お客様の仮想デスクトップをウイルス、スパイウェア、攻撃から保護する方法

今年は多くの企業が急いでリモートワークに切り替えた。 一部のクライアントについては、 助けた 週に XNUMX 件以上のリモートジョブを整理します。 これを迅速に行うだけでなく、安全に行うことが重要でした。 VDI テクノロジーが役に立ちます。VDI テクノロジーを利用すると、セキュリティ ポリシーをすべての職場に配布し、データ漏洩を防ぐのに便利です。 

この記事では、Citrix VDI に基づく仮想デスクトップ サービスが情報セキュリティの観点からどのように機能するかを説明します。 ランサムウェアや標的型攻撃などの外部の脅威からクライアント デスクトップを保護するために当社が行っている取り組みについて説明します。 

どのようなセキュリティ問題を解決できるのでしょうか? 

このサービスに対するいくつかの主要なセキュリティ上の脅威を特定しました。 一方で、仮想デスクトップにはユーザーのコンピュータから感染するリスクがあります。 一方で、仮想デスクトップからインターネットのオープンスペースに出て、感染したファイルをダウンロードする危険性もあります。 たとえこれが起こったとしても、インフラストラクチャ全体に影響を与えることはありません。 したがって、サービスを作成する際に、いくつかの問題を解決しました。 

• VDIスタンド全体を外部の脅威から守ります。
• クライアントを互いに分離します。
• 仮想デスクトップ自体を保護します。 
• あらゆるデバイスからユーザーを安全に接続します。

保護の中核は、フォーティネットの新世代ファイアウォールである FortiGate でした。 VDI ブースのトラフィックを監視し、各クライアントに分離されたインフラストラクチャを提供し、ユーザー側の脆弱性から保護します。 その機能は、ほとんどの情報セキュリティの問題を解決するのに十分です。 

ただし、企業に特別なセキュリティ要件がある場合は、追加のオプションを提供します。 

• 自宅のコンピューターから作業するための安全な接続を組織します。
• セキュリティ ログを独立して分析するためのアクセスを提供します。
• デスクトップ上のウイルス対策保護の管理を提供します。
• ゼロデイ脆弱性から保護します。 
• 不正な接続に対する保護を強化するために、多要素認証を構成します。

問題をどのように解決したかについて詳しく説明します。 

スタンドを保護し、ネットワークのセキュリティを確保する方法

ネットワーク部分をセグメント化してみましょう。 スタンドでは、すべてのリソースを管理するクローズド管理セグメントを強調します。 管理セグメントには外部からアクセスできません。クライアントが攻撃された場合でも、攻撃者はそこにアクセスできません。 

FortiGate は保護を担当します。 ウイルス対策、ファイアウォール、侵入防止システム (IPS) の機能を組み合わせています。 

クライアントごとに、仮想デスクトップ用に分離されたネットワーク セグメントを作成します。 この目的のために、FortiGate には仮想ドメイン テクノロジー (VDOM) が搭載されています。 これにより、ファイアウォールを複数の仮想エンティティに分割し、各クライアントに個別のファイアウォールのように動作する独自の VDOM を割り当てることができます。 また、管理セグメント用に別の VDOM も作成します。

これは次の図のようになります。


クライアント間にネットワーク接続はありません。それぞれが独自の VDOM 内に存在し、他方に影響を与えません。 このテクノロジーがなければ、ファイアウォール ルールでクライアントを分離する必要がありますが、これは人的ミスによる危険を伴います。 このようなルールは、常に閉めなければならないドアにたとえることができます。 VDOM の場合、「ドア」はまったく残しません。 

別の VDOM では、クライアントは独自のアドレス指定とルーティングを持ちます。 したがって、範囲を越えることは会社にとって問題になりません。 クライアントは、必要な IP アドレスを仮想デスクトップに割り当てることができます。 これは、独自の IP プランを持つ大企業にとって便利です。 

