Быйыл көптөгөн компаниялар шашылыш түрдө аралыктан иштөөгө өтүштү. Кээ бир кардарлар үчүн биз жумасына жүздөн ашык алыскы жумушту уюштуруу. Муну тез эле эмес, коопсуз түрдө да жасоо маанилүү болчу. VDI технологиясы жардамга келди: анын жардамы менен коопсуздук саясатын бардык жумуш орундарына жайылтуу жана маалыматтардын агып кетишинен коргоо ыңгайлуу.
Бул макалада мен сизге Citrix VDI негизиндеги виртуалдык иш столубуздун маалымат коопсуздугу жагынан кандай иштээрин айтып берем. Мен сизге кардарлардын иш такталарын ransomware же максаттуу чабуулдар сыяктуу тышкы коркунучтардан коргоо үчүн эмне кылаарыбызды көрсөтөм.
Кандай коопсуздук көйгөйлөрүн чечебиз
Биз кызматтын бир нече негизги коопсуздук коркунучтарын аныктадык. Бир жагынан, виртуалдык иш столу колдонуучунун компьютеринен жуктуруп алуу коркунучу бар. Экинчи жагынан, виртуалдык иш тактадан Интернеттин ачык мейкиндигине чыгуу жана вирус жуккан файлды жүктөп алуу коркунучу бар. Мындай болгон күндө да ал бүткүл инфраструктурага таасирин тийгизбеши керек. Ошондуктан, кызматты түзүп жатканда, биз бир нече маселелерди чечтик:
- Бардык VDI стенди тышкы коркунучтардан коргойт.
- Кардарларды бири-биринен обочолонтуу.
- Виртуалдык иштакталардын өзүн коргоо.
- Колдонуучуларды каалаган түзмөктөн коопсуз туташтырыңыз.
Коргоонун өзөгү Fortinetтин жаңы муундагы брандмауэр болгон FortiGate болгон. Ал VDI стендинин трафигин көзөмөлдөйт, ар бир кардар үчүн обочолонгон инфраструктураны камсыздайт жана колдонуучу тараптын алсыздыктарынан коргойт. Анын мүмкүнчүлүктөрү маалыматтык коопсуздук маселелерин чечүү үчүн жетиштүү.
Бирок компаниянын атайын коопсуздук талаптары бар болсо, биз кошумча мүмкүнчүлүктөрдү сунуштайбыз:
- Биз үйдөгү компьютерлерден иштөө үчүн коопсуз байланышты уюштурабыз.
- Биз коопсуздук журналдарын өз алдынча талдоо мүмкүнчүлүгүн беребиз.
- Биз иш такталарында антивирустук коргоону башкарууну камсыз кылабыз.
- Биз нөл күндүк алсыздыктардан коргойбуз.
- Биз уруксатсыз туташуулардан кошумча коргоо үчүн көп факторлуу аутентификацияны конфигурациялайбыз.
Милдеттер кандайча чечилгендиги тууралуу кененирээк айтып берем.
Биз стендди кантип коргойбуз жана тармактын коопсуздугун камсыз кылабыз
Тармактын бөлүгүн бөлөбүз. Стендде биз бардык ресурстарды башкаруу үчүн жабык башкаруу сегментин бөлөбүз. Башкаруу сегментине сырттан кирүүгө болбойт: кардарга кол салуу болгондо, чабуулчулар ал жакка кире алышпайт.
FortiGate коргоо үчүн жооптуу. Ал антивирустун, брандмауэрдин жана интрузиянын алдын алуу тутумунун (IPS) функцияларын бириктирет.
Ар бир кардар үчүн биз виртуалдык столдор үчүн обочолонгон тармак сегментин түзөбүз. Бул үчүн, FortiGate виртуалдык домен технологиясына же VDOMга ээ. Бул сизге брандмауэрди бир нече виртуалдык объекттерге бөлүп, өзүнчө брандмауэр сыяктуу иштеген ар бир кардар үчүн өзүнүн VDOM бөлүштүрүүгө мүмкүндүк берет. Биз ошондой эле башкаруу сегменти үчүн өзүнчө VDOM түзөбүз.
Бул төмөнкү диаграмма болуп чыгат:
Кардарлардын ортосунда тармактык байланыш жок: ар бири өзүнүн VDOM ичинде жашайт жана башкасына таасир этпейт. Бул технология болбосо, кардарларды брандмауэр эрежелери менен бөлүүгө туура келет жана бул адам факторуна байланыштуу кооптуу. Мындай эрежелерди дайыма жабык болушу керек болгон эшик менен салыштырууга болот. ВДОМ боюнча биз «эшиктерди» такыр эле калтырбайбыз.
Өзүнчө VDOMда кардар өзүнүн дарегине жана багыттоосуна ээ. Демек, диапазондордун кесилиши компания үчүн көйгөйгө айланбайт. Кардар виртуалдык столдорго каалаган IP даректерди дайындай алат. Бул өзүнүн IP пландары бар ири компаниялар үчүн ыңгайлуу.
