Tamin'ity taona ity, orinasa maro no nivadika haingana tamin'ny asa lavitra. Ho an'ny mpanjifa sasany izahay mandamina asa lavitra mihoatra ny zato isan-kerinandro. Zava-dehibe ny nanao izany tsy haingana, fa azo antoka ihany koa. Tonga nanavotra ny teknolojia VDI: miaraka amin'ny fanampiany, mora ny mizara ny politika momba ny fiarovana amin'ny toeram-piasana rehetra ary miaro amin'ny fiparitahan'ny angona.
Amin'ity lahatsoratra ity dia holazaiko aminao ny fomba fiasan'ny serivisy desktop virtoaly mifototra amin'ny Citrix VDI amin'ny fomba fijery fiarovana ny fampahalalana. Hasehoko anao ny ataonay mba hiarovana ny biraon'ny mpanjifa amin'ny fandrahonana ivelany toy ny ransomware na ny fanafihana lasibatra.
Inona no olana ara-piarovana voavahantsika?
Nahita fandrahonana fiarovana lehibe maro ho an'ny serivisy izahay. Amin'ny lafiny iray, ny birao virtoaly dia mitantana ny mety ho voan'ny otrikaretina amin'ny solosain'ny mpampiasa. Amin'ny lafiny iray, misy atahorana ny fivoahana avy amin'ny birao virtoaly mankany amin'ny habaka malalaka amin'ny Internet ary misintona rakitra voa. Na izany aza dia tsy tokony hisy fiantraikany aminβny fotodrafitrasa iray manontolo. Noho izany, rehefa namorona ny serivisy dia namaha olana maro izahay:
- Miaro ny fijoroana VDI manontolo amin'ny fandrahonana ivelany.
- Fitokanana ny mpanjifa amin'ny tsirairay.
- Miaro ny birao virtoaly ny tenany.
- Ampifandraiso ireo mpampiasa amin'ny fitaovana rehetra.
Ny fototry ny fiarovana dia FortiGate, tamboho vaovao avy amin'ny Fortinet. Manara-maso ny fifamoivoizana amin'ny trano heva VDI, manome fotodrafitrasa mitoka-monina ho an'ny mpanjifa tsirairay, ary miaro amin'ny vulnerability amin'ny lafiny mpampiasa. Ny fahaizany dia ampy hamahana ny ankamaroan'ny olana momba ny fiarovana ny vaovao.
Saingy raha manana fepetra fiarovana manokana ny orinasa iray, dia manolotra safidy fanampiny izahay:
- Mandamina fifandraisana azo antoka izahay amin'ny fiasana amin'ny solosaina an-trano.
- Manome fidirana amin'ny famakafakana tsy miankina amin'ny diarin'ny fiarovana izahay.
- Manome fitantanana ny fiarovana antivirus amin'ny desktop izahay.
- Miaro amin'ny vulnerability aotra andro izahay.
- Ampifanaraho amin'ny lafiny maro ny fanamarinana ho fiarovana fanampiny amin'ny fifandraisana tsy nahazoana alalana.
Holazaiko anao amin'ny antsipiriany bebe kokoa ny fomba namaha ny olana.
Ahoana no hiarovana ny fijoroana sy hiantohana ny fiarovana ny tambajotra
Andeha hozaraina ny ampahany amin'ny tambajotra. Ao amin'ny fijoroana dia manasongadina sehatra fitantanana mihidy amin'ny fitantanana ny loharano rehetra izahay. Ny fizarana fitantanana dia tsy azo idirana avy any ivelany: raha misy fanafihana amin'ny mpanjifa dia tsy ho tonga any ny mpanafika.
FortiGate no tompon'andraikitra amin'ny fiarovana. Izy io dia manambatra ny asan'ny antivirus, firewall, ary ny rafitra fisorohana ny fidiran'ny aretina (IPS).
Ho an'ny mpanjifa tsirairay dia mamorona sehatra tambajotra mitokana ho an'ny birao virtoaly. Ho an'ity tanjona ity, FortiGate dia manana teknolojia sehatra virtoaly, na VDOM. Izany dia ahafahanao manasaraka ny firewall ho sampana virtoaly maromaro ary manome ny VDOM ho an'ny mpanjifa tsirairay, izay mihetsika toy ny firewall mitokana. Mamorona VDOM mitokana ho an'ny fizarana fitantanana ihany koa izahay.
Izany dia hita ho toy izao manaraka izao:
Tsy misy fifandraisana amin'ny tambajotra eo amin'ny mpanjifa: ny tsirairay dia miaina ao amin'ny VDOM-ny ary tsy misy fiantraikany amin'ny hafa. Raha tsy misy io teknolojia io, dia tsy maintsy manasaraka ny mpanjifa amin'ny fitsipiky ny firewall isika, izay mampidi-doza noho ny fahadisoan'ny olombelona. Azonao ampitahaina amin'ny varavarana tsy maintsy mihidy foana ny fitsipika toy izany. Raha ny momba ny VDOM dia tsy mamela "varavarana" mihitsy izahay.
