امسال، بسیاری از شرکت ها با عجله به کار از راه دور روی آوردند. برای برخی از مشتریان ما سازماندهی بیش از صد شغل از راه دور در هفته. انجام این کار نه تنها به سرعت، بلکه با خیال راحت نیز مهم بود. فناوری VDI به کمک آن آمده است: با کمک آن، توزیع سیاست های امنیتی در تمام محل های کار و محافظت در برابر نشت داده ها راحت است.
در این مقاله به شما خواهم گفت که چگونه سرویس دسکتاپ مجازی مبتنی بر Citrix VDI از نقطه نظر امنیت اطلاعات کار می کند. من به شما نشان خواهم داد که برای محافظت از دسکتاپ مشتری در برابر تهدیدات خارجی مانند باج افزار یا حملات هدفمند چه می کنیم.
چه مشکلات امنیتی را حل کنیم؟
ما چندین تهدید امنیتی اصلی را برای این سرویس شناسایی کرده ایم. از یک طرف، دسکتاپ مجازی خطر آلوده شدن از رایانه کاربر را دارد. از سوی دیگر، خطر خروج از دسکتاپ مجازی به فضای باز اینترنت و دانلود فایل آلوده وجود دارد. حتی اگر این اتفاق بیفتد، نباید کل زیرساخت را تحت تأثیر قرار دهد. بنابراین، هنگام ایجاد سرویس، چندین مشکل را حل کردیم:
- از کل پایه VDI در برابر تهدیدات خارجی محافظت می کند.
- جداسازی مشتریان از یکدیگر.
- محافظت از خود دسکتاپ مجازی
- اتصال ایمن کاربران از هر دستگاهی.
هسته حفاظتی فورتی گیت، فایروال نسل جدید Fortinet بود. ترافیک غرفه VDI را نظارت می کند، یک زیرساخت ایزوله برای هر مشتری فراهم می کند و از آسیب پذیری های سمت کاربر محافظت می کند. قابلیت های آن برای حل اکثر مسائل امنیت اطلاعات کافی است.
اما اگر یک شرکت الزامات امنیتی خاصی دارد، ما گزینه های اضافی را ارائه می دهیم:
- ما یک اتصال امن برای کار از رایانه های خانگی سازماندهی می کنیم.
- ما دسترسی به تجزیه و تحلیل مستقل گزارش های امنیتی را فراهم می کنیم.
- ما مدیریت حفاظت از آنتی ویروس را روی دسکتاپ ارائه می دهیم.
- ما در برابر آسیبپذیریهای روز صفر محافظت میکنیم.
- ما احراز هویت چند عاملی را برای محافظت بیشتر در برابر اتصالات غیرمجاز پیکربندی می کنیم.
من با جزئیات بیشتری به شما خواهم گفت که چگونه مشکلات را حل کردیم.
نحوه محافظت از پایه و تضمین امنیت شبکه
بیایید بخش شبکه را تقسیم کنیم. در غرفه یک بخش مدیریت بسته را برای مدیریت همه منابع برجسته می کنیم. بخش مدیریت از بیرون غیرقابل دسترسی است: در صورت حمله به مشتری، مهاجمان نمی توانند به آنجا برسند.
FortiGate مسئولیت حفاظت را بر عهده دارد. عملکردهای آنتی ویروس، فایروال و سیستم پیشگیری از نفوذ (IPS) را ترکیب می کند.
برای هر مشتری یک بخش شبکه ایزوله برای دسکتاپ مجازی ایجاد می کنیم. برای این منظور FortiGate دارای فناوری دامنه مجازی یا VDOM است. این به شما امکان می دهد فایروال را به چندین موجودیت مجازی تقسیم کنید و به هر کلاینت VDOM اختصاص دهید، که مانند یک فایروال جداگانه رفتار می کند. ما همچنین یک VDOM جداگانه برای بخش مدیریت ایجاد می کنیم.
معلوم می شود که این نمودار زیر است:
هیچ اتصال شبکه ای بین کلاینت ها وجود ندارد: هر کدام در VDOM خود زندگی می کنند و بر دیگری تأثیر نمی گذارند. بدون این فناوری، ما باید مشتریان را با قوانین فایروال جدا کنیم، که به دلیل خطای انسانی خطرناک است. شما می توانید چنین قوانینی را با دری مقایسه کنید که باید دائما بسته شود. در مورد VDOM، ما اصلاً هیچ "دری" باقی نمی گذاریم.
در یک VDOM جداگانه، کلاینت آدرس دهی و مسیریابی خاص خود را دارد. بنابراین عبور از محدوده ها برای شرکت مشکلی ایجاد نمی کند. مشتری می تواند آدرس های IP لازم را به دسکتاپ مجازی اختصاص دهد. این برای شرکت های بزرگی که برنامه های IP خود را دارند راحت است.
