Taun iki, akeh perusahaan sing cepet-cepet pindhah menyang kerja jarak jauh. Kanggo sawetara klien kita ngatur luwih saka satus remot proyek saben minggu. Penting kanggo nindakake iki ora mung kanthi cepet, nanging uga kanthi aman. Teknologi VDI wis nylametake: kanthi bantuan, trep kanggo nyebarake kabijakan keamanan menyang kabeh papan kerja lan nglindhungi saka bocor data.
Ing artikel iki, aku bakal ngandhani kepiye cara layanan desktop virtual adhedhasar Citrix VDI bisa digunakake saka sudut pandang keamanan informasi. Aku bakal nuduhake sampeyan apa sing ditindakake kanggo nglindhungi desktop klien saka ancaman eksternal kayata ransomware utawa serangan sing ditargetake.
Apa masalah keamanan sing kita ngrampungake?
Kita wis nemtokake sawetara ancaman keamanan utama kanggo layanan kasebut. Ing tangan siji, desktop virtual duwe risiko kena infeksi saka komputer pangguna. Ing sisih liya, ana bebaya metu saka desktop virtual menyang ruang terbuka Internet lan ndownload file sing kena infeksi. Sanajan kedadeyan kasebut, mesthine ora mengaruhi kabeh infrastruktur. Dadi, nalika nggawe layanan, kita ngrampungake sawetara masalah:
- Nglindhungi kabeh VDI ngadeg saka ancaman external.
- Isolasi klien saka saben liyane.
- Nglindhungi desktop virtual dhewe.
- Sambungake pangguna kanthi aman saka piranti apa wae.
Inti proteksi yaiku FortiGate, firewall generasi anyar saka Fortinet. Ngawasi lalu lintas booth VDI, nyedhiyakake infrastruktur terisolasi kanggo saben klien, lan nglindhungi saka kerentanan ing sisih pangguna. Kapabilitas cukup kanggo ngatasi masalah keamanan informasi.
Nanging yen perusahaan duwe syarat keamanan khusus, kita menehi pilihan tambahan:
- Kita ngatur sambungan sing aman kanggo nggarap komputer ing omah.
- We nyedhiyani akses kanggo analisis sawijining log keamanan.
- Kita nyedhiyakake manajemen proteksi antivirus ing desktop.
- Kita nglindhungi saka kerentanan nul dina.
- Kita ngatur otentikasi multi-faktor kanggo pangayoman tambahan marang sambungan sing ora sah.
Aku bakal ngandhani sampeyan kanthi luwih rinci babagan carane ngatasi masalah kasebut.
Carane nglindhungi stand lan njamin keamanan jaringan
Ayo dadi bagean bagean jaringan. Ing stand kita nyorot bagean manajemen tertutup kanggo ngatur kabeh sumber daya. Segmen manajemen ora bisa diakses saka njaba: yen ana serangan marang klien, panyerang ora bakal bisa tekan kono.
FortiGate tanggung jawab kanggo pangayoman. Iki nggabungake fungsi antivirus, firewall, lan sistem pencegahan intrusi (IPS).
Kanggo saben klien, kita nggawe segmen jaringan terisolasi kanggo desktop virtual. Kanggo maksud iki, FortiGate nduweni teknologi domain virtual, utawa VDOM. Ngidini sampeyan pamisah firewall dadi sawetara entitas virtual lan nyedhiyakake saben klien VDOM dhewe, sing tumindak kaya firewall sing kapisah. Kita uga nggawe VDOM kapisah kanggo bagean manajemen.
Iki dadi diagram ing ngisor iki:
Ora ana panyambungan jaringan antarane klien: saben manggon ing VDOM dhewe lan ora mengaruhi liyane. Tanpa teknologi iki, kita kudu misahake klien karo aturan firewall, sing beboyo amarga kesalahan manungsa. Sampeyan bisa mbandhingake aturan kasebut karo lawang sing kudu ditutup terus. Ing kasus VDOM, kita ora ninggalake "lawang" kabeh.
Ing VDOM kapisah, klien duwe alamat lan nuntun dhewe. Mulane, nyebrang kisaran ora dadi masalah kanggo perusahaan. Klien bisa nemtokake alamat IP sing dibutuhake menyang desktop virtual. Iki trep kanggo perusahaan gedhe sing duwe rencana IP dhewe.
