Tahun ini, banyak perusahaan yang tergesa-gesa beralih ke pekerjaan jarak jauh. Untuk beberapa klien kami mengatur lebih dari seratus pekerjaan jarak jauh per minggu. Penting untuk melakukan ini tidak hanya dengan cepat, tetapi juga dengan aman. Teknologi VDI telah membantu: dengan bantuannya, akan lebih mudah untuk mendistribusikan kebijakan keamanan ke semua tempat kerja dan melindungi dari kebocoran data.
Pada artikel ini saya akan memberi tahu Anda cara kerja layanan desktop virtual kami berdasarkan Citrix VDI dari sudut pandang keamanan informasi. Saya akan menunjukkan kepada Anda apa yang kami lakukan untuk melindungi desktop klien dari ancaman eksternal seperti ransomware atau serangan yang ditargetkan.
Masalah keamanan apa yang kami pecahkan?
Kami telah mengidentifikasi beberapa ancaman keamanan utama terhadap layanan ini. Di satu sisi, desktop virtual berisiko terinfeksi dari komputer pengguna. Di sisi lain, ada bahaya keluar dari desktop virtual ke ruang terbuka Internet dan mengunduh file yang terinfeksi. Kalaupun terjadi, hal ini tidak akan berdampak pada keseluruhan infrastruktur. Oleh karena itu, saat membuat layanan, kami memecahkan beberapa masalah:
- Melindungi seluruh stand VDI dari ancaman eksternal.
- Isolasi klien satu sama lain.
- Melindungi desktop virtual itu sendiri.
- Hubungkan pengguna dengan aman dari perangkat apa pun.
Inti dari perlindungannya adalah FortiGate, firewall generasi baru dari Fortinet. Ini memonitor lalu lintas stan VDI, menyediakan infrastruktur terisolasi untuk setiap klien, dan melindungi terhadap kerentanan di sisi pengguna. Kemampuannya cukup untuk menyelesaikan sebagian besar masalah keamanan informasi.
Namun jika perusahaan memiliki persyaratan keamanan khusus, kami menawarkan opsi tambahan:
- Kami mengatur koneksi aman untuk bekerja dari komputer rumah.
- Kami menyediakan akses untuk analisis independen terhadap log keamanan.
- Kami menyediakan pengelolaan perlindungan antivirus di desktop.
- Kami melindungi dari kerentanan zero-day.
- Kami mengonfigurasi autentikasi multifaktor untuk perlindungan tambahan terhadap koneksi tidak sah.
Saya akan memberi tahu Anda lebih detail bagaimana kami memecahkan masalah tersebut.
Bagaimana melindungi stand dan memastikan keamanan jaringan
Mari kita segmentasikan bagian jaringan. Di stand kami menyoroti segmen manajemen tertutup untuk mengelola semua sumber daya. Segmen manajemen tidak dapat diakses dari luar: jika terjadi serangan terhadap klien, penyerang tidak akan bisa sampai ke sana.
FortiGate bertanggung jawab atas perlindungan. Ini menggabungkan fungsi antivirus, firewall, dan sistem pencegahan intrusi (IPS).
Untuk setiap klien kami membuat segmen jaringan terisolasi untuk desktop virtual. Untuk tujuan ini, FortiGate memiliki teknologi domain virtual, atau VDOM. Ini memungkinkan Anda untuk membagi firewall menjadi beberapa entitas virtual dan mengalokasikan VDOM masing-masing klien, yang berperilaku seperti firewall terpisah. Kami juga membuat VDOM terpisah untuk segmen manajemen.
Ini ternyata menjadi diagram berikut:
Tidak ada konektivitas jaringan antar klien: masing-masing klien tinggal di VDOMnya sendiri dan tidak mempengaruhi yang lain. Tanpa teknologi ini, kita harus memisahkan klien dengan aturan firewall, yang berisiko karena kesalahan manusia. Anda dapat membandingkan aturan tersebut dengan pintu yang harus selalu ditutup. Dalam kasus VDOM, kami tidak meninggalkan “pintu” sama sekali.
Dalam VDOM terpisah, klien memiliki pengalamatan dan peruteannya sendiri. Oleh karena itu, melintasi jarak tidak menjadi masalah bagi perusahaan. Klien dapat menetapkan alamat IP yang diperlukan untuk desktop virtual. Hal ini berguna bagi perusahaan besar yang memiliki paket IP sendiri.
