Idén sok cég sietve tért át a távmunkára. Egyes ügyfelek számára mi több mint száz távoli munkát szervezhet hetente. Fontos volt, hogy ezt ne csak gyorsan, hanem biztonságosan tegyük. A VDI technológia jött a segítségre: segítségével kényelmesen eloszthatók a biztonsági szabályzatok minden munkahelyen, és megvédhetők az adatszivárgások ellen.
Ebben a cikkben elmondom, hogyan működik a Citrix VDI alapú virtuális asztali szolgáltatásunk információbiztonsági szempontból. Megmutatom, mit teszünk annak érdekében, hogy megvédjük az asztali ügyfélgépeket a külső fenyegetésektől, például a zsarolóvírusoktól vagy a célzott támadásoktól.
Milyen biztonsági problémákat oldunk meg?
Számos fő biztonsági fenyegetést azonosítottunk a szolgáltatással szemben. Egyrészt a virtuális asztal fennáll a veszélye annak, hogy megfertőződik a felhasználó számítógépéről. Másrészt fennáll a veszélye annak, hogy a virtuális asztalról kilépünk az internet nyílt terébe, és letöltünk egy fertőzött fájlt. Még ha ez meg is történik, ez nem érintheti a teljes infrastruktúrát. Ezért a szolgáltatás létrehozásakor több problémát is megoldottunk:
- Megvédi a teljes VDI állványt a külső fenyegetésektől.
- Az ügyfelek elszigetelése egymástól.
- Maguk a virtuális asztali számítógépek védelme.
- Biztonságosan csatlakoztassa a felhasználókat bármilyen eszközről.
A védelem magja a FortiGate volt, a Fortinet új generációs tűzfala. Figyelemmel kíséri a VDI-fülke forgalmat, elkülönített infrastruktúrát biztosít minden kliens számára, és védelmet nyújt a felhasználói oldalon lévő sebezhetőségek ellen. Képességei elegendőek a legtöbb információbiztonsági probléma megoldásához.
De ha egy cégnek speciális biztonsági követelményei vannak, további lehetőségeket kínálunk:
- Biztonságos kapcsolatot szervezünk az otthoni számítógépről történő munkavégzéshez.
- Hozzáférést biztosítunk a biztonsági naplók független elemzéséhez.
- Vállaljuk a vírusvédelem kezelését asztali számítógépeken.
- A nulladik napi sebezhetőségek ellen védekezünk.
- Többtényezős hitelesítést konfigurálunk az illetéktelen kapcsolatok elleni további védelem érdekében.
Részletesebben elmondom, hogyan oldottuk meg a problémákat.
Hogyan védjük meg az állványt és biztosítsuk a hálózat biztonságát
Szegmentáljuk a hálózati részt. A standon egy zárt menedzsment szegmenst emelünk ki az összes erőforrás kezelésére. A felügyeleti szegmens kívülről megközelíthetetlen: a klienst ért támadás esetén a támadók nem tudnak odajutni.
A FortiGate felelős a védelemért. Egyesíti a víruskereső, a tűzfal és a behatolásgátló rendszer (IPS) funkcióit.
Minden klienshez külön hálózati szegmenst hozunk létre a virtuális asztalok számára. Erre a célra a FortiGate rendelkezik virtuális tartománytechnológiával vagy VDOM-mal. Lehetővé teszi a tűzfal felosztását több virtuális entitásra, és minden kliensnek hozzárendelheti a saját VDOM-ját, amely úgy viselkedik, mint egy különálló tűzfal. A felügyeleti szegmenshez külön VDOM-ot is létrehozunk.
Ez a következő diagramnak bizonyul:
Az ügyfelek között nincs hálózati kapcsolat: mindegyik a saját VDOM-jában él, és nincs hatással a másikra. E technológia nélkül tűzfalszabályokkal kellene szétválasztanunk a klienseket, és ez emberi hiba miatt kockázatos. Az ilyen szabályokat összehasonlíthatja egy olyan ajtóval, amelyet folyamatosan zárva kell tartani. A VDOM esetében egyáltalán nem hagyunk „ajtót”.
Egy különálló VDOM-ban az ügyfélnek saját címzése és útválasztása van. Ezért a tartományok átlépése nem jelent problémát a vállalat számára. A kliens hozzárendelheti a szükséges IP-címeket a virtuális asztalokhoz. Ez kényelmes olyan nagyvállalatok számára, amelyek saját IP-tervekkel rendelkeznek.
