Šiais metais daugelis įmonių paskubomis perėjo prie nuotolinio darbo. Kai kuriems klientams mes organizuoti daugiau nei šimtą nuotolinių darbų per savaitę. Buvo svarbu tai padaryti ne tik greitai, bet ir saugiai. Į pagalbą atskubėjo VDI technologija: jos pagalba patogu išplatinti saugumo politiką visoms darbo vietoms ir apsisaugoti nuo duomenų nutekėjimo.
Šiame straipsnyje papasakosiu, kaip mūsų virtualaus darbalaukio paslauga, pagrįsta Citrix VDI, veikia informacijos saugumo požiūriu. Parodysiu, ką darome, kad apsaugotume klientų stalinius kompiuterius nuo išorinių grėsmių, tokių kaip išpirkos reikalaujančios programos ar tikslinės atakos.
Kokias saugumo problemas sprendžiame?
Mes nustatėme keletą pagrindinių paslaugų saugumo grėsmių. Viena vertus, virtualus darbalaukis gali būti užkrėstas iš vartotojo kompiuterio. Kita vertus, kyla pavojus išeiti iš virtualaus darbalaukio į atvirą interneto erdvę ir atsisiųsti užkrėstą failą. Net jei taip atsitiktų, tai neturėtų paveikti visos infrastruktūros. Todėl kurdami paslaugą išsprendėme keletą problemų:
- Apsaugo visą VDI stendą nuo išorinių grėsmių.
- Klientų izoliavimas vienas nuo kito.
- Pačių virtualių stalinių kompiuterių apsauga.
- Saugiai prijunkite vartotojus iš bet kurio įrenginio.
Apsaugos pagrindas buvo „FortiGate“, naujos kartos „Fortinet“ ugniasienė. Jis stebi VDI kabinos srautą, suteikia atskirą infrastruktūrą kiekvienam klientui ir apsaugo nuo pažeidžiamumų vartotojo pusėje. Jo galimybių pakanka daugeliui informacijos saugumo problemų išspręsti.
Bet jei įmonė turi specialių saugumo reikalavimų, siūlome papildomų galimybių:
- Organizuojame saugų ryšį darbui iš namų kompiuterių.
- Suteikiame prieigą nepriklausomai saugos žurnalų analizei.
- Teikiame antivirusinės apsaugos valdymą staliniuose kompiuteriuose.
- Apsaugome nuo nulinės dienos pažeidžiamumų.
- Konfigūruojame kelių faktorių autentifikavimą, kad užtikrintume papildomą apsaugą nuo neteisėtų prisijungimų.
Išsamiau papasakosiu, kaip išsprendėme problemas.
Kaip apsaugoti stendą ir užtikrinti tinklo saugumą
Suskaidykime tinklo dalį. Stende pabrėžiame uždarą valdymo segmentą, skirtą visų išteklių valdymui. Valdymo segmentas yra neprieinamas iš išorės: užpuolus klientą, užpuolikai negalės ten patekti.
FortiGate yra atsakinga už apsaugą. Jis apjungia antivirusinės, ugniasienės ir įsibrovimo prevencijos sistemos (IPS) funkcijas.
Kiekvienam klientui sukuriame atskirą tinklo segmentą virtualiems staliniams kompiuteriams. Šiuo tikslu FortiGate turi virtualaus domeno technologiją arba VDOM. Tai leidžia padalyti užkardą į keletą virtualių objektų ir kiekvienam klientui priskirti savo VDOM, kuris veikia kaip atskira ugniasienė. Taip pat sukuriame atskirą VDOM valdymo segmentui.
Pasirodo, tokia diagrama:
Tarp klientų nėra tinklo ryšio: kiekvienas gyvena savo VDOM ir nedaro įtakos kitam. Be šios technologijos turėtume atskirti klientus pagal ugniasienės taisykles, o tai rizikinga dėl žmogiškos klaidos. Tokias taisykles galite palyginti su durimis, kurios turi būti nuolat uždarytos. VDOM atveju mes nepaliekame jokių „durų“.
Atskirame VDOM klientas turi savo adresą ir maršrutą. Todėl diapazonų kirtimas įmonei netampa problema. Klientas gali priskirti reikiamus IP adresus virtualiems darbalaukiams. Tai patogu didelėms įmonėms, kurios turi savo IP planus.
