Φέτος, πολλές εταιρείες στράφηκαν βιαστικά στην εξ αποστάσεως εργασία. Για ορισμένους πελάτες εμείς οργανώνουν περισσότερες από εκατό απομακρυσμένες θέσεις εργασίας την εβδομάδα. Ήταν σημαντικό να γίνει αυτό όχι μόνο γρήγορα, αλλά και με ασφάλεια. Η τεχνολογία VDI έχει έρθει στη διάσωση: με τη βοήθειά της, είναι βολικό να διανέμονται πολιτικές ασφαλείας σε όλους τους χώρους εργασίας και να προστατεύονται από διαρροές δεδομένων.
Σε αυτό το άρθρο θα σας πω πώς λειτουργεί η υπηρεσία εικονικής επιφάνειας εργασίας που βασίζεται στο Citrix VDI από την άποψη της ασφάλειας πληροφοριών. Θα σας δείξω τι κάνουμε για να προστατεύσουμε τους επιτραπέζιους υπολογιστές πελατών από εξωτερικές απειλές, όπως ransomware ή στοχευμένες επιθέσεις.
Ποια προβλήματα ασφάλειας επιλύουμε;
Έχουμε εντοπίσει αρκετές κύριες απειλές ασφαλείας για την υπηρεσία. Από τη μία πλευρά, η εικονική επιφάνεια εργασίας διατρέχει τον κίνδυνο να μολυνθεί από τον υπολογιστή του χρήστη. Από την άλλη πλευρά, υπάρχει ο κίνδυνος να βγείτε από την εικονική επιφάνεια εργασίας στον ανοιχτό χώρο του Διαδικτύου και να κάνετε λήψη ενός μολυσμένου αρχείου. Ακόμα κι αν συμβεί αυτό, δεν θα πρέπει να επηρεάσει ολόκληρη την υποδομή. Επομένως, κατά τη δημιουργία της υπηρεσίας, λύσαμε αρκετά προβλήματα:
- Προστατεύει ολόκληρη τη βάση VDI από εξωτερικές απειλές.
- Απομόνωση των πελατών μεταξύ τους.
- Προστασία των ίδιων των εικονικών επιτραπέζιων υπολογιστών.
- Συνδέστε με ασφάλεια τους χρήστες από οποιαδήποτε συσκευή.
Ο πυρήνας της προστασίας ήταν το FortiGate, ένα τείχος προστασίας νέας γενιάς από την Fortinet. Παρακολουθεί την κίνηση του θαλάμου VDI, παρέχει μια απομονωμένη υποδομή για κάθε πελάτη και προστατεύει από ευπάθειες στην πλευρά του χρήστη. Οι δυνατότητές του είναι αρκετές για να επιλύσουν τα περισσότερα ζητήματα ασφάλειας πληροφοριών.
Αλλά εάν μια εταιρεία έχει ειδικές απαιτήσεις ασφαλείας, προσφέρουμε πρόσθετες επιλογές:
- Οργανώνουμε μια ασφαλή σύνδεση για εργασία από οικιακούς υπολογιστές.
- Παρέχουμε πρόσβαση στην αυτοανάλυση των αρχείων καταγραφής ασφαλείας.
- Παρέχουμε διαχείριση προστασίας από ιούς σε επιτραπέζιους υπολογιστές.
- Προστατευόμαστε από ευπάθειες μηδενικής ημέρας.
- Διαμορφώνουμε τον έλεγχο ταυτότητας πολλαπλών παραγόντων για πρόσθετη προστασία από μη εξουσιοδοτημένες συνδέσεις.
Θα σας πω με περισσότερες λεπτομέρειες πώς λύσαμε τα προβλήματα.
