Ove su godine mnoge tvrtke žurno prešle na rad na daljinu. Za neke klijente mi organizirati više od stotinu poslova na daljinu tjedno. Bilo je važno to učiniti ne samo brzo, već i sigurno. VDI tehnologija je došla u pomoć: uz njezinu pomoć prikladno je distribuirati sigurnosne politike na sva radna mjesta i zaštititi od curenja podataka.
U ovom članku ću vam reći kako naša usluga virtualne radne površine temeljena na Citrix VDI funkcionira sa stajališta informacijske sigurnosti. Pokazat ću vam što radimo kako bismo zaštitili klijentska računala od vanjskih prijetnji kao što su ransomware ili ciljani napadi.
Koje sigurnosne probleme rješavamo?
Identificirali smo nekoliko glavnih sigurnosnih prijetnji usluzi. S jedne strane, virtualna radna površina izložena je riziku da se zarazi s korisničkog računala. S druge strane, postoji opasnost od izlaska s virtualne radne površine na otvoreni prostor interneta i preuzimanja zaražene datoteke. Čak i ako se to dogodi, to ne bi trebalo utjecati na cjelokupnu infrastrukturu. Stoga smo prilikom izrade usluge riješili nekoliko problema:
- Štiti cijelo VDI postolje od vanjskih prijetnji.
- Izolacija klijenata jednih od drugih.
- Zaštita samih virtualnih desktopa.
- Sigurno povežite korisnike s bilo kojeg uređaja.
Jezgra zaštite bio je FortiGate, Firewall nove generacije tvrtke Fortinet. Nadzire promet VDI kabine, pruža izoliranu infrastrukturu za svakog klijenta i štiti od ranjivosti na strani korisnika. Njegove mogućnosti dovoljne su za rješavanje većine problema informacijske sigurnosti.
Ali ako tvrtka ima posebne sigurnosne zahtjeve, nudimo dodatne mogućnosti:
- Organiziramo sigurnu vezu za rad s kućnih računala.
- Omogućujemo pristup za neovisnu analizu sigurnosnih zapisa.
- Nudimo upravljanje antivirusnom zaštitom na stolnim računalima.
- Štitimo od ranjivosti nultog dana.
- Konfiguriramo autentifikaciju s više faktora za dodatnu zaštitu od neovlaštenih veza.
Reći ću vam detaljnije kako smo riješili probleme.
Kako zaštititi postolje i osigurati mrežnu sigurnost
Segmentirajmo mrežni dio. Na štandu izdvajamo zatvoreni segment upravljanja za upravljanje svim resursima. Segment upravljanja je nedostupan izvana: u slučaju napada na klijenta, napadači neće moći doći do njega.
FortiGate je odgovoran za zaštitu. Kombinira funkcije antivirusnog programa, vatrozida i sustava za sprječavanje upada (IPS).
Za svakog klijenta kreiramo izolirani mrežni segment za virtualna računala. U tu svrhu FortiGate ima tehnologiju virtualne domene ili VDOM. Omogućuje vam da podijelite vatrozid u nekoliko virtualnih entiteta i svakom klijentu dodijelite vlastiti VDOM, koji se ponaša kao zasebni vatrozid. Također kreiramo zaseban VDOM za segment upravljanja.
Ispostavilo se da je ovo sljedeći dijagram:
Ne postoji mrežna povezanost između klijenata: svaki živi u vlastitom VDOM-u i ne utječe na drugoga. Bez ove tehnologije morali bismo razdvajati klijente pravilima vatrozida, što je riskantno zbog ljudske pogreške. Takva pravila možete usporediti s vratima koja moraju biti stalno zatvorena. U slučaju VDOM-a, uopće ne ostavljamo "vrata".
U zasebnom VDOM-u, klijent ima vlastito adresiranje i usmjeravanje. Stoga prelazak raspona ne predstavlja problem za tvrtku. Klijent može dodijeliti potrebne IP adrese virtualnim stolnim računalima. Ovo je zgodno za velike tvrtke koje imaju vlastite IP planove.
