I mbliana, d'aistrigh go leor cuideachtaí go tapa chuig cianobair. I gcás roinnt cliant againn níos mó ná céad post iargúlta a eagrú in aghaidh na seachtaine. Bhí sé tábhachtach é seo a dhéanamh ní hamháin go tapa, ach freisin go sábháilte. Tá teicneolaíocht VDI tagtha chun tarrthála: lena chabhair, tá sé áisiúil beartais slándála a dháileadh ar gach ionad oibre agus cosaint a dhéanamh ar sceitheadh sonraí.
San Airteagal seo inseoidh mé duit conas a oibríonn ár seirbhís deisce fíorúil bunaithe ar Citrix VDI ó thaobh slándála faisnéise de. Taispeánfaidh mé duit cad a dhéanaimid chun deasc cliant a chosaint ó bhagairtí seachtracha mar earraí ransomware nó ionsaithe spriocdhírithe.
Cad iad na fadhbanna slándála a réitímid?
Tá roinnt príomhbhagairtí slándála aitheanta againn don tseirbhís. Ar thaobh amháin, tá an baol ann go mbeidh an deasc fíorúil ionfhabhtaithe ó ríomhaire an úsáideora. Ar an láimh eile, tá an baol ann dul amach ón deasc fíorúil isteach i spás oscailte an Idirlín agus comhad ionfhabhtaithe a íoslódáil. Fiú má tharlaíonn sé seo, níor cheart go gcuirfeadh sé isteach ar an mbonneagar iomlán. Mar sin, agus an tseirbhís á cruthú againn, réitigh muid roinnt fadhbanna:
- Cosnaíonn an seastán VDI iomlán ó bhagairtí seachtracha.
- Cliant a leithlisiú óna chéile.
- Na deasc fíorúil a chosaint iad féin.
- Ceangail úsáideoirí go sábháilte ó aon fheiste.
Ba é croílár na cosanta ná FortiGate, balla dóiteáin ghlúin nua ó Fortinet. Déanann sé monatóireacht ar thrácht mboth VDI, soláthraíonn sé bonneagar iargúlta do gach cliant, agus cosnaíonn sé i gcoinne leochaileachtaí ar thaobh an úsáideora. Is leor a chumais chun formhór na saincheisteanna slándála faisnéise a réiteach.
Ach má tá riachtanais slándála speisialta ag cuideachta, cuirimid roghanna breise ar fáil:
- Eagraímid nasc slán chun oibriú ó ríomhairí baile.
- Soláthraímid rochtain le haghaidh anailíse neamhspleách ar logaí slándála.
- Soláthraímid bainistíocht ar chosaint frithvíreas ar an deasc.
- Cosnaíonn muid in aghaidh leochaileachtaí náid lae.
- Déanaimid fíordheimhniú ilfhachtóirí a chumrú le haghaidh cosaint bhreise i gcoinne naisc neamhúdaraithe.
Inseoidh mé duit go mion conas mar a réitigh muid na fadhbanna.
Conas an seastán a chosaint agus slándáil líonra a chinntiú
Déanaimis an chuid líonra a dheighilt. Ag an seastán tugaimid aird ar mhír dhúnta bainistíochta chun na hacmhainní go léir a bhainistiú. Níl an deighleog bhainistíochta inrochtana ón taobh amuigh: i gcás ionsaí ar an gcliant, ní bheidh ionsaitheoirí in ann teacht ann.
Tá FortiGate freagrach as cosaint. Comhcheanglaíonn sé feidhmeanna córais frithvíreas, balla dóiteáin agus cur isteach (IPS).
Cruthaímid deighleog líonra iargúlta do gach cliant le haghaidh deasc fhíorúil. Chun na críche sin, tá teicneolaíocht fearainn fíorúil, nó VDOM, ag FortiGate. Ligeann sé duit an balla dóiteáin a roinnt ina roinnt eintiteas fíorúla agus a VDOM féin a leithdháileadh ar gach cliant, a iompraíonn mar bhalla dóiteáin ar leith. Cruthaímid VDOM ar leith freisin don mhír bhainistíochta.
