Այս տարի շատ ընկերություններ հապճեպ անցան հեռավար աշխատանքի։ Որոշ հաճախորդների համար մենք
Այս հոդվածում ես ձեզ կասեմ, թե ինչպես է աշխատում Citrix VDI-ի վրա հիմնված մեր վիրտուալ աշխատասեղանի ծառայությունը տեղեկատվական անվտանգության տեսանկյունից: Ես ձեզ ցույց կտամ, թե ինչ ենք մենք անում՝ պաշտպանելու հաճախորդների աշխատասեղանները արտաքին սպառնալիքներից, ինչպիսիք են փրկագին կամ նպատակային հարձակումները:
Անվտանգության ի՞նչ խնդիրներ ենք լուծում։
Մենք բացահայտել ենք ծառայության անվտանգության մի քանի հիմնական սպառնալիք: Մի կողմից, վիրտուալ աշխատասեղանն օգտագործում է օգտագործողի համակարգչից վարակվելու վտանգը: Մյուս կողմից, վիրտուալ աշխատասեղանից ինտերնետի բաց տարածություն դուրս գալու և վարակված ֆայլ ներբեռնելու վտանգ կա։ Եթե նույնիսկ դա տեղի ունենա, դա չպետք է ազդի ամբողջ ենթակառուցվածքի վրա: Հետևաբար, ծառայությունը ստեղծելիս մենք լուծեցինք մի քանի խնդիր.
- Պաշտպանում է ամբողջ VDI ստենդը արտաքին սպառնալիքներից:
- Հաճախորդների մեկուսացում միմյանցից.
- Իրենց վիրտուալ աշխատասեղանների պաշտպանությունը:
- Ապահով միացրեք օգտվողներին ցանկացած սարքից:
Պաշտպանության առանցքը FortiGate-ն էր՝ Fortinet-ի նոր սերնդի firewall-ը: Այն վերահսկում է VDI խցիկի երթևեկությունը, ապահովում է մեկուսացված ենթակառուցվածք յուրաքանչյուր հաճախորդի համար և պաշտպանում է օգտագործողի կողմից խոցելիությունից: Դրա հնարավորությունները բավարար են տեղեկատվական անվտանգության խնդիրների մեծ մասը լուծելու համար:
Բայց եթե ընկերությունն ունի անվտանգության հատուկ պահանջներ, մենք առաջարկում ենք լրացուցիչ տարբերակներ.
- Մենք կազմակերպում ենք անվտանգ կապ տնային համակարգչից աշխատելու համար։
- Մենք տրամադրում ենք մուտք անվտանգության տեղեկամատյանների անկախ վերլուծության համար:
- Մենք ապահովում ենք հակավիրուսային պաշտպանության կառավարում աշխատասեղանների վրա:
- Մենք պաշտպանում ենք զրոյական օրվա խոցելիությունից:
- Մենք կարգավորում ենք բազմագործոն նույնականացումը՝ չթույլատրված միացումներից լրացուցիչ պաշտպանության համար:
Ես ձեզ ավելի մանրամասն կպատմեմ, թե ինչպես ենք մենք լուծել խնդիրները:
Ինչպես պաշտպանել ստենդը և ապահովել ցանցի անվտանգությունը
Եկեք բաժանենք ցանցի հատվածը: Ստենդում մենք կարևորում ենք կառավարման փակ հատվածը բոլոր ռեսուրսների կառավարման համար: Կառավարման սեգմենտը դրսից անհասանելի է. հաճախորդի վրա հարձակման դեպքում հարձակվողները չեն կարողանա այնտեղ հասնել:
FortiGate-ը պատասխանատու է պաշտպանության համար: Այն համատեղում է հակավիրուսային, firewall-ի և ներխուժման կանխարգելման համակարգի (IPS) գործառույթները:
Յուրաքանչյուր հաճախորդի համար մենք ստեղծում ենք ցանցի մեկուսացված հատված վիրտուալ աշխատասեղանների համար: Այդ նպատակով FortiGate-ն ունի վիրտուալ տիրույթի տեխնոլոգիա կամ VDOM: Այն թույլ է տալիս բաժանել firewall-ը մի քանի վիրտուալ սուբյեկտների և յուրաքանչյուր հաճախորդին հատկացնել իր սեփական VDOM-ը, որն իրեն պահում է որպես առանձին firewall: Մենք նաև առանձին VDOM ենք ստեղծում կառավարման սեգմենտի համար։
Պարզվում է, որ սա հետևյալ դիագրամն է.