お客様の企業ネットワークとの接続の問題を解決します。 別のタスクは、VDI をクライアント インフラストラクチャに接続することです。 企業が企業システムをデータセンターに保管している場合、その機器からファイアウォールまでネットワーク ケーブルを配線するだけで済みます。 しかし、多くの場合、私たちは別のデータセンターやクライアントのオフィスなどのリモートサイトを扱います。 この場合、サイトとの安全なやり取りを考慮し、IPsec VPN を使用して site2site VPN を構築します。 

スキームはインフラストラクチャの複雑さに応じて異なる場合があります。 場所によっては、単一のオフィス ネットワークを VDI に接続するだけで十分であり、そこでは静的ルーティングで十分です。 大企業には、常に変化する多くのネットワークがあります。 ここでは、クライアントは動的ルーティングを必要とします。 当社ではさまざまなプロトコルを使用しています。すでに OSPF (Open Shortest Path First)、GRE トンネル (Generic Routing Encapsulation)、BGP (Border Gateway Protocol) を使用したケースがあります。 FortiGate は、他のクライアントに影響を与えることなく、個別の VDOM でネットワーク プロトコルをサポートします。 

ロシア連邦の FSB によって認定された暗号保護手段に基づく暗号化である GOST-VPN を構築することもできます。 たとえば、仮想環境「S-Terra Virtual Gateway」またはPAK ViPNet、APKSH「Continent」、「S-Terra」でKS1クラスのソリューションを使用します。

グループポリシーの設定。 VDI に適用されるグループ ポリシーについてクライアントと合意します。 ここでの設定の原則は、オフィスでのポリシーの設定と何ら変わりません。 Active Directory との統合を設定し、一部のグループ ポリシーの管理をクライアントに委任します。 テナント管理者は、コンピューター オブジェクトにポリシーを適用し、Active Directory で組織単位を管理し、ユーザーを作成できます。 

FortiGate では、クライアント VDOM ごとにネットワーク セキュリティ ポリシーを作成し、アクセス制限を設定し、トラフィック検査を構成します。 いくつかの FortiGate モジュールを使用します。 

• IPS モジュールはトラフィックをスキャンしてマルウェアを検出し、侵入を防ぎます。
• ウイルス対策はデスクトップ自体をマルウェアやスパイウェアから保護します。
• Web フィルタリングは、信頼できないリソースや悪意のあるコンテンツまたは不適切なコンテンツを含むサイトへのアクセスをブロックします。
• ファイアウォール設定により、ユーザーは特定のサイトへのインターネット アクセスのみを許可される場合があります。 

クライアントが従業員の Web サイトへのアクセスを独自に管理したい場合があります。 多くの場合、銀行は次のような要求を持ちます。セキュリティ サービスでは、アクセス制御が企業側にあることを要求します。 このような企業は自らトラフィックを監視し、定期的にポリシーを変更しています。 この場合、FortiGate からのすべてのトラフィックがクライアントに向けられます。 これを行うために、会社のインフラストラクチャとの設定済みインターフェイスを使用します。 その後、クライアント自身が企業ネットワークやインターネットへのアクセスルールを設定します。 

私たちはスタンドでイベントを見守ります。 FortiGate とともに、Fortinet のログ コレクターである FortiAnalyzer を使用します。 その助けを借りて、VDI 上のすべてのイベント ログを XNUMX か所で確認し、不審なアクションを見つけて相関関係を追跡します。 

当社の顧客の XNUMX 社は、オフィスでフォーティネット製品を使用しています。 そのために、ログのアップロードを構成しました。これにより、クライアントはオフィス マシンと仮想デスクトップのすべてのセキュリティ イベントを分析できるようになりました。

仮想デスクトップを保護する方法

既知の脅威から。 お客様がウイルス対策保護を独自に管理したい場合は、仮想環境用の Kaspersky Security を追加でインストールします。 

このソリューションはクラウドでうまく機能します。 私たちは皆、古典的な Kaspersky アンチウイルスが「重い」ソリューションであるという事実に慣れています。 対照的に、Kaspersky Security for Virtualization は仮想マシンをロードしません。 すべてのウイルス データベースはサーバー上にあり、ノードのすべての仮想マシンに対して判定を発行します。 仮想デスクトップにはライト エージェントのみがインストールされます。 検証のためにファイルをサーバーに送信します。 