Kami memecahkan masalah konektivitas dengan jaringan perusahaan klien. Tugas terpisah adalah menghubungkan VDI dengan infrastruktur klien. Jika sebuah perusahaan menyimpan sistem perusahaan di pusat data kami, kami cukup menjalankan kabel jaringan dari peralatannya ke firewall. Namun lebih sering kita berhadapan dengan situs jarak jauh - pusat data lain atau kantor klien. Dalam hal ini, kami memikirkan pertukaran aman dengan situs dan membangun VPN situs2 menggunakan IPsec VPN.
Skema dapat bervariasi tergantung pada kompleksitas infrastruktur. Di beberapa tempat, cukup menghubungkan satu jaringan kantor ke VDI - perutean statis sudah cukup di sana. Perusahaan besar memiliki banyak jaringan yang terus berubah; di sini klien membutuhkan perutean dinamis. Kami menggunakan protokol yang berbeda: sudah ada kasus dengan OSPF (Open Shortest Path First), terowongan GRE (Generic Routing Encapsulation) dan BGP (Border Gateway Protocol). FortiGate mendukung protokol jaringan di VDOM terpisah, tanpa mempengaruhi klien lain.
Anda juga dapat membuat gost-vpn - enkripsi berdasarkan sarana perlindungan kriptografi yang disertifikasi oleh FSB Federasi Rusia. Misalnya, menggunakan solusi kelas KS1 di lingkungan virtual “S-Terra Virtual Gateway” atau PAK ViPNet, APKSH “Continent”, “S-Terra”.
Menyiapkan Kebijakan Grup. Kami setuju dengan klien mengenai kebijakan grup yang diterapkan di VDI. Di sini prinsip penetapan tidak berbeda dengan penetapan kebijakan di kantor. Kami menyiapkan integrasi dengan Direktori Aktif dan mendelegasikan pengelolaan beberapa kebijakan grup kepada klien. Administrator penyewa dapat menerapkan kebijakan pada objek Komputer, mengelola unit organisasi di Direktori Aktif, dan membuat pengguna.
Di FortiGate, untuk setiap VDOM klien kami menulis kebijakan keamanan jaringan, menetapkan batasan akses, dan mengonfigurasi pemeriksaan lalu lintas. Kami menggunakan beberapa modul FortiGate:
- Modul IPS memindai lalu lintas untuk mencari malware dan mencegah intrusi;
- antivirus melindungi desktop itu sendiri dari malware dan spyware;
- pemfilteran web memblokir akses ke sumber daya dan situs yang tidak dapat diandalkan dengan konten berbahaya atau tidak pantas;
- Pengaturan firewall memungkinkan pengguna mengakses Internet hanya ke situs tertentu.
Terkadang klien ingin mengelola akses karyawan ke situs web secara mandiri. Seringkali, bank mengajukan permintaan ini: layanan keamanan mengharuskan kontrol akses tetap berada di pihak perusahaan. Perusahaan-perusahaan tersebut sendiri memantau lalu lintas dan secara teratur membuat perubahan kebijakan. Dalam hal ini, kami mengalihkan semua lalu lintas dari FortiGate ke klien. Untuk melakukan ini, kami menggunakan antarmuka yang dikonfigurasi dengan infrastruktur perusahaan. Setelah itu, klien sendiri yang mengonfigurasi aturan untuk akses ke jaringan perusahaan dan Internet.
Kami menonton acara di stand. Bersama FortiGate kami menggunakan FortiAnalyzer, pengumpul log dari Fortinet. Dengan bantuannya, kami melihat semua log peristiwa di VDI di satu tempat, menemukan tindakan mencurigakan, dan melacak korelasinya.
Salah satu klien kami menggunakan produk Fortinet di kantornya. Untuk itu, kami mengonfigurasi pengunggahan log - sehingga klien dapat menganalisis semua peristiwa keamanan untuk mesin kantor dan desktop virtual.
Bagaimana melindungi desktop virtual
Dari ancaman yang diketahui. Jika klien ingin mengelola perlindungan anti-virus secara mandiri, kami juga menginstal Kaspersky Security untuk lingkungan virtual.