Is cosúil gurb é seo an léaráid seo a leanas:
Níl aon nascacht líonra idir na cliaint: tá gach duine ina chónaí ina VDOM féin agus níl tionchar aige ar an gceann eile. Gan an teicneolaíocht seo, bheadh orainn cliaint a scaradh le rialacha balla dóiteáin, rud atá contúirteach mar gheall ar earráid dhaonna. Is féidir leat rialacha den sórt sin a chur i gcomparáid le doras a chaithfear a dhúnadh i gcónaí. I gcás VDOM, ní fhágaimid “doirse” ar bith.
I VDOM ar leith, tá a seoltaí agus a ródú féin ag an gcliant. Mar sin, ní fadhb don chuideachta é raonta trasnaithe. Is féidir leis an gcliant na seoltaí IP riachtanacha a shannadh chuig deasc fíorúil. Tá sé seo áisiúil do chuideachtaí móra a bhfuil a bpleananna IP féin acu.
Réitímid saincheisteanna nascachta le líonra corparáideach an chliaint. Tasc ar leith is ea VDI a nascadh leis an mbonneagar cliant. Má choinníonn cuideachta córais chorparáideacha inár lárionad sonraí, ní féidir linn ach cábla líonra a rith óna trealamh go dtí an balla dóiteáin. Ach níos minice táimid ag déileáil le suíomh cianda - ionad sonraí eile nó oifig cliaint. Sa chás seo, smaoinímid trí mhalartú slán leis an suíomh agus tóg site2site VPN ag baint úsáide as IPsec VPN.
Féadfaidh scéimeanna a bheith éagsúil ag brath ar chastacht an bhonneagair. In áiteanna áirithe is leor líonra oifige amháin a nascadh le VDI - is leor ródú statach ann. Tá go leor líonraí ag cuideachtaí móra atá ag athrú i gcónaí; anseo tá ródú dinimiciúil ag teastáil ón gcliant. Bainimid úsáid as prótacail éagsúla: bhí cásanna ann cheana féin le OSPF (Open Shortest Path First), tolláin GRE (Iomchamhlú Ródúcháin Cineálach) agus BGP (Prótacal Geata na Teorann). Tacaíonn FortiGate le prótacail líonra i VDOM ar leith, gan cur isteach ar chliaint eile.
Is féidir leat GOST-VPN a thógáil freisin - ciallaíonn criptiú bunaithe ar chosaint cripteagrafach arna dheimhniú ag an FSB de Chónaidhm na Rúise. Mar shampla, réitigh ranga EC1 a úsáid sa timpeallacht fhíorúil “S-Terra Virtual Gateway” nó PAK ViPNet, APKSH “Continent”, “S-Terra”.
Beartais Ghrúpa a bhunú. Aontaímid leis an gcliant ar bheartais ghrúpa a chuirtear i bhfeidhm ar VDI. Níl aon difríocht idir prionsabail an tsocraithe anseo agus na beartais a leagadh síos san oifig. Chuireamar comhtháthú le Active Directory ar bun agus tarmligeadh bainistíocht ar roinnt beartas grúpa do chliaint. Is féidir le riarthóirí tionóntaí polasaithe a chur i bhfeidhm ar an réad Ríomhaireachta, an t-aonad eagraíochtúil san Eolaire Gníomhach a bhainistiú, agus úsáideoirí a chruthú.
