Quest’anno molte aziende sono passate frettolosamente al lavoro a distanza. Per alcuni clienti noi organizzare più di cento lavori da remoto a settimana. Era importante farlo non solo rapidamente, ma anche in sicurezza. La tecnologia VDI è venuta in soccorso: con il suo aiuto è conveniente distribuire politiche di sicurezza a tutti i luoghi di lavoro e proteggersi dalle fughe di dati.
In questo articolo ti racconterò come funziona il nostro servizio di desktop virtuale basato su Citrix VDI dal punto di vista della sicurezza informatica. Ti mostrerò cosa facciamo per proteggere i desktop client da minacce esterne come ransomware o attacchi mirati.
Quali problemi di sicurezza risolviamo?
Abbiamo identificato diverse principali minacce alla sicurezza del servizio. Da un lato il desktop virtuale corre il rischio di essere infettato dal computer dell’utente. D'altra parte c'è il pericolo di uscire dal desktop virtuale nello spazio aperto di Internet e scaricare un file infetto. Anche se ciò accadesse, ciò non dovrebbe incidere sull’intera infrastruttura. Pertanto, durante la creazione del servizio, abbiamo risolto diversi problemi:
- Protegge l'intero stand VDI dalle minacce esterne.
- Isolamento dei clienti gli uni dagli altri.
- Proteggere i desktop virtuali stessi.
- Connetti in modo sicuro gli utenti da qualsiasi dispositivo.
Il nucleo della protezione era FortiGate, un firewall di nuova generazione di Fortinet. Monitora il traffico dello stand VDI, fornisce un'infrastruttura isolata per ciascun client e protegge dalle vulnerabilità lato utente. Le sue capacità sono sufficienti per risolvere la maggior parte dei problemi di sicurezza delle informazioni.
Ma se un’azienda ha requisiti di sicurezza particolari, offriamo opzioni aggiuntive:
- Organizziamo una connessione sicura per lavorare dai computer di casa.
- Forniamo l'accesso per l'analisi indipendente dei registri di sicurezza.
- Forniamo la gestione della protezione antivirus sui desktop.
- Proteggiamo dalle vulnerabilità zero-day.
- Configuriamo l'autenticazione a più fattori per una protezione aggiuntiva contro le connessioni non autorizzate.
Ti dirò più in dettaglio come abbiamo risolto i problemi.
Come proteggere lo stand e garantire la sicurezza della rete
Segmentiamo la parte di rete. Allo stand evidenziamo un segmento gestionale chiuso per la gestione di tutte le risorse. Il segmento gestionale è inaccessibile dall'esterno: in caso di attacco al client, gli aggressori non potranno arrivarci.
FortiGate è responsabile della protezione. Combina le funzioni di un antivirus, un firewall e un sistema di prevenzione delle intrusioni (IPS).
Per ogni cliente creiamo un segmento di rete isolato per desktop virtuali. A questo scopo, FortiGate dispone della tecnologia del dominio virtuale, o VDOM. Ti consente di dividere il firewall in diverse entità virtuali e di assegnare a ciascun client il proprio VDOM, che si comporta come un firewall separato. Creiamo anche un VDOM separato per il segmento di gestione.
Questo risulta essere il seguente diagramma:
Non esiste connettività di rete tra i client: ognuno vive nel proprio VDOM e non influenza l'altro. Senza questa tecnologia dovremmo separare i client con regole firewall, il che è rischioso a causa dell’errore umano. Puoi paragonare tali regole a una porta che deve essere costantemente chiusa. Nel caso del VDOM non lasciamo alcuna “porta”.
In un VDOM separato, il client ha il proprio indirizzamento e routing. Pertanto, l'attraversamento dei range non diventa un problema per l'azienda. Il client può assegnare gli indirizzi IP necessari ai desktop virtuali. Questo è conveniente per le grandi aziende che hanno i propri piani IP.