ما مشکلات اتصال را با شبکه شرکتی مشتری حل می کنیم. یک وظیفه جداگانه اتصال VDI با زیرساخت مشتری است. اگر یک شرکت سیستم های شرکتی را در مرکز داده خود نگه دارد، می توانیم به سادگی یک کابل شبکه را از تجهیزات آن به دیوار آتش اجرا کنیم. اما بیشتر اوقات ما با یک سایت از راه دور - یک مرکز داده دیگر یا یک دفتر مشتری سر و کار داریم. در این مورد، ما از طریق تبادل امن با سایت فکر می کنیم و سایت2site VPN را با استفاده از IPsec VPN می سازیم.
بسته به پیچیدگی زیرساخت، طرح ها ممکن است متفاوت باشند. در بعضی جاها کافی است یک شبکه اداری واحد را به VDI متصل کنید - مسیریابی استاتیک در آنجا کافی است. شرکت های بزرگ شبکه های زیادی دارند که دائما در حال تغییر هستند. در اینجا مشتری به مسیریابی پویا نیاز دارد. ما از پروتکلهای مختلفی استفاده میکنیم: قبلاً مواردی با OSPF (اولین کوتاهترین مسیر باز)، تونلهای GRE (Ecapsulation مسیریابی عمومی) و BGP (پروتکل دروازه مرزی) وجود داشته است. فورتی گیت از پروتکل های شبکه در VDOM های جداگانه پشتیبانی می کند، بدون اینکه روی سایر کلاینت ها تأثیر بگذارد.
همچنین می توانید GOST-VPN را بسازید - رمزگذاری بر اساس ابزارهای حفاظت رمزنگاری تایید شده توسط FSB فدراسیون روسیه. به عنوان مثال، با استفاده از راه حل های کلاس KS1 در محیط مجازی "S-Terra Virtual Gateway" یا PAK ViPNet، APKSH "Continent"، "S-Terra".
تنظیم سیاست های گروه ما با مشتری در مورد خط مشی های گروهی که در VDI اعمال می شود، موافق هستیم. در اینجا اصول تنظیم هیچ تفاوتی با تنظیم سیاست ها در دفتر ندارد. ما با Active Directory یکپارچه سازی کردیم و مدیریت برخی از سیاست های گروه را به مشتریان واگذار کردیم. مدیران مستاجر میتوانند خطمشیهایی را برای شی رایانه اعمال کنند، واحد سازمانی را در Active Directory مدیریت کنند و کاربران ایجاد کنند.
در FortiGate، برای هر مشتری VDOM یک خط مشی امنیتی شبکه می نویسیم، محدودیت های دسترسی را تنظیم می کنیم و بازرسی ترافیک را پیکربندی می کنیم. ما از چندین ماژول FortiGate استفاده می کنیم:
- ماژول IPS ترافیک را برای بدافزار اسکن می کند و از نفوذ جلوگیری می کند.
- آنتی ویروس از خود دسکتاپ در برابر بدافزارها و جاسوس افزارها محافظت می کند.
- فیلتر کردن وب دسترسی به منابع و سایت های نامعتبر با محتوای مخرب یا نامناسب را مسدود می کند.
- تنظیمات فایروال ممکن است به کاربران اجازه دهد فقط به سایت های خاصی به اینترنت دسترسی داشته باشند.
گاهی اوقات یک مشتری می خواهد به طور مستقل دسترسی کارمندان به وب سایت ها را مدیریت کند. اغلب بانکها با این درخواست مواجه میشوند: سرویسهای امنیتی نیاز دارند که کنترل دسترسی در سمت شرکت باقی بماند. چنین شرکت هایی خودشان ترافیک را کنترل می کنند و به طور منظم در سیاست ها تغییراتی ایجاد می کنند. در این حالت، ما تمام ترافیک FortiGate را به سمت کلاینت برمیگردانیم. برای این کار از یک رابط پیکربندی شده با زیرساخت شرکت استفاده می کنیم. پس از این، مشتری خود قوانین دسترسی به شبکه شرکت و اینترنت را پیکربندی می کند.
رویدادها را در غرفه تماشا می کنیم. همراه با FortiGate، ما از FortiAnalyzer، یک جمعآورنده سیاهه از Fortinet استفاده میکنیم. با کمک آن، همه گزارشهای رویداد در VDI را در یک مکان بررسی میکنیم، اقدامات مشکوک را پیدا میکنیم و همبستگیها را دنبال میکنیم.
یکی از مشتریان ما از محصولات Fortinet در دفتر خود استفاده می کند. برای آن، ما آپلود گزارش را پیکربندی کردیم - بنابراین مشتری قادر به تجزیه و تحلیل تمام رویدادهای امنیتی برای ماشین های اداری و دسکتاپ مجازی بود.
نحوه محافظت از دسکتاپ مجازی
از تهدیدات شناخته شده اگر کلاینت بخواهد به طور مستقل حفاظت ضد ویروس را مدیریت کند، Kaspersky Security را برای محیط های مجازی نیز نصب می کنیم.
این راه حل به خوبی در فضای ابری کار می کند. همه ما به این واقعیت عادت کرده ایم که آنتی ویروس کلاسیک Kaspersky یک راه حل "سنگین" است. در مقابل، Kaspersky Security for Virtualization ماشین های مجازی را بارگیری نمی کند. همه پایگاه های داده ویروس بر روی سرور قرار دارند که برای همه ماشین های مجازی گره حکم صادر می کند. فقط عامل نور روی دسکتاپ مجازی نصب می شود. فایل ها را برای تایید به سرور ارسال می کند.
