Å ogad daudzi uzÅÄmumi steigÄ pÄrgÄja uz attÄlinÄto darbu. Dažiem klientiem mÄs
Å ajÄ rakstÄ es jums pastÄstÄ«Å”u, kÄ mÅ«su virtuÄlÄs darbvirsmas pakalpojums, kas balstÄ«ts uz Citrix VDI, darbojas no informÄcijas droŔības viedokļa. Es jums parÄdÄ«Å”u, ko mÄs darÄm, lai aizsargÄtu klientu galddatorus no ÄrÄjiem draudiem, piemÄram, izpirkuma programmatÅ«ras vai mÄrÄ·tiecÄ«giem uzbrukumiem.
KÄdas droŔības problÄmas mÄs risinÄm?
Esam identificÄjuÅ”i vairÄkus galvenos pakalpojuma droŔības apdraudÄjumus. No vienas puses, virtuÄlÄ darbvirsma riskÄ tikt inficÄta no lietotÄja datora. No otras puses, pastÄv risks iziet no virtuÄlÄs darbvirsmas interneta atklÄtajÄ telpÄ un lejupielÄdÄt inficÄtu failu. Pat ja tas notiek, tam nevajadzÄtu ietekmÄt visu infrastruktÅ«ru. TÄpÄc, veidojot pakalpojumu, mÄs atrisinÄjÄm vairÄkas problÄmas:
- AizsargÄ visu VDI stendu no ÄrÄjiem draudiem.
- Klientu izolÄcija vienam no otra.
- PaÅ”u virtuÄlo galddatoru aizsardzÄ«ba.
- DroÅ”i savienojiet lietotÄjus no jebkuras ierÄ«ces.
AizsardzÄ«bas kodols bija FortiGate, Fortinet jaunÄs paaudzes ugunsmÅ«ris. Tas uzrauga VDI kabÄ«nes trafiku, nodroÅ”ina izolÄtu infrastruktÅ«ru katram klientam un aizsargÄ pret ievainojamÄ«bÄm lietotÄja pusÄ. TÄs iespÄjas ir pietiekamas, lai atrisinÄtu lielÄko daļu informÄcijas droŔības problÄmu.
Bet, ja uzÅÄmumam ir Ä«paÅ”as droŔības prasÄ«bas, mÄs piedÄvÄjam papildu iespÄjas:
- MÄs organizÄjam droÅ”u savienojumu darbam no mÄjas datoriem.
- MÄs nodroÅ”inÄm piekļuvi neatkarÄ«gai droŔības žurnÄlu analÄ«zei.
- MÄs nodroÅ”inÄm pretvÄ«rusu aizsardzÄ«bas pÄrvaldÄ«bu galddatoros.
- MÄs aizsargÄjam pret nulles dienas ievainojamÄ«bu.
- MÄs konfigurÄjam vairÄku faktoru autentifikÄciju, lai nodroÅ”inÄtu papildu aizsardzÄ«bu pret nesankcionÄtiem savienojumiem.
Es jums pastÄstÄ«Å”u sÄ«kÄk, kÄ mÄs atrisinÄjÄm problÄmas.
KÄ aizsargÄt stendu un nodroÅ”inÄt tÄ«kla droŔību
SegmentÄsim tÄ«kla daļu. StendÄ izceļam slÄgtu vadÄ«bas segmentu visu resursu pÄrvaldÄ«Å”anai. PÄrvaldÄ«bas segments ir nepieejams no Ärpuses: klientam uzbrukuma gadÄ«jumÄ uzbrucÄji nevarÄs tur nokļūt.
FortiGate ir atbildÄ«gs par aizsardzÄ«bu. Tas apvieno pretvÄ«rusu, ugunsmÅ«ra un ielauÅ”anÄs novÄrÅ”anas sistÄmas (IPS) funkcijas.
Katram klientam mÄs izveidojam izolÄtu tÄ«kla segmentu virtuÄlajiem galddatoriem. Å im nolÅ«kam FortiGate ir virtuÄlÄ domÄna tehnoloÄ£ija jeb VDOM. Tas ļauj sadalÄ«t ugunsmÅ«ri vairÄkÄs virtuÄlÄs entÄ«tijÄs un katram klientam pieŔķirt savu VDOM, kas darbojas kÄ atseviŔķs ugunsmÅ«ris. MÄs arÄ« izveidojam atseviŔķu VDOM pÄrvaldÄ«bas segmentam.