Risolviamo problemi di connettività con la rete aziendale del cliente. Un compito separato è connettere la VDI con l'infrastruttura del cliente. Se un'azienda mantiene i sistemi aziendali nel nostro data center, possiamo semplicemente far passare un cavo di rete dalle sue apparecchiature al firewall. Ma più spesso abbiamo a che fare con un sito remoto: un altro data center o l'ufficio di un cliente. In questo caso, pensiamo ad uno scambio sicuro con il sito e costruiamo la VPN site2site utilizzando la VPN IPsec.
Gli schemi possono variare a seconda della complessità dell’infrastruttura. In alcuni luoghi è sufficiente connettere una singola rete aziendale a VDI: lì è sufficiente il routing statico. Le grandi aziende hanno molte reti in costante cambiamento; qui il client necessita di routing dinamico. Utilizziamo diversi protocolli: ci sono già stati casi con OSPF (Open Shortest Path First), tunnel GRE (Generic Routing Encapsulation) e BGP (Border Gateway Protocol). FortiGate supporta i protocolli di rete in VDOM separati, senza influire sugli altri client.
Puoi anche creare GOST-VPN: crittografia basata su mezzi di protezione crittografica certificati dall'FSB della Federazione Russa. Ad esempio, utilizzando soluzioni di classe KS1 nell'ambiente virtuale “S-Terra Virtual Gateway” o PAK ViPNet, APKSH “Continent”, “S-Terra”.
Impostazione dei criteri di gruppo. Concordiamo con il cliente le policy di gruppo applicate su VDI. Qui i principi di definizione non sono diversi dalla definizione delle politiche in ufficio. Impostiamo l'integrazione con Active Directory e deleghiamo ai clienti la gestione di alcune policy di gruppo. Gli amministratori tenant possono applicare criteri all'oggetto Computer, gestire l'unità organizzativa in Active Directory e creare utenti.
Su FortiGate, per ciascun client VDOM scriviamo una politica di sicurezza della rete, impostiamo restrizioni di accesso e configuriamo l'ispezione del traffico. Utilizziamo diversi moduli FortiGate:
- Il modulo IPS analizza il traffico alla ricerca di malware e previene le intrusioni;
- l'antivirus protegge i desktop stessi da malware e spyware;
- il filtraggio web blocca l'accesso a risorse inaffidabili e siti con contenuti dannosi o inappropriati;
- Le impostazioni del firewall potrebbero consentire agli utenti di accedere a Internet solo a determinati siti.
A volte un cliente desidera gestire in modo indipendente l'accesso dei dipendenti ai siti Web. Molto spesso le banche avanzano questa richiesta: i servizi di sicurezza richiedono che il controllo degli accessi rimanga a carico dell’azienda. Tali aziende stesse monitorano il traffico e apportano regolarmente modifiche alle politiche. In questo caso, indirizziamo tutto il traffico da FortiGate verso il client. Per fare ciò utilizziamo un’interfaccia configurata con l’infrastruttura aziendale. Successivamente, il cliente stesso configura le regole per l'accesso alla rete aziendale e a Internet.
Osserviamo gli eventi allo stand. Insieme a FortiGate utilizziamo FortiAnalyzer, un raccoglitore di log di Fortinet. Con il suo aiuto, esaminiamo tutti i registri eventi su VDI in un unico posto, troviamo azioni sospette e tracciamo le correlazioni.
Uno dei nostri clienti utilizza i prodotti Fortinet nel proprio ufficio. Per questo abbiamo configurato il caricamento dei log, in modo che il cliente potesse analizzare tutti gli eventi di sicurezza per le macchine da ufficio e i desktop virtuali.
Come proteggere i desktop virtuali
Dalle minacce conosciute. Se il cliente desidera gestire autonomamente la protezione antivirus, installiamo inoltre Kaspersky Security per ambienti virtuali.
Questa soluzione funziona bene nel cloud. Siamo tutti abituati al fatto che il classico antivirus Kaspersky sia una soluzione “pesante”. Al contrario, Kaspersky Security for Virtualization non carica le macchine virtuali. Tutti i database dei virus si trovano sul server, che emette verdetti per tutte le macchine virtuali del nodo. Sul desktop virtuale è installato solo l'agente luce. Invia file al server per la verifica.
