Ane sa a, anpil konpayi prese chanje nan travay aleka. Pou kèk kliyan nou òganize plis pase yon santèn travay aleka pa semèn. Li te enpòtan pou fè sa pa sèlman byen vit, men tou san danje. Teknoloji VDI te vin sekou: avèk èd li, li bon pou distribye règleman sekirite nan tout espas travay epi pwoteje kont fwit done.
Nan atik sa a mwen pral di w kouman sèvis Virtual Desktop nou an ki baze sou Citrix VDI ap travay nan yon pwen de vi sekirite enfòmasyon. Mwen pral montre w sa nou fè pou pwoteje biwo kliyan yo kont menas ekstèn tankou ransomware oswa atak vize.
Ki pwoblèm sekirite nou rezoud?
Nou te idantifye plizyè menas sekirite prensipal pou sèvis la. Sou yon bò, Desktop la vityèl kouri risk pou yo te enfekte nan òdinatè itilizatè a. Nan lòt men an, gen yon danje pou soti nan Desktop la vityèl nan espas ki louvri nan entènèt la ak telechaje yon dosye ki enfekte. Menm si sa rive, li pa ta dwe afekte tout enfrastrikti a. Se poutèt sa, lè kreye sèvis la, nou rezoud plizyè pwoblèm:
- Pwoteje tout kanpe VDI kont menas ekstèn.
- Izolasyon kliyan youn ak lòt.
- Pwoteje Desktop yo vityèl tèt yo.
- Konekte itilizatè yo an sekirite nan nenpòt aparèy.
Nwayo pwoteksyon an te FortiGate, yon nouvo jenerasyon firewall soti nan Fortinet. Li kontwole trafik izolwa VDI, bay yon enfrastrikti izole pou chak kliyan, epi li pwoteje kont frajilite sou bò itilizatè a. Kapasite li yo ase pou rezoud pifò pwoblèm sekirite enfòmasyon.
Men, si yon konpayi gen kondisyon sekirite espesyal, nou ofri opsyon adisyonèl:
- Nou òganize yon koneksyon an sekirite pou travay nan òdinatè lakay ou.
- Nou bay aksè pou analiz endepandan nan mòso bwa sekirite.
- Nou bay jesyon pwoteksyon antivirus sou Desktop yo.
- Nou pwoteje kont vilnerabilite zewo jou.
- Nou konfigirasyon otantifikasyon milti-faktè pou plis pwoteksyon kont koneksyon san otorizasyon.
Mwen pral di w an plis detay ki jan nou rezoud pwoblèm yo.
Ki jan yo pwoteje kanpe la epi asire sekirite rezo a
Ann segman pati rezo a. Nan stand a nou mete aksan sou yon segman jesyon fèmen pou jere tout resous yo. Segman nan jesyon se aksesib soti nan deyò a: nan evènman an nan yon atak sou kliyan an, atakè yo pa yo pral kapab rive la.
FortiGate responsab pou pwoteksyon. Li konbine fonksyon yon antivirus, pare-feu, ak sistèm prevansyon entrizyon (IPS).
Pou chak kliyan nou kreye yon segman rezo izole pou biwo vityèl. Pou rezon sa a, FortiGate gen teknoloji domèn vityèl, oswa VDOM. Li pèmèt ou divize firewall la nan plizyè antite vityèl epi asiyen chak kliyan pwòp VDOM li yo, ki konpòte li tankou yon firewall separe. Nou menm tou nou kreye yon VDOM separe pou segman jesyon an.
Sa a vin tounen dyagram sa a:
Pa gen koneksyon rezo ant kliyan yo: chak ap viv nan pwòp VDOM pa yo epi yo pa enfliyanse lòt la. San teknoloji sa a, nou ta dwe separe kliyan ak règ firewall, ki riske akòz erè imen. Ou ka konpare règ sa yo ak yon pòt ki dwe toujou fèmen. Nan ka VDOM, nou pa kite okenn "pòt" ditou.
Nan yon VDOM separe, kliyan an gen pwòp adrès ak routage li yo. Se poutèt sa, travèse chenn pa vin yon pwoblèm pou konpayi an. Kliyan an ka bay adrès IP ki nesesè yo nan biwo vityèl. Sa a se pratik pou gwo konpayi ki gen pwòp plan IP yo.