IzrÄdÄs, ka tÄ ir Å”Äda diagramma:
Starp klientiem nav tÄ«kla savienojamÄ«bas: katrs dzÄ«vo savÄ VDOM un neietekmÄ otru. Bez Ŕīs tehnoloÄ£ijas mums bÅ«tu jÄnodala klienti ar ugunsmÅ«ra noteikumiem, kas ir riskanti cilvÄka kļūdu dÄļ. JÅ«s varat salÄ«dzinÄt Å”Ädus noteikumus ar durvÄ«m, kurÄm pastÄvÄ«gi jÄbÅ«t aizvÄrtÄm. VDOM gadÄ«jumÄ mÄs neatstÄjam nekÄdas ādurvisā.
AtseviÅ”Ä·Ä VDOM klientam ir sava adresÄcija un marÅ”rutÄÅ”ana. TÄpÄc diapazonu ŔķÄrsoÅ”ana uzÅÄmumam nekļūst par problÄmu. Klients var pieŔķirt nepiecieÅ”amÄs IP adreses virtuÄlajiem galddatoriem. Tas ir Ärti lieliem uzÅÄmumiem, kuriem ir savi IP plÄni.
MÄs risinÄm savienojamÄ«bas problÄmas ar klienta korporatÄ«vo tÄ«klu. AtseviŔķs uzdevums ir VDI savienoÅ”ana ar klienta infrastruktÅ«ru. Ja uzÅÄmums glabÄ korporatÄ«vÄs sistÄmas mÅ«su datu centrÄ, mÄs varam vienkÄrÅ”i palaist tÄ«kla kabeli no tÄ aprÄ«kojuma uz ugunsmÅ«ri. Bet biežÄk mums ir darÄ«Å”ana ar attÄlu vietni - citu datu centru vai klienta biroju. Å ajÄ gadÄ«jumÄ mÄs domÄjam par droÅ”u apmaiÅu ar vietni un izveidojam site2site VPN, izmantojot IPsec VPN.
ShÄmas var atŔķirties atkarÄ«bÄ no infrastruktÅ«ras sarežģītÄ«bas. DažÄs vietÄs pietiek ar vienu biroja tÄ«klu pieslÄgt VDI - tur pietiek ar statisko marÅ”rutÄÅ”anu. Lielajiem uzÅÄmumiem ir daudz tÄ«klu, kas pastÄvÄ«gi mainÄs; Å”eit klientam ir nepiecieÅ”ama dinamiska marÅ”rutÄÅ”ana. MÄs izmantojam dažÄdus protokolus: jau ir bijuÅ”i gadÄ«jumi ar OSPF (Open Shortest Path First), GRE tuneļiem (Generic Routing Encapsulation) un BGP (Border Gateway Protocol). FortiGate atbalsta tÄ«kla protokolus atseviŔķos VDOM, neietekmÄjot citus klientus.
Varat arÄ« izveidot GOST-VPN - Å”ifrÄÅ”anu, kuras pamatÄ ir Krievijas FederÄcijas FSB sertificÄti kriptogrÄfiskÄs aizsardzÄ«bas lÄ«dzekļi. PiemÄram, izmantojot KS1 klases risinÄjumus virtuÄlajÄ vidÄ āS-Terra Virtual Gatewayā vai PAK ViPNet, APKSH āContinentā, āS-Terraā.
Grupas politiku iestatÄ«Å”ana. MÄs vienojamies ar klientu par grupas politikÄm, kas tiek piemÄrotas VDI. Å eit noteikÅ”anas principi neatŔķiras no politikas noteikÅ”anas birojÄ. MÄs izveidojÄm integrÄciju ar Active Directory un deleÄ£Äjam dažu grupu politiku pÄrvaldÄ«bu klientiem. ÄŖrnieku administratori var lietot politikas objektam Dators, pÄrvaldÄ«t organizÄcijas vienÄ«bu programmÄ Active Directory un izveidot lietotÄjus.
