Hoc anno multae societates ad laborem remotum celeriter transiverunt. Quidam enim clients plus centum jobs per hebdomada remota. Hoc non solum cito, sed etiam tuto facere magni momenti fuit. VDI technologiae technologiae subvenit: eius auxilio commodum est consilia securitatis omnibus operis locis distribuere et contra notitias liberorum conservare.
In hoc articulo tibi dico quomodo opera nostra virtualis desktop subnixa in Citrix VDI operatur ex parte securitatis informationis. Ostendam tibi quid facimus ad defensiones clientium ab externis minis protegendis ut pretium vel iaculis oppugnationum.
Quid securitatis problemata solvemus?
Multas minas securitatis principalis in servitio notavimus. Ex altera parte, virtualis desktop periculum incurrit ex computatro utentis. Contra, periculum est exire e desktop virtuali in spatium apertum interreti et limam infectam deponi. Etiam si hoc incidit, infrastructuram integram non afficere debet. Cum igitur servitutem creando, plura problemata solvimus;
- Tuetur totum VDI stare ab externis minis.
- clientes ab invicem solitudo.
- Tuens virtualis desktops se.
- Secure connect users from any device.
nucleus munimenti erat FortiGate, nova generatio firewall from Fortinet. VDI umbraculum negotiationis monitores praebet, separatim infrastructuram pro quolibet cliente, et contra vulnerabilitates in parte utentis tuetur. Eius facultates satis sunt ad solutionem maximarum informationum quaestiones securitatis.
Sed si societas securitatis speciales requisita habet, optiones additas praebemus;
- Securam connexionem ordinamus ad operandum e computatoribus domus.
- Accessum ad analysin independentem securitatem acta praebemus.
- Praesidium antiviri in desktops praebemus.
- Contra nuditates nulla hodie munimus.
- Multi-factores authenticas configuramus additis praesidiis contra hospites non legitimos.
Dicam planius quomodo problemata solvimus.
Quomodo stare et tueri securitatem retis
Sit segmentum retis. Ad standum illustramus segmentum clausa administratione ad omnes facultates administrandas. Segmentum administratio ab extra inaccessibilis est: in casu oppugnationis clientis, oppugnatores illuc pervenire non poterunt.
FortiGate tutelae reus est. Munera antiviri, firewall et intrusionis systematis praeventionis coniungit (IPS).
Pro unoquoque cliente portionem retis solitariam pro desktops virtualis efficimus. Ad hoc, FortiGate technologiam virtualem habet, vel VDOM. Permittit ut firewall in plura entia virtualis dividere et clientem suum VDOM collocare, quod quasi firewall separatum agit. Partem quoque administrationis separatim VDOM creamus.
Id evenit ut sequenti schemate.
Nulla retis nexus inter clientes est: unaquaeque vivit in suo VDOM et alterum non movet. Sine hac technologia, clientes murales regulas separare volumus, quod periculosum est propter errorem humanum. Talia praecepta ad ianuam comparare potes quae constanter occlusa est. In VDOM nulla portae omnino relinquimus.
In separato VDOM, cliens suum alloquens et fuso habet. Ergo iugis transitus non fit quaestio societas. Cliens ad IP inscriptiones necessarias virtualis desktops assignare potest. Hoc convenit magnis societatibus quae sua IP consilia habent.
quaestiones conectividas cum retis corporis clientis solvimus. Negotium separatum cum infrastructura clientis coniungit VDI. Si societas systemata corporatorum in nostro centro datorum custodit, simpliciter funem retis ab instrumento ad focum incurrere possumus. Sed saepius agimus de situ remoto - aliud centrum notitiae vel officii clientis. In hoc casu cogitamus per commutationem securam cum situ et situ2site VPN utendo IPsec VPN.
Consilia variari possunt secundum multiplicitatem infrastructuram. In nonnullis locis satis est unum officium retis coniungere ad VDI - static fusione satis est ibi. Magnae societates multae retiacula quae continenter mutantur; hic cliens dynamicam rouginem indiget. Protocolla varia utimur: iam causae sunt cum OSPF (Path brevissima prima), GRE cuniculis (Encapsulation general Routing) et BGP (Protocollum Border Gateway). FortiGate sustinet protocolla in separatis VDOMs retis, sine affectibus aliorum clientium.
Potes etiam aedificare GOST-VPN - encryption subnixum tutelae cryptographicae minime certificatum per FSB Foederationis Russicae. Pro exemplo, KS1 solutiones classis in virtualis environment "S-Terra porta Virtualis" vel PAK ViPNet, APKSH "continens", "S-Terra".
Group Politiae erigens. Consentio cum clienti in consiliis globorum VDI adhibitis. Principia hic occasus non alia sunt a consiliis in officio ordinandis. Integrationem cum Active Directorio constituimus et administrationem delegatorum aliquorum coetuum ad clientium coetuum instituimus. Administratores tenentes consilia ad obiectum Computer applicare possunt, unitatem organicam in Directorio activo administrare et utentes creare.
