Í ár skiptu mörg fyrirtæki í flýti yfir í fjarvinnu. Fyrir suma viðskiptavini við skipuleggja meira en hundrað fjarstörf á viku. Það var mikilvægt að gera þetta ekki bara fljótt heldur líka örugglega. VDI tæknin hefur komið til bjargar: með hjálp hennar er þægilegt að dreifa öryggisstefnu á alla vinnustaði og vernda gegn gagnaleka.
Í þessari grein mun ég segja þér hvernig sýndarskrifborðsþjónusta okkar sem byggir á Citrix VDI virkar út frá upplýsingaöryggissjónarmiði. Ég skal sýna þér hvað við gerum til að vernda skjáborð viðskiptavina fyrir utanaðkomandi ógnum eins og lausnarhugbúnaði eða markvissum árásum.
Hvaða öryggisvandamál leysum við?
Við höfum greint nokkrar helstu öryggisógnir við þjónustuna. Annars vegar á sýndarskjáborðið á hættu að smitast af tölvu notandans. Á hinn bóginn er hætta á að fara út af sýndarskjáborðinu í opið rými internetsins og hlaða niður sýktri skrá. Jafnvel þótt þetta gerist ætti það ekki að hafa áhrif á alla innviði. Þess vegna, þegar við stofnuðum þjónustuna, leystum við nokkur vandamál:
- Verndar allan VDI standinn fyrir utanaðkomandi ógnum.
- Einangrun viðskiptavina hver frá öðrum.
- Að vernda sýndarskjáborðin sjálf.
- Tengdu notendur á öruggan hátt úr hvaða tæki sem er.
Kjarninn í vörninni var FortiGate, ný kynslóð eldvegg frá Fortinet. Það fylgist með umferð VDI bása, býður upp á einangraðan innviði fyrir hvern viðskiptavin og verndar gegn veikleikum notendahliðarinnar. Hæfni þess nægir til að leysa flest upplýsingaöryggisvandamál.
En ef fyrirtæki hefur sérstakar öryggiskröfur bjóðum við upp á fleiri valkosti:
- Við skipuleggjum örugga tengingu til að vinna úr heimatölvum.
- Við veitum aðgang til óháðrar greiningar á öryggisskrám.
- Við veitum umsjón með vírusvörn á borðtölvum.
- Við verndum gegn veikleikum í dag.
- Við stillum fjölþátta auðkenningu til að auka vernd gegn óheimilum tengingum.
Ég skal segja þér nánar hvernig við leystum vandamálin.
Hvernig á að vernda standinn og tryggja netöryggi
Við skulum skipta upp nethlutanum. Á básnum leggjum við áherslu á lokaðan stjórnunarhluta til að stjórna öllum auðlindum. Stjórnunarhlutinn er óaðgengilegur að utan: ef ráðist er á viðskiptavininn munu árásarmenn ekki komast þangað.
FortiGate ber ábyrgð á vernd. Það sameinar aðgerðir vírusvarnar, eldveggs og innbrotsvarnakerfis (IPS).
Fyrir hvern viðskiptavin búum við til einangraðan nethluta fyrir sýndarskjáborð. Í þessu skyni hefur FortiGate sýndarlénstækni, eða VDOM. Það gerir þér kleift að skipta eldveggnum í nokkra sýndareiningar og úthluta hverjum viðskiptavini sínum eigin VDOM, sem hegðar sér eins og sérstakur eldveggur. Við búum einnig til sérstakt VDOM fyrir stjórnunarhlutann.
Þetta reynist vera eftirfarandi skýringarmynd:
Það er engin nettenging á milli viðskiptavina: hver býr í sínu VDOM og hefur ekki áhrif á hinn. Án þessarar tækni þyrftum við að aðskilja viðskiptavini með eldveggsreglum, sem er áhættusamt vegna mannlegra mistaka. Þú getur líkt slíkum reglum við hurð sem verður að vera stöðugt lokað. Þegar um VDOM er að ræða, skiljum við engar „hurðir“ eftir.
Í sérstakri VDOM hefur viðskiptavinurinn eigin heimilisfang og leið. Þess vegna verða yfirferðir ekki vandamál fyrir fyrirtækið. Viðskiptavinurinn getur úthlutað nauðsynlegum IP tölum til sýndarskjáborða. Þetta er þægilegt fyrir stór fyrirtæki sem hafa eigin IP áætlanir.