Nou rezoud pwoblèm koneksyon ak rezo antrepriz kliyan an. Yon travay separe se konekte VDI ak enfrastrikti kliyan an. Si yon konpayi kenbe sistèm antrepriz nan sant done nou an, nou ka tou senpleman kouri yon kab rezo soti nan ekipman li yo nan firewall la. Men, pi souvan nou ap fè fas ak yon sit aleka - yon lòt sant done oswa biwo yon kliyan an. Nan ka sa a, nou panse atravè yon echanj an sekirite ak sit la ak bati site2site VPN lè l sèvi avèk IPsec VPN.
Plan yo ka varye selon konpleksite enfrastrikti a. Nan kèk kote li ase pou konekte yon rezo biwo sèl nan VDI - routage estatik se ase la. Gwo konpayi yo gen anpil rezo ki toujou ap chanje; isit la kliyan an bezwen routage dinamik. Nou itilize diferan pwotokòl: te deja gen ka OSPF (Open Shortest Path First), tinèl GRE (Generic Routing Encapsulation) ak BGP (Border Gateway Protocol). FortiGate sipòte pwotokòl rezo nan VDOM separe, san yo pa afekte lòt kliyan.
Ou kapab tou bati GOST-VPN - chifreman ki baze sou pwoteksyon kriptografik vle di sètifye pa FSB nan Federasyon Larisi la. Pou egzanp, lè l sèvi avèk solisyon klas KS1 nan anviwònman vityèl "S-Terra Virtual Gateway" oswa PAK ViPNet, APKSH "Continent", "S-Terra".
Mete kanpe Règleman Gwoup yo. Nou dakò ak kliyan an sou politik gwoup yo aplike sou VDI. Isit la prensip yo nan anviwònman yo pa diferan de mete règleman nan biwo a. Nou mete entegrasyon ak Active Directory ak delege jesyon kèk politik gwoup bay kliyan yo. Administratè lokatè yo ka aplike règleman sou objè òdinatè a, jere inite òganizasyon an nan Active Directory, epi kreye itilizatè yo.
Sou FortiGate, pou chak kliyan VDOM nou ekri yon politik sekirite rezo, mete restriksyon aksè ak konfigirasyon enspeksyon trafik. Nou itilize plizyè modil FortiGate:
- Modil IPS analize trafik pou malveyan epi anpeche entrizyon;
- antivirus la pwoteje biwo yo kont malveyan ak espyon;
- filtraj entènèt bloke aksè a resous ki pa fyab ak sit ki gen kontni move oswa ki pa apwopriye;
- Anviwònman firewall ka pèmèt itilizatè yo jwenn aksè nan entènèt la sèlman nan sèten sit.
Pafwa yon kliyan vle poukont jere aksè anplwaye nan sit entènèt. Pi souvan pase pa, bank yo vini ak demann sa a: sèvis sekirite mande pou kontwòl aksè rete sou bò konpayi an. Konpayi sa yo tèt yo kontwole trafik ak regilyèman fè chanjman nan règleman yo. Nan ka sa a, nou vire tout trafik soti nan FortiGate nan direksyon kliyan an. Pou fè sa, nou itilize yon koòdone configuré ak enfrastrikti konpayi an. Apre sa, kliyan an tèt li configured règ yo pou aksè nan rezo antrepriz la ak entènèt la.
Nou gade evènman yo nan stand la. Ansanm ak FortiGate nou itilize FortiAnalyzer, yon pèseptè boutèy demi lit ki soti nan Fortinet. Avèk èd li, nou gade tout mòso bwa evènman sou VDI nan yon sèl kote, jwenn aksyon sispèk ak korelasyon swiv.
Youn nan kliyan nou yo sèvi ak pwodwi Fortinet nan biwo yo. Pou li, nou configuré log uploading - se konsa kliyan an te kapab analize tout evènman sekirite pou machin biwo ak biwo vityèl.
Ki jan yo pwoteje biwo vityèl
Soti nan menas li te ye. Si kliyan an vle jere pwoteksyon anti-viris poukont li, nou tou enstale Kaspersky Security pou anviwònman vityèl.
Solisyon sa a travay byen nan nwaj la. Nou tout abitye ak lefèt ke klasik Kaspersky antivirus la se yon solisyon "lou". Kontrèman, Kaspersky Security for Virtualization pa chaje machin vityèl. Tout baz done viris yo sitiye sou sèvè a, ki bay vèdik pou tout machin vityèl nan ne la. Se sèlman ajan limyè a enstale sou Desktop la vityèl. Li voye fichye nan sèvè a pou verifikasyon.