Rješavamo probleme povezivanja s korporativnom mrežom klijenta. Poseban zadatak je povezivanje VDI-ja s klijentskom infrastrukturom. Ako tvrtka drži korporativne sustave u našem podatkovnom centru, možemo jednostavno provesti mrežni kabel od njezine opreme do vatrozida. Ali češće imamo posla s udaljenim mjestom - drugim podatkovnim centrom ili uredom klijenta. U ovom slučaju razmišljamo o sigurnoj razmjeni sa web mjestom i gradimo site2site VPN koristeći IPsec VPN.
Sheme se mogu razlikovati ovisno o složenosti infrastrukture. Na nekim je mjestima dovoljno samo jednu uredsku mrežu spojiti na VDI - tamo je dovoljno statičko usmjeravanje. Velike tvrtke imaju mnoge mreže koje se stalno mijenjaju; ovdje klijent treba dinamičko usmjeravanje. Koristimo različite protokole: već je bilo slučajeva s OSPF (Open Shortest Path First), GRE tunelima (Generic Routing Encapsulation) i BGP (Border Gateway Protocol). FortiGate podržava mrežne protokole u zasebnim VDOM-ovima, bez utjecaja na druge klijente.
Također možete izgraditi GOST-VPN - šifriranje temeljeno na sredstvima kriptografske zaštite koje je ovjerio FSB Ruske Federacije. Na primjer, korištenje rješenja klase KS1 u virtualnom okruženju “S-Terra Virtual Gateway” ili PAK ViPNet, APKSH “Continent”, “S-Terra”.
Postavljanje grupnih pravila. Dogovaramo s klijentom grupna pravila koja se primjenjuju na VDI. Ovdje se načela postavljanja ne razlikuju od postavljanja politika u uredu. Postavljamo integraciju s Active Directoryem i delegiramo upravljanje nekim grupnim pravilima na klijente. Administratori stanara mogu primijeniti pravila na objekt Računalo, upravljati organizacijskom jedinicom u aktivnom imeniku i kreirati korisnike.
Na FortiGateu, za svaki klijent VDOM pišemo mrežnu sigurnosnu politiku, postavljamo ograničenja pristupa i konfiguriramo inspekciju prometa. Koristimo nekoliko FortiGate modula:
- IPS modul skenira promet za malware i sprječava upade;
- antivirus štiti sama stolna računala od malwarea i spywarea;
- web filtriranje blokira pristup nepouzdanim resursima i stranicama sa zlonamjernim ili neprikladnim sadržajem;
- Postavke vatrozida mogu omogućiti korisnicima pristup internetu samo određenim stranicama.
Ponekad klijent želi samostalno upravljati pristupom zaposlenika web stranicama. Češće nego ne, banke dolaze s ovim zahtjevom: sigurnosne službe zahtijevaju da kontrola pristupa ostane na strani tvrtke. Takve tvrtke same prate promet i redovito mijenjaju politike. U ovom slučaju sav promet od FortiGate-a usmjeravamo prema klijentu. Da bismo to učinili, koristimo konfigurirano sučelje s infrastrukturom tvrtke. Nakon toga, klijent sam konfigurira pravila za pristup korporativnoj mreži i Internetu.
Gledamo događanja na tribini. Zajedno s FortiGateom koristimo FortiAnalyzer, alat za prikupljanje zapisa iz Fortineta. Uz njegovu pomoć na jednom mjestu pregledavamo sve dnevnike događaja na VDI-ju, pronalazimo sumnjive radnje i pratimo korelacije.
Jedan od naših klijenata koristi Fortinet proizvode u svom uredu. Za njega smo konfigurirali prijenos dnevnika - tako da je klijent mogao analizirati sve sigurnosne događaje za uredske strojeve i virtualne radne površine.
Kako zaštititi virtualne radne površine
Od poznatih prijetnji. Ukoliko klijent želi samostalno upravljati antivirusnom zaštitom, dodatno instaliramo Kaspersky Security za virtualna okruženja.