Við leysum tengingarvandamál við fyrirtækjanet viðskiptavinarins. Sérstakt verkefni er að tengja VDI við innviði viðskiptavinarins. Ef fyrirtæki geymir fyrirtækjakerfi í gagnaverinu okkar getum við einfaldlega keyrt netsnúru frá búnaði þess yfir í eldvegg. En oftar erum við að fást við fjarlæga síðu - aðra gagnaver eða skrifstofu viðskiptavinar. Í þessu tilviki hugsum við um örugg skipti við síðuna og byggjum upp site2site VPN með því að nota IPsec VPN.
Áætlanir geta verið mismunandi eftir flóknum innviðum. Sums staðar er nóg að tengja eitt skrifstofunet við VDI - þar nægir kyrrstöðuleiðing. Stór fyrirtæki hafa mörg netkerfi sem eru stöðugt að breytast; hér þarf viðskiptavinurinn kraftmikla leið. Við notum mismunandi samskiptareglur: það hafa þegar komið upp tilvik með OSPF (Open Shortest Path First), GRE göng (Generic Routing Encapsulation) og BGP (Border Gateway Protocol). FortiGate styður netsamskiptareglur í aðskildum VDOM, án þess að hafa áhrif á aðra viðskiptavini.
Þú getur líka smíðað GOST-VPN - dulkóðun byggt á dulkóðunarverndaraðferðum sem eru vottaðar af FSB í Rússlandi. Til dæmis að nota KS1 flokkalausnir í sýndarumhverfinu „S-Terra Virtual Gateway“ eða PAK ViPNet, APKSH „Continent“, „S-Terra“.
Setja upp hópstefnur. Við erum sammála viðskiptavininum um hópstefnur sem eru notaðar á VDI. Hér eru meginreglur stillingar ekki frábrugðnar því að setja stefnur á skrifstofunni. Við setjum upp samþættingu við Active Directory og framseljum stjórnun sumra hópstefnu til viðskiptavina. Leigjandi stjórnendur geta beitt stefnum á tölvuhlutinn, stjórnað skipulagseiningunni í Active Directory og búið til notendur.
Á FortiGate, fyrir hvern viðskiptavin VDOM skrifum við netöryggisstefnu, setjum aðgangstakmarkanir og stillum umferðarskoðun. Við notum nokkrar FortiGate einingar:
- IPS eining skannar umferð fyrir spilliforrit og kemur í veg fyrir afskipti;
- vírusvörnin verndar skjáborðin sjálf fyrir spilliforritum og njósnaforritum;
- vefsíun hindrar aðgang að óáreiðanlegum auðlindum og síðum með illgjarnt eða óviðeigandi efni;
- Eldveggsstillingar geta aðeins leyft notendum aðgang að internetinu á ákveðnum vefsvæðum.
Stundum vill viðskiptavinur sjálfstætt stjórna aðgangi starfsmanna að vefsíðum. Oftar en ekki koma bankar með þessa beiðni: öryggisþjónusta krefst þess að aðgangsstýring sé áfram á vegum fyrirtækisins. Slík fyrirtæki fylgjast sjálf með umferð og gera reglulega breytingar á stefnu. Í þessu tilviki snúum við allri umferð frá FortiGate í átt að viðskiptavininum. Til að gera þetta notum við stillt viðmót við innviði fyrirtækisins. Eftir þetta stillir viðskiptavinurinn sjálfur reglurnar um aðgang að fyrirtækjanetinu og internetinu.
Við fylgjumst með atburðunum í stúkunni. Ásamt FortiGate notum við FortiAnalyzer, timbursafnara frá Fortinet. Með hjálp þess skoðum við allar atburðaskrár á VDI á einum stað, finnum grunsamlegar aðgerðir og fylgjumst með fylgni.
Einn af viðskiptavinum okkar notar Fortinet vörur á skrifstofu sinni. Fyrir það stilltum við upphleðslu annála - þannig að viðskiptavinurinn gat greint alla öryggisatburði fyrir skrifstofuvélar og sýndarskjáborð.
Hvernig á að vernda sýndarskjáborð
Frá þekktum hótunum. Ef viðskiptavinurinn vill sjálfstætt stjórna vírusvörn setjum við upp Kaspersky Security fyrir sýndarumhverfi.