FortiGate katram klientam VDOM mÄs rakstÄm tÄ«kla droŔības politiku, iestatÄm piekļuves ierobežojumus un konfigurÄjam satiksmes pÄrbaudi. MÄs izmantojam vairÄkus FortiGate moduļus:
- IPS modulis skenÄ trafiku, lai atrastu ļaunprÄtÄ«gu programmatÅ«ru un novÄrÅ” ielauÅ”anos;
- antivÄ«russ aizsargÄ paÅ”us galddatorus no ļaunprÄtÄ«gas programmatÅ«ras un spiegprogrammatÅ«ras;
- tÄ«mekļa filtrÄÅ”ana bloÄ·Ä piekļuvi neuzticamiem resursiem un vietnÄm ar ļaunprÄtÄ«gu vai nepiemÄrotu saturu;
- UgunsmÅ«ra iestatÄ«jumi var ļaut lietotÄjiem piekļūt internetam tikai noteiktÄm vietnÄm.
Dažreiz klients vÄlas patstÄvÄ«gi pÄrvaldÄ«t darbinieku piekļuvi vietnÄm. BiežÄk bankas nÄk ar Å”Ädu pieprasÄ«jumu: droŔības dienesti pieprasa, lai piekļuves kontrole paliktu uzÅÄmuma pusÄ. Å Ädi uzÅÄmumi paÅ”i uzrauga satiksmi un regulÄri veic izmaiÅas politikÄ. Å ajÄ gadÄ«jumÄ mÄs vÄrÅ”am visu trafiku no FortiGate uz klientu. Lai to izdarÄ«tu, mÄs izmantojam konfigurÄtu saskarni ar uzÅÄmuma infrastruktÅ«ru. PÄc tam klients pats konfigurÄ noteikumus piekļuvei korporatÄ«vajam tÄ«klam un internetam.
Notikumus vÄrojam stendÄ. KopÄ ar FortiGate mÄs izmantojam FortiAnalyzer, Fortinet baļķu savÄcÄju. Ar tÄs palÄ«dzÄ«bu mÄs vienuviet apskatÄm visus notikumu žurnÄlus VDI, atrodam aizdomÄ«gas darbÄ«bas un izsekojam korelÄcijas.
Viens no mÅ«su klientiem savÄ birojÄ izmanto Fortinet produktus. Å im nolÅ«kam mÄs konfigurÄjÄm žurnÄlu augÅ”upielÄdi, lai klients varÄtu analizÄt visus biroja iekÄrtu un virtuÄlo galddatoru droŔības notikumus.
KÄ aizsargÄt virtuÄlos galddatorus
No zinÄmiem draudiem. Ja klients vÄlas patstÄvÄ«gi pÄrvaldÄ«t pretvÄ«rusu aizsardzÄ«bu, mÄs papildus instalÄjam Kaspersky Security virtuÄlajÄm vidÄm.
Å is risinÄjums labi darbojas mÄkonÄ«. MÄs visi esam pieraduÅ”i, ka klasiskais Kaspersky antivÄ«russ ir āsmagsā risinÄjums. Turpretim Kaspersky Security for Virtualization neielÄdÄ virtuÄlÄs maŔīnas. Visas vÄ«rusu datu bÄzes atrodas serverÄ«, kas izdod spriedumus visÄm mezgla virtuÄlajÄm maŔīnÄm. VirtuÄlajÄ darbvirsmÄ ir instalÄts tikai gaismas aÄ£ents. Tas nosÅ«ta failus uz serveri verifikÄcijai.
Å Ä« arhitektÅ«ra vienlaikus nodroÅ”ina failu aizsardzÄ«bu, interneta aizsardzÄ«bu un aizsardzÄ«bu pret uzbrukumiem, neapdraudot virtuÄlo maŔīnu veiktspÄju. Å ajÄ gadÄ«jumÄ klients var patstÄvÄ«gi ieviest izÅÄmumus failu aizsardzÄ«bai. MÄs palÄ«dzam ar risinÄjuma pamata uzstÄdÄ«Å”anu. Par tÄ Ä«paŔībÄm mÄs runÄsim atseviÅ”Ä·Ä rakstÄ.
No nezinÄmiem draudiem. Lai to izdarÄ«tu, mÄs savienojam FortiSandbox ā Fortinet āsmilÅ”u kastiā. MÄs to izmantojam kÄ filtru, ja antivÄ«russ nepalaiž garÄm nulles dienas draudus. PÄc faila lejupielÄdes mÄs vispirms to skenÄjam ar antivÄ«rusu un pÄc tam nosÅ«tÄm uz smilÅ”u kasti. FortiSandbox emulÄ virtuÄlo maŔīnu, palaiž failu un novÄro tÄ darbÄ«bu: kÄdiem reÄ£istra objektiem tiek piekļūts, vai tas sÅ«ta ÄrÄjus pieprasÄ«jumus utt. Ja fails darbojas aizdomÄ«gi, smilÅ”kastes virtuÄlÄ maŔīna tiek dzÄsta un ļaunprÄtÄ«gais fails nenonÄk lietotÄja VDI.
