Sel aastal läksid paljud ettevõtted kiiruga üle kaugtööle. Mõne kliendi puhul me korraldada üle saja kaugtöö nädalas. Oluline oli seda teha mitte ainult kiiresti, vaid ka ohutult. Appi on tulnud VDI-tehnoloogia: selle abil on mugav levitada turvapoliitikaid kõikidele töökohtadele ja kaitsta andmelekete eest.
Selles artiklis räägin teile, kuidas meie Citrix VDI-l põhinev virtuaalse töölaua teenus infoturbe seisukohast töötab. Näitan teile, mida me teeme klientide lauaarvutite kaitsmiseks väliste ohtude, nagu lunavara või suunatud rünnakute eest.
Milliseid turvaprobleeme me lahendame?
Oleme tuvastanud mitu teenuse peamist turvaohtu. Ühest küljest on virtuaalsel töölaual oht kasutaja arvutist nakatuda. Teisest küljest on oht minna virtuaalselt töölaualt välja Interneti avatud ruumi ja laadida alla nakatunud faili. Isegi kui see juhtub, ei tohiks see mõjutada kogu infrastruktuuri. Seetõttu lahendasime teenuse loomisel mitu probleemi:
- Kaitseb kogu VDI alust väliste ohtude eest.
- Klientide üksteisest eraldamine.
- Virtuaalsete töölaudade endi kaitsmine.
- Ühendage kasutajad turvaliselt mis tahes seadmest.
Kaitse tuumaks oli Fortineti uue põlvkonna tulemüür FortiGate. See jälgib VDI-kabiini liiklust, pakub igale kliendile eraldatud infrastruktuuri ja kaitseb kasutajapoolsete haavatavuste eest. Selle võimalustest piisab enamiku infoturbeprobleemide lahendamiseks.
Kuid kui ettevõttel on erilised turvanõuded, pakume lisavõimalusi:
- Korraldame turvalise ühenduse koduarvutitest töötamiseks.
- Pakume juurdepääsu turvalogide sõltumatuks analüüsiks.
- Pakume viirusetõrje haldamist lauaarvutites.
- Kaitseme nullpäeva haavatavuste eest.
- Täiendavaks kaitseks volitamata ühenduste eest konfigureerime mitmefaktorilise autentimise.
Ma räägin teile üksikasjalikumalt, kuidas me probleemid lahendasime.
Kuidas kaitsta stendi ja tagada võrgu turvalisus
Segmenteerime võrguosa. Stendil tõstame esile suletud juhtimissegmendi kõigi ressursside haldamiseks. Haldussegment on väljast ligipääsmatu: kliendi ründamise korral ei pääse ründajad sinna.
FortiGate vastutab kaitse eest. See ühendab endas viirusetõrje, tulemüüri ja sissetungimise vältimise süsteemi (IPS) funktsioonid.
Iga kliendi jaoks loome virtuaalsetele töölaudadele eraldatud võrgusegmendi. Selleks on FortiGate’il virtuaalse domeeni tehnoloogia ehk VDOM. See võimaldab jagada tulemüüri mitmeks virtuaalseks olemiks ja eraldada igale kliendile oma VDOM, mis käitub nagu eraldi tulemüür. Samuti loome haldussegmendi jaoks eraldi VDOM-i.
Selgub, et see on järgmine diagramm:
Klientide vahel puudub võrguühendus: igaüks elab oma VDOM-is ega mõjuta teist. Ilma selle tehnoloogiata peaksime kliente eraldama tulemüürireeglitega, mis on inimliku vea tõttu riskantne. Saate võrrelda selliseid reegleid uksega, mis peab olema pidevalt suletud. VDOM-i puhul ei jäta me üldse “uksi”.
Eraldi VDOM-is on kliendil oma adresseerimine ja marsruutimine. Seetõttu ei muutu vahemike ületamine ettevõttele probleemiks. Klient saab määrata virtuaalsetele töölaudadele vajalikud IP-aadressid. See on mugav suurtele ettevõtetele, kellel on oma IP-plaanid.