このアーキテクチャは、ファイル保護、インターネット保護、攻撃に対する保護を同時に提供し、仮想マシンのパフォーマンスを低下させることはありません。 この場合、クライアントはファイル保護に独自に例外を導入できます。 ソリューションの基本的なセットアップをお手伝いします。 その機能については別の記事で説明します。

未知の脅威から。 これを行うために、Fortinet の「サンドボックス」である FortiSandbox を接続します。 ウイルス対策ソフトがゼロデイ脅威を見逃した場合に備えて、これをフィルターとして使用します。 ファイルをダウンロードした後、まずウイルス対策ソフトでスキャンしてから、サンドボックスに送信します。 FortiSandbox は仮想マシンをエミュレートし、ファイルを実行して、その動作 (レジストリ内のどのオブジェクトがアクセスされるか、外部リクエストを送信するかどうかなど) を監視します。 ファイルが不審な動作をする場合、サンドボックス化された仮想マシンは削除され、悪意のあるファイルがユーザー VDI に到達することはありません。 

VDI への安全な接続をセットアップする方法

デバイスが情報セキュリティ要件に準拠しているかどうかを確認します。 リモートワークが始まって以来、お客様からは、ユーザーのパソコンからの安全な操作を確保したいという要望が寄せられてきました。 情報セキュリティの専門家なら誰でも、家庭用デバイスを保護するのが難しいことを知っています。これはオフィス機器ではないため、必要なウイルス対策ソフトをインストールしたり、グループ ポリシーを適用したりすることができません。 

デフォルトでは、VDI は個人のデバイスと企業ネットワークの間の安全な「レイヤー」になります。 ユーザー マシンからの攻撃から VDI を保護するために、クリップボードを無効にし、USB 転送を禁止します。 ただし、これによってユーザーのデバイス自体が安全になるわけではありません。 

FortiClientを使用して問題を解決します。 これはエンドポイント保護ツールです。 同社のユーザーは自宅のコンピュータに FortiClient をインストールし、それを使用して仮想デスクトップに接続します。 FortiClient は 3 つの問題を一度に解決します。 

• ユーザーにとってはアクセスの「単一ウィンドウ」になります。
• パソコンにウイルス対策ソフトと最新の OS アップデートがあるかどうかを確認します。 
• 安全なアクセスのための VPN トンネルを構築します。 

従業員は検証に合格した場合にのみアクセスを許可されます。 同時に、仮想デスクトップ自体はインターネットからアクセスできなくなります。これは、仮想デスクトップが攻撃からよりよく保護されることを意味します。 

企業がエンドポイント保護を自社で管理したい場合には、FortiClient EMS (Endpoint Management Server) を提供します。 クライアントはデスクトップ スキャンと侵入防御を設定し、アドレスのホワイト リストを作成できます。 

認証要素を追加します。 デフォルトでは、ユーザーは Citrix netscaler を通じて認証されます。 ここでも、SafeNet 製品に基づく多要素認証を使用してセキュリティを強化できます。 このトピックは特に注目に値します。これについては別の記事でも説明します。 

私たちは過去 XNUMX 年間、さまざまなソリューションに取り組んできた経験を蓄積してきました。 VDI サービスはクライアントごとに個別に構成されるため、最も柔軟なツールを選択しました。 おそらく近い将来、何か他のものを追加し、私たちの経験を共有するでしょう。

7 月 17.00 日の XNUMX:XNUMX から、私の同僚がウェビナー「VDI は必要ですか? それともリモートワークをどのように組織するか?」で仮想デスクトップについて話します。
サインアップ、VDI テクノロジーが企業に適している場合と、他の方法を使用する方が良い場合について議論したい場合。

出所： habr.com