Dëst Joer hu vill Betriber séier op Fernaarbecht gewiesselt. Fir e puer Clienten mir organiséieren méi wéi honnert Fernjobs pro Woch. Et war wichteg dëst net nëmme séier ze maachen, awer och sécher. VDI Technologie ass op d'Rettung komm: mat senger Hëllef ass et bequem fir d'Sécherheetspolitik op all Aarbechtsplazen ze verdeelen an ze schützen géint Datenleck.
An dësem Artikel wäert ech Iech soen wéi eise virtuelle Desktop-Service baséiert op Citrix VDI aus enger Informatiounssécherheetssiicht funktionnéiert. Ech weisen Iech wat mir maache fir Client Desktops vu externe Gefore wéi Ransomware oder geziilten Attacken ze schützen.
Wéi eng Sécherheetsproblemer léise mir?
Mir hunn e puer Haaptsécherheetsbedrohungen fir de Service identifizéiert. Engersäits riskéiert de virtuelle Desktop vum Computer vum Benotzer infizéiert ze ginn. Op der anerer Säit ass et eng Gefor fir aus dem virtuellen Desktop an den oppene Raum vum Internet erauszegoen an eng infizéiert Datei erofzelueden. Och wann dat passéiert, sollt et net déi ganz Infrastruktur beaflossen. Dofir, wann Dir de Service erstellt, hu mir verschidde Probleemer geléist:
- Schutz vum ganze VDI Stand vun externen Geforen.
- Isolatioun vu Clienten vuneneen.
- Déi virtuell Desktops selwer schützen.
- Séchert Benotzerverbindung vun all Apparat.
De Kär vum Schutz war FortiGate, eng nei Generatioun Firewall vu Fortinet. Et iwwerwaacht VDI Stand Traffic, bitt eng isoléiert Infrastruktur fir all Client, a schützt géint Schwachstelle op der Benotzersäit. Seng Fäegkeeten si genuch fir déi meescht Informatiounssécherheetsprobleemer ze léisen.
Awer wann eng Firma speziell Sécherheetsfuerderunge huet, bidde mir zousätzlech Optiounen:
- Mir organiséieren eng sécher Verbindung fir vun doheem Computeren ze schaffen.
- Mir ginn Zougang zu Selbstanalyse vu Sécherheetsprotokoller.
- Mir bidden Gestioun vum Antivirus Schutz op Desktops.
- Mir schützen géint Null-Dag Schwachstelle.
- Mir konfiguréieren Multi-Faktor Authentifikatioun fir zousätzlech Schutz géint onerlaabt Verbindungen.
Ech soen Iech méi am Detail wéi mir d'Problemer geléist hunn.
Wéi de Stand ze schützen an d'Netzsécherheet ze garantéieren
Loosst eis den Netzdeel segmentéieren. Um Stand verdeele mir e zouenen Gestiounssegment fir all Ressourcen ze managen. De Gestiounssegment ass vu baussen onzougänglech: am Fall vun engem Attack op de Client kënnen Ugräifer net dohinner kommen.
FortiGate ass verantwortlech fir de Schutz. Et kombinéiert d'Funktioune vum Antivirus, Firewall, Intrusion Prevention System (IPS).
Fir all Client kreéiere mir en isoléiert Netzwierksegment fir virtuell Desktops. Fir dësen Zweck huet FortiGate virtuell Domain Technologie, oder VDOM. Et erlaabt Iech d'Firewall a verschidde virtuell Entitéiten opzedeelen an all Client säin eegene VDOM ze verdeelen, deen sech wéi eng separat Firewall behält. Mir schafen och eng separat VDOM fir d'Gestioun Segment.
Dëst stellt sech als folgend Diagramm eraus:
Et gëtt keng Netzwierkverbindung tëscht Clienten: jidderee lieft a sengem eegene VDOM an beaflosst net deen aneren. Ouni dës Technologie musse mir Cliente mat Firewall Regelen trennen, an dëst ass geféierlech wéinst dem mënschleche Faktor. Dir kënnt esou Regelen mat enger Dier vergläichen, déi stänneg zougemaach muss ginn. Am Fall vun VDOM verloosse mir guer keng "Dieren".
An enger separater VDOM huet de Client seng eege Adresséierung a Routing. Dofir gëtt Kräizgang net e Problem fir d'Firma. De Client kann déi néideg IP Adressen op virtuelle Desktops zouginn. Dëst ass praktesch fir grouss Firmen déi hir eege IP Pläng hunn.
