Aurten, enpresa asko urrutiko lanera pasatu dira presaka. Bezero batzuentzat dugu astean urruneko ehun lanpostu baino gehiago antolatu. Garrantzitsua zen hori azkar egiteaz gain, segurtasunez ere egitea. VDI teknologia erreskatatu egin da: bere laguntzarekin, komenigarria da segurtasun-politikak lantoki guztietan banatzea eta datu-isurietatik babestea.
Artikulu honetan Citrix VDIn oinarritutako gure mahaigain birtualeko zerbitzuak informazioaren segurtasunaren ikuspuntutik nola funtzionatzen duen kontatuko dizuet. Bezeroen mahaigainak kanpoko mehatxuetatik babesteko zer egiten dugun erakutsiko dizut, hala nola ransomwarea edo helburuko erasoetatik.
Zein segurtasun arazo konpontzen ditugu?
Zerbitzurako hainbat segurtasun mehatxu nagusi identifikatu ditugu. Alde batetik, mahaigain birtualak erabiltzailearen ordenagailutik kutsatzeko arriskua du. Bestalde, mahaigain birtualetik Interneteko gune irekira atera eta kutsatutako fitxategi bat deskargatzeko arriskua dago. Hori gertatuko balitz ere, ez luke azpiegitura osoan eragin behar. Horregatik, zerbitzua sortzean, hainbat arazo konpondu genituen:
- VDI stand osoa kanpoko mehatxuetatik babesten du.
- Bezeroak elkarrengandik isolatzea.
- Mahai birtualak berak babestea.
- Konektatu erabiltzaileak modu seguruan edozein gailutatik.
Babesaren muina FortiGate izan zen, Fortinet-en belaunaldi berriko suebakia. VDI kabinako trafikoa kontrolatzen du, bezero bakoitzarentzat azpiegitura isolatu bat eskaintzen du eta erabiltzailearen aldetik dauden ahultasunetatik babesten du. Bere gaitasunak nahikoak dira informazioaren segurtasun arazo gehienak konpontzeko.
Baina enpresa batek segurtasun-baldintza bereziak baditu, aukera gehigarriak eskaintzen ditugu:
- Etxeko ordenagailuetatik lan egiteko konexio segurua antolatzen dugu.
- Segurtasun-erregistroen azterketa independentea egiteko sarbidea eskaintzen dugu.
- Birusen aurkako babesaren kudeaketa eskaintzen dugu mahaigainetan.
- Zero eguneko ahultasunetatik babesten dugu.
- Faktore anitzeko autentifikazioa konfiguratzen dugu baimenik gabeko konexioen aurkako babes gehigarrirako.
Arazoak nola konpondu genituen zehatzago esango dizut.
Nola babestu standa eta sareko segurtasuna bermatu
Segmentatu dezagun sarearen zatia. Standean baliabide guztiak kudeatzeko kudeaketa-segmentu itxi bat nabarmentzen dugu. Kudeaketa-segmentua kanpotik eskuraezina da: bezeroaren aurkako erasoa gertatuz gero, erasotzaileek ezin izango dute bertara iritsi.
FortiGate babesaz arduratzen da. Birusen aurkako, suebakiaren eta intrusioen prebentzio sistemaren (IPS) funtzioak konbinatzen ditu.
Bezero bakoitzeko sare-segmentu isolatu bat sortzen dugu mahaigain birtualetarako. Horretarako, FortiGate-k domeinu birtualeko teknologia edo VDOM du. Suebakia hainbat entitate birtualetan banatzeko eta bezero bakoitzari bere VDOM esleitzeko aukera ematen du, suebaki bereizi baten moduan jokatzen duena. Kudeaketa segmenturako VDOM bereizi bat ere sortzen dugu.
Honako diagrama hau bihurtzen da:
Ez dago sare-konektibitaterik bezeroen artean: bakoitza bere VDOMan bizi da eta ez du bestean eragiten. Teknologia hori gabe, bezeroak firewall arauekin bereizi beharko genituzke, eta hori arriskutsua da giza akatsengatik. Halako arauak etengabe itxi behar den ate batekin aldera ditzakezu. VDOM-en kasuan, ez dugu batere "aterik" uzten.
VDOM bereizi batean, bezeroak bere helbideratze eta bideratze propioa du. Beraz, barrutiak zeharkatzea ez da arazo bihurtzen enpresarentzat. Bezeroak beharrezko IP helbideak esleitu ditzake mahaigain birtualei. Hau erosoa da beren IP planak dituzten enpresa handientzat.