Solusi ini berfungsi dengan baik di cloud. Kita semua terbiasa dengan kenyataan bahwa antivirus Kaspersky klasik adalah solusi yang “berat”. Sebaliknya, Kaspersky Security for Virtualization tidak memuat mesin virtual. Semua database virus terletak di server, yang mengeluarkan keputusan untuk semua mesin virtual di node tersebut. Hanya agen ringan yang diinstal pada desktop virtual. Ini mengirimkan file ke server untuk verifikasi.
Arsitektur ini secara bersamaan memberikan perlindungan file, perlindungan Internet, dan perlindungan serangan tanpa mengurangi kinerja mesin virtual. Dalam hal ini, klien dapat secara mandiri memperkenalkan pengecualian terhadap perlindungan file. Kami membantu dengan pengaturan dasar solusi. Kami akan membicarakan fitur-fiturnya di artikel terpisah.
Dari ancaman yang tidak diketahui. Untuk melakukan ini, kami menghubungkan FortiSandbox – “kotak pasir” dari Fortinet. Kami menggunakannya sebagai filter jika antivirus melewatkan ancaman zero-day. Setelah file didownload, kita scan dulu dengan antivirus lalu kirimkan ke sandbox. FortiSandbox mengemulasi mesin virtual, menjalankan file dan mengamati perilakunya: objek apa di registri yang diakses, apakah ia mengirimkan permintaan eksternal, dan sebagainya. Jika file berperilaku mencurigakan, mesin virtual sandbox akan dihapus dan file berbahaya tidak berakhir di VDI pengguna.
Cara mengatur koneksi aman ke VDI
Kami memeriksa kepatuhan perangkat terhadap persyaratan keamanan informasi. Sejak awal pekerjaan jarak jauh, klien telah menghubungi kami dengan permintaan: untuk memastikan pengoperasian pengguna yang aman dari komputer pribadi mereka. Setiap spesialis keamanan informasi tahu bahwa melindungi perangkat rumah itu sulit: Anda tidak dapat menginstal antivirus yang diperlukan atau menerapkan kebijakan grup, karena ini bukan peralatan kantor.
Secara default, VDI menjadi “lapisan” aman antara perangkat pribadi dan jaringan perusahaan. Untuk melindungi VDI dari serangan mesin pengguna, kami menonaktifkan clipboard dan melarang penerusan USB. Namun hal ini tidak membuat perangkat pengguna itu sendiri menjadi aman.
Kami memecahkan masalah menggunakan FortiClient. Ini adalah alat perlindungan titik akhir. Pengguna perusahaan menginstal FortiClient di komputer rumah mereka dan menggunakannya untuk terhubung ke desktop virtual. FortiClient memecahkan 3 masalah sekaligus:
- menjadi “satu jendela” akses bagi pengguna;
- memeriksa apakah komputer pribadi Anda memiliki antivirus dan pembaruan OS terkini;
- membangun terowongan VPN untuk akses aman.
Seorang karyawan hanya mendapatkan akses jika mereka lulus verifikasi. Pada saat yang sama, desktop virtual itu sendiri tidak dapat diakses dari Internet, yang berarti desktop virtual tersebut lebih terlindungi dari serangan.
Jika perusahaan ingin mengelola perlindungan endpoint sendiri, kami menawarkan FortiClient EMS (Endpoint Management Server). Klien dapat mengkonfigurasi pemindaian desktop dan pencegahan intrusi, dan membuat daftar putih alamat.
Menambahkan faktor otentikasi. Secara default, pengguna diautentikasi melalui Citrix netscaler. Di sini juga, kami dapat meningkatkan keamanan menggunakan otentikasi multifaktor berdasarkan produk SafeNet. Topik ini patut mendapat perhatian khusus, kami juga akan membicarakannya di artikel terpisah.
Kami telah mengumpulkan pengalaman dalam bekerja dengan solusi yang berbeda selama setahun terakhir bekerja. Layanan VDI dikonfigurasi secara terpisah untuk setiap klien, jadi kami memilih alat yang paling fleksibel. Mungkin dalam waktu dekat kami akan menambahkan sesuatu yang lain dan berbagi pengalaman.
Pada tanggal 7 Oktober pukul 17.00 rekan saya akan berbicara tentang desktop virtual di webinar “Apakah VDI diperlukan, atau bagaimana mengatur pekerjaan jarak jauh?”
, jika ingin berdiskusi kapan teknologi VDI cocok untuk suatu perusahaan dan kapan sebaiknya menggunakan metode lain.
Sumber: www.habr.com