Mir léisen Konnektivitéitsprobleemer mam Firmennetz vum Client. Eng separat Aufgab ass VDI mat der Clientinfrastruktur ze verbannen. Wann eng Firma Firmesystemer an eisem Rechenzentrum hält, kënne mir einfach en Netzwierkkabel vu senger Ausrüstung an d'Firewall lafen. Awer méi dacks hu mir mat engem Remote Site ze dinn - en aneren Datenzenter oder e Client säi Büro. An dësem Fall denken mir duerch e sécheren Austausch mam Site a bauen site2site VPN mat IPsec VPN.
Schemaen kënnen ofhängeg vun der Komplexitéit vun der Infrastruktur variéieren. Op e puer Plazen ass et genuch fir en eenzegt Büronetz mat VDI ze verbannen - statesch Routing ass genuch do. Grouss Entreprisen hu vill Netzwierker déi stänneg änneren; hei brauch de Client dynamesch Routing. Mir benotze verschidde Protokoller: et goufe scho Fäll mat OSPF (Open Shortest Path First), GRE Tunnel (Generic Routing Encapsulation) a BGP (Border Gateway Protocol). FortiGate ënnerstëtzt Netzwierkprotokoller a getrennten VDOMs, ouni aner Clienten ze beaflossen.
Dir kënnt och GOST-VPN bauen - Verschlësselung baséiert op Kryptoprotection Tools zertifizéiert vun der FSB vun der Russescher Federatioun. Zum Beispill, benotzt Léisunge vun Klass KS1 am virtuelle Ëmfeld "S-Terra virtuell Paart" oder HSS ViPNet, APKSh "Kontinent", "S-Terra".
Group Policies Ariichten. Mir stëmmen mam Client iwwer Gruppepolitiken déi op VDI applizéiert ginn. Hei sinn d'Prinzipien vum Kader net anescht wéi d'Politik am Büro ze setzen. Mir setzen Integratioun mat Active Directory an delegéieren d'Gestioun vun e puer Gruppepolitike fir Clienten. Locataire Administrateuren kënnen d'Politik op de Computerobjekt applizéieren, d'organisatoresch Eenheet am Active Directory verwalten a Benotzer erstellen.
Op FortiGate, fir all Client VDOM, schreiwen mir eng Netzsécherheetspolitik, setzen Zougangsbeschränkungen a stellen Trafficinspektioun op. Mir benotze verschidde FortiGate Moduler:
- IPS Modul scannt de Verkéier fir Malware a verhënnert Andréngen;
- Antivirus schützt d'Desktops selwer vu Malware a Spyware;
- Webfilter blockéiert Zougang zu onzouverlässeg Ressourcen a Site mat béiswëllegen oder onpassend Inhalt;
- Firewall Astellunge kënnen d'Benotzer erlaben den Internet nëmmen op bestëmmte Siten ze kréien.
Heiansdo wëll e Client onofhängeg den Employé Zougang zu Websäite verwalten. Méi dacks kommen d'Banke mat dëser Ufro: Sécherheetsservicer verlaangen datt Zougangskontroll op der Säit vun der Firma bleift. Esou Firmen iwwerwaachen selwer den Traffic a maachen regelméisseg Ännerungen un der Politik. An dësem Fall dréie mir all Traffic vu FortiGate op de Client. Fir dëst ze maachen, benotze mir eng konfiguréiert Interface mat der Infrastruktur vun der Firma. Duerno konfiguréiert de Client selwer d'Regele fir den Zougang zum Firmennetz an den Internet.
Mir kucken d'Evenementer um Stand. Zesumme mat FortiGate benotze mir FortiAnalyzer, e Log Sammler vu Fortinet. Mat senger Hëllef kucke mir all Eventprotokoller op VDI op enger Plaz, fanne verdächteg Handlungen a verfollegen Korrelatiounen.
Ee vun eise Clienten benotzt Fortinet Produkter a sengem Büro. Dofir hu mir de Log-Upload ageriicht - sou datt de Client all Sécherheetsevenementer fir Büromaschinnen a virtuelle Desktops analyséiere konnt.
Wéi schützt Dir virtuell Desktops
Vun bekannte Geforen. Wann de Client den Anti-Virusschutz onofhängeg verwalten wëllt, installéiere mir zousätzlech Kaspersky Security fir virtuell Ëmfeld.
Dës Léisung funktionnéiert gutt an der Wollek. Mir sinn all gewinnt datt de klassesche Kaspersky Antivirus eng "schwéier" Léisung ass. Am Géigesaz dozou lued Kaspersky Security for Virtualization keng virtuell Maschinnen. All Virusdatenbanken sinn um Server lokaliséiert, déi Uerteeler fir all Host virtuell Maschinnen erausginn. Nëmmen de Liicht Agent ass op der virtueller Desktop installéiert. Et schéckt Dateien op de Server fir z'iwwerpréiwen.