Sprendžiame ryšio su kliento įmonės tinklu problemas. Atskira užduotis yra VDI prijungimas prie kliento infrastruktūros. Jei įmonė mūsų duomenų centre laiko korporatyvines sistemas, galime tiesiog nutiesti tinklo kabelį nuo jos įrangos iki ugniasienės. Tačiau dažniau susiduriame su nuotoline svetaine - kitu duomenų centru ar kliento biuru. Tokiu atveju galvojame apie saugų mainus su svetaine ir sukuriame site2site VPN naudodami IPsec VPN.
Schemos gali skirtis priklausomai nuo infrastruktūros sudėtingumo. Kai kuriose vietose prie VDI pakanka prijungti vieną biuro tinklą – ten pakanka statinio maršruto. Didelės įmonės turi daug tinklų, kurie nuolat kinta; čia klientui reikalingas dinaminis maršrutas. Naudojame skirtingus protokolus: jau buvo atvejų su OSPF (Open Shortest Path First), GRE tuneliais (Generic Routing Encapsulation) ir BGP (Border Gateway Protocol). „FortiGate“ palaiko tinklo protokolus atskiruose VDOM, nepaveikdamas kitų klientų.
Taip pat galite sukurti GOST-VPN - šifravimą, pagrįstą kriptografinėmis apsaugos priemonėmis, patvirtintomis Rusijos Federacijos FSB. Pavyzdžiui, naudojant KS1 klasės sprendimus virtualioje aplinkoje „S-Terra Virtual Gateway“ arba PAK ViPNet, APKSH „Continent“, „S-Terra“.
Grupės politikos nustatymas. Su klientu susitariame dėl grupės politikos, kuri taikoma VDI. Čia nustatymo principai niekuo nesiskiria nuo politikos nustatymo biure. Mes nustatome integraciją su „Active Directory“ ir perduodame kai kurių grupių strategijų valdymą klientams. Nuomininkų administratoriai gali taikyti strategijas Kompiuterio objektui, valdyti organizacinį vienetą „Active Directory“ ir kurti vartotojus.
FortiGate kiekvienam klientui VDOM parašome tinklo saugumo politiką, nustatome prieigos apribojimus ir konfigūruojame eismo patikrą. Mes naudojame kelis FortiGate modulius:
- IPS modulis nuskaito srautą dėl kenkėjiškų programų ir apsaugo nuo įsibrovimų;
- antivirusinė programa apsaugo pačius stalinius kompiuterius nuo kenkėjiškų programų ir šnipinėjimo programų;
- žiniatinklio filtravimas blokuoja prieigą prie nepatikimų išteklių ir svetainių, kuriose yra kenkėjiško ar netinkamo turinio;
- Užkardos nustatymai gali leisti vartotojams prisijungti prie interneto tik tam tikrose svetainėse.
Kartais klientas nori savarankiškai valdyti darbuotojų prieigą prie svetainių. Dažniausiai bankai pateikia tokį prašymą: saugos tarnybos reikalauja, kad prieigos kontrolė liktų įmonės pusėje. Tokios įmonės pačios stebi srautą ir reguliariai keičia politiką. Tokiu atveju visą srautą iš FortiGate nukreipiame į klientą. Norėdami tai padaryti, naudojame sukonfigūruotą sąsają su įmonės infrastruktūra. Po to klientas pats sukonfigūruoja prieigos prie įmonės tinklo ir interneto taisykles.
Stebime įvykius stende. Kartu su FortiGate naudojame FortiAnalyzer, Fortinet rąstų rinktuvą. Jos pagalba peržiūrime visus VDI įvykių žurnalus vienoje vietoje, randame įtartinus veiksmus ir sekame koreliacijas.
Vienas iš mūsų klientų savo biure naudoja Fortinet produktus. Tam sukonfigūravome žurnalų įkėlimą – todėl klientas galėjo analizuoti visus biuro įrenginių ir virtualių stalinių kompiuterių saugumo įvykius.
Kaip apsaugoti virtualius stalinius kompiuterius
Iš žinomų grasinimų. Jei klientas nori savarankiškai valdyti antivirusinę apsaugą, papildomai įdiegiame Kaspersky Security virtualioms aplinkoms.
Šis sprendimas gerai veikia debesyje. Visi esame įpratę, kad klasikinė „Kaspersky“ antivirusinė programa yra „sunkus“ sprendimas. Priešingai, „Kaspersky Security for Virtualization“ neįkelia virtualių mašinų. Visos virusų duomenų bazės yra serveryje, kuris skelbia verdiktus visoms virtualioms mazgo mašinoms. Virtualiame darbalaukyje įdiegtas tik šviesos agentas. Jis siunčia failus į serverį patikrinti.