Lahendame ühenduvusprobleemid kliendi ettevõtte võrguga. Eraldi ülesanne on VDI ühendamine kliendi infrastruktuuriga. Kui ettevõte hoiab meie andmekeskuses ettevõtte süsteeme, saame lihtsalt juhtida võrgukaablit tema seadmetest tulemüüri. Kuid sagedamini on meil tegemist kauge saidiga - mõne teise andmekeskuse või kliendi kontoriga. Sel juhul mõtleme saidiga turvalise vahetuse läbi ja loome IPsec VPN-i abil site2site VPN-i.
Skeemid võivad olenevalt infrastruktuuri keerukusest erineda. Mõnes kohas piisab vaid ühe kontorivõrgu ühendamisest VDI-ga – seal piisab staatilisest marsruutimisest. Suurtel ettevõtetel on palju pidevalt muutuvaid võrgustikke; siin vajab klient dünaamilist marsruutimist. Kasutame erinevaid protokolle: juba on olnud juhtumeid OSPF-iga (Open Shortest Path First), GRE tunnelitega (Generic Routing Encapsulation) ja BGP-ga (Border Gateway Protocol). FortiGate toetab võrguprotokolle eraldi VDOM-ides ilma teisi kliente mõjutamata.
Samuti saate luua GOST-VPN - krüptimise, mis põhineb Vene Föderatsiooni FSB poolt sertifitseeritud krüptokaitsevahenditel. Näiteks KS1 klassi lahenduste kasutamine virtuaalkeskkonnas “S-Terra Virtual Gateway” või PAK ViPNet, APKSH “Continent”, “S-Terra”.
Grupipoliitika seadistamine. Lepime kliendiga kokku VDI-l rakendatavates rühmapoliitikates. Siin ei erine kehtestamise põhimõtted kontoris poliitika kehtestamisest. Seadistame integratsiooni Active Directoryga ja delegeerime mõne rühmapoliitika haldamise klientidele. Rentniku administraatorid saavad rakendada poliitikaid objektile Arvuti, hallata organisatsiooniüksust Active Directorys ja luua kasutajaid.
FortiGate'is kirjutame iga kliendi VDOM-i jaoks võrguturbepoliitika, seame juurdepääsupiirangud ja seadistame liikluskontrolli. Kasutame mitmeid FortiGate mooduleid:
- IPS-moodul skannib liiklust pahavara suhtes ja hoiab ära sissetungimise;
- viirusetõrje kaitseb töölaudu pahavara ja nuhkvara eest;
- veebifiltreerimine blokeerib juurdepääsu ebausaldusväärsetele ressurssidele ja pahatahtliku või sobimatu sisuga saitidele;
- Tulemüüri seaded võivad lubada kasutajatel Interneti-juurdepääsu ainult teatud saitidele.
Mõnikord soovib klient iseseisvalt hallata töötajate juurdepääsu veebisaitidele. Enamasti tulevad pangad selle palvega: turvateenused nõuavad, et juurdepääsukontroll jääks ettevõtte poolele. Sellised ettevõtted ise jälgivad liiklust ja teevad regulaarselt poliitikaid. Sel juhul suuname kogu FortiGate’i liikluse kliendi poole. Selleks kasutame konfigureeritud liidest ettevõtte infrastruktuuriga. Pärast seda konfigureerib klient ise ettevõtte võrgule ja Internetile juurdepääsu reeglid.
Jälgime sündmusi stendis. Koos FortiGate'iga kasutame Fortineti palgikogujat FortiAnalyzerit. Selle abiga vaatame ühest kohast kõik VDI sündmuste logid, leiame kahtlased toimingud ja jälgime seoseid.
Üks meie klientidest kasutab oma kontoris Fortineti tooteid. Selle jaoks konfigureerisime logide üleslaadimise – nii sai klient analüüsida kõiki kontorimasinate ja virtuaalsete töölaudade turvasündmusi.
Kuidas kaitsta virtuaalseid töölaudu
Teadaolevatest ohtudest. Kui klient soovib viirusetõrjet iseseisvalt hallata, installime täiendavalt Kaspersky Security virtuaalkeskkondadele.
