Am-bliadhna, ghluais mòran chompanaidhean gu sgiobalta gu obair aig astar. Airson cuid de luchd-dèiligidh sinn cuir air dòigh còrr air ceud cosnadh iomallach gach seachdain. Bha e cudromach seo a dhèanamh chan ann a-mhàin gu sgiobalta, ach cuideachd gu sàbhailte. Tha teicneòlas VDI air a thighinn gu teasairginn: le a chuideachadh, tha e goireasach poileasaidhean tèarainteachd a sgaoileadh gu gach àite-obrach agus dìon an aghaidh aodion dàta.
San artaigil seo innsidh mi dhut mar a tha an t-seirbheis deasg brìgheil againn stèidhichte air Citrix VDI ag obair bho shealladh tèarainteachd fiosrachaidh. Seallaidh mi dhut na nì sinn gus deasg teachdaiche a dhìon bho bhagairtean bhon taobh a-muigh leithid ransomware no ionnsaighean cuimsichte.
Dè na duilgheadasan tèarainteachd a bhios sinn a’ fuasgladh?
Tha sinn air grunn phrìomh chunnartan tèarainteachd a chomharrachadh don t-seirbheis. Air an aon làimh, tha an deasg brìgheil ann an cunnart a bhith air a ghlacadh bho choimpiutair an neach-cleachdaidh. Air an làimh eile, tha cunnart ann a dhol a-mach bhon deasg brìgheil gu àite fosgailte an eadar-lìn agus faidhle gabhaltach a luchdachadh sìos. Fiù ma thachras seo, cha bu chòir dha buaidh a thoirt air a’ bhun-structair gu lèir. Mar sin, nuair a bha sinn a’ cruthachadh na seirbheis, dh’ fhuasgail sinn grunn dhuilgheadasan:
- A’ dìon an t-seasamh VDI gu lèir bho chunnartan bhon taobh a-muigh.
- Dealachadh luchd-ceannach bho chèile.
- Dìon na virtual desktops iad fhèin.
- Ceangail luchd-cleachdaidh gu tèarainte bho inneal sam bith.
B’ e cridhe an dìon FortiGate, balla-teine ginealach ùr bho Fortinet. Bidh e a’ cumail sùil air trafaic bothan VDI, a’ toirt seachad bun-structar iomallach airson gach neach-dèiligidh, agus a’ dìon an aghaidh so-leòntachd air taobh an neach-cleachdaidh. Tha na comasan aige gu leòr airson a’ mhòr-chuid de chùisean tèarainteachd fiosrachaidh fhuasgladh.
Ach ma tha riatanasan tèarainteachd sònraichte aig companaidh, bidh sinn a’ tabhann roghainnean a bharrachd:
- Bidh sinn a 'cur air dòigh ceangal tèarainte airson obrachadh bho choimpiutairean dachaigh.
- Bidh sinn a’ toirt cothrom airson mion-sgrùdadh neo-eisimeileach air logaichean tèarainteachd.
- Bidh sinn a’ toirt seachad riaghladh dìon anti-bhìoras air deasg.
- Bidh sinn a’ dìon an aghaidh so-leòntachd latha neoni.
- Bidh sinn a’ rèiteachadh dearbhadh ioma-fhactaraidh airson dìon a bharrachd an aghaidh cheanglaichean gun chead.
Innsidh mi dhut ann am barrachd mionaideachd mar a dh’ fhuasgail sinn na duilgheadasan.
Mar a dhìonas tu an stand agus dèan cinnteach à tèarainteachd lìonra
Nach roinn sinn am pàirt lìonra. Aig an stand bidh sinn a’ soilleireachadh roinn riaghlaidh dùinte airson a bhith a’ riaghladh a h-uile goireas. Chan eil an roinn riaghlaidh ruigsinneach bhon taobh a-muigh: ma thèid ionnsaigh a thoirt air an neach-dèiligidh, cha bhith e comasach dha luchd-ionnsaigh faighinn ann.
Tha uallach air FortiGate airson dìon. Bidh e a’ cothlamadh gnìomhan siostam anti-bhìoras, balla-teine, agus casg sàrachadh (IPS).
Airson gach neach-dèiligidh bidh sinn a’ cruthachadh roinn lìonra iomallach airson deasg mas-fhìor. Airson an adhbhair seo, tha teicneòlas àrainn mas-fhìor aig FortiGate, no VDOM. Leigidh e leat am balla-teine a roinn ann an grunn bhuidhnean brìgheil agus a VDOM fhèin a riarachadh do gach neach-dèiligidh, a bhios gad ghiùlan fhèin mar bhalla-teine air leth. Bidh sinn cuideachd a’ cruthachadh VDOM air leth airson an roinn riaghlaidh.
