPF (Open Shortest Path First), GRE-tunneler (Generic Routing Encapsulation) og BGP (Border Gateway Protocol). FortiGate understøtter netværksprotokoller i separate VDOM'er uden at påvirke andre klienter.
Du kan også bygge GOST-VPN - kryptering baseret på kryptografiske beskyttelsesmidler certificeret af FSB i Den Russiske Føderation. For eksempel ved at bruge KS1-klasseløsninger i det virtuelle miljø "S-Terra Virtual Gateway" eller PAK ViPNet, APKSH "Continent", "S-Terra".
Opsætning af gruppepolitikker. Vi aftaler med klienten gruppepolitikker, der anvendes på VDI. Her er principperne for indstilling ikke anderledes end at fastsætte politikker på kontoret. Vi opsætter integration med Active Directory og uddelegerer administration af nogle gruppepolitikker til kunder. Lejeradministratorer kan anvende politikker på computerobjektet, administrere den organisatoriske enhed i Active Directory og oprette brugere.
På FortiGate skriver vi for hver klient VDOM en netværkssikkerhedspolitik, sætter adgangsbegrænsninger og konfigurerer trafikinspektion. Vi bruger flere FortiGate-moduler:
- IPS-modul scanner trafik for malware og forhindrer indtrængen;
- antivirussen beskytter selve desktoppene mod malware og spyware;
- webfiltrering blokerer adgang til upålidelige ressourcer og websteder med ondsindet eller upassende indhold;
- Firewall-indstillinger kan tillade brugere kun at få adgang til internettet til bestemte websteder.
Nogle gange ønsker en klient selvstændigt at administrere medarbejderadgang til websteder. Oftere end ikke kommer banker med denne anmodning: sikkerhedstjenester kræver, at adgangskontrol forbliver på virksomhedens side. Sådanne virksomheder overvåger selv trafikken og foretager regelmæssigt ændringer i politikker. I dette tilfælde vender vi al trafik fra FortiGate mod klienten. For at gøre dette bruger vi en konfigureret grænseflade med virksomhedens infrastruktur. Herefter konfigurerer klienten selv reglerne for adgang til virksomhedens netværk og internettet.
Vi ser begivenhederne på standen. Sammen med FortiGate bruger vi FortiAnalyzer, en logopsamler fra Fortinet. Med dens hjælp ser vi på alle hændelseslogfiler på VDI på ét sted, finder mistænkelige handlinger og sporer sammenhænge.
En af vores kunder bruger Fortinet-produkter på deres kontor. Til det konfigurerede vi log-upload - så klienten var i stand til at analysere alle sikkerhedshændelser for kontormaskiner og virtuelle desktops.
Sådan beskytter du virtuelle skriveborde
Fra kendte trusler. Hvis klienten uafhængigt ønsker at administrere antivirusbeskyttelse, installerer vi desuden Kaspersky Security til virtuelle miljøer.
Denne løsning fungerer godt i skyen. Vi er alle vant til, at det klassiske Kaspersky-antivirus er en "tung" løsning. I modsætning hertil indlæser Kaspersky Security for Virtualization ikke virtuelle maskiner. Alle virusdatabaser er placeret på serveren, som udsteder domme for alle virtuelle maskiner i noden. Kun lysagenten er installeret på det virtuelle skrivebord. Det sender filer til serveren til verifikation.
Denne arkitektur giver samtidig filbeskyttelse, internetbeskyttelse og angrebsbeskyttelse uden at kompromittere virtuelle maskiners ydeevne. I dette tilfælde kan klienten selvstændigt indføre undtagelser til filbeskyttelse. Vi hjælper med grundlæggende opsætning af løsningen. Vi vil tale om dets funktioner i en separat artikel.
Fra ukendte trusler. For at gøre dette forbinder vi FortiSandbox – en “sandbox” fra Fortinet. Vi bruger det som et filter, hvis antivirusprogrammet går glip af en nul-dagstrussel. Efter at have downloadet filen, scanner vi den først med et antivirus og sender den derefter til sandkassen. FortiSandbox emulerer en virtuel maskine, kører filen og observerer dens adfærd: hvilke objekter i registreringsdatabasen der tilgås, om den sender eksterne anmodninger, og så videre. Hvis en fil opfører sig mistænkeligt, slettes den virtuelle sandbox-maskine, og den skadelige fil ender ikke på brugerens VDI.
Sådan opretter du en sikker forbindelse til VDI
Vi kontrollerer enhedens overensstemmelse med krav til informationssikkerhed. Siden begyndelsen af fjernarbejde har kunder henvendt sig til os med anmodninger: for at sikre sikker drift af brugere fra deres personlige computere. Enhver informationssikkerhedsspecialist ved, at det er svært at beskytte hjemmeenheder: du kan ikke installere det nødvendige antivirus eller anvende gruppepolitikker, da dette ikke er kontorudstyr.
Som standard bliver VDI et sikkert "lag" mellem en personlig enhed og virksomhedens netværk. For at beskytte VDI mod angreb fra brugermaskinen deaktiverer vi klippebordet og forbyder USB-videresendelse. Men dette gør ikke selve brugerens enhed sikker.
Vi løser problemet ved hjælp af FortiClient. Dette er et slutpunktsbeskyttelsesværktøj. Virksomhedens brugere installerer FortiClient på deres hjemmecomputere og bruger det til at oprette forbindelse til et virtuelt skrivebord. FortiClient løser 3 problemer på én gang:
- bliver et "enkelt vindue" med adgang for brugeren;
- kontrollerer, om din personlige computer har et antivirus og de seneste OS-opdateringer;
- bygger en VPN-tunnel for sikker adgang.
En medarbejder får kun adgang, hvis vedkommende består verifikation. Samtidig er de virtuelle desktops i sig selv utilgængelige fra internettet, hvilket betyder, at de er bedre beskyttet mod angreb.
Hvis en virksomhed selv ønsker at administrere endpoint-beskyttelse, tilbyder vi FortiClient EMS (Endpoint Management Server). Klienten kan konfigurere skrivebordsscanning og indtrængningsforebyggelse og oprette en hvidliste over adresser.
Tilføjelse af autentificeringsfaktorer. Som standard bliver brugere autentificeret gennem Citrix netscaler. Også her kan vi øge sikkerheden ved hjælp af multifaktorautentificering baseret på SafeNet-produkter. Dette emne fortjener særlig opmærksomhed; vi vil også tale om dette i en separat artikel.
Vi har samlet en sådan erfaring med at arbejde med forskellige løsninger i løbet af det seneste års arbejde. VDI-tjenesten er konfigureret separat for hver klient, så vi valgte de mest fleksible værktøjer. Måske vil vi i den nærmeste fremtid tilføje noget andet og dele vores erfaring.
Den 7. oktober kl. 17.00 vil mine kolleger tale om virtuelle skriveborde på webinaret "Er VDI nødvendigt, eller hvordan organiserer man fjernarbejde?"
, hvis du vil diskutere, hvornår VDI-teknologi er egnet til en virksomhed, og hvornår det er bedre at bruge andre metoder.
Kilde: www.habr.com