Cette année, de nombreuses entreprises se sont précipitées vers le travail à distance. Pour certains clients, nous organiser plus d'une centaine de jobs à distance par semaine. Il était important de le faire non seulement rapidement, mais aussi en toute sécurité. La technologie VDI est venue à la rescousse : avec son aide, il est pratique de diffuser des politiques de sécurité sur tous les lieux de travail et de se protéger contre les fuites de données.
Dans cet article, je vais vous expliquer comment fonctionne notre service de bureau virtuel basé sur Citrix VDI du point de vue de la sécurité des informations. Je vais vous montrer ce que nous faisons pour protéger les postes de travail des clients contre les menaces externes telles que les ransomwares ou les attaques ciblées.
Quels problèmes de sécurité résolvons-nous ?
Nous avons identifié plusieurs menaces de sécurité majeures pour le service. D’une part, le bureau virtuel court le risque d’être infecté depuis l’ordinateur de l’utilisateur. D'un autre côté, il existe un risque de sortir du bureau virtuel vers l'espace ouvert d'Internet et de télécharger un fichier infecté. Même si cela se produit, cela ne devrait pas affecter l’ensemble de l’infrastructure. Par conséquent, lors de la création du service, nous avons résolu plusieurs problèmes :
- Protège l’ensemble du stand VDI des menaces externes.
- Isolement des clients les uns des autres.
- Protéger les bureaux virtuels eux-mêmes.
- Connectez les utilisateurs en toute sécurité depuis n’importe quel appareil.
Le cœur de la protection était FortiGate, un pare-feu de nouvelle génération de Fortinet. Il surveille le trafic des stands VDI, fournit une infrastructure isolée pour chaque client et protège contre les vulnérabilités du côté utilisateur. Ses capacités sont suffisantes pour résoudre la plupart des problèmes de sécurité des informations.
Mais si une entreprise a des exigences particulières en matière de sécurité, nous proposons des options supplémentaires :
- Nous organisons une connexion sécurisée pour travailler depuis des ordinateurs personnels.
- Nous fournissons un accès pour une analyse indépendante des journaux de sécurité.
- Nous assurons la gestion de la protection antivirus sur les postes de travail.
- Nous nous protégeons contre les vulnérabilités du jour zéro.
- Nous configurons l'authentification multifacteur pour une protection supplémentaire contre les connexions non autorisées.
Je vais vous expliquer plus en détail comment nous avons résolu les problèmes.
Comment protéger le stand et assurer la sécurité du réseau
Segmentons la partie réseau. Sur le stand, nous mettons en avant un segment de gestion fermé pour la gestion de toutes les ressources. Le segment de gestion est inaccessible de l'extérieur : en cas d'attaque sur le client, les attaquants ne pourront pas y accéder.
FortiGate est responsable de la protection. Il combine les fonctions d'un antivirus, d'un pare-feu et d'un système de prévention des intrusions (IPS).
Pour chaque client, nous créons un segment de réseau isolé pour les bureaux virtuels. À cet effet, FortiGate dispose d'une technologie de domaine virtuel, ou VDOM. Il permet de diviser le pare-feu en plusieurs entités virtuelles et d'attribuer à chaque client son propre VDOM, qui se comporte comme un pare-feu distinct. Nous créons également un VDOM distinct pour le segment de gestion.
Cela donne le schéma suivant :
Il n'y a pas de connectivité réseau entre les clients : chacun vit dans son propre VDOM et n'influence pas l'autre. Sans cette technologie, nous serions obligés de séparer les clients avec des règles de pare-feu, ce qui est risqué en raison de l'erreur humaine. Vous pouvez comparer de telles règles à une porte qui doit être constamment fermée. Dans le cas du VDOM, nous ne laissons aucune « porte » du tout.
Dans un VDOM distinct, le client dispose de son propre adressage et de son propre routage. Le franchissement des gammes ne devient donc pas un problème pour l’entreprise. Le client peut attribuer les adresses IP nécessaires aux bureaux virtuels. Ceci est pratique pour les grandes entreprises qui disposent de leurs propres forfaits IP.
