Tänä vuonna monet yritykset siirtyivät hätäisesti etätyöhön. Joillekin asiakkaille me järjestää yli sata etätyötä viikossa. Oli tärkeää tehdä tämä paitsi nopeasti myös turvallisesti. VDI-tekniikka on tullut apuun: sen avulla on kätevää jakaa tietoturvapolitiikkaa kaikille työpaikoille ja suojautua tietovuodoilta.
Tässä artikkelissa kerron kuinka Citrix VDI:hen perustuva virtuaalinen työpöytäpalvelumme toimii tietoturvallisuuden näkökulmasta. Näytän sinulle, mitä teemme suojataksemme asiakkaiden pöytäkoneita ulkoisilta uhilta, kuten kiristysohjelmilta tai kohdistetuilta hyökkäyksiltä.
Mitä turvallisuusongelmia ratkaisemme?
Olemme tunnistaneet useita keskeisiä tietoturvauhkia palvelulle. Toisaalta virtuaalinen työpöytä on vaarassa saada tartunnan käyttäjän tietokoneelta. Toisaalta on olemassa vaara siirtyä virtuaalityöpöydältä Internetin avoimeen tilaan ja ladata tartunnan saaneen tiedoston. Vaikka näin tapahtuisi, sen ei pitäisi vaikuttaa koko infrastruktuuriin. Siksi palvelua luodessasi ratkaisimme useita ongelmia:
- Suojaa koko VDI-telineen ulkoisilta uhilta.
- Asiakkaiden eristäminen toisistaan.
- Itse virtuaalisten työasemien suojaaminen.
- Yhdistä käyttäjät turvallisesti miltä tahansa laitteelta.
Suojauksen ydin oli FortiGate, Fortinetin uuden sukupolven palomuuri. Se valvoo VDI-koppiliikennettä, tarjoaa erillisen infrastruktuurin jokaiselle asiakkaalle ja suojaa käyttäjäpuolen haavoittuvuuksilta. Sen ominaisuudet riittävät ratkaisemaan useimmat tietoturvaongelmat.
Mutta jos yrityksellä on erityisiä turvallisuusvaatimuksia, tarjoamme lisävaihtoehtoja:
- Järjestämme suojatun yhteyden kotitietokoneiden työskentelyyn.
- Tarjoamme pääsyn tietoturvalokien riippumattomaan analysointiin.
- Tarjoamme pöytätietokoneiden virussuojauksen hallintaa.
- Suojaamme nollapäivän haavoittuvuuksilta.
- Määritämme monivaiheisen todennuksen lisäsuojaaksemme luvatonta yhteyttä vastaan.
Kerron sinulle tarkemmin, kuinka ratkaisimme ongelmat.
Kuinka suojata jalusta ja varmistaa verkon turvallisuus
Segmentoidaan verkko-osa. Messuosastolla korostamme suljettua johtamissegmenttiä kaikkien resurssien hallintaan. Hallintosegmentti on saavuttamaton ulkopuolelta: jos asiakasta vastaan tehdään hyökkäys, hyökkääjät eivät pääse sinne.
FortiGate on vastuussa suojauksesta. Se yhdistää virustentorjunta-, palomuuri- ja tunkeutumisen estojärjestelmän (IPS) toiminnot.
Jokaiselle asiakkaalle luomme erillisen verkkosegmentin virtuaalisille työasemille. Tätä tarkoitusta varten FortiGatessa on virtuaalinen verkkotunnustekniikka eli VDOM. Sen avulla voit jakaa palomuuri useisiin virtuaalikokonaisuuksiin ja varata jokaiselle asiakkaalle oman VDOM:n, joka toimii erillisenä palomuurina. Luomme myös erillisen VDOM:n hallintasegmentille.
Tämä osoittautuu seuraavaksi kaavioksi:
Asiakkaiden välillä ei ole verkkoyhteyttä: kukin asuu omassa VDOM:ssaan eivätkä vaikuta toiseen. Ilman tätä tekniikkaa joutuisimme erottamaan asiakkaat palomuurin säännöillä, mikä on riskialtista inhimillisen virheen vuoksi. Voit verrata tällaisia sääntöjä oveen, jonka on oltava jatkuvasti kiinni. VDOM:n tapauksessa emme jätä "ovia" ollenkaan.
Erillisessä VDOM:ssa asiakkaalla on oma osoite ja reititys. Siksi rajojen ylittämisestä ei tule yritykselle ongelmaa. Asiakas voi määrittää tarvittavat IP-osoitteet virtuaalisille työasemille. Tämä on kätevää suurille yrityksille, joilla on omat IP-suunnitelmansa.
