Ĉi-jare, multaj kompanioj haste ŝanĝis al fora laboro. Por iuj klientoj ni organizi pli ol cent forajn laborojn semajne. Estis grave fari tion ne nur rapide, sed ankaŭ sekure. VDI-teknologio venis al la rekupero: kun ĝia helpo, estas oportune distribui sekurecpolitikojn al ĉiuj laborlokoj kaj protekti kontraŭ datumfluoj.
En ĉi tiu artikolo mi rakontos al vi kiel funkcias nia virtuala labortabla servo bazita sur Citrix VDI el vidpunkto de informa sekureco. Mi montros al vi, kion ni faras por protekti klientajn labortablojn de eksteraj minacoj kiel ransomware aŭ celitaj atakoj.
Kiajn sekurecajn problemojn ni solvas?
Ni identigis plurajn ĉefajn sekurecminacojn al la servo. Unuflanke, la virtuala labortablo riskas esti infektita de la komputilo de la uzanto. Aliflanke, estas danĝero eliri el la virtuala labortablo en la liberan spacon de Interreto kaj elŝuti infektitan dosieron. Eĉ se tio okazas, ĝi ne devus influi la tutan infrastrukturon. Tial, kreante la servon, ni solvis plurajn problemojn:
- Protektas la tutan VDI-standon kontraŭ eksteraj minacoj.
- Izoliĝo de klientoj unu de la alia.
- Protektante la virtualajn labortablojn mem.
- Sekure konektu uzantojn de iu ajn aparato.
La kerno de la protekto estis FortiGate, nova generacia fajroŝirmilo de Fortinet. Ĝi monitoras VDI-budan trafikon, provizas izolitan infrastrukturon por ĉiu kliento kaj protektas kontraŭ vundeblecoj ĉe la uzanto-flanko. Ĝiaj kapabloj sufiĉas por solvi plej multajn informojn pri sekureco.
Sed se kompanio havas specialajn sekurecajn postulojn, ni ofertas pliajn eblojn:
- Ni organizas sekuran konekton por labori de hejmaj komputiloj.
- Ni provizas aliron por sendependa analizo de sekurecaj protokoloj.
- Ni provizas administradon de kontraŭvirusa protekto sur labortabloj.
- Ni protektas kontraŭ nul-tagaj vundeblecoj.
- Ni agordas multfaktoran aŭtentikigon por plia protekto kontraŭ neaŭtorizitaj konektoj.
Mi rakontos al vi pli detale kiel ni solvis la problemojn.
Kiel protekti la standon kaj certigi retan sekurecon
Ni segmentu la retan parton. Ĉe la stando ni reliefigas fermitan administradan segmenton por administri ĉiujn rimedojn. La mastruma segmento estas neatingebla de ekstere: en kazo de atako kontraŭ la kliento, atakantoj ne povos atingi tien.
FortiGate respondecas pri protekto. Ĝi kombinas la funkciojn de antiviruso, fajroŝirmilo, kaj entrudiĝopreventsistemo (IPS).
Por ĉiu kliento ni kreas izolitan retan segmenton por virtualaj labortabloj. Por tiu celo, FortiGate havas virtualan domajnan teknologion, aŭ VDOM. Ĝi permesas vin dividi la fajroŝirmilon en plurajn virtualajn entojn kaj asigni al ĉiu kliento sian propran VDOM, kiu kondutas kiel aparta fajroŝirmilo. Ni ankaŭ kreas apartan VDOM por la administradsegmento.
Ĉi tio montriĝas la sekva diagramo:
Ne ekzistas reta konektebleco inter klientoj: ĉiu vivas en sia propra VDOM kaj ne influas la alian. Sen ĉi tiu teknologio, ni devus apartigi klientojn kun firewall reguloj, kio estas riska pro homa eraro. Vi povas kompari tiajn regulojn kun pordo, kiu devas esti konstante fermita. En la kazo de VDOM, ni tute ne lasas "pordojn".
En aparta VDOM, la kliento havas sian propran adresadon kaj vojigon. Tial transiri intervalojn ne fariĝas problemo por la kompanio. La kliento povas asigni la necesajn IP-adresojn al virtualaj labortabloj. Ĉi tio estas oportuna por grandaj kompanioj, kiuj havas siajn proprajn IP-planojn.