Ar FortiGate, scríobhaimid polasaí slándála líonra do gach cliant VDOM, socróimid srianta rochtana agus cumaimid cigireacht tráchta. Bainimid úsáid as roinnt modúl FortiGate:
- Déanann modúl IPS scanadh ar thrácht le haghaidh malware agus cuireann sé cosc ar ionsá;
- cosnaíonn an frithvíreas na ríomhairí deisce iad féin ó mhailís agus earraí spiaireachta;
- cuireann scagadh gréasáin bac ar rochtain ar acmhainní neamhiontaofa agus ar shuíomhanna a bhfuil ábhar mailíseach nó míchuí iontu;
- D’fhéadfadh socruithe balla dóiteáin ligean d’úsáideoirí rochtain a fháil ar an Idirlíon ar shuíomhanna áirithe amháin.
Uaireanta is mian le cliant rochtain fostaithe ar láithreáin ghréasáin a bhainistiú go neamhspleách. Níos minice ná a mhalairt, tagann na bainc leis an iarratas seo: éilíonn seirbhísí slándála go bhfanfadh rialú rochtana ar thaobh na cuideachta. Déanann cuideachtaí den sórt sin iad féin a mhonatóiriú ar thrácht agus déanann siad athruithe ar bheartais go rialta. Sa chás seo, casaimid an trácht go léir ó FortiGate i dtreo an chliaint. Chun seo a dhéanamh, úsáidimid comhéadan cumraithe le bonneagar na cuideachta. Tar éis seo, déanann an cliant féin na rialacha maidir le rochtain ar an líonra corparáideach agus ar an Idirlíon a chumrú.
Breathnaímid ar na himeachtaí ag an seastán. In éineacht le FortiGate úsáidimid FortiAnalyzer, bailitheoir log ó Fortinet. Le cabhair uaidh, féachaimid ar gach logáil imeachtaí ar VDI in aon áit amháin, faighimid gníomhartha amhrasacha agus rianaimid comhghaolta.
Úsáideann duine dár gcliaint táirgí Fortinet ina n-oifig. Ar a shon, rinneamar uaslódáil logáil a chumrú - mar sin bhí an cliant in ann anailís a dhéanamh ar gach imeacht slándála le haghaidh meaisíní oifige agus deasc fhíorúil.
Conas deasc fíorúil a chosaint
Ó bhagairtí aitheanta. Más mian leis an gcliant cosaint frithvíreas a bhainistiú go neamhspleách, déanaimid Kaspersky Security a shuiteáil freisin do thimpeallachtaí fíorúla.
Oibríonn an réiteach seo go maith sa scamall. Táimid go léir i dtaithí ar an bhfíric gur réiteach “trom” é an frithvíreas clasaiceach Kaspersky. I gcodarsnacht leis sin, ní luchtaíonn Kaspersky Security for Virtualization meaisíní fíorúla. Tá gach bunachar sonraí víreas suite ar an bhfreastalaí, a eisíonn fíoraisc do gach meaisín fíorúil den nód. Níl ach an gníomhaire solais suiteáilte ar an deasc fíorúil. Cuireann sé comhaid chuig an bhfreastalaí lena bhfíorú.
Soláthraíonn an ailtireacht seo cosaint comhad, cosaint Idirlín, agus cosaint ionsaí ag an am céanna gan cur isteach ar fheidhmíocht meaisíní fíorúla. Sa chás seo, is féidir leis an gcliant eisceachtaí maidir le cosaint comhaid a thabhairt isteach go neamhspleách. Cabhraímid le socrú bunúsach an réitigh. Déanfaimid labhairt faoi a ghnéithe in alt ar leith.
Ó bhagairtí anaithnid. Chun seo a dhéanamh, nascaimid FortiSandbox - “bosca gainimh” ó Fortinet. Úsáidimid é mar scagaire ar eagla go gcaillfidh an frithvíreas bagairt náid lá. Tar éis an comhad a íoslódáil, déanaimid é a scanadh ar dtús le frithvíreas agus ansin é a sheoladh chuig an mbosca gainimh. Déanann FortiSandbox aithris ar mheaisín fíorúil, ritheann sé an comhad agus breathnaíonn sé ar a iompar: cad iad na rudaí sa chlár a ndéantar rochtain orthu, cibé an seolann sé iarratais sheachtracha, agus mar sin de. Má iompraíonn comhad go hamhrasach, scriostar an meaisín fíorúil bosca gainimh agus ní chríochnaíonn an comhad mailíseach ar an VDI úsáideora.