See lahendus töötab pilves hästi. Oleme kõik harjunud, et klassikaline Kaspersky viirusetõrje on "raske" lahendus. Seevastu Kaspersky Security for Virtualization ei laadi virtuaalseid masinaid. Kõik viiruste andmebaasid asuvad serveris, mis annab välja otsused kõigi sõlme virtuaalsete masinate kohta. Virtuaalsele töölauale on installitud ainult kerge agent. See saadab failid kontrollimiseks serverisse.
See arhitektuur pakub samaaegselt failikaitset, Interneti-kaitset ja kaitset rünnakute eest, ilma et see kahjustaks virtuaalmasinate jõudlust. Sel juhul saab klient iseseisvalt teha erandeid failikaitsesse. Aitame lahenduse põhiseadistamisel. Selle funktsioonidest räägime eraldi artiklis.
Tundmatutest ohtudest. Selleks ühendame FortiSandboxi – Fortineti “liivakasti”. Kasutame seda filtrina juhuks, kui viirusetõrje jätab nullpäeva ohust ilma. Pärast faili allalaadimist skannime selle esmalt viirusetõrjega ja saadame seejärel liivakasti. FortiSandbox emuleerib virtuaalmasinat, käivitab faili ja jälgib selle käitumist: millistele registris olevatele objektidele pääsetakse juurde, kas see saadab väliseid päringuid jne. Kui fail käitub kahtlaselt, siis liivakastiga virtuaalmasin kustutatakse ja pahatahtlik fail ei satu kasutaja VDI-sse.
Kuidas luua turvaline ühendus VDI-ga
Kontrollime seadme vastavust infoturbe nõuetele. Alates kaugtöö algusest on kliendid meie poole pöördunud soovidega: tagada kasutajate turvaline töö nende personaalarvutitest. Iga infoturbespetsialist teab, et koduseadmete kaitsmine on keeruline: te ei saa installida vajalikku viirusetõrjet ega rakendada rühmapoliitikaid, kuna tegemist pole kontoriseadmetega.
Vaikimisi muutub VDI turvaliseks "kihiks" isikliku seadme ja ettevõtte võrgu vahel. VDI kaitsmiseks kasutaja masina rünnakute eest keelame lõikepuhvri ja keelame USB-edastuse. Kuid see ei muuda kasutaja seadet ennast turvaliseks.
Lahendame probleemi FortiClienti abil. See on lõpp-punkti kaitse tööriist. Ettevõtte kasutajad installivad oma koduarvutitesse FortiClienti ja kasutavad seda virtuaalse töölauaga ühenduse loomiseks. FortiClient lahendab korraga 3 probleemi:
- muutub kasutaja jaoks „ühekordseks juurdepääsuaknaks”;
- kontrollib, kas teie personaalarvutis on viirusetõrje ja uusimad OS-i värskendused;
- ehitab turvalise juurdepääsu tagamiseks VPN-tunneli.
Töötaja saab juurdepääsu ainult siis, kui ta läbib kontrolli. Samal ajal on virtuaalsed töölauad ise Internetist kättesaamatud, mis tähendab, et need on rünnakute eest paremini kaitstud.
Kui ettevõte soovib lõpp-punktide kaitset ise hallata, pakume FortiClient EMS-i (Endpoint Management Server). Klient saab seadistada töölaua kontrolli ja sissetungimise vältimise ning luua aadresside valge nimekirja.
Autentimistegurite lisamine. Vaikimisi autentitakse kasutajad Citrix netscaleri kaudu. Ka siin saame turvalisust suurendada, kasutades SafeNeti toodetel põhinevat mitmefaktorilist autentimist. See teema väärib erilist tähelepanu, sellest räägime ka eraldi artiklis.
Sellist kogemust erinevate lahendustega töötamisel oleme kogunud viimase tööaasta jooksul. VDI-teenus konfigureeritakse iga kliendi jaoks eraldi, seega valisime kõige paindlikumad tööriistad. Ehk lisame lähiajal veel midagi ja jagame oma kogemusi.
7. oktoobril kell 17.00 räägivad kolleegid virtuaalsetest töölaudadest veebiseminaril “Kas VDI on vajalik ehk kuidas korraldada kaugtööd?”
, kui soovite arutada, millal VDI tehnoloogia ettevõttele sobib ja millal on parem kasutada muid meetodeid.
Allikas: www.habr.com