Πώς να προστατεύσετε τη βάση και να διασφαλίσετε την ασφάλεια του δικτύου
Ας τμηματοποιήσουμε το τμήμα δικτύου. Στο περίπτερο επισημαίνουμε ένα κλειστό τμήμα διαχείρισης για τη διαχείριση όλων των πόρων. Το τμήμα διαχείρισης είναι απρόσιτο από έξω: σε περίπτωση επίθεσης στον πελάτη, οι εισβολείς δεν θα μπορούν να φτάσουν εκεί.
Η FortiGate είναι υπεύθυνη για την προστασία. Συνδυάζει τις λειτουργίες ενός συστήματος προστασίας από ιούς, τείχους προστασίας και συστήματος πρόληψης εισβολής (IPS).
Για κάθε πελάτη δημιουργούμε ένα απομονωμένο τμήμα δικτύου για εικονικούς επιτραπέζιους υπολογιστές. Για το σκοπό αυτό, το FortiGate διαθέτει τεχνολογία εικονικού τομέα ή VDOM. Σας επιτρέπει να χωρίσετε το τείχος προστασίας σε πολλές εικονικές οντότητες και να εκχωρήσετε σε κάθε πελάτη το δικό του VDOM, το οποίο συμπεριφέρεται σαν ξεχωριστό τείχος προστασίας. Δημιουργούμε επίσης ένα ξεχωριστό VDOM για το τμήμα διαχείρισης.
Αυτό αποδεικνύεται ότι είναι το ακόλουθο διάγραμμα:
Δεν υπάρχει σύνδεση δικτύου μεταξύ των πελατών: ο καθένας ζει στο δικό του VDOM και δεν επηρεάζει τον άλλο. Χωρίς αυτήν την τεχνολογία, θα έπρεπε να διαχωρίσουμε τους πελάτες με κανόνες τείχους προστασίας, κάτι που είναι επικίνδυνο λόγω ανθρώπινου λάθους. Μπορείτε να συγκρίνετε τέτοιους κανόνες με μια πόρτα που πρέπει να είναι συνεχώς κλειστή. Στην περίπτωση του VDOM, δεν αφήνουμε καθόλου «πόρτες».
Σε ένα ξεχωριστό VDOM, ο πελάτης έχει τη δική του διεύθυνση και δρομολόγηση. Επομένως, η διέλευση των σειρών δεν αποτελεί πρόβλημα για την εταιρεία. Ο πελάτης μπορεί να εκχωρήσει τις απαραίτητες διευθύνσεις IP σε εικονικούς επιτραπέζιους υπολογιστές. Αυτό είναι βολικό για μεγάλες εταιρείες που έχουν τα δικά τους σχέδια IP.
Επιλύουμε ζητήματα συνδεσιμότητας με το εταιρικό δίκτυο του πελάτη. Μια ξεχωριστή εργασία είναι η σύνδεση του VDI με την υποδομή πελάτη. Εάν μια εταιρεία διατηρεί εταιρικά συστήματα στο κέντρο δεδομένων μας, μπορούμε απλώς να εκτελέσουμε ένα καλώδιο δικτύου από τον εξοπλισμό της στο τείχος προστασίας. Αλλά πιο συχνά έχουμε να κάνουμε με έναν απομακρυσμένο ιστότοπο - άλλο κέντρο δεδομένων ή γραφείο πελάτη. Σε αυτήν την περίπτωση, σκεφτόμαστε μέσω μιας ασφαλούς ανταλλαγής με τον ιστότοπο και χτίζουμε site2site VPN χρησιμοποιώντας IPsec VPN.
Τα σχήματα ενδέχεται να διαφέρουν ανάλογα με την πολυπλοκότητα της υποδομής. Σε ορισμένα σημεία αρκεί να συνδέσετε ένα ενιαίο δίκτυο γραφείου σε VDI - αρκεί η στατική δρομολόγηση εκεί. Οι μεγάλες εταιρείες έχουν πολλά δίκτυα που αλλάζουν συνεχώς. Εδώ ο πελάτης χρειάζεται δυναμική δρομολόγηση. Χρησιμοποιούμε διαφορετικά πρωτόκολλα: έχουν ήδη υπάρξει περιπτώσεις με OSPF (Πρώτα ανοιχτή συντομότερη διαδρομή), σήραγγες GRE (Generic Routing Encapsulation) και BGP (Πρωτόκολλο Πύλης Συνόρων). Το FortiGate υποστηρίζει πρωτόκολλα δικτύου σε ξεχωριστά VDOM, χωρίς να επηρεάζει άλλους πελάτες.