De FortiGate, ad quemlibet clientem VDOM consilium securitatis retis scribimus, restrictiones accessum pone et inspectionem negotiationis configurare. FortiGate modulorum pluribus utimur:
- IPS moduli perscrutantes negotiationem malware et intrusiones praevenientes;
- antivirus desktops se ab malware et spyware tutatur;
- interretiales eliquare cuneos accessere ad opes et sites dolosas vel indebita contentas;
- Firewall occasus permittere potest utentibus ad Internet tantum quibusdam locis accedere.
Interdum client velit independenter administrare accessum molestie ad websites. Saepius quam non, ripae cum hac rogatione veniunt: officia securitatis requirunt ut accessum imperium in latere societatis manent. Tales societates ipsae commercii monitores et regulariter mutationes in agendis faciunt. In hoc casu omnem negotiationem a FortiGate versus clientem convertimus. Ad hoc utimur figura interface cum infrastructura societatis. Postea ipse cliens regulas configurat accessus ad network corporatum et interreti.
Nos certe ad stantem spectamus. Una cum FortiGate utimur FortiAnalyzer, index publicanus a Fortinet. Eius ope omnia eventus in VDI in uno loco aspicimus, actiones suspectas et correlationes vestigamus.
One of our clients uses Fortinet products in their office. Pro eo, stipes uploading configurati - sic client omnes eventus securitatis pro machinis et desktops officiorum poterat resolvere.
Quomodo protegat virtualis desktops
Ex notis minis. Si client independenter praesidium anti-virus administrare vult, etiam Kaspersky Securitatem virtualis ambitus instituimus.
Haec solutio bene operatur in nube. Consueverunt omnes hoc Kaspersky antivirus classicum solutionem "gravis" esse. E contra, Kaspersky Securitas pro Virtualizatione virtualis machinis non onerat. Omnes virus database in servo locantur, quod iudicium pro omnibus machinis virtualibus nodi exit. Tantum lumen agens in virtualis desktop instituitur. Documenta ad verificationem pro servo mittit.
Haec architectura simul fasciculi tutelam, interreti tutelam, et tutelam oppugnationis praebet, sine machinis virtualis faciendis. Hoc in casu, client extra exceptiones fasciculi praesidio potest. Nos adiuvamus cum solutionis fundamentalis setup. De eius notis in articulo separato loquemur.
Ab ignotis minis. Ad hoc efficiendum, "sandbox" ex Fortinet coniungimus FortiSandbox. Ea ut filtrum utimur, si antivirus minas zephyricas caret. Post demptionem tabellam, primum eam cum antiviro lustramus et deinde ad sandbox mittemus. FortiSandbox virtualem machinam aemulatur, tabellam fugit et mores eius observat: quae in registro accesserunt, an externas petitiones emittat, et sic porro. Si fasciculus suspecte agit, apparatus virtualis sandboxed deletus est et fasciculus malignus non terminatur in utentis VDI.
Quomodo erigat nexum securum ad VDI
Fabricae obsequium cum informationibus securitatis requisitis coercemus. Ab initio operis remoti, clientes nobis petitionibus appropinquaverunt: ut tuta operatio users a personalibus computatoribus curare possit. Quaelibet notitia specialist securitatis scit quod cogitationes domus tutantur difficile est: non potes institutionem necessariam antivirum vel coetus agendi, quia hoc instrumentum officii non est.
Defalta, VDI inter fabricam personalem et corporatum retis in tuto fit. Ad VDI ab oppugnationibus ab machina utentis protegere, clipboard dispellere et USB procuret prohibemus. Sed hoc ipsum artificium usoris securum non facit.
FortiClient usura problema solvemus. Hoc instrumentum munimenti endpoint est. Societas utentium FortiClient in computers domus suas installare et ea uti ad desktop virtualis iungo. FortiClient solvit III problemata simul;
- fit "una fenestra" accessus pro usuario;
- inhibet num computatrum personale tuum antivirum ac recentissimas OS updates habet;
- VPN cuniculum aedificat ad accessum secure.
Operarius tantum acquirit si verificationem praetereunt. Eodem tempore, ipsae virtuales desktops a Interreti inaccessibiles sunt, quae media ab oppugnationibus tutiores sunt.
Si societas finem ipsum praesidium regere cupit, FortiClient EMS offerimus (Endpoint Servo Management). Cliens escritorio intuens et intrusionem praeventionis configurare potest, et album inscriptionum album creare.
Additis authenticis utriusque. Defalta, utentes signo authenticitatis per Citrix netscaler sunt. Hic quoque securitatem augere possumus utens multifactoris authenticas secundum fructus SafeNet. Hic locus speciali attentione meretur, de hoc etiam in articulo separato loquemur.
Talem experientiam in operando variis solutionibus per annum praeteriti laboris congesuimus. Ministerium VDI separatim pro singulis clientibus configuratur, ergo instrumenta flexibilia elegit. Forsitan in proximo aliquid aliud addemus et experientiam communicabimus.
Die 7 Octobris ad 17.00 collegae mei loquentur de desktop virtuali in telaris "VDI necessarium est, aut quomodo ad opus remotum ordinare?"
si disserere vis, cum VDI technologia aptum est cuneum et quando melius est aliis modis uti.
Source: www.habr.com