Dit jier stapten in protte bedriuwen hastich oer op wurk op ôfstân. Foar guon kliïnten wy organisearje mear as hûndert banen op ôfstân yn 'e wike. It wie wichtich om dit net allinnich fluch, mar ek feilich te dwaan. VDI-technology is ta de rêding kommen: mei har help is it handich om feiligensbelied op alle wurkplakken te fersprieden en te beskermjen tsjin gegevenslekken.
Yn dit artikel sil ik jo fertelle hoe't ús firtuele buroblêdtsjinst basearre op Citrix VDI wurket út in eachpunt fan ynformaasjefeiligens. Ik sil jo sjen litte wat wy dogge om client-buroblêden te beskermjen tsjin eksterne bedrigingen lykas ransomware of doelgerichte oanfallen.
Hokker feiligensproblemen oplosse wy?
Wy hawwe ferskate wichtige feiligensbedrigingen foar de tsjinst identifisearre. Oan 'e iene kant rint it firtuele buroblêd it risiko om ynfekteare te wurden fan' e komputer fan 'e brûker. Oan 'e oare kant is d'r in gefaar om fan it firtuele buroblêd nei de iepen romte fan it ynternet te gean en in ynfekteare bestân te downloaden. Sels as dit bart, soe it gjin ynfloed hawwe op de hiele ynfrastruktuer. Dêrom hawwe wy by it meitsjen fan de tsjinst ferskate problemen oplost:
- Beskermet de heule VDI-stand tsjin eksterne bedrigingen.
- Isolaasje fan kliïnten fan elkoar.
- De firtuele buroblêden sels beskermje.
- Ferbine brûkers feilich fan elk apparaat.
De kearn fan 'e beskerming wie FortiGate, in nije generaasje firewall fan Fortinet. It kontrolearret VDI-standferkear, leveret in isolearre ynfrastruktuer foar elke kliïnt, en beskermet tsjin kwetsberens oan 'e brûkerskant. De mooglikheden dêrfan binne genôch om de measte ynformaasjefeiligensproblemen op te lossen.
Mar as in bedriuw spesjale feiligenseasken hat, biede wy ekstra opsjes:
- Wy organisearje in feilige ferbining foar wurkjen fan thús kompjûters.
- Wy jouwe tagong foar ûnôfhinklike analyze fan feiligens logs.
- Wy leverje behear fan antivirusbeskerming op buroblêden.
- Wy beskermje tsjin nul-day kwetsberheden.
- Wy konfigurearje multi-factor autentikaasje foar ekstra beskerming tsjin net foech ferbinings.
Ik sil jo yn mear detail fertelle hoe't wy de problemen hawwe oplost.
Hoe te beskermjen de stand en soargje netwurk feiligens
Litte wy it netwurkdiel segmentearje. Op de stand markearje wy in sletten behearsegment foar it behearen fan alle boarnen. It behearsegmint is fan bûten net tagonklik: by in oanfal op de klant kinne oanfallers der net komme.
FortiGate is ferantwurdlik foar beskerming. It kombinearret de funksjes fan in antivirus, firewall, en ynbraakprevinsjesysteem (IPS).
Foar elke kliïnt meitsje wy in isolearre netwurksegment foar firtuele buroblêden. Foar dit doel hat FortiGate firtuele domeintechnology, of VDOM. It lit jo de firewall yn ferskate firtuele entiteiten splitse en elke kliïnt syn eigen VDOM tawize, dy't him as in aparte firewall gedraacht. Wy meitsje ek in aparte VDOM foar it behearsegment.
Dit blykt it folgjende diagram te wêzen:
D'r is gjin netwurkferbining tusken kliïnten: elk libbet yn syn eigen VDOM en hat gjin ynfloed op de oare. Sûnder dizze technology soene wy kliïnten moatte skiede mei firewall-regels, en dit is riskant troch minsklike flater. Jo kinne sokke regels fergelykje mei in doar dy't hieltyd ticht moat. Yn it gefal fan VDOM litte wy hielendal gjin "doarren".
Yn in aparte VDOM hat de klant syn eigen adressering en routing. Dêrom wurdt it oerstekken fan berikken gjin probleem foar it bedriuw. De kliïnt kin de nedige IP-adressen tawize oan firtuele buroblêden. Dit is handich foar grutte bedriuwen dy't har eigen IP-plannen hawwe.