Questa architettura fornisce contemporaneamente protezione dei file, protezione Internet e protezione dagli attacchi senza compromettere le prestazioni delle macchine virtuali. In questo caso, il cliente può introdurre autonomamente eccezioni alla protezione dei file. Aiutiamo con la configurazione di base della soluzione. Parleremo delle sue caratteristiche in un articolo separato.
Da minacce sconosciute. Per fare ciò, colleghiamo FortiSandbox, un “sandbox” di Fortinet. Lo usiamo come filtro nel caso in cui l'antivirus non si accorga di una minaccia zero-day. Dopo aver scaricato il file, lo scansioniamo prima con un antivirus e poi lo inviamo nella sandbox. FortiSandbox emula una macchina virtuale, esegue il file e osserva il suo comportamento: a quali oggetti nel registro si accede, se invia richieste esterne e così via. Se un file si comporta in modo sospetto, la macchina virtuale sandbox viene eliminata e il file dannoso non finisce nella VDI dell'utente.
Come impostare una connessione sicura a VDI
Verifichiamo la conformità del dispositivo ai requisiti di sicurezza delle informazioni. Dall'inizio del lavoro a distanza, i clienti si sono rivolti a noi con richieste: garantire il funzionamento sicuro degli utenti dai loro personal computer. Qualsiasi specialista in sicurezza informatica sa che proteggere i dispositivi domestici è difficile: non è possibile installare l'antivirus necessario o applicare criteri di gruppo, poiché non si tratta di apparecchiature da ufficio.
Per impostazione predefinita, VDI diventa un “livello” sicuro tra un dispositivo personale e la rete aziendale. Per proteggere VDI dagli attacchi del computer dell'utente, disabilitiamo gli appunti e vietiamo l'inoltro USB. Ma questo non rende sicuro il dispositivo stesso dell'utente.
Risolviamo il problema utilizzando FortiClient. Questo è uno strumento di protezione degli endpoint. Gli utenti dell'azienda installano FortiClient sui propri computer di casa e lo utilizzano per connettersi a un desktop virtuale. FortiClient risolve 3 problemi contemporaneamente:
- diventa uno “sportello unico” di accesso per l'utente;
- controlla se il tuo personal computer ha un antivirus e gli ultimi aggiornamenti del sistema operativo;
- costruisce un tunnel VPN per un accesso sicuro.
Un dipendente ottiene l'accesso solo se supera la verifica. Allo stesso tempo, i desktop virtuali stessi non sono accessibili da Internet, il che significa che sono meglio protetti dagli attacchi.
Se un'azienda desidera gestire autonomamente la protezione degli endpoint, offriamo FortiClient EMS (Endpoint Management Server). Il client può configurare la scansione del desktop e la prevenzione delle intrusioni e creare una lista bianca di indirizzi.
Aggiunta di fattori di autenticazione. Per impostazione predefinita, gli utenti vengono autenticati tramite Citrix netscaler. Anche in questo caso possiamo aumentare la sicurezza utilizzando l’autenticazione a più fattori basata sui prodotti SafeNet. Questo argomento merita un'attenzione particolare, ne parleremo anche in un articolo a parte.
Abbiamo accumulato tale esperienza lavorando con diverse soluzioni nell'ultimo anno di lavoro. Il servizio VDI è configurato separatamente per ciascun cliente, quindi abbiamo scelto gli strumenti più flessibili. Forse nel prossimo futuro aggiungeremo qualcos'altro e condivideremo la nostra esperienza.
Il 7 ottobre alle 17.00 i colleghi parleranno di desktop virtuali nel webinar “È necessaria la VDI, ovvero come organizzare il lavoro da remoto?”
, se vuoi discutere quando la tecnologia VDI è adatta per un'azienda e quando è meglio utilizzare altri metodi.
Fonte: habr.com