Ni solvas problemojn pri konektebleco kun la kompania reto de la kliento. Aparta tasko estas konekti VDI kun la klienta infrastrukturo. Se firmao konservas kompaniajn sistemojn en nia datumcentro, ni povas simple ruli retan kablon de ĝia ekipaĵo al la fajroŝirmilo. Sed pli ofte ni traktas malproksiman retejon - alian datumcentron aŭ oficejon de kliento. En ĉi tiu kazo, ni pensas per sekura interŝanĝo kun la retejo kaj konstruas site2site VPN uzante IPsec VPN.
Skemoj povas varii depende de la komplekseco de la infrastrukturo. Kelkloke sufiĉas konekti ununuran oficejan reton al VDI - tie sufiĉas senmova vojigo. Grandaj kompanioj havas multajn retojn, kiuj konstante ŝanĝiĝas; ĉi tie la kliento bezonas dinamikan vojigon. Ni uzas malsamajn protokolojn: jam estis kazoj kun OSPF (Open Shortest Path First), GRE-tuneloj (Generic Routing Encapsulation) kaj BGP (Border Gateway Protocol). FortiGate subtenas retajn protokolojn en apartaj VDOMoj, sen tuŝi aliajn klientojn.
Vi ankaŭ povas konstrui GOST-VPN - ĉifradon bazitan sur kriptaj protektoj atestitaj de la FSB de la Rusa Federacio. Ekzemple, uzante KS1-klasajn solvojn en la virtuala medio "S-Terra Virtual Gateway" aŭ PAK ViPNet, APKSH "Kontinento", "S-Terra".
Agordo de Grupaj Politikoj. Ni konsentas kun la kliento pri grupaj politikoj, kiuj estas aplikataj ĉe VDI. Ĉi tie la principoj de fiksado ne diferencas de fiksado de politikoj en la oficejo. Ni starigas integriĝon kun Active Directory kaj delegas administradon de iuj gruppolitikoj al klientoj. Luantadministrantoj povas apliki politikojn al la Komputila objekto, administri la organizan unuon en Active Directory kaj krei uzantojn.
En FortiGate, por ĉiu kliento VDOM ni skribas retan sekurecpolitikon, fiksas alirlimigojn kaj agordas trafikan inspektadon. Ni uzas plurajn FortiGate-modulojn:
- IPS-modulo skanas trafikon por malware kaj malhelpas entrudiĝojn;
- la antiviruso protektas la labortablojn mem de malware kaj spyware;
- TTT-filtrado blokas aliron al nefidindaj rimedoj kaj retejoj kun malica aŭ netaŭga enhavo;
- La agordoj de fajroŝirmiloj povas permesi al uzantoj aliri la Interreton nur al certaj retejoj.
Kelkfoje kliento volas sendepende administri dungitan aliron al retejoj. Pli ofte, bankoj venas kun ĉi tiu peto: sekurecaj servoj postulas, ke alirkontrolo restu flanke de la kompanio. Tiaj kompanioj mem kontrolas trafikon kaj regule faras ŝanĝojn al politikoj. En ĉi tiu kazo, ni turnas la tutan trafikon de FortiGate al la kliento. Por fari tion, ni uzas agorditan interfacon kun la infrastrukturo de la kompanio. Post ĉi tio, la kliento mem agordas la regulojn por aliro al la kompania reto kaj interreto.
Ni rigardas la eventojn ĉe la stando. Kune kun FortiGate ni uzas FortiAnalyzer, ŝtipkolektilon de Fortinet. Kun ĝia helpo, ni rigardas ĉiujn eventajn protokolojn en VDI en unu loko, trovas suspektindajn agojn kaj spuras korelaciojn.
Unu el niaj klientoj uzas Fortinet-produktojn en sia oficejo. Por tio ni agordis protokolan alŝuton - do la kliento povis analizi ĉiujn sekurecajn eventojn por oficejaj maŝinoj kaj virtualaj labortabloj.
Kiel protekti virtualajn labortablojn
De konataj minacoj. Se la kliento volas sendepende administri kontraŭvirusan protekton, ni aldone instalas Kaspersky Security por virtualaj medioj.
Ĉi tiu solvo funkcias bone en la nubo. Ni ĉiuj kutimas, ke la klasika Kaspersky-antiviruso estas "peza" solvo. Kontraste, Kaspersky Security for Virtualization ne ŝarĝas virtualajn maŝinojn. Ĉiuj virusaj datumbazoj situas sur la servilo, kiu eldonas verdiktojn por ĉiuj virtualaj maŝinoj de la nodo. Nur la malpeza agento estas instalita sur la virtuala labortablo. Ĝi sendas dosierojn al la servilo por konfirmo.