Μπορείτε επίσης να δημιουργήσετε GOST-VPN - κρυπτογράφηση με βάση μέσα κρυπτογραφικής προστασίας πιστοποιημένα από το FSB της Ρωσικής Ομοσπονδίας. Για παράδειγμα, χρησιμοποιώντας λύσεις κλάσης KS1 στο εικονικό περιβάλλον "S-Terra Virtual Gateway" ή PAK ViPNet, APKSH "Continent", "S-Terra".
Ρύθμιση πολιτικών ομάδας. Συμφωνούμε με τον πελάτη σχετικά με τις πολιτικές ομάδας που εφαρμόζονται στο VDI. Εδώ οι αρχές της ρύθμισης δεν διαφέρουν από τον καθορισμό πολιτικών στο γραφείο. Ρυθμίσαμε την ενοποίηση με την Active Directory και αναθέτουμε τη διαχείριση ορισμένων πολιτικών ομάδας σε πελάτες. Οι διαχειριστές μισθωτών μπορούν να εφαρμόζουν πολιτικές στο αντικείμενο Υπολογιστής, να διαχειρίζονται την οργανική μονάδα στην υπηρεσία καταλόγου Active Directory και να δημιουργούν χρήστες.
Στο FortiGate, για κάθε πελάτη VDOM γράφουμε μια πολιτική ασφάλειας δικτύου, ορίζουμε περιορισμούς πρόσβασης και διαμορφώνουμε την επιθεώρηση κυκλοφορίας. Χρησιμοποιούμε πολλές μονάδες FortiGate:
- Η μονάδα IPS σαρώνει την κυκλοφορία για κακόβουλο λογισμικό και αποτρέπει τις εισβολές.
- το antivirus προστατεύει τους ίδιους τους επιτραπέζιους υπολογιστές από κακόβουλο λογισμικό και λογισμικό υποκλοπής spyware.
- Το φιλτράρισμα ιστού αποκλείει την πρόσβαση σε αναξιόπιστους πόρους και ιστότοπους με κακόβουλο ή ακατάλληλο περιεχόμενο.
- Οι ρυθμίσεις του τείχους προστασίας ενδέχεται να επιτρέπουν στους χρήστες να έχουν πρόσβαση στο Διαδίκτυο μόνο σε ορισμένες τοποθεσίες.
Μερικές φορές ένας πελάτης θέλει να διαχειρίζεται ανεξάρτητα την πρόσβαση των εργαζομένων σε ιστότοπους. Τις περισσότερες φορές, οι τράπεζες έρχονται με αυτό το αίτημα: οι υπηρεσίες ασφαλείας απαιτούν ο έλεγχος πρόσβασης να παραμείνει στο πλευρό της εταιρείας. Τέτοιες εταιρείες παρακολουθούν οι ίδιες την κυκλοφορία και κάνουν τακτικά αλλαγές στις πολιτικές. Σε αυτήν την περίπτωση, στρέφουμε όλη την κίνηση από το FortiGate προς τον πελάτη. Για να γίνει αυτό, χρησιμοποιούμε μια διαμορφωμένη διεπαφή με την υποδομή της εταιρείας. Μετά από αυτό, ο ίδιος ο πελάτης διαμορφώνει τους κανόνες πρόσβασης στο εταιρικό δίκτυο και στο Διαδίκτυο.
