Este ano, moitas empresas pasaron precipitadamente ao traballo remoto. Para algúns clientes nós organizar máis de cen traballos remotos á semana. Era importante facelo non só rapidamente, senón tamén con seguridade. A tecnoloxía VDI veu ao rescate: coa súa axuda, é conveniente distribuír políticas de seguridade en todos os lugares de traballo e protexerse contra as fugas de datos.
Neste artigo vouvos contar como funciona o noso servizo de escritorio virtual baseado en Citrix VDI dende o punto de vista da seguridade da información. Vou amosarche o que facemos para protexer os escritorios dos clientes de ameazas externas, como ransomware ou ataques dirixidos.
Que problemas de seguridade resolvemos?
Identificamos varias ameazas de seguridade principais para o servizo. Por unha banda, o escritorio virtual corre o risco de infectarse desde o ordenador do usuario. Por outra banda, existe o perigo de saír do escritorio virtual ao espazo aberto de Internet e descargar un ficheiro infectado. Aínda que isto ocorre, non debería afectar a toda a infraestrutura. Polo tanto, ao crear o servizo, resolvemos varios problemas:
- Protexe todo o soporte VDI de ameazas externas.
- Illamento dos clientes entre si.
- Protexendo os propios escritorios virtuais.
- Conecta os usuarios de forma segura desde calquera dispositivo.
O núcleo da protección foi FortiGate, un firewall de nova xeración de Fortinet. Monitoriza o tráfico da cabina VDI, proporciona unha infraestrutura illada para cada cliente e protexe contra as vulnerabilidades do lado do usuario. As súas capacidades son suficientes para resolver a maioría dos problemas de seguridade da información.
Pero se unha empresa ten requisitos especiais de seguridade, ofrecemos opcións adicionais:
- Organizamos unha conexión segura para traballar desde ordenadores domésticos.
- Ofrecemos acceso para a análise independente dos rexistros de seguridade.
- Ofrecemos xestión de protección antivirus en escritorios.
- Protexemos contra vulnerabilidades de día cero.
- Configuramos a autenticación multifactor para unha protección adicional contra conexións non autorizadas.
Vouche contar con máis detalle como resolvemos os problemas.
Como protexer o stand e garantir a seguridade da rede
Imos segmentar a parte da rede. No stand destacamos un segmento de xestión pechado para a xestión de todos os recursos. O segmento de xestión é inaccesible desde o exterior: en caso de ataque ao cliente, os atacantes non poderán chegar alí.
FortiGate é responsable da protección. Combina as funcións dun antivirus, firewall e sistema de prevención de intrusións (IPS).
Para cada cliente creamos un segmento de rede illado para escritorios virtuais. Para este fin, FortiGate conta con tecnoloxía de dominio virtual, ou VDOM. Permítelle dividir o firewall en varias entidades virtuais e asignar a cada cliente o seu propio VDOM, que se comporta como un firewall separado. Tamén creamos un VDOM separado para o segmento de xestión.
Este resulta ser o seguinte diagrama:
Non hai conectividade de rede entre os clientes: cada un vive no seu propio VDOM e non inflúe no outro. Sen esta tecnoloxía, teriamos que separar os clientes con regras de firewall, o que é arriscado debido ao erro humano. Podes comparar tales regras cunha porta que debe estar constantemente pechada. No caso de VDOM, non deixamos "portas" en absoluto.
Nun VDOM separado, o cliente ten o seu propio enderezo e enrutamento. Polo tanto, cruzar rangos non se converte nun problema para a empresa. O cliente pode asignar os enderezos IP necesarios aos escritorios virtuais. Isto é conveniente para as grandes empresas que teñen os seus propios plans de IP.
Resolvemos problemas de conectividade coa rede corporativa do cliente. Unha tarefa separada é conectar VDI coa infraestrutura do cliente. Se unha empresa mantén sistemas corporativos no noso centro de datos, simplemente podemos executar un cable de rede desde o seu equipo ata o firewall. Pero máis a miúdo estamos lidando cun sitio remoto: outro centro de datos ou a oficina dun cliente. Neste caso, pensamos nun intercambio seguro co sitio e construímos site2site VPN usando IPsec VPN.
Os esquemas poden variar dependendo da complexidade da infraestrutura. Nalgúns lugares abonda con conectar unha única rede de oficina a VDI - o enrutamento estático é suficiente alí. As grandes empresas teñen moitas redes que están en constante cambio; aquí o cliente necesita enrutamento dinámico. Usamos diferentes protocolos: xa houbo casos con OSPF (Open Shortest Path First), túneles GRE (Generic Routing Encapsulation) e BGP (Border Gateway Protocol). FortiGate admite protocolos de rede en VDOM separados, sen afectar a outros clientes.
Tamén pode construír GOST-VPN - cifrado baseado en medios de protección criptográfica certificados polo FSB da Federación Rusa. Por exemplo, usando solucións de clase KS1 no entorno virtual "S-Terra Virtual Gateway" ou PAK ViPNet, APKSH "Continent", "S-Terra".
Configurar políticas de grupo. Acordamos co cliente as políticas de grupo que se aplican en VDI. Aquí os principios de configuración non son diferentes dos de establecer políticas na oficina. Configuramos a integración con Active Directory e delegamos a xestión dalgunhas políticas de grupo aos clientes. Os administradores de inquilinos poden aplicar políticas ao obxecto Computer, xestionar a unidade organizativa en Active Directory e crear usuarios.