Ĉi tiu arkitekturo samtempe provizas dosierprotekton, Interretan protekton kaj atakan protekton sen endanĝerigi la rendimenton de virtualaj maŝinoj. En ĉi tiu kazo, la kliento povas sendepende enkonduki esceptojn al dosiero protekto. Ni helpas kun baza agordo de la solvo. Pri ĝiaj trajtoj ni parolos en aparta artikolo.
De nekonataj minacoj. Por fari tion, ni konektas FortiSandbox - "sandbox" de Fortinet. Ni uzas ĝin kiel filtrilon, se la antiviruso maltrafas nul-tagan minacon. Post elŝuto de la dosiero, ni unue skanas ĝin per antiviruso kaj poste sendas ĝin al la sablokesto. FortiSandbox imitas virtualan maŝinon, kuras la dosieron kaj observas ĝian konduton: kiaj objektoj en la registro estas alireblaj, ĉu ĝi sendas eksterajn petojn, ktp. Se dosiero kondutas suspektinde, la sandboxed virtuala maŝino estas forigita kaj la malica dosiero ne finiĝas sur la uzanto VDI.
Kiel agordi sekuran konekton al VDI
Ni kontrolas la konformecon de la aparato kun informsekurecaj postuloj. Ekde la komenco de fora laboro, klientoj kontaktis nin kun petoj: certigi la sekuran funkciadon de uzantoj de siaj personaj komputiloj. Ĉiu specialisto pri informa sekureco scias, ke protekti hejmajn aparatojn estas malfacila: vi ne povas instali la necesan antiviruson aŭ apliki grupajn politikojn, ĉar ĉi tio ne estas oficeja ekipaĵo.
Defaŭlte, VDI fariĝas sekura "tavolo" inter persona aparato kaj la kompania reto. Por protekti VDI kontraŭ atakoj de la uzantmaŝino, ni malŝaltas la tondujo kaj malpermesas USB-sendon. Sed ĉi tio ne faras la aparaton de la uzanto mem sekura.
Ni solvas la problemon uzante FortiClient. Ĉi tio estas finpunkto-protekta ilo. La uzantoj de la kompanio instalas FortiClient sur siaj hejmaj komputiloj kaj uzas ĝin por konektiĝi al virtuala labortablo. FortiClient solvas 3 problemojn samtempe:
- iĝas "ununura fenestro" de aliro por la uzanto;
- kontrolas ĉu via persona komputilo havas antiviruson kaj la lastajn ĝisdatigojn de OS;
- konstruas VPN-tunelon por sekura aliro.
Dungito nur akiras aliron se ili pasas konfirmon. Samtempe, la virtualaj labortabloj mem estas neatingeblaj de Interreto, kio signifas, ke ili estas pli bone protektitaj kontraŭ atakoj.
Se firmao volas mem administri finpunktoprotekton, ni ofertas FortiClient EMS (Endpoint Management Server). La kliento povas agordi labortablan skanadon kaj entrudpreventadon, kaj krei blankan liston de adresoj.
Aldonante aŭtentigajn faktorojn. Defaŭlte, uzantoj estas aŭtentikigitaj per Citrix netscaler. Ankaŭ ĉi tie ni povas plibonigi sekurecon uzante multfaktoran aŭtentikigon bazitan sur SafeNet-produktoj. Ĉi tiu temo meritas specialan atenton; pri tio ni ankaŭ parolos en aparta artikolo.
Ni amasigis tian sperton pri laboro kun malsamaj solvoj dum la pasinta jaro de laboro. La servo VDI estas agordita aparte por ĉiu kliento, do ni elektis la plej flekseblajn ilojn. Eble baldaŭ ni aldonos ion alian kaj dividos nian sperton.
La 7-an de oktobro je la 17.00 miaj kolegoj parolos pri virtualaj labortabloj ĉe la retseminario "Ĉu VDI necesas, aŭ kiel organizi foran laboron?"
, se vi volas diskuti kiam VDI-teknologio taŭgas por kompanio kaj kiam estas pli bone uzi aliajn metodojn.
fonto: www.habr.com