Konektibitate-arazoak konpontzen ditugu bezeroaren sare korporatiboarekin. Berezitako zeregin bat da VDI bezeroaren azpiegiturarekin konektatzea. Enpresa batek sistema korporatiboak gure datu-zentroan gordetzen baditu, sareko kable bat exekutatu ahal izango dugu bere ekipotik suebakira. Baina maizago urruneko gune batekin ari gara - beste datu-zentro batekin edo bezero baten bulegoarekin. Kasu honetan, gunearekin truke seguru baten bidez pentsatzen dugu eta site2site VPN eraikitzen dugu IPsec VPN erabiliz.
Eskemak alda daitezke azpiegituraren konplexutasunaren arabera. Leku batzuetan nahikoa da bulegoko sare bakarra VDIra konektatzea - ββbideratze estatikoa nahikoa da bertan. Enpresa handiek etengabe aldatzen ari diren sare asko dituzte; hemen bezeroak bideratze dinamikoa behar du. Protokolo desberdinak erabiltzen ditugu: dagoeneko egon dira kasuak OSPF (Open Shortest Path First), GRE tunelekin (Generic Routing Encapsulation) eta BGP (Border Gateway Protocol). FortiGate-k sare-protokoloak onartzen ditu VDOM bereizietan, beste bezeroei eragin gabe.
GOST-VPN ere eraiki dezakezu - Errusiar Federazioko FSBk ziurtatutako babes kriptografikoen bidez oinarritutako enkriptatzea. Adibidez, KS1 klaseko soluzioak erabiliz "S-Terra Virtual Gateway" edo PAK ViPNet, APKSH "Continent", "S-Terra" ingurune birtualean.
Talde-politikak konfiguratzea. Bezeroarekin adosten dugu VDIn aplikatzen diren talde-politiketan. Hemen ezartzeko printzipioak ez dira desberdinak bulegoan politikak ezartzeko. Active Directory-rekin integrazioa konfiguratzen dugu eta talde-politika batzuen kudeaketa bezeroei delegatzen diegu. Maizter-administratzaileek Ordenagailuaren objektuari gidalerroak aplika ditzakete, Active Directory-n antolakuntza-unitatea kudeatu eta erabiltzaileak sor ditzakete.
FortiGate-n, bezeroen VDOM bakoitzeko sareko segurtasun-politika idazten dugu, sarbide-murrizketak ezartzen ditugu eta trafikoaren ikuskapena konfiguratzen dugu. Hainbat FortiGate modulu erabiltzen ditugu:
- IPS moduluak trafikoa arakatzen du malwarearen bila eta intrusioak saihesten ditu;
- birusen aurkakoak mahaigainak beraiek babesten ditu malware eta spywaretik;
- web-iragazkiak eduki maltzur edo desegokia duten baliabide eta gune fidagarrietarako sarbidea blokeatzen du;
- Suebakiaren ezarpenak erabiltzaileei Internetera atzitzeko aukera eman diezaieke gune jakin batzuetara soilik.
Batzuetan, bezero batek modu independentean kudeatu nahi du langileen webguneetarako sarbidea. Gehienetan, bankuek eskaera honekin etortzen dira: segurtasun zerbitzuek sarbide kontrola enpresaren alboan geratzea eskatzen dute. Horrelako enpresek beraiek kontrolatzen dute trafikoa eta aldizka aldaketak egiten dituzte politiketan. Kasu honetan, FortiGate-ko trafiko guztia bezeroarengana bideratzen dugu. Horretarako, konfiguratutako interfaze bat erabiltzen dugu konpainiaren azpiegiturarekin. Horren ostean, bezeroak berak konfiguratzen ditu sare korporatiboa eta Internetera sartzeko arauak.
Ekitaldiak standean ikusten ditugu. FortiGaterekin batera FortiAnalyzer erabiltzen dugu, Fortinet-en erregistro-biltzailea. Haren laguntzarekin, VDIko gertaeren erregistro guztiak leku bakarrean aztertzen ditugu, ekintza susmagarriak aurkitzen ditugu eta korrelazioen jarraipena egiten dugu.
Gure bezeroetako batek Fortinet produktuak erabiltzen ditu bere bulegoan. Horretarako, erregistroen igoera konfiguratu genuen, beraz, bezeroak bulegoko makinen eta mahaigain birtualen segurtasun-gertaera guztiak aztertu ahal izan zituen.
Nola babestu mahaigain birtualak
Mehatxu ezagunetatik. Bezeroak birusen aurkako babesa modu independentean kudeatu nahi badu, Kaspersky Security ere instalatzen dugu ingurune birtualetarako.
Irtenbide honek ondo funtzionatzen du hodeian. Denok ohituta gaude Kaspersky antibirus klasikoa irtenbide "astuna" dela. Aitzitik, Kaspersky Security for Virtualization ez du makina birtualak kargatzen. Birusen datu-base guztiak zerbitzarian daude, eta horrek nodoaren makina birtual guztien epaia ematen du. Argi-agentea bakarrik instalatzen da mahaigain birtualean. Fitxategiak zerbitzariari bidaltzen ditu egiaztatzeko.