Megoldjuk a kapcsolati problémákat az ügyfél vállalati hálózatával. Külön feladat a VDI összekapcsolása a kliens infrastruktúrával. Ha egy cég céges rendszereket tart az adatközpontunkban, egyszerűen egy hálózati kábelt húzhatunk a berendezéseitől a tűzfalig. De gyakrabban van dolgunk egy távoli telephellyel - egy másik adatközponttal vagy egy ügyfél irodájával. Ebben az esetben úgy gondoljuk, hogy biztonságos cserét folytatunk a telephellyel, és IPsec VPN segítségével építünk site2site VPN-t.
A sémák az infrastruktúra összetettségétől függően változhatnak. Egyes helyeken elég egyetlen irodai hálózatot csatlakoztatni a VDI-hez - ott elég a statikus útválasztás. A nagyvállalatok számos hálózattal rendelkeznek, amelyek folyamatosan változnak; itt az ügyfélnek dinamikus útválasztásra van szüksége. Különböző protokollokat használunk: volt már eset OSPF (Open Shortest Path First), GRE tunnel (Generic Routing Encapsulation) és BGP (Border Gateway Protocol) esetében. A FortiGate támogatja a hálózati protokollokat különálló VDOM-okban, anélkül, hogy ez más kliensekre hatással lenne.
Építhet GOST-VPN-t is - az Orosz Föderáció FSB által hitelesített kriptográfiai védelmi eszközökön alapuló titkosítást. Például KS1 osztályú megoldások használata „S-Terra Virtual Gateway” vagy PAK ViPNet, APKSH „Continent”, „S-Terra” virtuális környezetben.
Csoportházirendek beállítása. Megállapodunk az ügyféllel a VDI-n alkalmazott csoportszabályzatokról. Itt a beállítás elvei nem különböznek az irodai szabályzatok meghatározásától. Beállítjuk az integrációt az Active Directoryval, és egyes csoportházirendek kezelését átruházzuk az ügyfelekre. A bérlői rendszergazdák házirendeket alkalmazhatnak a Computer objektumra, kezelhetik a szervezeti egységet az Active Directoryban, és felhasználókat hozhatnak létre.
A FortiGate-en minden kliens VDOM-hoz írunk egy hálózati biztonsági szabályzatot, beállítjuk a hozzáférési korlátozásokat és beállítjuk a forgalomellenőrzést. Számos FortiGate modult használunk:
- Az IPS modul ellenőrzi a forgalmat rosszindulatú programok után, és megakadályozza a behatolást;
- a víruskereső megvédi magukat az asztali számítógépeket a rosszindulatú és kémprogramoktól;
- webszűrés blokkolja a hozzáférést a megbízhatatlan erőforrásokhoz és a rosszindulatú vagy nem megfelelő tartalmú webhelyekhez;
- A tűzfalbeállítások lehetővé tehetik a felhasználók számára, hogy csak bizonyos webhelyeken érjék el az internetet.
Néha az ügyfél önállóan szeretné kezelni az alkalmazottak webhelyekhez való hozzáférését. Leggyakrabban a bankok érkeznek ezzel a kéréssel: a biztonsági szolgálatok megkövetelik, hogy a beléptetés a vállalat oldalán maradjon. Az ilyen cégek maguk figyelik a forgalmat, és rendszeresen módosítják a szabályzatokat. Ebben az esetben az összes FortiGate forgalmat a kliens felé fordítjuk. Ehhez egy konfigurált interfészt használunk a cég infrastruktúrájával. Ezt követően az ügyfél maga konfigurálja a vállalati hálózathoz és az internethez való hozzáférés szabályait.
A standon figyeljük az eseményeket. A FortiGate-tel együtt a FortiAnalyzert, a Fortinet rönkgyűjtőjét használjuk. Segítségével egy helyen megnézzük a VDI összes eseménynaplóját, megtaláljuk a gyanús műveleteket és nyomon követjük az összefüggéseket.
Egyik ügyfelünk a Fortinet termékeket használja irodájában. Ehhez naplófeltöltést konfiguráltunk, így a kliens képes volt elemezni az irodai gépek és a virtuális asztali számítógépek összes biztonsági eseményét.
Hogyan védjük meg a virtuális asztalokat
Az ismert fenyegetésekből. Ha az ügyfél önállóan szeretné kezelni a vírusvédelmet, telepítjük a Kaspersky Security virtuális környezetekhez is.