Nous résolvons les problèmes de connectivité avec le réseau d’entreprise du client. Une tâche distincte consiste à connecter le VDI à l’infrastructure client. Si une entreprise conserve des systèmes d'entreprise dans notre centre de données, nous pouvons simplement faire passer un câble réseau entre son équipement et le pare-feu. Mais le plus souvent, nous avons affaire à un site distant – un autre centre de données ou le bureau d’un client. Dans ce cas, nous réfléchissons à un échange sécurisé avec le site et construisons un VPN site2site en utilisant un VPN IPsec.
Les schémas peuvent varier en fonction de la complexité de l'infrastructure. Dans certains endroits, il suffit de connecter un seul réseau de bureau au VDI - le routage statique y suffit. Les grandes entreprises disposent de nombreux réseaux en constante évolution ; ici, le client a besoin d'un routage dynamique. Nous utilisons différents protocoles : il y a déjà eu des cas avec OSPF (Open Shortest Path First), les tunnels GRE (Generic Routing Encapsulation) et BGP (Border Gateway Protocol). FortiGate prend en charge les protocoles réseau dans des VDOM distincts, sans affecter les autres clients.
Vous pouvez également créer GOST-VPN - un cryptage basé sur des moyens de protection cryptographiques certifiés par le FSB de la Fédération de Russie. Par exemple, en utilisant des solutions de classe KS1 dans l'environnement virtuel « S-Terra Virtual Gateway » ou PAK ViPNet, APKSH « Continent », « S-Terra ».
Configuration des stratégies de groupe. Nous sommes d'accord avec le client sur les politiques de groupe appliquées sur VDI. Ici, les principes de définition ne sont pas différents de la définition des politiques au bureau. Nous mettons en place l'intégration avec Active Directory et déléguons la gestion de certaines politiques de groupe aux clients. Les administrateurs de locataires peuvent appliquer des stratégies à l'objet Ordinateur, gérer l'unité d'organisation dans Active Directory et créer des utilisateurs.
Sur FortiGate, pour chaque client VDOM, nous rédigeons une politique de sécurité réseau, définissons des restrictions d'accès et configurons l'inspection du trafic. Nous utilisons plusieurs modules FortiGate :
- Le module IPS analyse le trafic à la recherche de logiciels malveillants et empêche les intrusions ;
- l'antivirus protège les ordinateurs de bureau eux-mêmes contre les logiciels malveillants et les logiciels espions ;
- le filtrage Web bloque l'accès aux ressources peu fiables et aux sites au contenu malveillant ou inapproprié ;
- Les paramètres du pare-feu peuvent permettre aux utilisateurs d'accéder à Internet uniquement à certains sites.
Parfois, un client souhaite gérer de manière indépendante l’accès de ses employés aux sites Web. Le plus souvent, les banques présentent cette demande : les services de sécurité exigent que le contrôle d’accès reste du côté de l’entreprise. Ces entreprises surveillent elles-mêmes le trafic et modifient régulièrement leurs politiques. Dans ce cas, nous dirigeons tout le trafic de FortiGate vers le client. Pour ce faire, nous utilisons une interface configurée avec l’infrastructure de l’entreprise. Après cela, le client configure lui-même les règles d'accès au réseau d'entreprise et à Internet.
Nous regardons les événements sur le stand. Avec FortiGate, nous utilisons FortiAnalyzer, un collecteur de journaux de Fortinet. Avec son aide, nous examinons tous les journaux d'événements sur VDI en un seul endroit, trouvons les actions suspectes et suivons les corrélations.
Un de nos clients utilise les produits Fortinet dans son bureau. Pour cela, nous avons configuré le téléchargement des journaux afin que le client puisse analyser tous les événements de sécurité pour les machines de bureau et les bureaux virtuels.
Comment protéger les bureaux virtuels
Des menaces connues. Si le client souhaite gérer indépendamment la protection antivirus, nous installons en outre Kaspersky Security pour les environnements virtuels.