Þessi lausn virkar vel í skýinu. Við erum öll vön þeirri staðreynd að klassískt Kaspersky vírusvarnarefni er „þung“ lausn. Aftur á móti hleður Kaspersky Security for Virtualization ekki sýndarvélum. Allir vírusgagnagrunnar eru staðsettir á þjóninum, sem gefur út dóma fyrir allar sýndarvélar hnútsins. Aðeins ljósamiðillinn er settur upp á sýndarskjáborðinu. Það sendir skrár á netþjóninn til staðfestingar.
Þessi arkitektúr veitir samtímis skráavernd, internetvernd og árásarvörn án þess að skerða afköst sýndarvéla. Í þessu tilviki getur viðskiptavinurinn sjálfstætt kynnt undantekningar frá skráavernd. Við aðstoðum við grunnuppsetningu á lausninni. Við munum tala um eiginleika þess í sérstakri grein.
Frá óþekktum hótunum. Til að gera þetta tengjum við FortiSandbox – „sandkassi“ frá Fortinet. Við notum það sem síu ef vírusvörnin missir af núlldagsógn. Eftir að hafa hlaðið niður skránni skönnum við hana fyrst með vírusvörn og sendum hana síðan í sandkassann. FortiSandbox líkir eftir sýndarvél, keyrir skrána og fylgist með hegðun hennar: hvaða hlutir í skránni eru opnaðir, hvort hún sendir utanaðkomandi beiðnir og svo framvegis. Ef skrá hegðar sér grunsamlega er sýndarvélinni í sandkassa eytt og illgjarn skrá endar ekki á VDI notanda.
Hvernig á að setja upp örugga tengingu við VDI
Við athugum hvort tækið uppfylli kröfur um upplýsingaöryggi. Frá upphafi fjarvinnu hafa viðskiptavinir leitað til okkar með beiðnir: til að tryggja örugga notkun notenda frá einkatölvum sínum. Sérfræðingur í upplýsingaöryggi veit að það er erfitt að vernda heimilistæki: þú getur ekki sett upp nauðsynlega vírusvörn eða beitt hópstefnu þar sem þetta er ekki skrifstofubúnaður.
Sjálfgefið er að VDI verður öruggt „lag“ milli einkatækis og fyrirtækjanetsins. Til að vernda VDI fyrir árásum frá notendavélinni slökktum við á klemmuspjaldinu og bönnum USB-framsendingu. En þetta gerir tæki notandans sjálft ekki öruggt.
Við leysum vandamálið með FortiClient. Þetta er endapunktaverndartæki. Notendur fyrirtækisins setja upp FortiClient á heimatölvum sínum og nota það til að tengjast sýndarskjáborði. FortiClient leysir 3 vandamál í einu:
- verður „einn aðgangsgluggi“ fyrir notandann;
- athugar hvort einkatölvan þín sé með vírusvörn og nýjustu stýrikerfisuppfærslurnar;
- byggir VPN göng fyrir öruggan aðgang.
Starfsmaður fær aðeins aðgang ef hann stenst staðfestingu. Á sama tíma eru sýndarskjáborðin sjálf óaðgengileg af netinu, sem þýðir að þau eru betur varin fyrir árásum.
Ef fyrirtæki vill stýra endapunktavörn sjálft bjóðum við upp á FortiClient EMS (Endpoint Management Server). Viðskiptavinurinn getur stillt skjáborðsskönnun og innbrotsvörn og búið til hvítan lista yfir heimilisföng.
Bætir við auðkenningarþáttum. Sjálfgefið er að notendur séu auðkenndir í gegnum Citrix netscaler. Hér getum við líka aukið öryggi með því að nota margþátta auðkenningu byggða á SafeNet vörum. Þetta efni á skilið sérstaka athygli; við munum einnig tala um þetta í sérstakri grein.
Við höfum safnað slíkri reynslu í að vinna með mismunandi lausnir síðastliðið starfsár. VDI þjónustan er stillt sérstaklega fyrir hvern viðskiptavin, þannig að við völdum sveigjanlegustu verkfærin. Kannski munum við bæta einhverju við í náinni framtíð og deila reynslu okkar.
Þann 7. október klukkan 17.00 munu samstarfsmenn mínir tala um sýndarskjáborð á vefnámskeiðinu „Er VDI nauðsynlegt, eða hvernig á að skipuleggja fjarvinnu?
, ef þú vilt ræða hvenær VDI tækni hentar fyrirtæki og hvenær betra sé að nota aðrar aðferðir.
Heimild: www.habr.com