Ինչպես ենք մենք պաշտպանում հաճախորդների վիրտուալ աշխատասեղանները վիրուսներից, լրտեսող ծրագրերից և հարձակումներից

Այս տարի շատ ընկերություններ հապճեպ անցան հեռավար աշխատանքի։ Որոշ հաճախորդների համար մենք օգնել է կազմակերպել շաբաթական հարյուրից ավելի հեռավոր աշխատատեղեր: Կարևոր էր դա անել ոչ միայն արագ, այլև անվտանգ: Օգնության է եկել VDI տեխնոլոգիան. դրա օգնությամբ հարմար է անվտանգության քաղաքականությունը տարածել բոլոր աշխատավայրերում և պաշտպանել տվյալների արտահոսքից: 

Այս հոդվածում ես ձեզ կասեմ, թե ինչպես է աշխատում Citrix VDI-ի վրա հիմնված մեր վիրտուալ աշխատասեղանի ծառայությունը տեղեկատվական անվտանգության տեսանկյունից: Ես ձեզ ցույց կտամ, թե ինչ ենք մենք անում՝ պաշտպանելու հաճախորդների աշխատասեղանները արտաքին սպառնալիքներից, ինչպիսիք են փրկագին կամ նպատակային հարձակումները: 

Անվտանգության ի՞նչ խնդիրներ ենք լուծում։ 

Մենք բացահայտել ենք ծառայության անվտանգության մի քանի հիմնական սպառնալիք: Մի կողմից, վիրտուալ աշխատասեղանն օգտագործում է օգտագործողի համակարգչից վարակվելու վտանգը: Մյուս կողմից, վիրտուալ աշխատասեղանից ինտերնետի բաց տարածություն դուրս գալու և վարակված ֆայլ ներբեռնելու վտանգ կա։ Եթե ​​նույնիսկ դա տեղի ունենա, դա չպետք է ազդի ամբողջ ենթակառուցվածքի վրա: Հետևաբար, ծառայությունը ստեղծելիս մենք լուծեցինք մի քանի խնդիր. 

• Պաշտպանում է ամբողջ VDI ստենդը արտաքին սպառնալիքներից:
• Հաճախորդների մեկուսացում միմյանցից.
• Իրենց վիրտուալ աշխատասեղանների պաշտպանությունը: 
• Ապահով միացրեք օգտվողներին ցանկացած սարքից:

Պաշտպանության առանցքը FortiGate-ն էր՝ Fortinet-ի նոր սերնդի firewall-ը: Այն վերահսկում է VDI խցիկի երթևեկությունը, ապահովում է մեկուսացված ենթակառուցվածք յուրաքանչյուր հաճախորդի համար և պաշտպանում է օգտագործողի կողմից խոցելիությունից: Դրա հնարավորությունները բավարար են տեղեկատվական անվտանգության խնդիրների մեծ մասը լուծելու համար: 

Բայց եթե ընկերությունն ունի անվտանգության հատուկ պահանջներ, մենք առաջարկում ենք լրացուցիչ տարբերակներ. 

• Մենք կազմակերպում ենք անվտանգ կապ տնային համակարգչից աշխատելու համար։
• Մենք տրամադրում ենք մուտք անվտանգության տեղեկամատյանների անկախ վերլուծության համար:
• Մենք ապահովում ենք հակավիրուսային պաշտպանության կառավարում աշխատասեղանների վրա:
• Մենք պաշտպանում ենք զրոյական օրվա խոցելիությունից: 
• Մենք կարգավորում ենք բազմագործոն նույնականացումը՝ չթույլատրված միացումներից լրացուցիչ պաշտպանության համար:

Ես ձեզ ավելի մանրամասն կպատմեմ, թե ինչպես ենք մենք լուծել խնդիրները: 

Ինչպես պաշտպանել ստենդը և ապահովել ցանցի անվտանգությունը

Եկեք բաժանենք ցանցի հատվածը: Ստենդում մենք կարևորում ենք կառավարման փակ հատվածը բոլոր ռեսուրսների կառավարման համար: Կառավարման սեգմենտը դրսից անհասանելի է. հաճախորդի վրա հարձակման դեպքում հարձակվողները չեն կարողանա այնտեղ հասնել: 

FortiGate-ը պատասխանատու է պաշտպանության համար: Այն համատեղում է հակավիրուսային, firewall-ի և ներխուժման կանխարգելման համակարգի (IPS) գործառույթները: 

Յուրաքանչյուր հաճախորդի համար մենք ստեղծում ենք ցանցի մեկուսացված հատված վիրտուալ աշխատասեղանների համար: Այդ նպատակով FortiGate-ն ունի վիրտուալ տիրույթի տեխնոլոգիա կամ VDOM: Այն թույլ է տալիս բաժանել firewall-ը մի քանի վիրտուալ սուբյեկտների և յուրաքանչյուր հաճախորդին հատկացնել իր սեփական VDOM-ը, որն իրեն պահում է որպես առանձին firewall: Մենք նաև առանձին VDOM ենք ստեղծում կառավարման սեգմենտի համար։

Պարզվում է, որ սա հետևյալ դիագրամն է.


