In diesem Jahr haben viele Unternehmen hastig auf Remote-Arbeit umgestellt. Für einige Kunden haben wir Organisieren Sie mehr als hundert Remote-Jobs pro Woche. Es war wichtig, dies nicht nur schnell, sondern auch sicher zu tun. Die VDI-Technologie ist Abhilfe geschaffen: Mit ihrer Hilfe ist es bequem, Sicherheitsrichtlinien an alle Arbeitsplätze zu verteilen und vor Datenlecks zu schützen.
In diesem Artikel erzähle ich Ihnen, wie unser virtueller Desktop-Dienst auf Basis von Citrix VDI aus Sicht der Informationssicherheit funktioniert. Ich zeige Ihnen, was wir tun, um Client-Desktops vor externen Bedrohungen wie Ransomware oder gezielten Angriffen zu schützen.
Welche Sicherheitsprobleme lösen wir?
Wir haben mehrere wesentliche Sicherheitsbedrohungen für den Dienst identifiziert. Einerseits besteht die Gefahr, dass der virtuelle Desktop vom Computer des Benutzers infiziert wird. Andererseits besteht die Gefahr, vom virtuellen Desktop in den offenen Raum des Internets zu gehen und eine infizierte Datei herunterzuladen. Selbst wenn dies geschieht, sollte es nicht die gesamte Infrastruktur beeinträchtigen. Daher haben wir bei der Erstellung des Dienstes mehrere Probleme gelöst:
- Schützt den gesamten VDI-Stand vor externen Bedrohungen.
- Isolierung der Kunden voneinander.
- Schutz der virtuellen Desktops selbst.
- Verbinden Sie Benutzer sicher von jedem Gerät aus.
Das Herzstück des Schutzes war FortiGate, eine Firewall der neuen Generation von Fortinet. Es überwacht den VDI-Standverkehr, stellt eine isolierte Infrastruktur für jeden Client bereit und schützt vor Schwachstellen auf Benutzerseite. Seine Fähigkeiten reichen aus, um die meisten Probleme der Informationssicherheit zu lösen.
Wenn ein Unternehmen jedoch besondere Sicherheitsanforderungen hat, bieten wir zusätzliche Optionen an:
- Wir organisieren eine sichere Verbindung für das Arbeiten von Heimcomputern.
- Wir bieten Zugang zur unabhängigen Analyse von Sicherheitsprotokollen.
- Wir bieten die Verwaltung des Virenschutzes auf Desktops.
- Wir schützen vor Zero-Day-Schwachstellen.
- Für zusätzlichen Schutz vor unbefugten Verbindungen konfigurieren wir die Multi-Faktor-Authentifizierung.
Ich erzähle Ihnen genauer, wie wir die Probleme gelöst haben.
So schützen Sie den Stand und sorgen für Netzwerksicherheit
Lassen Sie uns den Netzwerkteil segmentieren. Am Stand heben wir ein geschlossenes Managementsegment zur Verwaltung aller Ressourcen hervor. Das Verwaltungssegment ist von außen nicht zugänglich: Im Falle eines Angriffs auf den Client können Angreifer nicht dorthin gelangen.
Für den Schutz ist FortiGate verantwortlich. Es vereint die Funktionen eines Antiviren-, Firewall- und Intrusion-Prevention-Systems (IPS).
Für jeden Client erstellen wir ein isoliertes Netzwerksegment für virtuelle Desktops. Zu diesem Zweck verfügt FortiGate über die Virtual-Domain-Technologie, kurz VDOM. Sie können die Firewall in mehrere virtuelle Einheiten aufteilen und jedem Client ein eigenes VDOM zuweisen, das sich wie eine separate Firewall verhält. Für das Management-Segment erstellen wir außerdem ein eigenes VDOM.
Dabei handelt es sich um das folgende Diagramm:
Es gibt keine Netzwerkkonnektivität zwischen Clients: Jeder lebt in seinem eigenen VDOM und beeinflusst den anderen nicht. Ohne diese Technologie müssten wir Clients mit Firewall-Regeln trennen, was aufgrund menschlicher Fehler riskant ist. Man kann solche Regeln mit einer Tür vergleichen, die ständig geschlossen sein muss. Im Fall von VDOM lassen wir überhaupt keine „Türen“.
In einem separaten VDOM verfügt der Client über eine eigene Adressierung und ein eigenes Routing. Daher stellen Bereichsüberschreitungen für das Unternehmen kein Problem dar. Der Client kann virtuellen Desktops die notwendigen IP-Adressen zuweisen. Dies ist praktisch für große Unternehmen, die über eigene IP-Pläne verfügen.