Conas nasc slán le VDI a shocrú
Déanaimid seiceáil ar chomhlíonadh an fheiste le ceanglais slándála faisnéise. Ó cuireadh tús leis an gcianobair, chuaigh cliaint i dteagmháil linn le hiarratais: chun oibriú sábháilte úsáideoirí a chinntiú óna ríomhairí pearsanta. Tá a fhios ag aon speisialtóir slándála faisnéise go bhfuil sé deacair feistí baile a chosaint: ní féidir leat an frithvíreas riachtanach a shuiteáil ná polasaithe grúpa a chur i bhfeidhm, toisc nach trealamh oifige é seo.
De réir réamhshocraithe, déantar “ciseal” slán de VDI idir feiste pearsanta agus an líonra corparáideach. Chun VDI a chosaint ar ionsaithe ón meaisín úsáideora, díchumasaítear an gearrthaisce agus cuirimid cosc ar chur ar aghaidh USB. Ach ní fhágann sé seo gléas an úsáideora féin slán.
Réitímid an fhadhb ag baint úsáide as FortiClient. Is uirlis cosanta críochphointe é seo. Déanann úsáideoirí na cuideachta FortiClient a shuiteáil ar a gcuid ríomhairí baile agus é a úsáid chun nascadh le deasc fíorúil. Réitíonn FortiClient 3 fhadhb ag an am céanna:
- a thiocfaidh chun bheith ina “fhuinneog aonair” rochtana don úsáideoir;
- seiceálann sé an bhfuil frithvíreas ar do ríomhaire pearsanta agus na nuashonruithe OS is déanaí;
- tógann sé tollán VPN le haghaidh rochtana slán.
Ní fhaigheann fostaí rochtain ach amháin má éiríonn leis an bhfíorú. Ag an am céanna, tá na deasc fíorúla féin dorochtana ón Idirlíon, rud a chiallaíonn go bhfuil siad cosanta níos fearr ó ionsaithe.
Más mian le cuideachta cosaint críochphointe a bhainistiú féin, cuirimid FortiClient EMS (Freastalaí Bainistíochta Endpoint) ar fáil. Is féidir leis an gcliant scanadh deisce agus cosc cur isteach a chumrú, agus liosta bán seoltaí a chruthú.
Fachtóirí fíordheimhnithe á gcur leis. De réir réamhshocraithe, déantar úsáideoirí a fhíordheimhniú trí Citrix netscaler. Anseo, freisin, is féidir linn slándáil a fheabhsú trí úsáid a bhaint as fíordheimhniú ilfhachtóiriúil bunaithe ar tháirgí SafeNet. Tá aird ar leith tuillte ag an ábhar seo; labhróimid faoi seo in alt ar leith freisin.
Tá taithí den sórt sin carntha againn ar oibriú le réitigh éagsúla le bliain anuas. Tá an tseirbhís VDI cumraithe ar leithligh do gach cliant, mar sin roghnaigh muid na huirlisí is solúbtha. B'fhéidir go luath amach anseo cuirfimid rud éigin eile leis agus déanfaimid ár dtaithí a roinnt.
Ar an 7 Deireadh Fómhair ag 17.00 labhróidh mo chomhghleacaithe faoi ríomhairí deisce fíorúla ag an webinar “An bhfuil gá le VDI, nó conas cianobair a eagrú?”
, más mian leat plé a dhéanamh nuair a bhíonn teicneolaíocht VDI oiriúnach do chuideachta agus nuair is fearr modhanna eile a úsáid.
Foinse: will.com