Παρακολούθηση των εκδηλώσεων στο περίπτερο. Μαζί με το FortiGate χρησιμοποιούμε το FortiAnalyzer, έναν συλλέκτη κορμών από τη Fortinet. Με τη βοήθειά του, εξετάζουμε όλα τα αρχεία καταγραφής συμβάντων στο VDI σε ένα μέρος, βρίσκουμε ύποπτες ενέργειες και παρακολουθούμε συσχετίσεις.
Ένας από τους πελάτες μας χρησιμοποιεί προϊόντα Fortinet στο γραφείο του. Για αυτό, ρυθμίσαμε τη μεταφόρτωση αρχείων καταγραφής - ώστε ο πελάτης να μπορεί να αναλύσει όλα τα συμβάντα ασφαλείας για μηχανές γραφείου και εικονικούς επιτραπέζιους υπολογιστές.
Πώς να προστατέψετε εικονικούς επιτραπέζιους υπολογιστές
Από γνωστές απειλές. Εάν ο πελάτης θέλει να διαχειρίζεται ανεξάρτητα την προστασία από ιούς, εγκαθιστούμε επιπλέον το Kaspersky Security για εικονικά περιβάλλοντα.
Αυτή η λύση λειτουργεί καλά στο cloud. Είμαστε όλοι συνηθισμένοι στο γεγονός ότι το κλασικό antivirus Kaspersky είναι μια «βαριά» λύση. Αντίθετα, το Kaspersky Security for Virtualization δεν φορτώνει εικονικές μηχανές. Όλες οι βάσεις δεδομένων ιών βρίσκονται στον διακομιστή, ο οποίος εκδίδει ετυμηγορίες για όλες τις εικονικές μηχανές του κόμβου. Μόνο ο παράγοντας φωτός είναι εγκατεστημένος στην εικονική επιφάνεια εργασίας. Στέλνει αρχεία στον διακομιστή για επαλήθευση.
Αυτή η αρχιτεκτονική παρέχει ταυτόχρονα προστασία αρχείων, προστασία από το Διαδίκτυο και προστασία από επιθέσεις χωρίς να διακυβεύεται η απόδοση των εικονικών μηχανών. Σε αυτήν την περίπτωση, ο πελάτης μπορεί ανεξάρτητα να εισάγει εξαιρέσεις για την προστασία αρχείων. Βοηθάμε με τη βασική ρύθμιση της λύσης. Θα μιλήσουμε για τα χαρακτηριστικά του σε ξεχωριστό άρθρο.
Από άγνωστες απειλές. Για να το κάνουμε αυτό, συνδέουμε το FortiSandbox – ένα "sandbox" από το Fortinet. Το χρησιμοποιούμε ως φίλτρο σε περίπτωση που το antivirus χάσει μια απειλή μηδενικής ημέρας. Αφού κατεβάσουμε το αρχείο, πρώτα το σαρώνουμε με ένα antivirus και μετά το στέλνουμε στο sandbox. Το FortiSandbox μιμείται μια εικονική μηχανή, εκτελεί το αρχείο και παρατηρεί τη συμπεριφορά του: σε ποια αντικείμενα του μητρώου γίνεται πρόσβαση, αν στέλνει εξωτερικά αιτήματα κ.λπ. Εάν ένα αρχείο συμπεριφέρεται ύποπτα, η εικονική μηχανή με sandbox διαγράφεται και το κακόβουλο αρχείο δεν καταλήγει στο VDI χρήστη.
Πώς να ρυθμίσετε μια ασφαλή σύνδεση στο VDI
Ελέγχουμε τη συμμόρφωση της συσκευής με τις απαιτήσεις ασφάλειας πληροφοριών. Από την αρχή της απομακρυσμένης εργασίας, οι πελάτες μας έχουν προσεγγίσει με αιτήματα: να διασφαλίσουμε την ασφαλή λειτουργία των χρηστών από τους προσωπικούς τους υπολογιστές. Κάθε ειδικός σε θέματα ασφάλειας πληροφοριών γνωρίζει ότι η προστασία των οικιακών συσκευών είναι δύσκολη: δεν μπορείτε να εγκαταστήσετε το απαραίτητο πρόγραμμα προστασίας από ιούς ή να εφαρμόσετε πολιτικές ομάδας, καθώς δεν πρόκειται για εξοπλισμό γραφείου.