Kita ngrampungake masalah konektivitas karo jaringan perusahaan klien. Tugas sing kapisah yaiku nyambungake VDI karo infrastruktur klien. Yen perusahaan nyimpen sistem perusahaan ing pusat data, kita mung bisa mbukak kabel jaringan saka peralatan menyang firewall. Nanging luwih kerep kita nemoni situs remot - pusat data liyane utawa kantor klien. Ing kasus iki, kita mikir liwat ijol-ijolan aman karo situs lan mbangun site2site VPN nggunakake IPsec VPN.
Skema bisa beda-beda gumantung saka kerumitan infrastruktur. Ing sawetara panggonan iku cukup kanggo nyambungake jaringan kantor siji kanggo VDI - nuntun statis cukup ana. Perusahaan gedhe duwe akeh jaringan sing terus ganti; ing kene klien mbutuhake rute dinamis. Kita nggunakake protokol sing beda-beda: wis ana kasus OSPF (Open Shortest Path First), terowongan GRE (Generic Routing Encapsulation) lan BGP (Border Gateway Protocol). FortiGate ndhukung protokol jaringan ing VDOM kapisah, tanpa mengaruhi klien liyane.
Sampeyan uga bisa mbangun GOST-VPN - enkripsi adhedhasar proteksi kriptografi tegese sing disertifikasi dening FSB saka Federasi Rusia. Contone, nggunakake solusi kelas KS1 ing lingkungan virtual "S-Terra Virtual Gateway" utawa PAK ViPNet, APKSH "Continent", "S-Terra".
Nggawe Kabijakan Grup. Kita setuju karo klien babagan kabijakan klompok sing ditrapake ing VDI. Ing kene prinsip setting ora beda karo netepake kabijakan ing kantor. Kita nyiyapake integrasi karo Active Directory lan utusan manajemen sawetara kabijakan grup menyang klien. Administrator nyewa bisa ngetrapake kabijakan menyang obyek Komputer, ngatur unit organisasi ing Active Directory, lan nggawe pangguna.
Ing FortiGate, kanggo saben klien VDOM kita nulis kabijakan keamanan jaringan, nyetel watesan akses lan ngatur pengawasan lalu lintas. Kita nggunakake sawetara modul FortiGate:
- Modul IPS mindai lalu lintas kanggo malware lan nyegah gangguan;
- antivirus nglindhungi desktop dhewe saka malware lan spyware;
- panyaring web ngalangi akses menyang sumber daya lan situs sing ora bisa dipercaya kanthi konten sing ala utawa ora cocog;
- Setelan firewall bisa ngidini pangguna ngakses Internet mung menyang situs tartamtu.
Kadhangkala klien pengin ngatur akses karyawan menyang situs web kanthi mandiri. Paling asring, bank-bank teka karo panjalukan iki: layanan keamanan mbutuhake kontrol akses tetep ing sisih perusahaan. Perusahaan kasebut dhewe ngawasi lalu lintas lan kanthi rutin nggawe owah-owahan ing kabijakan. Ing kasus iki, kita nguripake kabeh lalu lintas saka FortiGate menyang klien. Kanggo nindakake iki, kita nggunakake antarmuka sing dikonfigurasi karo infrastruktur perusahaan. Sawise iki, klien dhewe ngatur aturan kanggo akses menyang jaringan perusahaan lan Internet.
Kita nonton acara ing stand. Bebarengan karo FortiGate, kita nggunakake FortiAnalyzer, kolektor log saka Fortinet. Kanthi bantuan, kita ndeleng kabeh log acara ing VDI ing sak panggonan, golek tumindak curiga lan trek korΓ©lasi.
Salah sawijining klien nggunakake produk Fortinet ing kantore. Kanggo iki, kita ngatur upload log - supaya klien bisa nganalisa kabeh acara keamanan kanggo mesin kantor lan desktop virtual.
Cara nglindhungi desktop virtual
Saka ancaman dikenal. Yen klien pengin ngatur proteksi anti-virus kanthi mandiri, kita uga nginstal Kaspersky Security kanggo lingkungan virtual.