Հաճախորդների միջև ցանցային կապ չկա. յուրաքանչյուրն ապրում է իր սեփական VDOM-ում և չի ազդում մյուսի վրա: Առանց այս տեխնոլոգիայի, մենք ստիպված կլինենք բաժանել հաճախորդներին firewall-ի կանոններով, ինչը ռիսկային է մարդկային սխալի պատճառով: Դուք կարող եք նման կանոնները համեմատել դռան հետ, որը պետք է անընդհատ փակվի: VDOM-ի դեպքում մենք ընդհանրապես «դռներ» չենք թողնում։
Առանձին VDOM-ում հաճախորդն ունի իր սեփական հասցեավորումը և երթուղին: Հետևաբար, շղթաների հատումը ընկերության համար խնդիր չի դառնում: Հաճախորդը կարող է նշանակել անհրաժեշտ IP հասցեները վիրտուալ աշխատասեղաններին: Սա հարմար է խոշոր ընկերությունների համար, որոնք ունեն իրենց սեփական IP ծրագրերը:
Մենք լուծում ենք միացման խնդիրները հաճախորդի կորպորատիվ ցանցի հետ: Առանձին խնդիր է VDI-ի կապը հաճախորդի ենթակառուցվածքի հետ: Եթե ընկերությունը կորպորատիվ համակարգեր է պահում մեր տվյալների կենտրոնում, մենք կարող ենք պարզապես ցանցային մալուխ անցկացնել իր սարքավորումներից դեպի firewall: Բայց ավելի հաճախ մենք գործ ունենք հեռավոր կայքի հետ՝ մեկ այլ տվյալների կենտրոնի կամ հաճախորդի գրասենյակի: Այս դեպքում մենք մտածում ենք կայքի հետ անվտանգ փոխանակման միջոցով և կառուցում ենք site2site VPN՝ օգտագործելով IPsec VPN:
Սխեմաները կարող են տարբեր լինել՝ կախված ենթակառուցվածքի բարդությունից: Որոշ տեղերում բավական է միայնակ գրասենյակային ցանցը միացնել VDI-ին, այնտեղ բավական է ստատիկ երթուղավորումը: Խոշոր ընկերություններն ունեն բազմաթիվ ցանցեր, որոնք անընդհատ փոխվում են. այստեղ հաճախորդին դինամիկ երթուղի է հարկավոր: Մենք օգտագործում ենք տարբեր արձանագրություններ. արդեն եղել են OSPF-ի (Open Shortest Path First), GRE թունելների (Generic Routing Encapsulation) և BGP-ի (Border Gateway Protocol) հետ կապված դեպքեր: FortiGate-ն աջակցում է ցանցային արձանագրություններին առանձին VDOM-ներում՝ չազդելով այլ հաճախորդների վրա:
Կարող եք նաև կառուցել ԳՕՍՏ-ՎՊՆ՝ ծածկագրում, որը հիմնված է Ռուսաստանի Դաշնության FSB-ի կողմից վավերացված կրիպտոգրաֆիկ պաշտպանության միջոցների վրա: Օրինակ, KS1 դասի լուծումների օգտագործումը «S-Terra Virtual Gateway» կամ PAK ViPNet, APKSH «Continent», «S-Terra» վիրտուալ միջավայրում:
Խմբային քաղաքականության կարգավորում: Մենք համաձայնում ենք հաճախորդի հետ VDI-ում կիրառվող խմբային քաղաքականության վերաբերյալ: Այստեղ տեղադրման սկզբունքները ոչնչով չեն տարբերվում գրասենյակում քաղաքականություն սահմանելուց: Մենք ինտեգրում ենք Active Directory-ի հետ և պատվիրակում ենք խմբային որոշ քաղաքականության կառավարումը հաճախորդներին: Վարձակալների ադմինիստրատորները կարող են կիրառել քաղաքականություն Համակարգչային օբյեկտի նկատմամբ, կառավարել կազմակերպչական միավորը Active Directory-ում և ստեղծել օգտվողներ:
FortiGate-ում յուրաքանչյուր հաճախորդի VDOM-ի համար մենք գրում ենք ցանցի անվտանգության քաղաքականություն, սահմանում մուտքի սահմանափակումներ և կարգավորում երթևեկության ստուգումը: Մենք օգտագործում ենք մի քանի FortiGate մոդուլներ.