Wir lösen Konnektivitätsprobleme mit dem Unternehmensnetzwerk des Kunden. Eine separate Aufgabe besteht darin, VDI mit der Client-Infrastruktur zu verbinden. Wenn ein Unternehmen Unternehmenssysteme in unserem Rechenzentrum unterhält, können wir einfach ein Netzwerkkabel von seinen Geräten zur Firewall verlegen. Aber häufiger haben wir es mit einem entfernten Standort zu tun – einem anderen Rechenzentrum oder dem Büro eines Kunden. In diesem Fall denken wir über einen sicheren Austausch mit der Site nach und bauen Site2Site-VPN mithilfe von IPsec VPN auf.
Die Schemata können je nach Komplexität der Infrastruktur variieren. An manchen Orten reicht es aus, ein einzelnes Büronetzwerk an VDI anzuschließen – dort reicht statisches Routing. Große Unternehmen verfügen über viele Netzwerke, die sich ständig verändern; Hier benötigt der Client dynamisches Routing. Wir verwenden unterschiedliche Protokolle: Es gab bereits Fälle mit OSPF (Open Shortest Path First), GRE-Tunneln (Generic Routing Encapsulation) und BGP (Border Gateway Protocol). FortiGate unterstützt Netzwerkprotokolle in separaten VDOMs, ohne andere Clients zu beeinträchtigen.
Sie können auch GOST-VPN erstellen – eine Verschlüsselung basierend auf kryptografischen Schutzmitteln, die vom FSB der Russischen Föderation zertifiziert sind. Zum Beispiel die Verwendung von KS1-Klassenlösungen in der virtuellen Umgebung „S-Terra Virtual Gateway“ oder PAK ViPNet, APKSH „Continent“, „S-Terra“.
Gruppenrichtlinien einrichten. Wir vereinbaren mit dem Kunden Gruppenrichtlinien, die auf VDI angewendet werden. Hier unterscheiden sich die Einstellungsprinzipien nicht von der Festlegung von Richtlinien im Büro. Wir richten die Integration mit Active Directory ein und delegieren die Verwaltung einiger Gruppenrichtlinien an Kunden. Mandantenadministratoren können Richtlinien auf das Computerobjekt anwenden, die Organisationseinheit in Active Directory verwalten und Benutzer erstellen.
Auf FortiGate schreiben wir für jedes Client-VDOM eine Netzwerksicherheitsrichtlinie, legen Zugriffsbeschränkungen fest und konfigurieren die Verkehrsprüfung. Wir verwenden mehrere FortiGate-Module:
- Das IPS-Modul scannt den Datenverkehr auf Malware und verhindert Eindringlinge;
- das Antivirenprogramm schützt die Desktops selbst vor Malware und Spyware;
- Webfilterung blockiert den Zugriff auf unzuverlässige Ressourcen und Websites mit bösartigen oder unangemessenen Inhalten;
- Durch Firewall-Einstellungen können Benutzer möglicherweise nur auf bestimmte Websites auf das Internet zugreifen.
Manchmal möchte ein Kunde den Zugriff seiner Mitarbeiter auf Websites unabhängig verwalten. Dieser Wunsch wird von Banken häufig gestellt: Sicherheitsdienste verlangen, dass die Zugangskontrolle auf Seiten des Unternehmens verbleibt. Solche Unternehmen überwachen selbst den Verkehr und nehmen regelmäßig Änderungen an den Richtlinien vor. In diesem Fall leiten wir den gesamten Datenverkehr von FortiGate zum Client um. Dazu nutzen wir eine konfigurierte Schnittstelle zur Unternehmensinfrastruktur. Anschließend konfiguriert der Kunde selbst die Regeln für den Zugriff auf das Unternehmensnetzwerk und das Internet.
Wir verfolgen das Geschehen am Stand. Zusammen mit FortiGate nutzen wir FortiAnalyzer, einen Log-Sammler von Fortinet. Mit seiner Hilfe schauen wir uns alle Ereignisprotokolle auf VDI an einem Ort an, finden verdächtige Aktionen und verfolgen Zusammenhänge.
Einer unserer Kunden nutzt Fortinet-Produkte in seinem Büro. Dafür haben wir das Hochladen von Protokollen konfiguriert, sodass der Kunde alle Sicherheitsereignisse für Büromaschinen und virtuelle Desktops analysieren konnte.
So schützen Sie virtuelle Desktops
Von bekannten Bedrohungen. Wenn der Kunde den Virenschutz selbstständig verwalten möchte, installieren wir zusätzlich Kaspersky Security für virtuelle Umgebungen.
