A wannan shekara, kamfanoni da yawa sun yi gaggawar canjawa zuwa aiki mai nisa. Ga wasu abokan ciniki mu tsara ayyuka sama da ɗari masu nisa a kowane mako. Yana da mahimmanci don yin wannan ba kawai da sauri ba, har ma a amince. Fasaha ta VDI ta zo don ceto: tare da taimakonsa, ya dace don rarraba manufofin tsaro zuwa duk wuraren aiki da kuma kare kariya daga bayanan bayanai.
A cikin wannan labarin zan gaya muku yadda sabis ɗin tebur ɗin mu na yau da kullun dangane da Citrix VDI ke aiki daga yanayin tsaro na bayanai. Zan nuna muku abin da muke yi don kare kwamfutocin abokin ciniki daga barazanar waje kamar ransomware ko harin da aka yi niyya.
Wadanne matsalolin tsaro muke magance?
Mun gano wasu manyan barazanar tsaro ga sabis. A gefe guda, kwamfutar tafi-da-gidanka tana da haɗarin kamuwa da cuta daga kwamfutar mai amfani. A gefe guda kuma, akwai haɗarin fita daga kwamfutar tafi-da-gidanka zuwa sararin samaniyar Intanet da zazzage fayil ɗin da ya kamu da cutar. Ko da wannan ya faru, bai kamata ya shafi dukkanin kayan aikin ba. Don haka, lokacin ƙirƙirar sabis ɗin, mun warware matsaloli da yawa:
- Yana Kare duk tsayawar VDI daga barazanar waje.
- Ware abokan ciniki daga juna.
- Kare kwamfutocin kwamfutoci da kansu.
- Haɗa masu amfani da aminci daga kowace na'ura.
Tushen kariyar shine FortiGate, sabon bangon bango daga Fortinet. Yana sa ido kan zirga-zirgar rumfar VDI, yana ba da keɓantaccen kayan aikin kowane abokin ciniki, kuma yana ba da kariya daga rauni a gefen mai amfani. Ƙarfinsa ya isa ya warware yawancin matsalolin tsaro na bayanai.
Amma idan kamfani yana da buƙatun tsaro na musamman, muna ba da ƙarin zaɓuɓɓuka:
- Muna tsara amintaccen haɗi don aiki daga kwamfutocin gida.
- Muna ba da dama don bincike mai zaman kansa na rajistan ayyukan tsaro.
- Muna ba da kulawar kariya ta riga-kafi akan tebur.
- Muna ba da kariya daga lahanin kwana na sifili.
- Muna saita ingantattun abubuwa masu yawa don ƙarin kariya daga haɗin kai mara izini.
Zan gaya muku dalla-dalla yadda muka magance matsalolin.
Yadda ake kare tsayawar da tabbatar da tsaron hanyar sadarwa
Mu raba bangaren cibiyar sadarwa. A wurin tsayawa muna haskaka ɓangaren gudanarwa mai rufe don sarrafa duk albarkatun. Bangaren gudanarwa ba shi da samuwa daga waje: idan an kai hari kan abokin ciniki, maharan ba za su iya isa wurin ba.
FortiGate ne ke da alhakin kariya. Yana haɗa ayyukan riga-kafi, Firewall, da tsarin rigakafin kutse (IPS).
Ga kowane abokin ciniki muna ƙirƙirar keɓantaccen ɓangaren cibiyar sadarwa don kwamfutoci masu kama-da-wane. Don wannan dalili, FortiGate yana da fasahar yanki mai kama-da-wane, ko VDOM. Yana ba ku damar raba Tacewar zaɓi zuwa ƙungiyoyin kama-da-wane da yawa kuma ku ware kowane abokin ciniki nasa VDOM, wanda ke aiki kamar bangon wuta daban. Hakanan muna ƙirƙirar VDOM daban don ɓangaren gudanarwa.
Wannan ya zama zane mai zuwa:
Babu hanyar haɗin yanar gizo tsakanin abokan ciniki: kowanne yana rayuwa a cikin VDOM nasa kuma baya rinjayar ɗayan. Idan ba tare da wannan fasaha ba, dole ne mu raba abokan ciniki tare da dokokin Tacewar zaɓi, wanda ke da haɗari saboda kuskuren ɗan adam. Kuna iya kwatanta irin waɗannan dokoki zuwa ƙofar da dole ne a rufe ta kullum. A cikin yanayin VDOM, ba mu bar "ƙofofin" kwata-kwata.
A cikin wani VDOM daban, abokin ciniki yana da nasa adireshi da kuma hanyar sadarwa. Don haka, ketare iyaka ba ya zama matsala ga kamfani. Abokin ciniki zai iya sanya adiresoshin IP masu dacewa zuwa kwamfutoci masu kama-da-wane. Wannan ya dace da manyan kamfanoni waɗanda ke da nasu tsare-tsaren IP.