Wy losse ferbiningsproblemen op mei it bedriuwsnetwurk fan 'e klant. In aparte taak is it ferbinen fan VDI mei de kliïntynfrastruktuer. As in bedriuw bedriuwssystemen yn ús datasintrum hâldt, kinne wy gewoan in netwurkkabel útfiere fan har apparatuer nei de firewall. Mar faker hawwe wy te krijen mei in side op ôfstân - in oar datasintrum as in kantoar fan in klant. Yn dit gefal tinke wy troch in feilige útwikseling mei de side en bouwe site2site VPN mei IPsec VPN.
Regelingen kinne ferskille ôfhinklik fan de kompleksiteit fan 'e ynfrastruktuer. Op guon plakken is it genôch om ien kantoarnetwurk te ferbinen mei VDI - statyske routing is dêr genôch. Grutte bedriuwen hawwe in protte netwurken dy't konstant feroarje; hjir hat de klant dynamyske routing nedich. Wy brûke ferskate protokollen: d'r hawwe al gefallen west mei OSPF (Open Shortest Path First), GRE-tunnels (Generic Routing Encapsulation) en BGP (Border Gateway Protocol). FortiGate stipet netwurkprotokollen yn aparte VDOM's, sûnder oare kliïnten te beynfloedzjen.
Jo kinne ek bouwe GOST-VPN - fersifering basearre op kryptografyske beskerming middels sertifisearre troch de FSB fan 'e Russyske Federaasje. Bygelyks, mei help fan KS1 klasse oplossings yn de firtuele omjouwing "S-Terra Virtual Gateway" of PAK ViPNet, APKSH "Kontinint", "S-Terra".
It ynstellen fan groepbelied. Wy iens mei de klant op groep belied dat wurdt tapast op VDI. Hjir binne de prinsipes fan ynstelling net oars as it ynstellen fan belied yn it kantoar. Wy sette yntegraasje mei Active Directory en delegearje behear fan guon groep belied oan kliïnten. Huurdersbehearders kinne belied tapasse op it Computer-objekt, de organisatoaryske ienheid yn Active Directory beheare en brûkers oanmeitsje.
Op FortiGate skriuwe wy foar elke VDOM-kliïnt in netwurkfeiligensbelied, set tagongsbeperkingen yn en konfigurearje ferkearsynspeksje. Wy brûke ferskate FortiGate-modules:
- IPS module scans ferkear foar malware en foarkomt ynbraak;
- it antivirus beskermet de buroblêden sels fan malware en spyware;
- webfiltering blokkearret tagong ta ûnbetroubere boarnen en siden mei kweade of ûngepaste ynhâld;
- Firewall-ynstellingen kinne brûkers allinich tagong krije ta it ynternet op bepaalde siden.
Soms wol in kliïnt selsstannich de tagong fan meiwurkers ta websiden beheare. Faker as net komme banken mei dit fersyk: feiligenstsjinsten fereaskje dat tagongskontrôle oan 'e kant fan it bedriuw bliuwt. Sokke bedriuwen kontrolearje it ferkear sels en meitsje geregeld feroarings yn belied. Yn dit gefal draaie wy alle ferkear fan FortiGate nei de klant. Om dit te dwaan, brûke wy in konfigureare ynterface mei de ynfrastruktuer fan it bedriuw. Dêrnei konfigurearret de klant sels de regels foar tagong ta it bedriuwsnetwurk en it ynternet.
Wy sjogge de eveneminten op de tribune. Tegearre mei FortiGate brûke wy FortiAnalyzer, in logsamler fan Fortinet. Mei har help sjogge wy alle barrenslogs op VDI op ien plak, fine fertochte aksjes en folgje korrelaasjes.
Ien fan ús kliïnten brûkt Fortinet-produkten yn har kantoar. Dêrfoar hawwe wy it uploaden fan logboeken konfigureare - sadat de klant alle feiligenseveneminten foar kantoarmasines en firtuele buroblêden koe analysearje.
Hoe firtuele buroblêden te beskermjen
Fan bekende bedrigings. As de kliïnt anty-firusbeskerming selsstannich beheare wol, ynstallearje wy ek Kaspersky Security foar firtuele omjouwings.