Diese Lösung funktioniert gut in der Cloud. Wir sind alle daran gewöhnt, dass das klassische Kaspersky-Antivirenprogramm eine „schwere“ Lösung ist. Im Gegensatz dazu lädt Kaspersky Security for Virtualization keine virtuellen Maschinen. Alle Virendatenbanken befinden sich auf dem Server, der Urteile für alle virtuellen Maschinen des Knotens ausgibt. Auf dem virtuellen Desktop wird nur der Light Agent installiert. Es sendet Dateien zur Überprüfung an den Server.
Diese Architektur bietet gleichzeitig Dateischutz, Internetschutz und Angriffsschutz, ohne die Leistung virtueller Maschinen zu beeinträchtigen. In diesem Fall kann der Kunde selbstständig Ausnahmen vom Dateischutz einführen. Wir helfen bei der grundlegenden Einrichtung der Lösung. Wir werden in einem separaten Artikel über seine Funktionen sprechen.
Von unbekannten Bedrohungen. Dazu binden wir FortiSandbox an – eine „Sandbox“ von Fortinet. Wir verwenden es als Filter für den Fall, dass das Antivirenprogramm eine Zero-Day-Bedrohung übersieht. Nachdem wir die Datei heruntergeladen haben, scannen wir sie zunächst mit einem Antivirenprogramm und senden sie dann an die Sandbox. FortiSandbox emuliert eine virtuelle Maschine, führt die Datei aus und beobachtet ihr Verhalten: Auf welche Objekte in der Registrierung wird zugegriffen, ob externe Anfragen gesendet werden und so weiter. Wenn sich eine Datei verdächtig verhält, wird die virtuelle Sandbox-Maschine gelöscht und die schädliche Datei landet nicht auf dem VDI des Benutzers.
So richten Sie eine sichere Verbindung zu VDI ein
Wir prüfen, ob das Gerät den Anforderungen der Informationssicherheit entspricht. Seit Beginn der Remote-Arbeit sind Kunden mit der Bitte an uns herangetreten, den sicheren Betrieb der Benutzer von ihren PCs aus zu gewährleisten. Jeder Informationssicherheitsspezialist weiß, dass der Schutz von Heimgeräten schwierig ist: Sie können nicht das erforderliche Antivirenprogramm installieren oder Gruppenrichtlinien anwenden, da es sich nicht um Bürogeräte handelt.
Standardmäßig wird VDI zu einer sicheren „Schicht“ zwischen einem persönlichen Gerät und dem Unternehmensnetzwerk. Um VDI vor Angriffen vom Benutzercomputer zu schützen, deaktivieren wir die Zwischenablage und verhindern die USB-Weiterleitung. Dies macht das Gerät des Benutzers jedoch nicht sicher.
Wir lösen das Problem mit FortiClient. Dies ist ein Endpoint-Schutz-Tool. Die Benutzer des Unternehmens installieren FortiClient auf ihren Heimcomputern und verbinden sich damit mit einem virtuellen Desktop. FortiClient löst 3 Probleme auf einmal:
- wird für den Benutzer zu einem „einzigen Fenster“ für den Zugriff;
- prüft, ob Ihr PC über ein Antivirenprogramm und die neuesten Betriebssystem-Updates verfügt;
- baut einen VPN-Tunnel für sicheren Zugriff auf.
Ein Mitarbeiter erhält nur Zugang, wenn er die Überprüfung besteht. Gleichzeitig sind die virtuellen Desktops selbst aus dem Internet nicht erreichbar und somit besser vor Angriffen geschützt.
Wenn ein Unternehmen den Endpoint-Schutz selbst verwalten möchte, bieten wir FortiClient EMS (Endpoint Management Server) an. Der Client kann Desktop-Scanning und Intrusion Prevention konfigurieren und eine Whitelist mit Adressen erstellen.
Authentifizierungsfaktoren hinzufügen. Standardmäßig werden Benutzer über Citrix Netscaler authentifiziert. Auch hier können wir die Sicherheit durch Multifaktor-Authentifizierung auf Basis von SafeNet-Produkten erhöhen. Dieses Thema verdient besondere Aufmerksamkeit, darüber werden wir auch in einem separaten Artikel sprechen.
Wir haben im vergangenen Jahr viel Erfahrung in der Arbeit mit verschiedenen Lösungen gesammelt. Der VDI-Dienst wird für jeden Kunden separat konfiguriert, daher haben wir die flexibelsten Tools ausgewählt. Vielleicht werden wir in naher Zukunft noch etwas hinzufügen und unsere Erfahrungen teilen.
Am 7. Oktober um 17.00 Uhr werden meine Kollegen im Webinar „Ist VDI notwendig oder wie organisiert man Remote-Arbeit?“ über virtuelle Desktops sprechen.
, wenn Sie diskutieren möchten, wann die VDI-Technologie für ein Unternehmen geeignet ist und wann es besser ist, andere Methoden einzusetzen.
Source: habr.com