Ovo rješenje dobro radi u oblaku. Svi smo navikli na činjenicu da je klasični Kaspersky antivirus "teško" rješenje. Nasuprot tome, Kaspersky Security for Virtualization ne učitava virtualne strojeve. Sve baze podataka o virusima nalaze se na poslužitelju, koji izdaje presude za sve virtualne strojeve čvora. Na virtualnu radnu površinu instaliran je samo lagani agent. Šalje datoteke poslužitelju na provjeru.
Ova arhitektura istovremeno pruža zaštitu datoteka, internetsku zaštitu i zaštitu od napada bez ugrožavanja performansi virtualnih strojeva. U tom slučaju klijent može samostalno uvesti iznimke u zaštiti datoteke. Pomažemo s osnovnim postavljanjem rješenja. O njegovim značajkama ćemo govoriti u zasebnom članku.
Od nepoznatih prijetnji. Da bismo to učinili, povezujemo FortiSandbox - "pješčanik" iz Fortineta. Koristimo ga kao filtar u slučaju da antivirus propusti zero-day prijetnju. Nakon preuzimanja datoteke prvo je skeniramo antivirusnim programom, a zatim je šaljemo u sandbox. FortiSandbox emulira virtualni stroj, pokreće datoteku i promatra njezino ponašanje: kojim se objektima u registru pristupa, šalje li vanjske zahtjeve i tako dalje. Ako se datoteka ponaša sumnjivo, virtualni stroj u sandboxu se briše i zlonamjerna datoteka ne završava na korisničkom VDI-ju.
Kako postaviti sigurnu vezu na VDI
Provjeravamo usklađenost uređaja sa zahtjevima za informacijsku sigurnost. Od početka rada na daljinu klijenti su nam se obraćali sa zahtjevima: da osiguramo siguran rad korisnika s njihovih osobnih računala. Svaki stručnjak za informacijsku sigurnost zna da je zaštita kućnih uređaja teška: ne možete instalirati potreban antivirus ili primijeniti grupna pravila, jer ovo nije uredska oprema.
Prema zadanim postavkama, VDI postaje sigurni "sloj" između osobnog uređaja i korporativne mreže. Kako bismo zaštitili VDI od napada s korisničkog računala, onemogućujemo međuspremnik i zabranjujemo USB prosljeđivanje. Ali to sam uređaj korisnika ne čini sigurnim.
Problem rješavamo pomoću FortiClient-a. Ovo je alat za zaštitu krajnje točke. Korisnici tvrtke instaliraju FortiClient na svoja kućna računala i koriste ga za povezivanje s virtualnom radnom površinom. FortiClient rješava 3 problema odjednom:
- postaje "jedan prozor" pristupa za korisnika;
- provjerava ima li vaše osobno računalo antivirus i najnovija ažuriranja OS-a;
- gradi VPN tunel za siguran pristup.
Zaposlenik dobiva pristup samo ako prođe verifikaciju. U isto vrijeme, same virtualne radne površine nedostupne su s interneta, što znači da su bolje zaštićene od napada.
Ako tvrtka želi sama upravljati zaštitom krajnje točke, nudimo FortiClient EMS (Endpoint Management Server). Klijent može konfigurirati skeniranje radne površine i sprječavanje upada te stvoriti bijeli popis adresa.
Dodavanje čimbenika provjere autentičnosti. Prema zadanim postavkama, autentičnost korisnika se provjerava putem Citrix netscalera. Ovdje također možemo poboljšati sigurnost korištenjem multifaktorske provjere autentičnosti temeljene na SafeNet proizvodima. Ova tema zaslužuje posebnu pozornost, o čemu ćemo također govoriti u posebnom članku.
Takvo iskustvo u radu s različitim rješenjima stekli smo tijekom protekle godine rada. VDI usluga konfigurirana je zasebno za svakog klijenta, stoga smo odabrali najfleksibilnije alate. Možda ćemo u skoroj budućnosti dodati još nešto i podijeliti svoje iskustvo.
7. listopada u 17.00 moji će kolege govoriti o virtualnim stolnim računalima na webinaru “Je li potreban VDI ili kako organizirati rad na daljinu?”
, ako želite razgovarati kada je VDI tehnologija prikladna za tvrtku, a kada je bolje koristiti druge metode.
Izvor: www.habr.com