Muna magance matsalolin haɗin kai tare da cibiyar sadarwar abokin ciniki. Wani aiki na daban shine haɗa VDI tare da kayan aikin abokin ciniki. Idan kamfani yana kiyaye tsarin kamfanoni a cibiyar bayanan mu, za mu iya tafiyar da kebul na hanyar sadarwa kawai daga kayan aikin sa zuwa Tacewar zaɓi. Amma sau da yawa muna hulɗa da wani wuri mai nisa - wani cibiyar bayanai ko ofishin abokin ciniki. A wannan yanayin, muna tunanin ta hanyar amintaccen musayar tare da rukunin yanar gizon da gina site2site VPN ta amfani da IPsec VPN.
Tsare-tsare na iya bambanta dangane da sarkar kayan aikin. A wasu wurare ya isa a haɗa cibiyar sadarwar ofis guda ɗaya zuwa VDI - a tsaye a tsaye ya isa can. Manyan kamfanoni suna da cibiyoyin sadarwa da yawa waɗanda ke canzawa koyaushe; anan abokin ciniki yana buƙatar tuƙi mai ƙarfi. Muna amfani da ka'idoji daban-daban: an riga an sami shari'o'i tare da OSPF (Buɗe Mafi Gajerun Hanya na Farko), GRE tunnels (Generic Routing Encapsulation) da BGP (Ka'idar Ƙofar Ƙofar Border). FortiGate yana goyan bayan ka'idojin cibiyar sadarwa a cikin VDOM daban-daban, ba tare da shafar sauran abokan ciniki ba.
Hakanan zaka iya gina GOST-VPN - boye-boye dangane da kariyar cryptographic yana nufin bokan ta FSB na Tarayyar Rasha. Misali, ta amfani da mafita na aji KS1 a cikin mahallin kama-da-wane “S-Terra Virtual Gateway” ko PAK ViPNet, APKSH “Continent”, “S-Terra”.
Ƙirƙirar Manufofin Ƙungiya. Mun yarda da abokin ciniki akan manufofin rukuni waɗanda ake amfani da su akan VDI. A nan ka'idodin saiti ba su da bambanci da kafa manufofi a ofis. Mun kafa haɗin kai tare da Active Directory da wakilai gudanarwa na wasu manufofin rukuni ga abokan ciniki. Masu kula da haya na iya amfani da manufofi ga abin Kwamfuta, sarrafa sashin ƙungiya a cikin Active Directory, da ƙirƙirar masu amfani.
A kan FortiGate, ga kowane abokin ciniki VDOM muna rubuta manufar tsaro ta hanyar sadarwa, saita ƙuntatawa damar shiga da kuma saita binciken zirga-zirga. Muna amfani da nau'ikan FortiGate da yawa:
- IPS module yana duba zirga-zirga don malware kuma yana hana kutse;
- riga-kafi na kare kwamfutocin kansu daga malware da kayan leken asiri;
- tacewa gidan yanar gizo yana toshe damar samun albarkatu da rukunan da ba a dogara da su ba tare da qeta ko abin da bai dace ba;
- Saitunan Firewall na iya ƙyale masu amfani damar shiga Intanet kawai zuwa wasu shafuka.
Wani lokaci abokin ciniki yana so ya sarrafa damar ma'aikaci da kansa zuwa gidajen yanar gizo. Sau da yawa fiye da haka, bankuna suna zuwa tare da wannan buƙatar: ayyukan tsaro suna buƙatar ikon samun dama ya kasance a gefen kamfanin. Irin waɗannan kamfanoni da kansu suna lura da zirga-zirgar zirga-zirga kuma a kai a kai suna yin canje-canje ga manufofin. A wannan yanayin, muna juya duk zirga-zirga daga FortiGate zuwa abokin ciniki. Don yin wannan, muna amfani da ƙayyadaddun ƙayyadaddun ƙayyadaddun kayan aiki tare da kayan aikin kamfanin. Bayan haka, abokin ciniki da kansa ya tsara dokoki don samun damar shiga cibiyar sadarwar kamfanoni da Intanet.
Muna kallon abubuwan da suka faru a wurin tsayawa. Tare da FortiGate muna amfani da FortiAnalyzer, mai tattara log daga Fortinet. Tare da taimakonsa, muna duba duk rajistan ayyukan akan VDI a wuri guda, nemo ayyukan da ake tuhuma da kuma alaƙar waƙa.
Ɗaya daga cikin abokan cinikinmu yana amfani da samfuran Fortinet a ofishin su. Don shi, mun saita lodawa log - don haka abokin ciniki ya sami damar bincika duk abubuwan tsaro don injin ofis da kwamfutoci masu kama-da-wane.
Yadda ake kare kwamfutoci masu kama-da-wane
Daga barazanar da aka sani. Idan abokin ciniki yana so ya sarrafa kariyar rigakafin cutar kansa, muna kuma shigar da Kaspersky Security don mahallin kama-da-wane.