Հաճախորդների միջև ցանցային կապ չկա. յուրաքանչյուրն ապրում է իր սեփական VDOM-ում և չի ազդում մյուսի վրա: Առանց այս տեխնոլոգիայի, մենք ստիպված կլինենք բաժանել հաճախորդներին firewall-ի կանոններով, ինչը ռիսկային է մարդկային սխալի պատճառով: Դուք կարող եք նման կանոնները համեմատել դռան հետ, որը պետք է անընդհատ փակվի: VDOM-ի դեպքում մենք ընդհանրապես «դռներ» չենք թողնում։ 

Առանձին VDOM-ում հաճախորդն ունի իր սեփական հասցեավորումը և երթուղին: Հետևաբար, շղթաների հատումը ընկերության համար խնդիր չի դառնում: Հաճախորդը կարող է նշանակել անհրաժեշտ IP հասցեները վիրտուալ աշխատասեղաններին: Սա հարմար է խոշոր ընկերությունների համար, որոնք ունեն իրենց սեփական IP ծրագրերը: 

Մենք լուծում ենք միացման խնդիրները հաճախորդի կորպորատիվ ցանցի հետ: Առանձին խնդիր է VDI-ի կապը հաճախորդի ենթակառուցվածքի հետ: Եթե ​​ընկերությունը կորպորատիվ համակարգեր է պահում մեր տվյալների կենտրոնում, մենք կարող ենք պարզապես ցանցային մալուխ անցկացնել իր սարքավորումներից դեպի firewall: Բայց ավելի հաճախ մենք գործ ունենք հեռավոր կայքի հետ՝ մեկ այլ տվյալների կենտրոնի կամ հաճախորդի գրասենյակի: Այս դեպքում մենք մտածում ենք կայքի հետ անվտանգ փոխանակման միջոցով և կառուցում ենք site2site VPN՝ օգտագործելով IPsec VPN: 

Սխեմաները կարող են տարբեր լինել՝ կախված ենթակառուցվածքի բարդությունից: Որոշ տեղերում բավական է միայնակ գրասենյակային ցանցը միացնել VDI-ին, այնտեղ բավական է ստատիկ երթուղավորումը: Խոշոր ընկերություններն ունեն բազմաթիվ ցանցեր, որոնք անընդհատ փոխվում են. այստեղ հաճախորդին դինամիկ երթուղի է հարկավոր: Մենք օգտագործում ենք տարբեր արձանագրություններ. արդեն եղել են OSPF-ի (Open Shortest Path First), GRE թունելների (Generic Routing Encapsulation) և BGP-ի (Border Gateway Protocol) հետ կապված դեպքեր: FortiGate-ն աջակցում է ցանցային արձանագրություններին առանձին VDOM-ներում՝ չազդելով այլ հաճախորդների վրա: 

Կարող եք նաև կառուցել ԳՕՍՏ-ՎՊՆ՝ ծածկագրում, որը հիմնված է Ռուսաստանի Դաշնության FSB-ի կողմից վավերացված կրիպտոգրաֆիկ պաշտպանության միջոցների վրա: Օրինակ, KS1 դասի լուծումների օգտագործումը «S-Terra Virtual Gateway» կամ PAK ViPNet, APKSH «Continent», «S-Terra» վիրտուալ միջավայրում:

Խմբային քաղաքականության կարգավորում: Մենք համաձայնում ենք հաճախորդի հետ VDI-ում կիրառվող խմբային քաղաքականության վերաբերյալ: Այստեղ տեղադրման սկզբունքները ոչնչով չեն տարբերվում գրասենյակում քաղաքականություն սահմանելուց: Մենք ինտեգրում ենք Active Directory-ի հետ և պատվիրակում ենք խմբային որոշ քաղաքականության կառավարումը հաճախորդներին: Վարձակալների ադմինիստրատորները կարող են կիրառել քաղաքականություն Համակարգչային օբյեկտի նկատմամբ, կառավարել կազմակերպչական միավորը Active Directory-ում և ստեղծել օգտվողներ: 

FortiGate-ում յուրաքանչյուր հաճախորդի VDOM-ի համար մենք գրում ենք ցանցի անվտանգության քաղաքականություն, սահմանում մուտքի սահմանափակումներ և կարգավորում երթևեկության ստուգումը: Մենք օգտագործում ենք մի քանի FortiGate մոդուլներ. 