Solusi iki bisa dianggo kanthi apik ing mΓ©ga. Kita kabeh wis biasa karo kasunyatan manawa antivirus Kaspersky klasik minangka solusi "abot". Ing kontras, Kaspersky Security for Virtualization ora mbukak mesin virtual. Kabeh database virus dumunung ing server, sing ngetokake putusan kanggo kabeh mesin virtual saka simpul kasebut. Mung agen cahya sing diinstal ing desktop virtual. Iku ngirim file menyang server kanggo verifikasi.
Arsitektur iki bebarengan nyedhiyakake proteksi file, proteksi Internet, lan proteksi serangan tanpa ngrusak kinerja mesin virtual. Ing kasus iki, klien bisa kanthi mandiri ngenalake pengecualian kanggo proteksi file. We bantuan karo persiyapan dhasar saka solusi. Kita bakal ngomong babagan fitur kasebut ing artikel sing kapisah.
Saka ancaman sing ora dingerteni. Kanggo nindakake iki, kita nyambung FortiSandbox - "kotak pasir" saka Fortinet. Kita nggunakake minangka panyaring yen antivirus ora kejawab ancaman nol dina. Sawise ndownload file kasebut, kita mindhai dhisik nganggo antivirus banjur dikirim menyang kothak wedhi. FortiSandbox niru mesin virtual, mbukak file lan mirsani prilaku: obyek apa ing registri sing diakses, apa ngirim panjalukan eksternal, lan liya-liyane. Yen file tumindak curiga, mesin virtual kothak wedhi bakal dibusak lan file angkoro ora rampung ing pangguna VDI.
Carane nyiyapake sambungan aman kanggo VDI
Kita mriksa piranti tundhuk karo syarat keamanan informasi. Wiwit awal karya remot, klien wis nyedhaki kita kanthi panjaluk: kanggo mesthekake operasi aman pangguna saka komputer pribadi. Sembarang spesialis keamanan informasi ngerti yen nglindhungi piranti omah iku angel: sampeyan ora bisa nginstal antivirus sing dibutuhake utawa ngetrapake kabijakan grup, amarga iki dudu peralatan kantor.
Kanthi gawan, VDI dadi "lapisan" aman antarane piranti pribadi lan jaringan perusahaan. Kanggo nglindhungi VDI saka serangan saka mesin pangguna, kita mateni clipboard lan nglarang USB Terusake. Nanging iki ora nggawe piranti pangguna dhewe aman.
Kita ngatasi masalah nggunakake FortiClient. Iki minangka alat perlindungan titik pungkasan. Pangguna perusahaan nginstal FortiClient ing komputer omah lan digunakake kanggo nyambung menyang desktop virtual. FortiClient ngrampungake 3 masalah sekaligus:
- dadi "jendhela siji" akses kanggo pangguna;
- mriksa apa komputer pribadi sampeyan duwe antivirus lan nganyari OS paling anyar;
- mbangun trowongan VPN kanggo akses aman.
Pegawe mung entuk akses yen lulus verifikasi. Ing wektu sing padha, desktop virtual dhewe ora bisa diakses saka Internet, tegese luwih dilindhungi saka serangan.
Yen perusahaan pengin ngatur proteksi endpoint dhewe, kita nawakake FortiClient EMS (Endpoint Management Server). Klien bisa ngatur pemindaian desktop lan nyegah gangguan, lan nggawe dhaptar alamat putih.
Nambahake faktor otentikasi. Kanthi gawan, pangguna dikonfirmasi liwat Citrix netscaler. Ing kene uga, kita bisa nambah keamanan nggunakake otentikasi multifaktor adhedhasar produk SafeNet. Topik iki kudu diwenehi perhatian khusus, kita uga bakal ngomong babagan iki ing artikel sing kapisah.
Kita wis nglumpukake pengalaman kasebut sajrone nggarap solusi sing beda sajrone taun kerja. Layanan VDI dikonfigurasi kanthi kapisah kanggo saben klien, mula kita milih alat sing paling fleksibel. Mbok menawa ing mangsa ngarep kita bakal nambah liyane lan nuduhake pengalaman kita.
Tanggal 7 Oktober jam 17.00, kanca-kancaku bakal ngomong babagan desktop virtual ing webinar "Apa perlu VDI, utawa kepiye carane ngatur kerja jarak jauh?"
, yen sampeyan pengin ngrembug nalika teknologi VDI cocok kanggo perusahaan lan nalika luwih apik nggunakake cara liyane.
Source: www.habr.com