Este año, muchas empresas se apresuraron a adoptar el trabajo remoto. Para algunos clientes nosotros organizar más de cien trabajos remotos por semana. Era importante hacerlo no sólo de forma rápida, sino también segura. La tecnología VDI ha venido al rescate: con su ayuda es conveniente distribuir políticas de seguridad a todos los lugares de trabajo y proteger contra fugas de datos.
En este artículo te contaré cómo funciona nuestro servicio de escritorio virtual basado en Citrix VDI desde el punto de vista de la seguridad de la información. Le mostraré lo que hacemos para proteger los escritorios de los clientes de amenazas externas como ransomware o ataques dirigidos.
¿Qué problemas de seguridad solucionamos?
Hemos identificado varias amenazas principales a la seguridad del servicio. Por un lado, el escritorio virtual corre el riesgo de ser infectado desde el ordenador del usuario. Por otro lado, existe el peligro de salir del escritorio virtual al espacio abierto de Internet y descargar un archivo infectado. Incluso si esto sucediera, no debería afectar a toda la infraestructura. Por tanto, a la hora de crear el servicio solucionamos varios problemas:
- Protege todo el stand VDI de amenazas externas.
- Aislamiento de clientes entre sí.
- Protegiendo los propios escritorios virtuales.
- Conecte de forma segura a los usuarios desde cualquier dispositivo.
El núcleo de la protección era FortiGate, un firewall de nueva generación de Fortinet. Supervisa el tráfico de la cabina VDI, proporciona una infraestructura aislada para cada cliente y protege contra vulnerabilidades del lado del usuario. Sus capacidades son suficientes para resolver la mayoría de los problemas de seguridad de la información.
Pero si una empresa tiene requisitos especiales de seguridad, ofrecemos opciones adicionales:
- Organizamos una conexión segura para trabajar desde los ordenadores de casa.
- Proporcionamos acceso para análisis independientes de registros de seguridad.
- Brindamos gestión de protección antivirus en computadoras de escritorio.
- Nos protegemos contra vulnerabilidades de día cero.
- Configuramos la autenticación multifactor para una protección adicional contra conexiones no autorizadas.
Te contaré con más detalle cómo resolvimos los problemas.
Cómo proteger el stand y garantizar la seguridad de la red
Segmentemos la parte de la red. En el stand destacamos un segmento de gestión cerrado para la gestión de todos los recursos. El segmento de gestión es inaccesible desde el exterior: en caso de un ataque al cliente, los atacantes no podrán llegar allí.
FortiGate es responsable de la protección. Combina las funciones de un antivirus, un firewall y un sistema de prevención de intrusiones (IPS).
Para cada cliente creamos un segmento de red aislado para escritorios virtuales. Para ello, FortiGate cuenta con la tecnología de dominio virtual, o VDOM. Le permite dividir el firewall en varias entidades virtuales y asignar a cada cliente su propio VDOM, que se comporta como un firewall separado. También creamos un VDOM separado para el segmento de gestión.
Este resulta ser el siguiente diagrama:
No hay conectividad de red entre clientes: cada uno vive en su propio VDOM y no influye en el otro. Sin esta tecnología, tendríamos que separar clientes con reglas de firewall, lo cual es riesgoso debido a errores humanos. Se pueden comparar estas reglas con una puerta que debe estar constantemente cerrada. En el caso de VDOM, no dejamos ninguna “puerta”.
En un VDOM separado, el cliente tiene su propio direccionamiento y enrutamiento. Por tanto, cruzar rangos no se convierte en un problema para la empresa. El cliente puede asignar las direcciones IP necesarias a los escritorios virtuales. Esto resulta conveniente para grandes empresas que tienen sus propios planes de IP.
Resolvemos problemas de conectividad con la red corporativa del cliente. Una tarea aparte es conectar VDI con la infraestructura del cliente. Si una empresa mantiene sistemas corporativos en nuestro centro de datos, simplemente podemos tender un cable de red desde su equipo hasta el firewall. Pero lo más frecuente es que se trate de un sitio remoto: otro centro de datos o la oficina de un cliente. En este caso, pensamos en un intercambio seguro con el sitio y creamos una VPN site2site usando IPsec VPN.
Los esquemas pueden variar dependiendo de la complejidad de la infraestructura. En algunos lugares es suficiente conectar una única red de oficina a VDI; allí el enrutamiento estático es suficiente. Las grandes empresas tienen muchas redes que cambian constantemente; aquí el cliente necesita enrutamiento dinámico. Usamos diferentes protocolos: ya ha habido casos con OSPF (Open Shortest Path First), túneles GRE (Generic Routing Encapsulation) y BGP (Border Gateway Protocol). FortiGate admite protocolos de red en VDOM separados, sin afectar a otros clientes.
También puede construir GOST-VPN: cifrado basado en medios de protección criptográfica certificados por el FSB de la Federación de Rusia. Por ejemplo, utilizando soluciones de clase KS1 en el entorno virtual “S-Terra Virtual Gateway” o PAK ViPNet, APKSH “Continent”, “S-Terra”.
Configuración de políticas de grupo. Acordamos con el cliente las políticas grupales que se aplican en VDI. Aquí los principios de establecimiento no son diferentes de los de establecer políticas en la oficina. Configuramos la integración con Active Directory y delegamos la gestión de algunas políticas de grupo a los clientes. Los administradores de inquilinos pueden aplicar políticas al objeto Computadora, administrar la unidad organizativa en Active Directory y crear usuarios.