Tha e coltach gur e seo an sgeama a leanas:
Chan eil ceangal lìonra eadar teachdaichean: tha gach fear a’ fuireach na VDOM fhèin agus chan eil e a’ toirt buaidh air an fhear eile. Às aonais an teicneòlais seo, dh'fheumamaid luchd-cleachdaidh a sgaradh le riaghailtean balla-teine, a tha cunnartach mar thoradh air mearachd daonna. Faodaidh tu coimeas a dhèanamh eadar na riaghailtean sin agus doras a dh'fheumas a bhith dùinte gu cunbhalach. A thaobh VDOM, chan fhàg sinn “dorsan” idir.
Ann an VDOM air leth, tha a sheòladh agus a shlighe fhèin aig an neach-dèiligidh. Mar sin, chan eil raointean tarsainn na dhuilgheadas don chompanaidh. Faodaidh an neach-dèiligidh na seòlaidhean IP riatanach a shònrachadh gu deasg brìgheil. Tha seo goireasach dha companaidhean mòra aig a bheil na planaichean IP aca fhèin.
Bidh sinn a’ fuasgladh chùisean ceangail le lìonra corporra an neach-dèiligidh. Is e gnìomh air leth a bhith a’ ceangal VDI ri bun-structar an teachdaiche. Ma chumas companaidh siostaman corporra san ionad dàta againn, is urrainn dhuinn dìreach càball lìonra a ruith bhon uidheamachd aca chun bhalla-teine. Ach nas trice bidh sinn a’ dèiligeadh ri làrach iomallach - ionad dàta eile no oifis teachdaiche. Anns a 'chùis seo, bidh sinn a' smaoineachadh tro iomlaid tèarainte leis an làrach agus a 'togail site2site VPN a' cleachdadh IPsec VPN.
Faodaidh sgeamaichean atharrachadh a rèir iom-fhillteachd a’ bhun-structair. Ann an cuid de dh'àiteachan tha e gu leòr aon lìonra oifis a cheangal ri VDI - tha slighe statach gu leòr an sin. Tha mòran lìonraidhean aig companaidhean mòra a tha daonnan ag atharrachadh; an seo feumaidh an neach-dèiligidh slighe fiùghantach. Bidh sinn a’ cleachdadh diofar phròtacalan: tha cùisean air a bhith ann mar-thà le OSPF (Open Shortest Path First), tunailean GRE (Generic Routing Encapsulation) agus BGP (Border Gateway Protocol). Tha FortiGate a 'toirt taic do phròtacalan lìonra ann an VDOMs fa leth, gun a bhith a' toirt buaidh air luchd-dèiligidh eile.
Faodaidh tu cuideachd GOST-VPN a thogail - crioptachadh stèidhichte air dòighean dìon criptografach air an dearbhadh le FSB Caidreachas na Ruis. Mar eisimpleir, a’ cleachdadh fuasglaidhean clas KS1 anns an àrainneachd bhrìgheil “S-Terra Virtual Gateway” no PAK ViPNet, APKSH “Continent”, “S-Terra”.
Stèidhich Poileasaidhean Buidhne. Tha sinn ag aontachadh leis an neach-dèiligidh mu phoileasaidhean buidhne a tha air an cur an sàs air VDI. An seo chan eil prionnsapalan suidheachadh eadar-dhealaichte bho bhith a’ suidheachadh phoileasaidhean san oifis. Stèidhich sinn amalachadh le Active Directory agus bidh sinn a’ tiomnadh riaghladh cuid de phoileasaidhean buidhne gu teachdaichean. Faodaidh luchd-rianachd luchd-gabhail poileasaidhean a chuir an sàs ann an nì a’ choimpiutair, an aonad eagrachaidh ann an Active Directory a riaghladh, agus luchd-cleachdaidh a chruthachadh.