Биз кардардын корпоративдик тармагы менен байланыш маселелерин чечебиз. Өзүнчө милдет VDIди кардар инфраструктурасы менен туташтыруу. Эгерде компания биздин маалымат борборубузда корпоративдик системаларды сактаса, биз жөн гана тармак кабелин анын жабдууларынан брандмауэрге чейин иштете алабыз. Бирок көбүнчө биз алыскы сайт менен иштешебиз - башка маалымат борбору же кардардын кеңсеси. Бул учурда, биз сайт менен коопсуз алмашуу аркылуу ойлонуп жана IPsec VPN аркылуу site2site VPN курабыз.
Инфраструктуранын татаалдыгына жараша схемалар ар кандай болушу мүмкүн. Кайсы бир жерде VDIге бир кеңсе тармагын туташтыруу жетиштүү - жетиштүү статикалык маршруттук бар. Ири компаниялардын тынымсыз өзгөрүп турган көптөгөн тармактары бар; бул жерде кардар динамикалык багыттоо керек. Биз ар кандай протоколдорду колдонобуз: буга чейин OSPF (Биринчи эң кыска жолду ачуу), GRE туннелдери (Generic Routing Encapsulation) жана BGP (Чек ара шлюз протоколу) менен болгон учурлар болгон. FortiGate башка кардарларга таасирин тийгизбестен, өзүнчө VDOMларда тармак протоколдорун колдойт.
Сиз ошондой эле ГОСТ-VPN кура аласыз - Россия Федерациясынын ФСБсы тарабынан тастыкталган криптокоргоо куралдарынын негизинде шифрлөө. Мисалы, "S-Terra виртуалдык шлюз" же HSS ViPNet, APKSh "Continent", "S-Terra" виртуалдык чөйрөсүндө KS1 классынын чечимдерин колдонуу.
Топтук саясаттарды орнотуу. Биз VDIде колдонулуучу кардарлар тобунун саясаттары менен координациялайбыз. Бул жерде орнотуу принциптери кеңседеги саясатты белгилөөдөн эч айырмаланбайт. Биз Active Directory менен интеграцияны орнотуп жатабыз жана айрым топтук саясаттарды башкарууну кардарларга өткөрүп жатабыз. Ижарачы администраторлору Компьютер объектисине саясаттарды колдоно алышат, Active Directoryдеги уюштуруу бирдигин башкарып, колдонуучуларды түзө алышат.
FortiGateде, ар бир VDOM кардары үчүн биз тармактын коопсуздук саясатын жазып, кирүү чектөөлөрүн коюп, трафикти текшерүүнү орнотобуз. Биз бир нече FortiGate модулдарын колдонобуз:
- IPS модулу трафикти зыяндуу программаларга сканерлейт жана интрузияларды алдын алат;
- антивирус иш такталарын зыяндуу программалардан жана шпиондук программалардан коргойт;
- желе чыпкалоо зыяндуу же орунсуз мазмуну бар ишенимсиз ресурстарга жана сайттарга кирүүнү бөгөттөйт;
- брандмауэр жөндөөлөрү колдонуучуларга айрым сайттарда гана Интернетке кирүүгө уруксат бериши мүмкүн.
Кээде кардар кызматкерлердин веб-сайттарга кирүү мүмкүнчүлүгүн өз алдынча башкарууну каалайт. Көбүнчө банктар мындай өтүнүч менен келишет: коопсуздук кызматтары кирүү көзөмөлүнүн компания тарапта болушун талап кылат. Мындай компаниялар өздөрү трафикти көзөмөлдөп, саясатка дайыма өзгөртүүлөрдү киргизип турушат. Бул учурда, биз FortiGate'тен бардык трафикти кардар тарапка бурабыз. Бул үчүн, биз компаниянын инфраструктурасы менен конфигурацияланган интерфейсти колдонобуз. Андан кийин, кардар өзү корпоративдик тармакка жана Интернетке кирүү эрежелерин конфигурациялайт.
Окуяларды стендден көрүп турабыз. FortiGate менен бирге биз Fortinet журналынын коллектору FortiAnalyzerди колдонобуз. Анын жардамы менен биз VDIдеги бардык окуялар журналдарын бир жерден карап, шектүү аракеттерди таап, корреляцияларды байкайбыз.
Биздин кардарлардын бири өзүнүн кеңсесинде Fortinet өнүмдөрүн колдонот. Ал үчүн биз журналды жүктөөнү орноттук - ошондуктан кардар кеңсе машиналары жана виртуалдык иш такталары үчүн бардык коопсуздук окуяларын талдай алат.
Виртуалдык столдорду кантип коргойбуз
Белгилүү коркунучтардан. Эгерде кардар антивирустук коргоону өз алдынча башкарууну кааласа, биз кошумча түрдө Kaspersky Security for Virtualization орнотобуз.