Από προεπιλογή, το VDI γίνεται ένα ασφαλές «στρώμα» μεταξύ μιας προσωπικής συσκευής και του εταιρικού δικτύου. Για να προστατεύσουμε το VDI από επιθέσεις από το μηχάνημα χρήστη, απενεργοποιούμε το πρόχειρο και απαγορεύουμε την προώθηση μέσω USB. Αυτό όμως δεν καθιστά ασφαλή την ίδια τη συσκευή του χρήστη.
Επιλύουμε το πρόβλημα χρησιμοποιώντας το FortiClient. Αυτό είναι ένα εργαλείο προστασίας τελικού σημείου. Οι χρήστες της εταιρείας εγκαθιστούν το FortiClient στους οικιακούς τους υπολογιστές και το χρησιμοποιούν για να συνδεθούν σε μια εικονική επιφάνεια εργασίας. Το FortiClient επιλύει 3 προβλήματα ταυτόχρονα:
- γίνεται ένα «μονό παράθυρο» πρόσβασης για τον χρήστη.
- ελέγχει εάν ο προσωπικός σας υπολογιστής διαθέτει πρόγραμμα προστασίας από ιούς και τις πιο πρόσφατες ενημερώσεις λειτουργικού συστήματος.
- κατασκευάζει μια σήραγγα VPN για ασφαλή πρόσβαση.
Ένας υπάλληλος αποκτά πρόσβαση μόνο εάν περάσει την επαλήθευση. Ταυτόχρονα, οι ίδιοι οι εικονικοί επιτραπέζιοι υπολογιστές δεν είναι προσβάσιμοι από το Διαδίκτυο, πράγμα που σημαίνει ότι προστατεύονται καλύτερα από επιθέσεις.
Εάν μια εταιρεία θέλει να διαχειρίζεται η ίδια την προστασία τελικού σημείου, προσφέρουμε το FortiClient EMS (Endpoint Management Server). Ο υπολογιστής-πελάτης μπορεί να διαμορφώσει τη σάρωση επιφάνειας εργασίας και την αποτροπή εισβολής και να δημιουργήσει μια λευκή λίστα διευθύνσεων.
Προσθήκη παραγόντων ελέγχου ταυτότητας. Από προεπιλογή, οι χρήστες ελέγχονται μέσω του Citrix netscaler. Και εδώ, μπορούμε να βελτιώσουμε την ασφάλεια χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων που βασίζεται σε προϊόντα SafeNet. Αυτό το θέμα αξίζει ιδιαίτερης προσοχής· θα μιλήσουμε επίσης για αυτό σε ξεχωριστό άρθρο.
Έχουμε συσσωρεύσει τέτοια εμπειρία στην εργασία με διαφορετικές λύσεις κατά το τελευταίο έτος εργασίας. Η υπηρεσία VDI έχει διαμορφωθεί ξεχωριστά για κάθε πελάτη, γι' αυτό επιλέξαμε τα πιο ευέλικτα εργαλεία. Ίσως στο άμεσο μέλλον να προσθέσουμε κάτι άλλο και να μοιραστούμε την εμπειρία μας.
Στις 7 Οκτωβρίου στις 17.00:XNUMX οι συνάδελφοί μου θα μιλήσουν για εικονικούς επιτραπέζιους υπολογιστές στο διαδικτυακό σεμινάριο «Είναι απαραίτητο το VDI ή πώς να οργανώσουμε την απομακρυσμένη εργασία;»
, εάν θέλετε να συζητήσετε πότε η τεχνολογία VDI είναι κατάλληλη για μια εταιρεία και πότε είναι καλύτερο να χρησιμοποιήσετε άλλες μεθόδους.
Πηγή: www.habr.com