Air FortiGate, airson gach neach-dèiligidh VDOM bidh sinn a’ sgrìobhadh poileasaidh tèarainteachd lìonra, a’ suidheachadh chuingealachaidhean ruigsinneachd agus a’ rèiteachadh sgrùdadh trafaic. Bidh sinn a’ cleachdadh grunn mhodalan FortiGate:
- Bidh modal IPS a’ sganadh trafaic airson malware agus a’ cur casg air sàrachadh;
- bidh an antivirus a’ dìon an deasg iad fhèin bho malware agus spyware;
- bidh sìoladh lìn a’ bacadh ruigsinneachd air goireasan neo-earbsach agus làraich le susbaint droch-rùnach no neo-iomchaidh;
- Faodaidh roghainnean balla-teine leigeil le luchd-cleachdaidh faighinn chun eadar-lìn a-mhàin gu làraich sònraichte.
Aig amannan bidh neach-dèiligidh ag iarraidh ruigsinneachd luchd-obrach gu làraich-lìn a riaghladh gu neo-eisimeileach. Nas trice na chan e, thig bancaichean leis an iarrtas seo: tha seirbheisean tèarainteachd ag iarraidh gum fuirich smachd ruigsinneachd air taobh na companaidh. Bidh companaidhean mar seo iad fhèin a’ cumail sùil air trafaic agus a’ dèanamh atharrachaidhean air poileasaidhean gu cunbhalach. Anns a 'chùis seo, bidh sinn a' tionndadh a h-uile trafaig bho FortiGate chun an neach-dèiligidh. Gus seo a dhèanamh, bidh sinn a’ cleachdadh eadar-aghaidh rèiteachaidh le bun-structar a’ chompanaidh. Às deidh seo, bidh an neach-dèiligidh fhèin a’ rèiteachadh nan riaghailtean airson ruigsinneachd air an lìonra corporra agus an eadar-lìn.
Bidh sinn a’ coimhead air na tachartasan aig an stand. Còmhla ri FortiGate bidh sinn a’ cleachdadh FortiAnalyzer, neach-cruinneachaidh logaichean bho Fortinet. Le a chuideachadh, bidh sinn a’ coimhead air a h-uile clàr tachartais air VDI ann an aon àite, a’ lorg gnìomhan amharasach agus a’ lorg co-dhàimhean.
Bidh aon de ar luchd-dèiligidh a’ cleachdadh bathar Fortinet san oifis aca. Air a shon, shuidhich sinn luchdachadh suas logaichean - gus am b’ urrainn don neach-dèiligidh sgrùdadh a dhèanamh air a h-uile tachartas tèarainteachd airson innealan oifis agus deasg brìgheil.
Mar a dhìonas tu deasgaichean brìgheil
Bho chunnartan aithnichte. Ma tha an neach-dèiligidh airson dìon an-aghaidh bhìoras a riaghladh gu neo-eisimeileach, bidh sinn cuideachd a’ stàladh Kaspersky Security airson àrainneachdan brìgheil.
Bidh am fuasgladh seo ag obair gu math san sgòth. Tha sinn uile cleachdte ris gu bheil an anti-bhìoras clasaigeach Kaspersky na fhuasgladh “trom”. An coimeas ri sin, cha bhith Kaspersky Security for Virtualization a’ luchdachadh innealan brìgheil. Tha a h-uile stòr-dàta bhìoras suidhichte air an fhrithealaiche, a bhios a’ toirt seachad co-dhùnaidhean airson a h-uile inneal brìgheil den nód. Is e dìreach an àidseant solais a tha air a chuir a-steach air an deasg brìgheil. Bidh e a’ cur fhaidhlichean chun t-seirbheisiche airson dearbhadh.
Bidh an ailtireachd seo aig an aon àm a ’toirt seachad dìon faidhle, dìon eadar-lìn, agus dìon ionnsaigh gun a bhith a’ toirt buaidh air coileanadh innealan brìgheil. Anns a 'chùis seo, faodaidh an neach-dèiligidh eisgeachdan dìon faidhle a thoirt a-steach gu neo-eisimeileach. Bidh sinn a’ cuideachadh le suidheachadh bunaiteach an fhuasglaidh. Bruidhnidh sinn mu na feartan aige ann an artaigil air leth.
Bho chunnartan neo-aithnichte. Gus seo a dhèanamh, bidh sinn a 'ceangal FortiSandbox - "bogsa gainmhich" bho Fortinet. Bidh sinn ga chleachdadh mar shìoltachan gun fhios nach caill an antivirus bagairt latha neoni. Às deidh dhuinn am faidhle a luchdachadh sìos, bidh sinn ga sganadh an toiseach le anti-bhìoras agus an uairsin ga chuir chun bhogsa gainmhich. Bidh FortiSandbox a’ dèanamh atharrais air inneal brìgheil, a’ ruith am faidhle agus a’ cumail sùil air a ghiùlan: dè na nithean sa chlàr a gheibhear thuca, ge bith an cuir e iarrtasan bhon taobh a-muigh, agus mar sin air adhart. Ma bhios faidhle gan giùlan fhèin gu amharasach, thèid an inneal brìgheil bogsa gainmhich a dhubhadh às agus chan eil am faidhle droch-rùnach a’ tighinn gu crìch air VDI an neach-cleachdaidh.