- IPS մոդուլը սկանավորում է երթևեկությունը չարամիտ ծրագրերի համար և կանխում է ներխուժումները.
- հակավիրուսը պաշտպանում է աշխատասեղանները չարամիտ և լրտեսող ծրագրերից;
- վեբ զտիչն արգելափակում է մուտքը դեպի անվստահելի ռեսուրսներ և վնասակար կամ անպատշաճ բովանդակություն ունեցող կայքեր.
- Firewall-ի կարգավորումները կարող են թույլ տալ օգտվողներին մուտք գործել ինտերնետ միայն որոշակի կայքեր:
Երբեմն հաճախորդը ցանկանում է ինքնուրույն կառավարել աշխատակիցների մուտքը կայքեր: Ավելի հաճախ, քան ոչ, բանկերը գալիս են այս խնդրանքով. անվտանգության ծառայությունները պահանջում են, որ մուտքի վերահսկումը մնա ընկերության կողմից: Նման ընկերություններն իրենք են վերահսկում երթևեկությունը և կանոնավոր կերպով փոփոխություններ են կատարում քաղաքականության մեջ: Այս դեպքում մենք FortiGate-ից ամբողջ տրաֆիկը դարձնում ենք հաճախորդ: Դա անելու համար մենք օգտագործում ենք կազմաձևված ինտերֆեյս ընկերության ենթակառուցվածքի հետ: Դրանից հետո հաճախորդն ինքն է կարգավորում կորպորատիվ ցանցին և ինտերնետին մուտք գործելու կանոնները:
Դիտում ենք իրադարձությունները ստենդի մոտ։ FortiGate-ի հետ միասին մենք օգտագործում ենք FortiAnalyzer-ը՝ Fortinet-ի տեղեկամատյանների հավաքորդը: Նրա օգնությամբ մենք դիտարկում ենք բոլոր իրադարձությունների տեղեկամատյանները VDI-ում մեկ տեղում, գտնում ենք կասկածելի գործողություններ և հետևում հարաբերակցություններին:
Մեր հաճախորդներից մեկն իր գրասենյակում օգտագործում է Fortinet արտադրանքը: Դրա համար մենք կազմաձևեցինք տեղեկամատյանների բեռնումը, այնպես որ հաճախորդը կարողացավ վերլուծել անվտանգության բոլոր իրադարձությունները գրասենյակային մեքենաների և վիրտուալ աշխատասեղանների համար:
Ինչպես պաշտպանել վիրտուալ աշխատասեղանները
Հայտնի սպառնալիքներից. Եթե հաճախորդը ցանկանում է ինքնուրույն կառավարել հակավիրուսային պաշտպանությունը, մենք լրացուցիչ տեղադրում ենք Kaspersky Security վիրտուալ միջավայրերի համար:
Այս լուծումը լավ է աշխատում ամպի մեջ: Մենք բոլորս սովոր ենք այն փաստին, որ դասական Kaspersky հակավիրուսը «ծանր» լուծում է: Ի հակադրություն, Kaspersky Security for Virtualization-ը չի բեռնում վիրտուալ մեքենաները: Բոլոր վիրուսների տվյալների բազաները տեղակայված են սերվերի վրա, որը որոշումներ է կայացնում հանգույցի բոլոր վիրտուալ մեքենաների համար: Վիրտուալ աշխատասեղանի վրա տեղադրված է միայն լուսային գործակալը: Այն ստուգման համար ֆայլեր է ուղարկում սերվերին:
Այս ճարտարապետությունը միաժամանակ ապահովում է ֆայլերի պաշտպանություն, ինտերնետի պաշտպանություն և պաշտպանություն հարձակումներից՝ չվնասելով վիրտուալ մեքենաների աշխատանքը: Այս դեպքում հաճախորդը կարող է ինքնուրույն բացառություններ ներկայացնել ֆայլերի պաշտպանության համար: Մենք օգնում ենք լուծման հիմնական տեղադրմանը: Նրա առանձնահատկությունների մասին մենք կխոսենք առանձին հոդվածում:
Անհայտ սպառնալիքներից. Դա անելու համար մենք միացնում ենք FortiSandbox-ը՝ Fortinet-ի «ավազատուփ»: Մենք օգտագործում ենք այն որպես զտիչ, եթե հակավիրուսը բաց թողնի զրոյական օրվա սպառնալիքը: Ֆայլը ներբեռնելուց հետո նախ սկանավորում ենք այն հակավիրուսով, այնուհետև ուղարկում ենք ավազատուփ։ FortiSandbox-ը նմանակում է վիրտուալ մեքենան, գործարկում է ֆայլը և հետևում նրա վարքագծին. ռեեստրի ինչ օբյեկտներ են հասանելի, արդյոք այն ուղարկում է արտաքին հարցումներ և այլն: Եթե ֆայլը կասկածելի է վարվում, ապա ավազապատ վիրտուալ մեքենան ջնջվում է, և վնասակար ֆայլը չի հայտնվում օգտվողի VDI-ում:
Ինչպես ստեղծել անվտանգ կապ VDI-ի հետ
Մենք ստուգում ենք սարքի համապատասխանությունը տեղեկատվական անվտանգության պահանջներին: Հեռավար աշխատանքի սկզբից հաճախորդները մեզ դիմել են խնդրանքներով՝ ապահովել օգտատերերի անվտանգ աշխատանքը իրենց անհատական համակարգչից: Տեղեկատվական անվտանգության ցանկացած մասնագետ գիտի, որ տնային սարքերը պաշտպանելը դժվար է. դուք չեք կարող տեղադրել անհրաժեշտ հակավիրուսը կամ կիրառել խմբային քաղաքականություն, քանի որ դա գրասենյակային սարքավորումներ չէ:
Լռելյայնորեն, VDI-ն դառնում է անվտանգ «շերտ» անձնական սարքի և կորպորատիվ ցանցի միջև: VDI-ն օգտատիրոջ մեքենայի հարձակումներից պաշտպանելու համար մենք անջատում ենք clipboard-ը և արգելում ենք USB փոխանցումը: Բայց դա չի ապահովում օգտատիրոջ սարքն ինքնին անվտանգ:
Մենք խնդիրը լուծում ենք՝ օգտագործելով FortiClient-ը: Սա վերջնական կետի պաշտպանության գործիք է: Ընկերության օգտատերերը տեղադրում են FortiClient-ն իրենց տնային համակարգիչների վրա և օգտագործում այն վիրտուալ աշխատասեղանին միանալու համար: FortiClient-ը լուծում է միանգամից 3 խնդիր.
- դառնում է օգտագործողի համար մուտքի «մեկ պատուհան».
- ստուգում է արդյոք ձեր անձնական համակարգիչը հակավիրուսային և ՕՀ-ի վերջին թարմացումներն ունի.
- կառուցում է VPN թունել անվտանգ մուտքի համար:
Աշխատակիցը մուտք է ստանում միայն ստուգում անցնելու դեպքում: Միևնույն ժամանակ, վիրտուալ աշխատասեղաններն իրենք անհասանելի են ինտերնետից, ինչը նշանակում է, որ նրանք ավելի լավ պաշտպանված են հարձակումներից:
Եթե ընկերությունը ցանկանում է ինքնուրույն կառավարել վերջնակետի պաշտպանությունը, մենք առաջարկում ենք FortiClient EMS (Endpoint Management Server): Հաճախորդը կարող է կարգավորել աշխատասեղանի սկանավորումը և ներխուժման կանխումը և ստեղծել հասցեների սպիտակ ցուցակ:
Նույնականացման գործոնների ավելացում: Լռելյայնորեն, օգտվողները վավերացվում են Citrix netscaler-ի միջոցով: Այստեղ նույնպես մենք կարող ենք բարձրացնել անվտանգությունը՝ օգտագործելով SafeNet արտադրանքների վրա հիմնված բազմագործոն նույնականացումը: Այս թեման արժանի է հատուկ ուշադրության, այս մասին կխոսենք նաև առանձին հոդվածում։
Տարբեր լուծումներով աշխատելու նման փորձ մենք կուտակել ենք աշխատանքային վերջին մեկ տարվա ընթացքում։ VDI ծառայությունը կազմաձևված է առանձին յուրաքանչյուր հաճախորդի համար, ուստի մենք ընտրեցինք առավել ճկուն գործիքները: Միգուցե մոտ ապագայում մենք եւս մի բան կավելացնենք եւ կիսվենք մեր փորձով։
Հոկտեմբերի 7-ին, ժամը 17.00-ին իմ գործընկերները կխոսեն վիրտուալ աշխատասեղանների մասին «Արդյո՞ք անհրաժեշտ է VDI, թե ինչպես կազմակերպել հեռավար աշխատանքը» վեբինարին:
Source: www.habr.com