En FortiGate, para cada cliente VDOM escribimos unha política de seguridade da rede, establecemos restricións de acceso e configuramos a inspección de tráfico. Usamos varios módulos de FortiGate:
- O módulo IPS analiza o tráfico en busca de malware e evita intrusións;
- o antivirus protexe os propios escritorios de malware e spyware;
- o filtrado web bloquea o acceso a recursos e sitios pouco fiables con contido malicioso ou inadecuado;
- A configuración do firewall pode permitir aos usuarios acceder a Internet só a determinados sitios.
Ás veces, un cliente quere xestionar de forma independente o acceso dos empregados aos sitios web. Na maioría das veces, os bancos veñen con esta solicitude: os servizos de seguridade esixen que o control de acceso permaneza do lado da empresa. Estas propias empresas supervisan o tráfico e realizan cambios regularmente nas políticas. Neste caso, diriximos todo o tráfico de FortiGate cara ao cliente. Para iso, utilizamos unha interface configurada coa infraestrutura da empresa. Despois diso, o propio cliente configura as regras de acceso á rede corporativa e a Internet.
Observamos os eventos no stand. Xunto con FortiGate usamos FortiAnalyzer, un colector de rexistros de Fortinet. Coa súa axuda, observamos todos os rexistros de eventos en VDI nun só lugar, atopamos accións sospeitosas e realizamos un seguimento das correlacións.
Un dos nosos clientes usa produtos Fortinet na súa oficina. Para iso, configuramos a carga de rexistros, polo que o cliente puido analizar todos os eventos de seguridade para máquinas de oficina e escritorios virtuais.
Como protexer os escritorios virtuais
De ameazas coñecidas. Se o cliente quere xestionar de forma independente a protección antivirus, tamén instalamos Kaspersky Security para ambientes virtuais.
Esta solución funciona ben na nube. Todos estamos afeitos a que o clásico antivirus Kaspersky é unha solución "pesada". En cambio, Kaspersky Security for Virtualization non carga máquinas virtuais. Todas as bases de datos de virus están situadas no servidor, que emite veredictos para todas as máquinas virtuais do nodo. Só o axente de luz está instalado no escritorio virtual. Envía ficheiros ao servidor para a súa verificación.
Esta arquitectura proporciona simultaneamente protección de ficheiros, protección de Internet e protección contra ataques sen comprometer o rendemento das máquinas virtuais. Neste caso, o cliente pode introducir de forma independente excepcións á protección de ficheiros. Axudamos coa configuración básica da solución. Falaremos das súas características nun artigo separado.
De ameazas descoñecidas. Para iso, conectamos FortiSandbox, un "sandbox" de Fortinet. Utilizámolo como filtro no caso de que o antivirus perde unha ameaza de día cero. Despois de descargar o ficheiro, primeiro escaneámolo cun antivirus e despois enviámolo ao sandbox. FortiSandbox emula unha máquina virtual, executa o ficheiro e observa o seu comportamento: a que obxectos do rexistro se accede, se envía solicitudes externas, etc. Se un ficheiro se comporta de forma sospeitosa, elimínase a máquina virtual sandbox e o ficheiro malicioso non acaba no VDI do usuario.
Como configurar unha conexión segura a VDI
Comprobamos o cumprimento do dispositivo cos requisitos de seguridade da información. Desde o inicio do traballo remoto, os clientes achegáronse a nós con peticións: garantir o funcionamento seguro dos usuarios desde os seus ordenadores persoais. Calquera especialista en seguridade da información sabe que protexer os dispositivos domésticos é difícil: non pode instalar o antivirus necesario nin aplicar políticas de grupo, xa que non se trata de equipos de oficina.
Por defecto, VDI convértese nunha "capa" segura entre un dispositivo persoal e a rede corporativa. Para protexer o VDI dos ataques da máquina do usuario, desactivamos o portapapeis e prohibimos o reenvío USB. Pero isto non fai que o propio dispositivo do usuario sexa seguro.
Resolvemos o problema usando FortiClient. Esta é unha ferramenta de protección de puntos finais. Os usuarios da compañía instalan FortiClient nos seus ordenadores domésticos e utilízano para conectarse a un escritorio virtual. FortiClient resolve 3 problemas á vez:
- convértese nunha “xanela única” de acceso para o usuario;
- comproba se o seu ordenador persoal ten un antivirus e as últimas actualizacións do sistema operativo;
- crea un túnel VPN para un acceso seguro.
Un empregado só ten acceso se pasa a verificación. Ao mesmo tempo, os propios escritorios virtuais son inaccesibles desde Internet, o que significa que están mellor protexidos contra ataques.
Se unha empresa quere xestionar por si mesma a protección de endpoints, ofrecemos FortiClient EMS (Endpoint Management Server). O cliente pode configurar a exploración do escritorio e a prevención de intrusións e crear unha lista branca de enderezos.
Engadindo factores de autenticación. De forma predeterminada, os usuarios autentícanse mediante Citrix netscaler. Tamén aquí podemos mellorar a seguridade mediante a autenticación multifactor baseada en produtos SafeNet. Este tema merece unha atención especial; tamén falaremos diso nun artigo aparte.
Esa experiencia acumulamos no traballo con diferentes solucións durante o último ano de traballo. O servizo VDI está configurado por separado para cada cliente, polo que escollemos as ferramentas máis flexibles. Quizais nun futuro próximo engadamos algo máis e compartamos a nosa experiencia.
O 7 de outubro ás 17.00 os meus compañeiros falarán sobre os escritorios virtuais no webinar "É necesario o VDI ou como organizar o traballo remoto?"
, se queres discutir cando a tecnoloxía VDI é adecuada para unha empresa e cando é mellor utilizar outros métodos.
Fonte: www.habr.com