KÄ izveidot droÅ”u savienojumu ar VDI
MÄs pÄrbaudÄm ierÄ«ces atbilstÄ«bu informÄcijas droŔības prasÄ«bÄm. KopÅ” attÄlinÄtÄ darba sÄkuma klienti ir vÄrsuÅ”ies pie mums ar lÅ«gumiem: nodroÅ”inÄt lietotÄju droÅ”u darbÄ«bu no saviem personÄlajiem datoriem. JebkurÅ” informÄcijas droŔības speciÄlists zina, ka mÄjas ierÄ«Äu aizsardzÄ«ba ir sarežģīta: jÅ«s nevarat instalÄt nepiecieÅ”amo antivÄ«rusu vai piemÄrot grupas politikas, jo tas nav biroja aprÄ«kojums.
PÄc noklusÄjuma VDI kļūst par droÅ”u āslÄniā starp personisko ierÄ«ci un korporatÄ«vo tÄ«klu. Lai aizsargÄtu VDI no lietotÄja maŔīnas uzbrukumiem, mÄs atspÄjojam starpliktuvi un aizliedzam USB pÄrsÅ«tÄ«Å”anu. TaÄu tas nepadara paÅ”a lietotÄja ierÄ«ci droÅ”u.
MÄs atrisinÄm problÄmu, izmantojot FortiClient. Å is ir galapunkta aizsardzÄ«bas rÄ«ks. UzÅÄmuma lietotÄji instalÄ FortiClient savos mÄjas datoros un izmanto to, lai izveidotu savienojumu ar virtuÄlo darbvirsmu. FortiClient vienlaikus atrisina 3 problÄmas:
- kļūst par lietotÄja piekļuves āvienu loguā;
- pÄrbauda, āāvai jÅ«su personÄlajam datoram ir antivÄ«russ un jaunÄkie OS atjauninÄjumi;
- izveido VPN tuneli droŔai piekļuvei.
Darbinieks iegÅ«st piekļuvi tikai tad, ja ir nokÄrtojis verifikÄciju. TajÄ paÅ”Ä laikÄ paÅ”i virtuÄlie galddatori nav pieejami no interneta, kas nozÄ«mÄ, ka tie ir labÄk aizsargÄti pret uzbrukumiem.
Ja uzÅÄmums vÄlas pats pÄrvaldÄ«t galapunktu aizsardzÄ«bu, mÄs piedÄvÄjam FortiClient EMS (Endpoint Management Server). Klients var konfigurÄt darbvirsmas skenÄÅ”anu un ielauÅ”anÄs novÄrÅ”anu, kÄ arÄ« izveidot balto adreÅ”u sarakstu.
AutentifikÄcijas faktoru pievienoÅ”ana. PÄc noklusÄjuma lietotÄji tiek autentificÄti, izmantojot Citrix netscaler. ArÄ« Å”eit mÄs varam uzlabot droŔību, izmantojot daudzfaktoru autentifikÄciju, kuras pamatÄ ir SafeNet produkti. Å Ä« tÄma ir pelnÄ«jusi Ä«paÅ”u uzmanÄ«bu, par to mÄs arÄ« runÄsim atseviÅ”Ä·Ä rakstÄ.
Å Ädu pieredzi darbÄ ar dažÄdiem risinÄjumiem esam uzkrÄjuÅ”i aizvadÄ«tÄ darba gada laikÄ. VDI pakalpojums tiek konfigurÄts atseviŔķi katram klientam, tÄpÄc mÄs izvÄlÄjÄmies elastÄ«gÄkos rÄ«kus. IespÄjams, tuvÄkajÄ laikÄ pievienosim vÄl ko un dalÄ«simies pieredzÄ.
7.oktobrÄ« plkst.17.00 mani kolÄÄ£i stÄstÄ«s par virtuÄlajiem galddatoriem vebinÄrÄ āVai nepiecieÅ”ams VDI, jeb kÄ organizÄt attÄlinÄto darbu?ā
Avots: www.habr.com