En FortiGate, para cada cliente VDOM escribimos una política de seguridad de red, establecemos restricciones de acceso y configuramos la inspección de tráfico. Usamos varios módulos FortiGate:
- El módulo IPS analiza el tráfico en busca de malware y previene intrusiones;
- el antivirus protege los propios escritorios contra malware y spyware;
- el filtrado web bloquea el acceso a recursos y sitios no confiables con contenido malicioso o inapropiado;
- La configuración del firewall puede permitir a los usuarios acceder a Internet sólo a ciertos sitios.
A veces, un cliente quiere gestionar de forma independiente el acceso de los empleados a los sitios web. La mayoría de las veces, los bancos hacen esta petición: los servicios de seguridad exigen que el control de acceso permanezca por parte de la empresa. Estas propias empresas controlan el tráfico y realizan cambios periódicos en sus políticas. En este caso, dirigimos todo el tráfico de FortiGate hacia el cliente. Para ello utilizamos una interfaz configurada con la infraestructura de la empresa. Posteriormente, el propio cliente configura las reglas de acceso a la red corporativa e Internet.
Seguimos los acontecimientos en el stand. Junto con FortiGate utilizamos FortiAnalyzer, un recopilador de registros de Fortinet. Con su ayuda, analizamos todos los registros de eventos en VDI en un solo lugar, encontramos acciones sospechosas y realizamos un seguimiento de las correlaciones.
Uno de nuestros clientes utiliza productos Fortinet en su oficina. Para ello, configuramos la carga de registros, de modo que el cliente pudiera analizar todos los eventos de seguridad para máquinas de oficina y escritorios virtuales.
Cómo proteger los escritorios virtuales
De amenazas conocidas. Si el cliente quiere gestionar de forma independiente la protección antivirus, instalamos adicionalmente Kaspersky Security para entornos virtuales.
Esta solución funciona bien en la nube. Todos estamos acostumbrados a que el antivirus clásico de Kaspersky sea una solución "pesada". Por el contrario, Kaspersky Security for Virtualization no carga máquinas virtuales. Todas las bases de datos de virus se encuentran en el servidor, que emite veredictos para todas las máquinas virtuales del nodo. Sólo el agente ligero está instalado en el escritorio virtual. Envía archivos al servidor para su verificación.
Esta arquitectura proporciona simultáneamente protección de archivos, protección de Internet y protección contra ataques sin comprometer el rendimiento de las máquinas virtuales. En este caso, el cliente puede introducir excepciones a la protección de archivos de forma independiente. Ayudamos con la configuración básica de la solución. Hablaremos de sus características en un artículo aparte.
De amenazas desconocidas. Para hacer esto, conectamos FortiSandbox, un "sandbox" de Fortinet. Lo usamos como filtro en caso de que el antivirus pase por alto una amenaza de día cero. Después de descargar el archivo, primero lo escaneamos con un antivirus y luego lo enviamos al sandbox. FortiSandbox emula una máquina virtual, ejecuta el archivo y observa su comportamiento: a qué objetos del registro se accede, si envía solicitudes externas, etc. Si un archivo se comporta de manera sospechosa, la máquina virtual protegida se elimina y el archivo malicioso no termina en la VDI del usuario.
Cómo configurar una conexión segura a VDI
Verificamos el cumplimiento del dispositivo con los requisitos de seguridad de la información. Desde el inicio del trabajo remoto, los clientes se han acercado a nosotros con solicitudes: garantizar el funcionamiento seguro de los usuarios desde sus computadoras personales. Cualquier especialista en seguridad de la información sabe que proteger los dispositivos domésticos es complicado: no se pueden instalar el antivirus necesario ni aplicar políticas de grupo, ya que no se trata de equipos de oficina.
De forma predeterminada, VDI se convierte en una "capa" segura entre un dispositivo personal y la red corporativa. Para proteger VDI de ataques desde la máquina del usuario, desactivamos el portapapeles y prohibimos el reenvío USB. Pero esto no hace que el dispositivo del usuario sea seguro.
Resolvemos el problema usando FortiClient. Esta es una herramienta de protección de terminales. Los usuarios de la empresa instalan FortiClient en las computadoras de sus hogares y lo utilizan para conectarse a un escritorio virtual. FortiClient resuelve 3 problemas a la vez:
- se convierte en una “ventanilla única” de acceso para el usuario;
- comprueba si su computadora personal tiene antivirus y las últimas actualizaciones del sistema operativo;
- construye un túnel VPN para un acceso seguro.
Un empleado solo obtiene acceso si pasa la verificación. Al mismo tiempo, los propios escritorios virtuales son inaccesibles desde Internet, lo que significa que están mejor protegidos contra ataques.
Si una empresa quiere gestionar la protección de endpoints por sí misma, ofrecemos FortiClient EMS (Endpoint Management Server). El cliente puede configurar el escaneo del escritorio y la prevención de intrusiones, y crear una lista blanca de direcciones.
Agregar factores de autenticación. De forma predeterminada, los usuarios se autentican a través de Citrix netscaler. Aquí también podemos mejorar la seguridad utilizando la autenticación multifactor basada en los productos SafeNet. Este tema merece una atención especial, también hablaremos de esto en un artículo aparte.
Hemos acumulado tanta experiencia trabajando con diferentes soluciones durante el último año de trabajo. El servicio VDI se configura por separado para cada cliente, por lo que elegimos las herramientas más flexibles. Quizás en un futuro próximo agreguemos algo más y compartamos nuestra experiencia.
El 7 de octubre a las 17.00 horas mis compañeros hablarán sobre escritorios virtuales en el seminario web “¿Es necesaria VDI o cómo organizar el trabajo remoto?”
, si desea analizar cuándo la tecnología VDI es adecuada para una empresa y cuándo es mejor utilizar otros métodos.
Fuente: habr.com