Ez a megoldás jól működik a felhőben. Mindannyian megszoktuk, hogy a klasszikus Kaspersky víruskereső „nehéz” megoldás. Ezzel szemben a Kaspersky Security for Virtualization nem tölt be virtuális gépeket. Az összes vírusadatbázis a kiszolgálón található, amely a csomópont összes virtuális gépére vonatkozóan ad ki ítéletet. Csak a könnyű ügynök van telepítve a virtuális asztalra. Fájlokat küld a szervernek ellenőrzés céljából.
Ez az architektúra egyszerre nyújt fájlvédelmet, internetes védelmet, védelmet a támadások ellen, és nem csökkenti a virtuális gépek teljesítményét. Ebben az esetben az ügyfél önállóan is bevezethet kivételeket a fájlvédelem alól. Segítünk a megoldás alapbeállításában. Jellemzőiről külön cikkben fogunk beszélni.
Ismeretlen fenyegetésektől. Ehhez csatlakoztatjuk a FortiSandboxot – egy „homokozót” a Fortinettől. Szűrőként használjuk arra az esetre, ha a víruskereső kihagyna egy nulladik napi fenyegetést. A fájl letöltése után először egy vírusirtóval átkutatjuk, majd elküldjük a homokozóba. A FortiSandbox emulál egy virtuális gépet, futtatja a fájlt, és megfigyeli a viselkedését: a rendszerleíró adatbázis mely objektumaihoz fér hozzá, küld-e külső kéréseket stb. Ha egy fájl gyanúsan viselkedik, a homokozóba helyezett virtuális gép törlődik, és a rosszindulatú fájl nem kerül a felhasználói VDI-re.
Hogyan állítsunk be biztonságos kapcsolatot a VDI-vel
Ellenőrizzük, hogy a készülék megfelel-e az információbiztonsági követelményeknek. A távmunka kezdete óta ügyfeleink olyan kéréssel fordultak hozzánk: biztosítsuk a felhasználók személyi számítógépükről történő biztonságos működését. Bármely információbiztonsági szakember tudja, hogy az otthoni eszközök védelme nehéz: nem telepítheti a szükséges víruskeresőt vagy nem alkalmazhat csoportházirendeket, mivel ez nem irodai berendezés.
Alapértelmezés szerint a VDI egy biztonságos „réteggé” válik a személyes eszköz és a vállalati hálózat között. Hogy megvédjük a VDI-t a felhasználói gép támadásaitól, letiltjuk a vágólapot, és tiltjuk az USB-továbbítást. Ez azonban nem teszi magát a felhasználó eszközét biztonságossá.
A problémát a FortiClient segítségével oldjuk meg. Ez egy végpontvédelmi eszköz. A cég felhasználói telepítik otthoni számítógépükre a FortiClient programot, és virtuális asztali számítógéphez való csatlakozásra használják. A FortiClient 3 problémát old meg egyszerre:
- a felhasználó „egyablakos” hozzáférésévé válik;
- ellenőrzi, hogy a személyi számítógépe rendelkezik-e víruskeresővel és az operációs rendszer legújabb frissítéseivel;
- VPN-alagutat épít a biztonságos hozzáférés érdekében.
Az alkalmazott csak akkor fér hozzá, ha átmegy az ellenőrzésen. Ugyanakkor maguk a virtuális asztali számítógépek nem érhetők el az internetről, ami azt jelenti, hogy jobban védettek a támadásokkal szemben.
Ha egy vállalat saját maga szeretné kezelni a végpontvédelmet, akkor a FortiClient EMS-t (Endpoint Management Server) kínáljuk. Az ügyfél konfigurálhatja az asztali ellenőrzést és a behatolásmegelőzést, valamint létrehozhat egy fehér címlistát.
Hitelesítési tényezők hozzáadása. Alapértelmezés szerint a felhasználók hitelesítése a Citrix netscaler segítségével történik. Itt is fokozhatjuk a biztonságot a SafeNet termékeken alapuló többtényezős hitelesítéssel. Ez a téma külön figyelmet érdemel, erről külön cikkben is szó lesz.
Ilyen tapasztalatokat gyűjtöttünk a különböző megoldásokkal való munka során az elmúlt munkaév során. A VDI szolgáltatást minden klienshez külön konfiguráljuk, így a legrugalmasabb eszközöket választottuk. Talán a közeljövőben hozzáadunk még valamit, és megosztjuk tapasztalatainkat.
Október 7-én 17.00-kor kollégáim a virtuális asztalokról beszélgetnek a „Szükséges-e a VDI, avagy hogyan kell megszervezni a távmunkát?” című webináriumon.
, ha meg akarja vitatni, hogy mikor alkalmas a VDI technológia egy vállalat számára, és mikor érdemes más módszereket alkalmazni.
Forrás: will.com