Wannan bayani yana aiki da kyau a cikin girgije. Dukanmu mun saba da gaskiyar cewa riga-kafi na Kaspersky na zamani shine mafita "nauyi". Sabanin haka, Kaspersky Security don Virtualization baya ɗaukar injunan kama-da-wane. Duk ma'ajin bayanai na ƙwayoyin cuta suna kan uwar garken, wanda ke ba da hukunci ga duk injina na kumburi. Ana shigar da wakili mai haske kawai akan tebur mai kama-da-wane. Yana aika fayiloli zuwa uwar garken don tabbatarwa.
Wannan gine-ginen a lokaci guda yana ba da kariyar fayil, kariyar Intanet, da kariya ta kai hari ba tare da lalata aikin injuna ba. A wannan yanayin, abokin ciniki zai iya gabatar da keɓancewa da kansa don kariyar fayil. Muna taimakawa tare da saitin asali na mafita. Za mu yi magana game da siffofinsa a cikin wani labarin dabam.
Daga barazanar da ba a sani ba. Don yin wannan, muna haɗa FortiSandbox - "akwatin sandbox" daga Fortinet. Muna amfani da shi azaman tacewa idan riga-kafi ta rasa barazanar kwana sifili. Bayan zazzage fayil ɗin, mu fara bincika shi tare da riga-kafi sannan mu aika zuwa akwatin sandbox. FortiSandbox yana kwaikwayon na'ura mai kama-da-wane, yana gudanar da fayil ɗin kuma yana lura da halayensa: menene abubuwan da ke cikin rajista ake isa ga, ko yana aika buƙatun waje, da sauransu. Idan fayil ya nuna halin shakku, ana share na'ura mai yashi kuma fayil ɗin qeta ba zai ƙare akan mai amfani da VDI ba.
Yadda ake saita amintaccen haɗi zuwa VDI
Muna bincika amincin na'urar tare da buƙatun tsaro na bayanai. Tun farkon aikin nesa, abokan ciniki sun tuntube mu tare da buƙatun: don tabbatar da amintaccen aiki na masu amfani daga kwamfutocin su na sirri. Duk wani ƙwararren tsaro na bayanai ya san cewa kare na'urorin gida yana da wahala: ba za ku iya shigar da riga-kafi masu dacewa ba ko amfani da manufofin rukuni, tunda wannan ba kayan ofis bane.
Ta hanyar tsoho, VDI ta zama amintaccen “Layer” tsakanin na’urar sirri da cibiyar sadarwar kamfani. Don kare VDI daga hare-hare daga na'urar mai amfani, muna kashe allon allo kuma muna hana isar da USB. Amma wannan baya sanya na'urar mai amfani da kanta ta kasance mai tsaro.
Muna magance matsalar ta amfani da FortiClient. Wannan kayan aikin kariya ne na ƙarshe. Masu amfani da kamfanin suna shigar da FortiClient akan kwamfutocin gidansu kuma suna amfani da ita don haɗawa zuwa tebur mai kama-da-wane. FortiClient yana magance matsaloli 3 lokaci guda:
- ya zama “taga guda ɗaya” na samun dama ga mai amfani;
- yana bincika ko kwamfutar ku na da riga-kafi da sabbin abubuwan sabunta OS;
- yana gina rami na VPN don samun amintaccen shiga.
Ma'aikaci yana samun dama ne kawai idan sun wuce tabbatarwa. A lokaci guda kuma, kwamfyutocin kwamfyutoci da kansu ba sa iya shiga Intanet, wanda ke nufin an fi samun kariya daga hare-hare.
Idan kamfani yana son sarrafa kariya ta ƙarshen kanta, muna ba da FortiClient EMS (Sabar Gudanar da Ƙarshen Ƙarshen). Abokin ciniki zai iya saita duban tebur da rigakafin kutse, kuma ya ƙirƙiri jerin fararen adireshi.
Ƙara abubuwan tabbatarwa. Ta hanyar tsoho, masu amfani suna inganta ta hanyar Citrix netscaler. Anan ma, za mu iya haɓaka tsaro ta amfani da ingantattun abubuwa da yawa dangane da samfuran SafeNet. Wannan batu ya cancanci kulawa ta musamman, kuma za mu yi magana game da wannan a cikin wani labarin dabam.
Mun tara irin wannan ƙwarewa wajen yin aiki tare da mafita daban-daban a cikin shekarar da ta gabata na aiki. An saita sabis na VDI daban don kowane abokin ciniki, don haka mun zaɓi mafi sauƙin kayan aiki. Wataƙila a nan gaba kaɗan za mu ƙara wani abu kuma mu raba kwarewarmu.
A ranar 7 ga Oktoba a 17.00 abokan aiki na za su yi magana game da kwamfutoci masu kama-da-wane a gidan yanar gizon "Shin VDI ya zama dole, ko yadda ake tsara aikin nesa?"
, idan kuna so ku tattauna lokacin da fasahar VDI ta dace da kamfani da kuma lokacin da ya fi dacewa don amfani da wasu hanyoyin.
source: www.habr.com