Ratkaisemme yhteysongelmat asiakkaan yritysverkkoon. Erillinen tehtävä on VDI:n yhdistäminen asiakasinfrastruktuuriin. Jos yritys pitää yrityksen järjestelmiä konesalissamme, voimme yksinkertaisesti vetää verkkokaapelin sen laitteista palomuuriin. Mutta useammin olemme tekemisissä etäsivuston kanssa - toisen palvelinkeskuksen tai asiakkaan toimiston kanssa. Tässä tapauksessa harkitsemme suojattua vaihtoa sivuston kanssa ja rakennamme site2site VPN:n IPsec VPN:n avulla.
Järjestelmät voivat vaihdella infrastruktuurin monimutkaisuuden mukaan. Joissain paikoissa riittää yhden toimistoverkon liittäminen VDI:hen - siellä riittää staattinen reititys. Suurilla yrityksillä on monia verkostoja, jotka muuttuvat jatkuvasti; tässä asiakas tarvitsee dynaamista reititystä. Käytämme erilaisia protokollia: tapauksia on jo ollut OSPF:n (Open Shortest Path First), GRE-tunnelien (Generic Routing Encapsulation) ja BGP:n (Border Gateway Protocol) kanssa. FortiGate tukee verkkoprotokollia erillisissä VDOMeissa vaikuttamatta muihin asiakkaisiin.
Voit myös rakentaa GOST-VPN - salauksen, joka perustuu Venäjän federaation FSB:n sertifioimiin kryptografisiin suojakeinoihin. Esimerkiksi KS1-luokan ratkaisujen käyttö virtuaaliympäristössä "S-Terra Virtual Gateway" tai PAK ViPNet, APKSH "Continent", "S-Terra".
Ryhmäkäytäntöjen määrittäminen. Sovimme asiakkaan kanssa VDI:ssä noudatettavista ryhmäkäytännöistä. Tässä asettamisen periaatteet eivät eroa käytäntöjen asettamisesta toimistossa. Otamme käyttöön integraation Active Directoryn kanssa ja delegoimme joidenkin ryhmäkäytäntöjen hallinnan asiakkaille. Vuokralaisten järjestelmänvalvojat voivat soveltaa käytäntöjä Computer-objektiin, hallita organisaatioyksikköä Active Directoryssa ja luoda käyttäjiä.
FortiGatessa kirjoitamme jokaiselle asiakas-VDOM:lle verkon suojauskäytännön, asetamme pääsyrajoitukset ja konfiguroimme liikenteen tarkastuksen. Käytämme useita FortiGate-moduuleja:
- IPS-moduuli tarkistaa liikenteen haittaohjelmien varalta ja estää tunkeutumisen;
- virustorjunta suojaa itse työpöytää haittaohjelmilta ja vakoiluohjelmilta;
- verkkosuodatus estää pääsyn epäluotettaviin resursseihin ja sivustoihin, joilla on haitallista tai sopimatonta sisältöä;
- Palomuuriasetukset voivat sallia käyttäjien pääsyn Internetiin vain tietyille sivustoille.
Joskus asiakas haluaa itsenäisesti hallita työntekijöiden pääsyä verkkosivustoille. Useimmiten pankit tulevat tämän pyynnön kanssa: turvallisuuspalvelut edellyttävät, että kulunvalvonta pysyy yrityksen puolella. Tällaiset yritykset itse valvovat liikennettä ja tekevät säännöllisesti muutoksia käytäntöihin. Tässä tapauksessa käännämme kaiken FortiGate-liikenteen asiakasta kohti. Käytämme tätä varten määritettyä käyttöliittymää yrityksen infrastruktuuriin. Tämän jälkeen asiakas määrittää itse säännöt yrityksen verkkoon ja Internetiin pääsylle.
Seuraamme tapahtumia osastolla. Yhdessä FortiGaten kanssa käytämme Fortinetin tukkikerääjää FortiAnalyzeriä. Sen avulla katsomme kaikki VDI:n tapahtumalokit yhdestä paikasta, löydämme epäilyttävät toiminnot ja seuraamme korrelaatioita.
Yksi asiakkaistamme käyttää Fortinet-tuotteita toimistossaan. Sitä varten määritimme lokien lataamisen - jotta asiakas pystyi analysoimaan kaikki toimistokoneiden ja virtuaalisten työasemien tietoturvatapahtumat.
Kuinka suojata virtuaalisia työpöytiä
Tunnetuista uhista. Jos asiakas haluaa hallita virustorjuntaa itsenäisesti, asennamme lisäksi Kaspersky Securityn virtuaaliympäristöihin.
Tämä ratkaisu toimii hyvin pilvessä. Olemme kaikki tottuneet siihen, että klassinen Kaspersky-virustorjunta on "raskas" ratkaisu. Sitä vastoin Kaspersky Security for Virtualization ei lataa virtuaalikoneita. Kaikki virustietokannat sijaitsevat palvelimella, joka antaa tuomiot kaikille solmun virtuaalikoneen. Vain kevyt agentti on asennettu virtuaaliselle työpöydälle. Se lähettää tiedostot palvelimelle vahvistusta varten.