Dizze oplossing wurket goed yn 'e wolk. Wy binne allegear wend oan it feit dat it klassike Kaspersky-antivirus in "swiere" oplossing is. Yn tsjinstelling, Kaspersky Security for Virtualization laadt gjin firtuele masines. Alle firusdatabases lizze op 'e tsjinner, dy't oardielen útjout foar alle firtuele masines fan' e node. Allinich de ljochtagent is ynstalleare op it firtuele buroblêd. It stjoert bestannen nei de tsjinner foar ferifikaasje.
Dizze arsjitektuer leveret tagelyk bestânbeskerming, ynternetbeskerming en oanfalsbeskerming sûnder de prestaasjes fan firtuele masines te kompromittearjen. Yn dit gefal kin de kliïnt selsstannich útsûnderingen foar triembeskerming ynfiere. Wy helpe mei basis opset fan de oplossing. Wy sille prate oer syn funksjes yn in apart artikel.
Fan ûnbekende bedrigings. Om dit te dwaan ferbine wy FortiSandbox - in "sandbox" fan Fortinet. Wy brûke it as in filter yn it gefal dat it antivirus in bedriging fan nul dagen mist. Nei it downloaden fan it bestân scannen wy it earst mei in antivirus en stjoere it dan nei de sânbak. FortiSandbox emulearret in firtuele masine, rint it bestân út en observearret har gedrach: hokker objekten yn 'e registraasje tagong krije, oft it eksterne oanfragen stjoert, ensfh. As in bestân him fertocht gedraacht, wurdt de firtuele masine mei sânboxen wiske en komt it kweade bestân net op 'e brûker VDI.
Hoe kinne jo in feilige ferbining mei VDI ynstelle
Wy kontrolearje it neilibjen fan it apparaat oan easken foar ynformaasjefeiligens. Sûnt it begjin fan wurk op ôfstân hawwe kliïnten ús benadere mei fersiken: om de feilige wurking fan brûkers fan har persoanlike kompjûters te garandearjen. Elke spesjalist foar ynformaasjefeiligens wit dat it beskermjen fan thúsapparaten lestich is: jo kinne it nedige antivirus net ynstallearje of groepbelied tapasse, om't dit gjin kantoarapparatuer is.
Standert wurdt VDI in feilige "laach" tusken in persoanlik apparaat en it bedriuwsnetwurk. Om VDI te beskermjen tsjin oanfallen fan 'e brûkersmasine, skeakelje wy it klamboerd út en ferbiede USB-trochstjoere. Mar dit makket it apparaat fan de brûker sels net feilich.
Wy lossen it probleem mei FortiClient. Dit is in ark foar einpuntbeskerming. De brûkers fan it bedriuw ynstallearje FortiClient op har thúskompjûters en brûke it om te ferbinen mei in firtuele buroblêd. FortiClient lost 3 problemen tagelyk op:
- wurdt in "ien finster" fan tagong foar de brûker;
- kontrolearret oft jo persoanlike kompjûter in antyvirus hat en de lêste OS-fernijings;
- bout in VPN-tunnel foar feilige tagong.
In meiwurker krijt allinich tagong as se ferifikaasje trochjaan. Tagelyk binne de firtuele buroblêden sels net tagonklik fan it ynternet, wat betsjut dat se better beskerme binne tsjin oanfallen.
As in bedriuw sels einpuntbeskerming wol beheare, biede wy FortiClient EMS (Endpoint Management Server) oan. De kliïnt kin buroblêdscannen en ynbraakprevinsje konfigurearje, en in wite list mei adressen meitsje.
It tafoegjen fan autentikaasjefaktoaren. Standert wurde brûkers authentisearre fia Citrix netscaler. Ek hjir kinne wy befeiliging ferbetterje mei multifactor-autentikaasje basearre op SafeNet-produkten. Dit ûnderwerp fertsjinnet spesjale oandacht, wy sille ek prate oer dit yn in apart artikel.
Wy hawwe sa'n ûnderfining sammele yn it wurkjen mei ferskate oplossingen oer it ôfrûne jier fan wurk. De VDI-tsjinst is apart foar elke klant konfigureare, dus wy hawwe de meast fleksibele ark keazen. Miskien sille wy yn 'e heine takomst wat oars tafoegje en ús ûnderfining diele.
Op 7 oktober om 17.00 sille myn kollega's prate oer firtuele buroblêden op it webinar "Is VDI nedich, of hoe kinne jo wurk op ôfstân organisearje?"
, as jo wolle besprekke wannear't VDI-technology geskikt is foar in bedriuw en wannear't it better is om oare metoaden te brûken.
Boarne: www.habr.com