Ši architektūra tuo pačiu metu užtikrina failų apsaugą, interneto apsaugą ir apsaugą nuo atakų, nepakenkiant virtualių mašinų veikimui. Tokiu atveju klientas gali savarankiškai nustatyti failų apsaugos išimtis. Padedame atlikti pagrindinę sprendimo sąranką. Apie jo savybes kalbėsime atskirame straipsnyje.
Iš nežinomų grasinimų. Norėdami tai padaryti, mes prijungiame FortiSandbox - "smėlio dėžę" iš Fortinet. Naudojame jį kaip filtrą, jei antivirusinė programa nepraleistų nulinės dienos grėsmės. Atsisiuntę failą, pirmiausia nuskenuojame jį su antivirusine programa ir tada siunčiame į smėlio dėžę. „FortiSandbox“ emuliuoja virtualią mašiną, paleidžia failą ir stebi jo elgesį: kokie registro objektai pasiekiami, ar siunčia išorines užklausas ir pan. Jei failas elgiasi įtartinai, smėlio dėžės virtualioji mašina ištrinama ir kenkėjiškas failas nepatenka į vartotojo VDI.
Kaip nustatyti saugų ryšį su VDI
Tikriname įrenginio atitiktį informacijos saugumo reikalavimams. Nuo nuotolinio darbo pradžios klientai kreipėsi į mus su prašymais: užtikrinti saugų vartotojų darbą iš asmeninių kompiuterių. Bet kuris informacijos saugos specialistas žino, kad apsaugoti namų įrenginius yra sunku: negalite įdiegti reikiamos antivirusinės programos ar taikyti grupės politikos, nes tai nėra biuro įranga.
Pagal numatytuosius nustatymus VDI tampa saugiu „sluoksniu“ tarp asmeninio įrenginio ir įmonės tinklo. Norėdami apsaugoti VDI nuo vartotojo įrenginio atakų, išjungiame mainų sritį ir uždraudžiame USB persiuntimą. Tačiau tai nepadaro paties vartotojo įrenginio saugaus.
Problemą išsprendžiame naudodami FortiClient. Tai galutinio taško apsaugos įrankis. Bendrovės vartotojai savo namų kompiuteriuose įdiegia „FortiClient“ ir naudoja jį prisijungdami prie virtualaus darbalaukio. FortiClient vienu metu išsprendžia 3 problemas:
- tampa vartotojo prieigos „vienu langeliu“;
- patikrina, ar jūsų asmeniniame kompiuteryje yra antivirusinė programa ir naujausi OS naujinimai;
- sukuria VPN tunelį saugiai prieigai.
Darbuotojas įgyja prieigą tik tada, kai praeina patikrinimą. Tuo pačiu metu patys virtualūs staliniai kompiuteriai yra nepasiekiami iš interneto, o tai reiškia, kad jie yra geriau apsaugoti nuo atakų.
Jei įmonė nori pati valdyti galinių taškų apsaugą, siūlome FortiClient EMS (Endpoint Management Server). Klientas gali konfigūruoti darbalaukio nuskaitymą ir įsibrovimų prevenciją bei sukurti baltąjį adresų sąrašą.
Autentifikavimo faktorių pridėjimas. Pagal numatytuosius nustatymus vartotojai autentifikuojami per Citrix netscaler. Čia taip pat galime padidinti saugumą naudodami kelių faktorių autentifikavimą, pagrįstą „SafeNet“ produktais. Ši tema nusipelno ypatingo dėmesio, apie tai taip pat kalbėsime atskirame straipsnyje.
Tokią patirtį dirbant su skirtingais sprendimais sukaupėme per pastaruosius darbo metus. VDI paslauga kiekvienam klientui konfigūruojama atskirai, todėl pasirinkome lanksčiausius įrankius. Galbūt artimiausiu metu dar ką nors pridėsime ir pasidalinsime patirtimi.
Spalio 7 d., 17.00:XNUMX, mano kolegos kalbės apie virtualius darbalaukius webinare „Ar reikalingas VDI, ar kaip organizuoti darbą nuotoliniu būdu?
, jei norite aptarti, kada VDI technologija tinka įmonei, o kada geriau naudoti kitus metodus.
Šaltinis: www.habr.com