این معماری به طور همزمان حفاظت از فایل، حفاظت از اینترنت و حفاظت از حمله را بدون به خطر انداختن عملکرد ماشین های مجازی ارائه می دهد. در این مورد، کلاینت می تواند به طور مستقل استثناهایی را برای محافظت از پرونده معرفی کند. ما در راه اندازی اولیه راه حل کمک می کنیم. در مقاله ای جداگانه در مورد ویژگی های آن صحبت خواهیم کرد.
از تهدیدات ناشناخته برای انجام این کار، FortiSandbox را به هم متصل می کنیم - یک "sandbox" از Fortinet. در صورتی که آنتی ویروس تهدید روز صفر را از دست بدهد، از آن به عنوان فیلتر استفاده می کنیم. پس از دانلود فایل، ابتدا آن را با آنتی ویروس اسکن می کنیم و سپس به sandbox می فرستیم. FortiSandbox یک ماشین مجازی را شبیهسازی میکند، فایل را اجرا میکند و رفتار آن را مشاهده میکند: به چه چیزهایی در رجیستری دسترسی پیدا میشود، آیا درخواستهای خارجی ارسال میکند و غیره. اگر یک فایل مشکوک رفتار کند، ماشین مجازی سندباکس حذف میشود و فایل مخرب روی VDI کاربر قرار نمیگیرد.
چگونه یک اتصال امن به VDI راه اندازی کنیم
ما مطابقت دستگاه با الزامات امنیت اطلاعات را بررسی می کنیم. از ابتدای کار از راه دور، مشتریان با درخواست هایی به ما مراجعه کرده اند: اطمینان از عملکرد ایمن کاربران از رایانه های شخصی خود. هر متخصص امنیت اطلاعات می داند که محافظت از دستگاه های خانگی دشوار است: نمی توانید آنتی ویروس لازم را نصب کنید یا سیاست های گروهی را اعمال کنید، زیرا این تجهیزات اداری نیست.
به طور پیش فرض، VDI به یک "لایه" امن بین یک دستگاه شخصی و شبکه شرکت تبدیل می شود. برای محافظت از VDI در برابر حملات دستگاه کاربر، کلیپ بورد را غیرفعال می کنیم و ارسال USB را ممنوع می کنیم. اما این خود دستگاه کاربر را ایمن نمی کند.
ما با استفاده از FortiClient مشکل را حل می کنیم. این یک ابزار محافظت از نقطه پایانی است. کاربران این شرکت FortiClient را روی کامپیوترهای خانگی خود نصب کرده و از آن برای اتصال به دسکتاپ مجازی استفاده می کنند. FortiClient 3 مشکل را همزمان حل می کند:
- تبدیل به "پنجره واحد" دسترسی برای کاربر می شود.
- بررسی می کند که آیا رایانه شخصی شما دارای آنتی ویروس و آخرین به روز رسانی سیستم عامل است یا خیر.
- یک تونل VPN برای دسترسی ایمن می سازد.
یک کارمند فقط در صورتی دسترسی پیدا می کند که تأیید صحت داشته باشد. در عین حال، دسکتاپ های مجازی خود از اینترنت غیرقابل دسترسی هستند، به این معنی که بهتر از حملات محافظت می شوند.
اگر شرکتی بخواهد خودش محافظت از نقطه پایانی را مدیریت کند، ما FortiClient EMS (سرور مدیریت نقطه پایانی) را ارائه می دهیم. مشتری می تواند اسکن دسکتاپ و جلوگیری از نفوذ را پیکربندی کند و یک لیست سفید از آدرس ها ایجاد کند.
افزودن فاکتورهای احراز هویت به طور پیش فرض، کاربران از طریق Citrix netscaler احراز هویت می شوند. در اینجا نیز میتوانیم امنیت را با استفاده از احراز هویت چند عاملی مبتنی بر محصولات SafeNet افزایش دهیم. این موضوع شایسته توجه ویژه است؛ همچنین در مقاله ای جداگانه در مورد آن صحبت خواهیم کرد.
ما چنین تجربه ای را در کار با راه حل های مختلف در طول سال گذشته انباشته ایم. سرویس VDI به طور جداگانه برای هر مشتری پیکربندی شده است، بنابراین ما انعطاف پذیرترین ابزارها را انتخاب کردیم. شاید در آینده نزدیک چیز دیگری اضافه کنیم و تجربه خود را به اشتراک بگذاریم.
در 7 اکتبر ساعت 17.00، همکاران من در وبینار "آیا VDI ضروری است یا چگونه کار از راه دور را سازماندهی کنیم؟" در مورد دسکتاپ مجازی صحبت خواهند کرد.
، اگر می خواهید بحث کنید که چه زمانی فناوری VDI برای یک شرکت مناسب است و چه زمانی بهتر است از روش های دیگر استفاده کنید.
منبع: www.habr.com