• IPS մոդուլը սկանավորում է երթևեկությունը չարամիտ ծրագրերի համար և կանխում է ներխուժումները.
• հակավիրուսը պաշտպանում է աշխատասեղանները չարամիտ և լրտեսող ծրագրերից;
• վեբ զտիչն արգելափակում է մուտքը դեպի անվստահելի ռեսուրսներ և վնասակար կամ անպատշաճ բովանդակություն ունեցող կայքեր.
• Firewall-ի կարգավորումները կարող են թույլ տալ օգտվողներին մուտք գործել ինտերնետ միայն որոշակի կայքեր: 

Երբեմն հաճախորդը ցանկանում է ինքնուրույն կառավարել աշխատակիցների մուտքը կայքեր: Ավելի հաճախ, քան ոչ, բանկերը գալիս են այս խնդրանքով. անվտանգության ծառայությունները պահանջում են, որ մուտքի վերահսկումը մնա ընկերության կողմից: Նման ընկերություններն իրենք են վերահսկում երթևեկությունը և կանոնավոր կերպով փոփոխություններ են կատարում քաղաքականության մեջ: Այս դեպքում մենք FortiGate-ից ամբողջ տրաֆիկը դարձնում ենք հաճախորդ: Դա անելու համար մենք օգտագործում ենք կազմաձևված ինտերֆեյս ընկերության ենթակառուցվածքի հետ: Դրանից հետո հաճախորդն ինքն է կարգավորում կորպորատիվ ցանցին և ինտերնետին մուտք գործելու կանոնները: 

Դիտում ենք իրադարձությունները ստենդի մոտ։ FortiGate-ի հետ միասին մենք օգտագործում ենք FortiAnalyzer-ը՝ Fortinet-ի տեղեկամատյանների հավաքորդը: Նրա օգնությամբ մենք դիտարկում ենք բոլոր իրադարձությունների տեղեկամատյանները VDI-ում մեկ տեղում, գտնում ենք կասկածելի գործողություններ և հետևում հարաբերակցություններին: 

Մեր հաճախորդներից մեկն իր գրասենյակում օգտագործում է Fortinet արտադրանքը: Դրա համար մենք կազմաձևեցինք տեղեկամատյանների բեռնումը, այնպես որ հաճախորդը կարողացավ վերլուծել անվտանգության բոլոր իրադարձությունները գրասենյակային մեքենաների և վիրտուալ աշխատասեղանների համար:

Ինչպես պաշտպանել վիրտուալ աշխատասեղանները

Հայտնի սպառնալիքներից. Եթե ​​հաճախորդը ցանկանում է ինքնուրույն կառավարել հակավիրուսային պաշտպանությունը, մենք լրացուցիչ տեղադրում ենք Kaspersky Security վիրտուալ միջավայրերի համար: 

Այս լուծումը լավ է աշխատում ամպի մեջ: Մենք բոլորս սովոր ենք այն փաստին, որ դասական Kaspersky հակավիրուսը «ծանր» լուծում է: Ի հակադրություն, Kaspersky Security for Virtualization-ը չի բեռնում վիրտուալ մեքենաները: Բոլոր վիրուսների տվյալների բազաները տեղակայված են սերվերի վրա, որը որոշումներ է կայացնում հանգույցի բոլոր վիրտուալ մեքենաների համար: Վիրտուալ աշխատասեղանի վրա տեղադրված է միայն լուսային գործակալը: Այն ստուգման համար ֆայլեր է ուղարկում սերվերին: 

Այս ճարտարապետությունը միաժամանակ ապահովում է ֆայլերի պաշտպանություն, ինտերնետի պաշտպանություն և պաշտպանություն հարձակումներից՝ չվնասելով վիրտուալ մեքենաների աշխատանքը: Այս դեպքում հաճախորդը կարող է ինքնուրույն բացառություններ ներկայացնել ֆայլերի պաշտպանության համար: Մենք օգնում ենք լուծման հիմնական տեղադրմանը: Նրա առանձնահատկությունների մասին մենք կխոսենք առանձին հոդվածում:

Անհայտ սպառնալիքներից. Դա անելու համար մենք միացնում ենք FortiSandbox-ը՝ Fortinet-ի «ավազատուփ»: Մենք օգտագործում ենք այն որպես զտիչ, եթե հակավիրուսը բաց թողնի զրոյական օրվա սպառնալիքը: Ֆայլը ներբեռնելուց հետո նախ սկանավորում ենք այն հակավիրուսով, այնուհետև ուղարկում ենք ավազատուփ։ FortiSandbox-ը նմանակում է վիրտուալ մեքենան, գործարկում է ֆայլը և հետևում նրա վարքագծին. ռեեստրի ինչ օբյեկտներ են հասանելի, արդյոք այն ուղարկում է արտաքին հարցումներ և այլն: Եթե ​​ֆայլը կասկածելի է վարվում, ապա ավազապատ վիրտուալ մեքենան ջնջվում է, և վնասակար ֆայլը չի ​​հայտնվում օգտվողի VDI-ում: 

Ինչպես ստեղծել անվտանգ կապ VDI-ի հետ

Մենք ստուգում ենք սարքի համապատասխանությունը տեղեկատվական անվտանգության պահանջներին: Հեռավար աշխատանքի սկզբից հաճախորդները մեզ դիմել են խնդրանքներով՝ ապահովել օգտատերերի անվտանգ աշխատանքը իրենց անհատական ​​համակարգչից: Տեղեկատվական անվտանգության ցանկացած մասնագետ գիտի, որ տնային սարքերը պաշտպանելը դժվար է. դուք չեք կարող տեղադրել անհրաժեշտ հակավիրուսը կամ կիրառել խմբային քաղաքականություն, քանի որ դա գրասենյակային սարքավորումներ չէ: 

Լռելյայնորեն, VDI-ն դառնում է անվտանգ «շերտ» անձնական սարքի և կորպորատիվ ցանցի միջև: VDI-ն օգտատիրոջ մեքենայի հարձակումներից պաշտպանելու համար մենք անջատում ենք clipboard-ը և արգելում ենք USB փոխանցումը: Բայց դա չի ապահովում օգտատիրոջ սարքն ինքնին անվտանգ: 

Մենք խնդիրը լուծում ենք՝ օգտագործելով FortiClient-ը: Սա վերջնական կետի պաշտպանության գործիք է: Ընկերության օգտատերերը տեղադրում են FortiClient-ն իրենց տնային համակարգիչների վրա և օգտագործում այն ​​վիրտուալ աշխատասեղանին միանալու համար: FortiClient-ը լուծում է միանգամից 3 խնդիր. 

• դառնում է օգտագործողի համար մուտքի «մեկ պատուհան».
• ստուգում է արդյոք ձեր անձնական համակարգիչը հակավիրուսային և ՕՀ-ի վերջին թարմացումներն ունի. 
• կառուցում է VPN թունել անվտանգ մուտքի համար: 

Աշխատակիցը մուտք է ստանում միայն ստուգում անցնելու դեպքում: Միևնույն ժամանակ, վիրտուալ աշխատասեղաններն իրենք անհասանելի են ինտերնետից, ինչը նշանակում է, որ նրանք ավելի լավ պաշտպանված են հարձակումներից: 

Եթե ​​ընկերությունը ցանկանում է ինքնուրույն կառավարել վերջնակետի պաշտպանությունը, մենք առաջարկում ենք FortiClient EMS (Endpoint Management Server): Հաճախորդը կարող է կարգավորել աշխատասեղանի սկանավորումը և ներխուժման կանխումը և ստեղծել հասցեների սպիտակ ցուցակ: 

Նույնականացման գործոնների ավելացում: Լռելյայնորեն, օգտվողները վավերացվում են Citrix netscaler-ի միջոցով: Այստեղ նույնպես մենք կարող ենք բարձրացնել անվտանգությունը՝ օգտագործելով SafeNet արտադրանքների վրա հիմնված բազմագործոն նույնականացումը: Այս թեման արժանի է հատուկ ուշադրության, այս մասին կխոսենք նաև առանձին հոդվածում։ 

Տարբեր լուծումներով աշխատելու նման փորձ մենք կուտակել ենք աշխատանքային վերջին մեկ տարվա ընթացքում։ VDI ծառայությունը կազմաձևված է առանձին յուրաքանչյուր հաճախորդի համար, ուստի մենք ընտրեցինք առավել ճկուն գործիքները: Միգուցե մոտ ապագայում մենք եւս մի բան կավելացնենք եւ կիսվենք մեր փորձով։

Հոկտեմբերի 7-ին, ժամը 17.00-ին իմ գործընկերները կխոսեն վիրտուալ աշխատասեղանների մասին «Արդյո՞ք անհրաժեշտ է VDI, թե ինչպես կազմակերպել հեռավար աշխատանքը» վեբինարին:
Sign up, եթե ցանկանում եք քննարկել, թե երբ է VDI տեխնոլոգիան հարմար ընկերության համար, և երբ է ավելի լավ օգտագործել այլ մեթոդներ։

Source: www.habr.com