Dës Architektur bitt gläichzäiteg Dateieschutz, Internetschutz an Attackeschutz ouni d'Performance vu virtuelle Maschinnen ze kompromittéieren. An dësem Fall kann de Client onofhängeg Ausnahmen zum Dateieschutz aféieren. Mir hëllefen mat der Basiskonfiguratioun vun der Léisung. Mir wäerten iwwer seng Fonctiounen an engem separaten Artikel schwätzen.
Vun onbekannte Geforen. Fir dëst ze maachen, verbannen mir FortiSandbox - eng "Sandbox" vu Fortinet. Mir benotzen et als Filter am Fall wou den Antivirus eng Null-Dag Bedrohung vermësst. Nodeems Dir d'Datei erofgelueden hutt, scannen mir et als éischt mat engem Antivirus a schécken se dann an d'Sandbox. FortiSandbox emuléiert eng virtuell Maschinn, leeft d'Datei an observéiert säi Verhalen: wéi eng Objeten am Registry zougänglech sinn, ob se extern Ufroe schéckt, asw. Wann e Fichier verdächteg behält, gëtt d'Sandbox virtuell Maschinn geläscht an déi béiswëlleg Datei endet net op de Benotzer VDI.
Wéi Ariichten eng sécher Verbindung zu VDI
Mir kontrolléieren d'Konformitéit vum Apparat mat den Ufuerderunge vun der Informatiounssécherheet. Zënter dem Ufank vun der Fernaarbecht hunn d'Clienten eis mat Ufroe ukomm: fir déi sécher Operatioun vun de Benotzer vun hire perséinleche Computeren ze garantéieren. All Informatiounssécherheetsspezialist weess datt de Schutz vun Hausgeräter schwéier ass: Dir kënnt net den néidegen Antivirus installéieren oder d'Gruppepolitike gëllen, well dëst keng Büroausrüstung ass.
Par défaut gëtt VDI eng sécher "Schicht" tëscht dem perséinlechen Apparat an dem Firmennetz. Fir VDI géint Attacke vun der Maschinn vum Benotzer ze schützen, deaktivéiere mir de Clipboard, deaktivéieren USB Forwarding. Awer dëst mécht de Benotzergerät selwer net sécher.
Mir léisen de Problem mat der Hëllef vu FortiClient. Dëst ass en Tool fir Endpunkte ze schützen (Endpunktschutz). D'Benotzer vun der Firma installéieren FortiClient op hiren Heemcomputer a benotzen se fir mat engem virtuellen Desktop ze verbannen. FortiClient léist 3 Aufgaben gläichzäiteg:
- gëtt eng "eenzeg Fënster" vum Zougang fir de Benotzer;
- kontrolléiert ob Äre perséinleche Computer en Antivirus an déi lescht OS Updates huet;
- baut e VPN-Tunnel fir sécheren Zougang.
Den Employé kritt Zougang nëmmen wann hien d'Verifizéierung passéiert. Zur selwechter Zäit sinn déi virtuell Desktops selwer net vum Internet zougänglech, dat heescht datt se besser géint Attacke geschützt sinn.
Wann eng Firma den Endpunktschutz selwer verwalten wëllt, bidde mir FortiClient EMS (Endpoint Management Server). De Client kann Desktop Scannen an Intrusiounsverhënnerung konfiguréieren an eng wäiss Lëscht vun Adressen erstellen.
Authentifizéierungsfaktoren addéieren. Par défaut ginn d'Benotzer duerch Citrix netscaler authentifizéiert. Och hei kënne mir d'Sécherheet verbesseren mat Multifactor Authentifikatioun baséiert op SafeNet Produkter. Dëst Thema verdéngt besonnesch Opmierksamkeet, mir wäerten och iwwer dëst an engem separaten Artikel schwätzen.
Mir hunn esou Erfahrung an der Aarbecht mat verschiddene Léisungen am leschte Joer vun der Aarbecht gesammelt. De VDI Service ass fir all Client separat konfiguréiert, sou datt mir déi flexibelst Tools gewielt hunn. Vläicht wäerte mir an der nächster Zukunft nach eppes derbäisetzen an eis Erfahrung deelen.
De 7. Oktober um 17.00 Auer schwätze meng Kollegen iwwer virtuell Desktops um Webinar "Ass VDI néideg, oder wéi organiséieren ech Fernaarbecht?"
, Wann Dir wëllt diskutéieren wéini VDI Technologie fir eng Firma gëeegent ass a wann et besser ass aner Methoden ze benotzen.
Source: will.com