Arkitektura honek aldi berean fitxategien babesa, Interneten babesa eta erasoen babesa eskaintzen ditu makina birtualen errendimendua kaltetu gabe. Kasu honetan, bezeroak modu independentean sartu ditzake fitxategien babeserako salbuespenak. Konponbidearen oinarrizko konfigurazioan laguntzen dugu. Bere ezaugarriei buruz aparteko artikulu batean hitz egingo dugu.
Mehatxu ezezagunetatik. Horretarako, FortiSandbox - Fortinet-eko "sandbox" bat konektatzen dugu. Iragazki gisa erabiltzen dugu antibirusak zero eguneko mehatxu bat galtzen badu. Fitxategia deskargatu ondoren, lehenik antibirus batekin eskaneatzen dugu eta gero sandboxera bidaliko dugu. FortiSandbox-ek makina birtual bat emulatzen du, fitxategia exekutatzen du eta haren portaera behatzen du: erregistroko zer objektu sartzen diren, kanpoko eskaerak bidaltzen dituen, etab. Fitxategi batek susmagarriki jokatzen badu, sandboxed makina birtuala ezabatzen da eta maltzurren fitxategia ez da erabiltzailearen VDIan amaitzen.
Nola konfiguratu VDIrako konexio segurua
Gailuak informazioaren segurtasun-baldintzak betetzen dituela egiaztatzen dugu. Urruneko lana hasi zenetik, bezeroak eskaerak egin dizkigute: erabiltzaileen funtzionamendu segurua bere ordenagailu pertsonaletatik bermatzea. Informazioaren segurtasuneko edozein adituk badaki etxeko gailuak babestea zaila dela: ezin duzu beharrezko antibirusak instalatu edo talde-politikak aplikatu, hau ez baita bulegoko ekipoa.
Lehenespenez, VDI gailu pertsonal baten eta sare korporatiboaren arteko "geruza" seguru bihurtzen da. VDI erabiltzaile-makinaren erasoetatik babesteko, arbela desgaitzen dugu eta USB birbidaltzea debekatzen dugu. Baina horrek ez du erabiltzailearen gailua bera seguru bihurtzen.
Arazoa FortiClient erabiliz konpontzen dugu. Hau amaierako puntuak babesteko tresna da. Konpainiaren erabiltzaileek FortiClient etxeko ordenagailuetan instalatzen dute eta mahaigain birtual batera konektatzeko erabiltzen dute. FortiClient-ek 3 arazo konpontzen ditu aldi berean:
- erabiltzailearen sarbiderako "leiho bakar" bihurtzen da;
- zure ordenagailu pertsonalak birusen aurkako eta azken sistema eragilearen eguneraketak dituen egiaztatzen du;
- VPN tunel bat eraikitzen du sarbide segururako.
Langile batek egiaztapena gainditzen badu soilik lortzen du sarbidea. Aldi berean, mahaigain birtualak beraiek Internetetik eskuraezinak dira, hau da, erasoetatik hobeto babestuta daude.
Enpresa batek amaierako puntuen babesa berak kudeatu nahi badu, FortiClient EMS (Endpoint Management Server) eskaintzen dugu. Bezeroak mahaigaineko eskaneatzea eta intrusioen prebentzioa konfigura dezake, eta helbideen zerrenda zuri bat sor dezake.
Autentifikazio-faktoreak gehitzea. Lehenespenez, Citrix netscaler-en bidez autentifikatzen dira erabiltzaileak. Hemen ere, segurtasuna hobetu dezakegu SafeNet produktuetan oinarritutako faktore anitzeko autentifikazioa erabiliz. Gai honek arreta berezia merezi du; horretaz aparteko artikulu batean ere hitz egingo dugu.
Konponbide ezberdinekin lan egiten horrelako esperientzia pilatu dugu azken urtean lanean. VDI zerbitzua bezero bakoitzarentzat bereizita konfiguratuta dago, beraz, tresna malguenak aukeratu ditugu. Agian etorkizun hurbilean beste zerbait gehituko dugu eta gure esperientzia partekatuko dugu.
Urriaren 7an, 17.00:XNUMXetan, nire lankideek mahaigain birtualei buruz hitz egingo dute "VDI beharrezkoa al da, edo nola antolatu urruneko lana?"
, eztabaidatu nahi baduzu VDI teknologia noiz den egokia enpresa baterako eta noiz den hobe beste metodo batzuk erabiltzea.
Iturria: www.habr.com