Tämä arkkitehtuuri tarjoaa samanaikaisesti tiedostosuojauksen, Internet-suojauksen ja hyökkäyssuojauksen vaarantamatta virtuaalikoneiden suorituskykyä. Tässä tapauksessa asiakas voi itsenäisesti ottaa käyttöön poikkeuksia tiedostojen suojaukseen. Autamme ratkaisun perusasennuksissa. Puhumme sen ominaisuuksista erillisessä artikkelissa.
Tuntemattomista uhista. Tätä varten yhdistämme FortiSandboxin - Fortinetin "hiekkalaatikon". Käytämme sitä suodattimena siltä varalta, että virustorjunta missaa nollapäivän uhan. Kun tiedosto on ladattu, tarkistamme sen ensin virustorjuntaohjelmalla ja lähetämme sen sitten hiekkalaatikkoon. FortiSandbox emuloi virtuaalikoneen, suorittaa tiedoston ja tarkkailee sen toimintaa: mitä rekisterin objekteja käytetään, lähettääkö se ulkoisia pyyntöjä ja niin edelleen. Jos tiedosto käyttäytyy epäilyttävästi, hiekkalaatikko-virtuaalikone poistetaan eikä haitallinen tiedosto päädy käyttäjän VDI:hen.
Kuinka muodostaa suojattu yhteys VDI:hen
Tarkistamme, että laite täyttää tietoturvavaatimukset. Etätyön alusta lähtien asiakkaat ovat kääntyneet meihin pyynnöillä: varmistaaksemme käyttäjien turvallisen toiminnan heidän henkilökohtaisilta tietokoneiltaan. Jokainen tietoturva-asiantuntija tietää, että kodin laitteiden suojaaminen on vaikeaa: et voi asentaa tarvittavaa virustorjuntaa tai soveltaa ryhmäkäytäntöjä, koska tämä ei ole toimistolaitteita.
Oletusarvoisesti VDI:stä tulee turvallinen "kerros" henkilökohtaisen laitteen ja yritysverkon välillä. Suojellaksemme VDI:tä käyttäjän koneen hyökkäyksiltä poistamme leikepöydän käytöstä ja estämme USB-edelleenlähetyksen. Tämä ei kuitenkaan tee käyttäjän laitteesta itsestään turvallista.
Ratkaisemme ongelman FortiClientillä. Tämä on päätepisteiden suojaustyökalu. Yrityksen käyttäjät asentavat FortiClientin kotitietokoneilleen ja muodostavat sen avulla yhteyden virtuaaliseen työpöytään. FortiClient ratkaisee kolme ongelmaa kerralla:
- tulee "yksi ikkuna" käyttäjälle;
- tarkistaa, onko henkilökohtaisessa tietokoneessasi virustorjunta ja uusimmat käyttöjärjestelmäpäivitykset;
- rakentaa VPN-tunnelin turvallista pääsyä varten.
Työntekijä saa pääsyn vain, jos hän läpäisee tarkastuksen. Samanaikaisesti itse virtuaaliset työpöydät eivät ole käytettävissä Internetistä, mikä tarkoittaa, että ne ovat paremmin suojattuja hyökkäyksiltä.
Jos yritys haluaa hallita päätepisteiden suojausta itse, tarjoamme FortiClient EMS:n (Endpoint Management Server). Asiakas voi määrittää työpöydän tarkistuksen ja tunkeutumisen eston ja luoda valkoisen listan osoitteista.
Todennustekijöiden lisääminen. Oletuksena käyttäjät todennetaan Citrix netscalerin kautta. Tässäkin voimme parantaa turvallisuutta käyttämällä SafeNet-tuotteisiin perustuvaa monitekijätodennusta. Tämä aihe ansaitsee erityistä huomiota, puhumme siitä myös erillisessä artikkelissa.
Meillä on kokemusta erilaisten ratkaisujen kanssa työskentelystä viimeisen työvuoden aikana. VDI-palvelu konfiguroidaan jokaiselle asiakkaalle erikseen, joten valitsimme joustavimmat työkalut. Ehkä lähitulevaisuudessa lisäämme jotain muuta ja jaamme kokemuksiamme.
7. lokakuuta klo 17.00 kollegani puhuvat virtuaalityöpöydästä webinaarissa ”Tarvitaanko VDI, vai miten etätyö järjestetään?”
, jos haluat keskustella siitä, milloin VDI-tekniikka sopii yritykselle ja milloin on parempi käyttää muita menetelmiä.
Lähde: will.com