Бул чечим булутта жакшы иштейт. Биз баарыбыз Касперскийдин классикалык антивирусу "оор" чечим экенине көнүп калганбыз. Андан айырмаланып, Kaspersky Security for Virtualization виртуалдык машиналарды жүктөбөйт. Бардык вирустук маалымат базалары серверде жайгашкан, ал бардык хост виртуалдык машиналары үчүн өкүм чыгарат. Виртуалдык иш тактада жарык агенти гана орнотулган. Ал текшерүү үчүн файлдарды серверге жөнөтөт.
Бул архитектура бир эле учурда файлдарды коргоону, Интернетти коргоону, чабуулдардан коргоону камсыз кылат жана виртуалдык машиналардын иштешин азайтпайт. Бул учурда, кардар файлды коргоонун өзүнөн өзгөчөлүктөр жасай алат. Биз чечимдин негизги жөндөөсүнө жардам беребиз. Анын өзгөчөлүктөрү тууралуу өзүнчө макалада сөз кылабыз.
Белгисиз коркунучтардан. Бул үчүн, биз FortiSandbox, Fortinet'тин кум чөйрөсүн туташтырабыз. Антивирус нөл күндүк коркунучту өткөрүп жиберген учурда биз аны чыпка катары колдонобуз. Файлды жүктөгөндөн кийин, биз аны биринчи антивирус менен текшерип, андан кийин кумдук чөйрөгө жөнөтөбүз. FortiSandbox виртуалдык машинаны эмуляциялайт, файлды ишке киргизет жана анын жүрүм-турумун көзөмөлдөйт: реестрдеги кандай объекттерге кире алат, тышкы суроо-талаптарды жөнөтөбү ж.б.у.с. Эгер файл шектүү иш кылса, кумкоргон VM жок кылынат жана зыяндуу файл колдонуучунун VDIге жайгаштырылбайт.
VDI менен коопсуз туташууну кантип орнотуу керек
Биз аппараттын маалыматтык коопсуздук талаптарына шайкештигин текшеребиз. Алыстан иштөө башталгандан бери кардарлар бизге жеке компьютерлерден колдонуучулардын коопсуз иштешин камсыз кылуу боюнча өтүнүч менен кайрылышты. Ар бир маалымат коопсуздугу боюнча адис үй түзмөктөрүн коргоо кыйын экенин билет: керектүү антивирусту орното албайсыз же топтук саясатты колдоно албайсыз, анткени бул кеңсе жабдуулары эмес.
Демейки боюнча, VDI жеке түзмөк менен корпоративдик тармактын ортосунда коопсуз "катмар" болуп калат. VDIди колдонуучу машинасынын чабуулдарынан коргоо үчүн биз алмашуу буферин өчүрүп, USB багыттоосуна тыюу салабыз. Бирок бул колдонуучунун түзмөгүнүн өзүн коопсуз кылбайт.
Биз FortiClientтин жардамы менен маселени чечебиз. Бул акыркы чекиттерди (акыркы чекиттерди коргоо) коргоо куралы. Компаниянын колдонуучулары FortiClientти үй компьютерлерине орнотуп, аны виртуалдык иш столуна туташуу үчүн колдонушат. FortiClient бир эле учурда 3 тапшырманы чечет:
- колдонуучу үчүн кирүүнүн "бирдиктүү терезеси" болуп калат;
- жеке компьютерде антивирус жана акыркы OS жаңыртуулары бар-жоктугун текшерет;
- коопсуз жетүү үчүн VPN туннелин курат.
Кызматкер текшерүүдөн өткөндө гана мүмкүнчүлүк алат. Ошол эле учурда виртуалдык иш столдорунун өзү интернеттен жеткиликтүү эмес, демек алар чабуулдардан жакшыраак корголот.
Эгерде компания акыркы чекти коргоону өзү башкаргысы келсе, биз FortiClient EMS (Endpoint Management Server) сунуштайбыз. Кардар иш тактасын сканерлөө жана интрузияны алдын алуу конфигурациясын, даректердин ак тизмесин түзө алат.
Аутентификация факторлорун кошуңуз. Демейки боюнча, колдонуучулар Citrix netscaler аркылуу аутентификацияланат. Бул жерде да биз SafeNet өнүмдөрүнүн негизинде көп факторлуу аутентификация менен коопсуздукту күчөтө алабыз. Бул тема өзгөчө көңүл бурууга татыктуу, биз бул тууралуу өзүнчө макалада сөз кылабыз.
Биз акыркы бир жыл ичинде ар кандай чечимдер менен иштөө боюнча ушундай тажрыйба топтодук. VDI кызматы ар бир кардар үчүн өзүнчө конфигурацияланган, ошондуктан биз эң ийкемдүү куралдарды тандап алдык. Балким, жакынкы арада дагы бир нерсе кошуп, тажрыйбабыз менен бөлүшөбүз.
7-октябрда саат 17.00дө менин кесиптештерим виртуалдык столдор жөнүндө “VDI керекпи, же дистанциялык ишти кантип уюштуруу керек?” вебинарында сүйлөшөт.
, VDI технологиясы компанияга качан ылайыктуу жана качан башка ыкмаларды колдонуу жакшы экенин талкуулагыңыз келсе.
Source: www.habr.com