Achitekti sa a an menm tan bay pwoteksyon dosye, pwoteksyon Entènèt, ak pwoteksyon atak san yo pa konpwomèt pèfòmans nan machin vityèl. Nan ka sa a, kliyan an ka endepandamman prezante eksepsyon nan pwoteksyon dosye. Nou ede ak konfigirasyon debaz nan solisyon an. Nou pral pale sou karakteristik li yo nan yon atik separe.
Soti nan menas enkoni. Pou fè sa, nou konekte FortiSandbox - yon "sandbox" ki soti nan Fortinet. Nou itilize li kòm yon filtè nan ka antivirus rate yon menas zewo jou. Apre telechaje fichye a, nou premye eskane li ak yon antivirus epi answit voye li nan sandbox la. FortiSandbox imite yon machin vityèl, kouri dosye a ak obsève konpòtman li: ki objè ki nan rejis la yo jwenn aksè, si li voye demann ekstèn, ak sou sa. Si yon fichye konpòte yo sispèk, machin vityèl sandboxed la efase epi fichye move a pa fini sou VDI itilizatè a.
Ki jan yo mete yon koneksyon an sekirite ak VDI
Nou tcheke konfòmite aparèy la ak kondisyon sekirite enfòmasyon yo. Depi nan konmansman an nan travay aleka, kliyan yo te pwoche bò kote nou ak demann: asire operasyon an san danje nan itilizatè yo nan òdinatè pèsonèl yo. Nenpòt espesyalis sekirite enfòmasyon konnen ke pwoteje aparèy lakay yo difisil: ou pa ka enstale antivirus ki nesesè oswa aplike règleman gwoup, paske sa a se pa ekipman biwo.
Pa default, VDI vin yon "kouch" an sekirite ant yon aparèy pèsonèl ak rezo antrepriz la. Pou pwoteje VDI kont atak soti nan machin itilizatè a, nou enfim clipboard la epi entèdi USB transfere. Men, sa a pa fè aparèy itilizatè a tèt li an sekirite.
Nou rezoud pwoblèm nan lè l sèvi avèk FortiClient. Sa a se yon zouti pwoteksyon pwen final. Itilizatè konpayi an enstale FortiClient sou òdinatè lakay yo epi sèvi ak li pou konekte avèk yon Desktop vityèl. FortiClient rezoud 3 pwoblèm nan yon fwa:
- vin tounen yon "fenèt sèl" aksè pou itilizatè a;
- tcheke si òdinatè w lan gen yon antivirus ak dènye mizajou OS yo;
- bati yon tinèl VPN pou aksè an sekirite.
Yon anplwaye sèlman genyen aksè si li pase verifikasyon. An menm tan an, biwo vityèl yo tèt yo pa aksesib nan entènèt la, ki vle di yo pi byen pwoteje kont atak.
Si yon konpayi vle jere pwoteksyon pwen final tèt li, nou ofri FortiClient EMS (Endpoint Management Server). Kliyan an ka configured eskanè Desktop ak prevansyon entrizyon, epi kreye yon lis blan adrès.
Ajoute faktè otantifikasyon. Pa default, itilizatè yo otantifye atravè Citrix netscaler. Isit la, tou, nou ka amelyore sekirite lè l sèvi avèk otantifikasyon miltifaktè ki baze sou pwodwi SafeNet. Sijè sa a merite atansyon espesyal; nou pral pale sou sa tou nan yon atik separe.
Nou te akimile eksperyans sa yo nan travay ak solisyon diferan nan ane ki sot pase a nan travay. Se sèvis la VDI configuré separeman pou chak kliyan, kidonk nou te chwazi zouti ki pi fleksib. Petèt nan fiti prè nou pral ajoute yon lòt bagay epi pataje eksperyans nou an.
7 oktòb a 17.00 kòlèg mwen yo pral pale sou biwo vityèl nan webinar "Èske VDI nesesè, oswa ki jan yo òganize travay aleka?"
, si ou vle diskite sou lè teknoloji VDI se apwopriye pou yon konpayi ak ki lè li pi bon yo sèvi ak lòt metòd.
Sous: www.habr.com