Mar a shuidhicheas tu ceangal tèarainte ri VDI
Bidh sinn a’ dèanamh cinnteach gu bheil an inneal a’ gèilleadh ri riatanasan tèarainteachd fiosrachaidh. Bho thòisich obair iomallach, tha teachdaichean air fios a chuir thugainn le iarrtasan: gus dèanamh cinnteach à obrachadh sàbhailte luchd-cleachdaidh bho na coimpiutairean pearsanta aca. Tha fios aig eòlaiche tèarainteachd fiosrachaidh sam bith gu bheil e duilich innealan dachaigh a dhìon: chan urrainn dhut an anti-bhìoras riatanach a chuir a-steach no poileasaidhean buidhne a chuir an sàs, leis nach e uidheamachd oifis a tha seo.
Gu gnàthach, bidh VDI gu bhith na “sreath” tèarainte eadar inneal pearsanta agus an lìonra corporra. Gus VDI a dhìon bho ionnsaighean bhon inneal cleachdaiche, bidh sinn a’ cuir dheth a’ bhòrd bhidio agus a’ toirmeasg gluasad USB air adhart. Ach chan eil seo a 'dèanamh inneal an neach-cleachdaidh fhèin tèarainte.
Bidh sinn a 'fuasgladh na duilgheadas le bhith a' cleachdadh FortiClient. Is e inneal dìon endpoint a tha seo. Bidh luchd-cleachdaidh a’ chompanaidh a’ stàladh FortiClient air na coimpiutairean dachaigh aca agus ga chleachdadh gus ceangal ri deasg mas-fhìor. Bidh FortiClient a’ fuasgladh 3 duilgheadasan aig an aon àm:
- gu bhith na “uinneag singilte” ruigsinneachd don neach-cleachdaidh;
- dèan cinnteach a bheil antivirus aig a’ choimpiutair agad agus na h-ùrachaidhean OS as ùire;
- a’ togail tunail VPN airson ruigsinneachd tèarainte.
Chan fhaigh neach-obrach cothrom ach ma thèid iad seachad air dearbhadh. Aig an aon àm, tha na deasgaichean brìgheil iad fhèin ruigsinneach bhon eadar-lìn, a tha a’ ciallachadh gu bheil iad air an dìon nas fheàrr bho ionnsaighean.
Ma tha companaidh airson dìon endpoint a riaghladh iad fhèin, bidh sinn a’ tabhann FortiClient EMS (Endpoint Management Server). Faodaidh an neach-dèiligidh sganadh deasg agus casg sàrachadh a rèiteachadh, agus liosta geal de sheòlaidhean a chruthachadh.
A’ cur ris factaran dearbhaidh. Gu gnàthach, bidh luchd-cleachdaidh air an dearbhadh tro Citrix netscaler. An seo cuideachd, is urrainn dhuinn tèarainteachd àrdachadh le bhith a’ cleachdadh dearbhadh ioma-fhactaraidh stèidhichte air toraidhean SafeNet. Tha an cuspair seo airidh air aire shònraichte; bruidhnidh sinn mu dheidhinn seo ann an artaigil air leth cuideachd.
Tha sinn air a leithid de eòlas a chruinneachadh ann a bhith ag obair le diofar fhuasglaidhean thairis air a’ bhliadhna obrach a dh’ fhalbh. Tha an t-seirbheis VDI air a rèiteachadh air leth airson gach neach-dèiligidh, agus mar sin thagh sinn na h-innealan as sùbailte. Is dòcha san àm ri teachd gun cuir sinn rudeigin eile ris agus gun roinn sinn ar n-eòlas.
Air 7 Dàmhair aig 17.00 bruidhnidh mo cho-obraichean air deasg brìgheil aig an webinar “A bheil feum air VDI, no ciamar a chuireas tu obair iomallach air dòigh?”
, ma tha thu airson bruidhinn mu dheidhinn cuin a tha teicneòlas VDI freagarrach airson companaidh agus cuin a tha e nas fheàrr dòighean eile a chleachdadh.
Source: www.habr.com