Cette solution fonctionne bien dans le cloud. Nous sommes tous habitués au fait que l’antivirus classique Kaspersky est une solution « lourde ». En revanche, Kaspersky Security for Virtualization ne charge pas les machines virtuelles. Toutes les bases de données virales se trouvent sur le serveur, qui émet des verdicts pour toutes les machines virtuelles du nœud. Seul l'agent léger est installé sur le bureau virtuel. Il envoie des fichiers au serveur pour vérification.
Cette architecture offre simultanément une protection des fichiers, une protection Internet et une protection contre les attaques sans compromettre les performances des machines virtuelles. Dans ce cas, le client peut introduire indépendamment des exceptions à la protection des fichiers. Nous aidons à la configuration de base de la solution. Nous parlerons de ses fonctionnalités dans un article séparé.
De menaces inconnues. Pour ce faire, nous connectons FortiSandbox – un « bac à sable » de Fortinet. Nous l'utilisons comme filtre au cas où l'antivirus manquerait une menace zero-day. Après avoir téléchargé le fichier, nous l'analysons d'abord avec un antivirus, puis l'envoyons au bac à sable. FortiSandbox émule une machine virtuelle, exécute le fichier et observe son comportement : quels objets du registre sont accédés, s'il envoie des requêtes externes, etc. Si un fichier se comporte de manière suspecte, la machine virtuelle en sandbox est supprimée et le fichier malveillant ne se retrouve pas sur le VDI de l'utilisateur.
Comment configurer une connexion sécurisée à VDI
Nous vérifions la conformité de l’appareil aux exigences de sécurité des informations. Depuis le début du travail à distance, les clients nous ont adressé des demandes : assurer le fonctionnement sécurisé des utilisateurs depuis leur ordinateur personnel. Tout spécialiste de la sécurité de l'information sait que protéger les appareils domestiques est difficile : vous ne pouvez pas installer l'antivirus nécessaire ni appliquer des stratégies de groupe, car il ne s'agit pas d'équipement de bureau.
Par défaut, VDI devient une « couche » sécurisée entre un appareil personnel et le réseau d'entreprise. Pour protéger VDI des attaques de la machine utilisateur, nous désactivons le presse-papiers et interdisons le transfert USB. Mais cela ne sécurise pas pour autant l’appareil de l’utilisateur lui-même.
Nous résolvons le problème en utilisant FortiClient. Il s'agit d'un outil de protection des points finaux. Les utilisateurs de l'entreprise installent FortiClient sur leurs ordinateurs personnels et l'utilisent pour se connecter à un bureau virtuel. FortiClient résout 3 problèmes à la fois :
- devient un « guichet unique » d’accès pour l’utilisateur ;
- vérifie si votre ordinateur personnel dispose d'un antivirus et des dernières mises à jour du système d'exploitation ;
- construit un tunnel VPN pour un accès sécurisé.
Un employé n’y accède que s’il réussit la vérification. Dans le même temps, les bureaux virtuels eux-mêmes sont inaccessibles depuis Internet, ce qui signifie qu’ils sont mieux protégés contre les attaques.
Si une entreprise souhaite gérer elle-même la protection des terminaux, nous proposons FortiClient EMS (Endpoint Management Server). Le client peut configurer l'analyse du bureau et la prévention des intrusions, et créer une liste blanche d'adresses.
Ajout de facteurs d'authentification. Par défaut, les utilisateurs sont authentifiés via Citrix netscaler. Ici aussi, nous pouvons améliorer la sécurité grâce à l'authentification multifacteur basée sur les produits SafeNet. Ce sujet mérite une attention particulière, nous en parlerons également dans un article séparé.
Nous avons accumulé une telle expérience en travaillant avec différentes solutions au cours de la dernière année de travail. Le service VDI est configuré séparément pour chaque client, nous avons donc choisi les outils les plus flexibles. Peut-être que dans un avenir proche, nous ajouterons autre chose et partagerons notre expérience.
Le 7 octobre à 17.00hXNUMX, mes collègues parleront des bureaux virtuels lors du webinaire « Le VDI est-il nécessaire ou comment organiser le travail à distance ?
, si vous souhaitez discuter du moment où la technologie VDI est adaptée à une entreprise et du moment où il est préférable d'utiliser d'autres méthodes.
Source: habr.com