Ao amin'ny VDOM mitokana, ny mpanjifa dia manana ny adiresiny sy ny lΓ lany. Noho izany, ny fiampitana faritra dia tsy lasa olana ho an'ny orinasa. Ny mpanjifa dia afaka manendry ny adiresy IP ilaina amin'ny birao virtoaly. Mety ho an'ny orinasa lehibe manana drafitra IP manokana izany.
Mamaha ny olan'ny fifandraisana amin'ny tambajotran'ny orinasan'ny mpanjifa izahay. Ny asa manokana dia ny fampifandraisana ny VDI amin'ny fotodrafitrasa mpanjifa. Raha toa ny orinasa iray mitazona rafitra orinasa ao amin'ny foiben'ny angonay, dia afaka mampandeha tariby tambajotra fotsiny izahay avy amin'ny fitaovany mankany amin'ny firewall. Saingy matetika isika dia mifandray amin'ny tranokala lavitra - foibe angona hafa na biraon'ny mpanjifa. Amin'ity tranga ity, mieritreritra amin'ny alΓ lan'ny fifanakalozana azo antoka miaraka amin'ny tranokala izahay ary manangana site2site VPN amin'ny fampiasana IPsec VPN.
Ny tetika dia mety miovaova arakaraka ny fahasarotan'ny fotodrafitrasa. Any amin'ny toerana sasany dia ampy ny mampifandray ny tambajotra birao tokana amin'ny VDI - static routing dia ampy ao. Ny orinasa lehibe dia manana tambajotra maro izay miova tsy tapaka; eto ny mpanjifa mila dynamic routing. Mampiasa protocols samihafa izahay: efa nisy tranga tamin'ny OSPF (Open Shortest Path First), GRE tunnels (Generic Routing Encapsulation) ary BGP (Border Gateway Protocol). FortiGate dia manohana ny protocols amin'ny tambajotra amin'ny VDOM samihafa, tsy misy fiantraikany amin'ny mpanjifa hafa.
Azonao atao ihany koa ny manangana GOST-VPN - encryption mifototra amin'ny fiarovana kriptografika midika hoe voamarina avy amin'ny FSB an'ny Federasiona Rosiana. Ohatra, mampiasa vahaolana kilasy KS1 amin'ny tontolo virtoaly "S-Terra Virtual Gateway" na PAK ViPNet, APKSH "Continent", "S-Terra".
Fametrahana ny politikan'ny vondrona. Miombon-kevitra amin'ny mpanjifa momba ny politikan'ny vondrona izay ampiharina amin'ny VDI izahay. Eto ny fitsipiky ny fametrahana dia tsy misy hafa amin'ny fametrahana politika ao amin'ny birao. Nanangana ny fampidirana amin'ny Active Directory izahay ary manolotra ny fitantanana ny politikan'ny vondrona sasany amin'ny mpanjifa. Ny mpandrindra mpanofa dia afaka mampihatra ny politika amin'ny zavatra Computer, mitantana ny sampana fandaminana ao amin'ny Active Directory, ary mamorona mpampiasa.
Ao amin'ny FortiGate, ho an'ny mpanjifa tsirairay VDOM dia manoratra politika fiarovana amin'ny tambajotra izahay, mametraka famerana ny fidirana ary manamboatra ny fisafoana fifamoivoizana. Mampiasa mody FortiGate maromaro izahay:
- Ny maodely IPS dia mijery ny fifamoivoizana amin'ny malware ary misoroka ny fidirana;
- miaro ny solosaina amin'ny malware sy spyware ny antivirus;
- Ny sivana web dia manakana ny fidirana amin'ireo loharano tsy azo ianteherana sy tranonkala misy votoaty ratsy na tsy mendrika;
- Ny firafitry ny firewall dia mety mamela ny mpampiasa hiditra amin'ny Internet amin'ny tranokala sasany ihany.
Indraindray ny mpanjifa dia te hitantana tsy miankina ny fidirana amin'ny mpiasa amin'ny tranokala. Matetika indrindra, ny banky dia tonga miaraka amin'ity fangatahana ity: ny serivisy fiarovana dia mitaky ny hitoeran'ny fanaraha-maso ny fidirana amin'ny orinasa. Ny orinasa toy izany dia manara-maso ny fifamoivoizana ary manova tsy tapaka ny politika. Amin'ity tranga ity, mamadika ny fifamoivoizana rehetra avy any FortiGate mankany amin'ny mpanjifa izahay. Mba hanaovana izany, mampiasa interface tsara voarindra miaraka amin'ny fotodrafitrasa an'ny orinasa izahay. Aorian'izany, ny mpanjifa mihitsy no manamboatra ny fitsipika momba ny fidirana amin'ny tambajotran'ny orinasa sy ny Internet.
Mijery ny zava-mitranga eny an-kianja izahay. Miaraka amin'ny FortiGate izahay dia mampiasa FortiAnalyzer, mpanangona hazo avy any Fortinet. Miaraka amin'ny fanampiany, mijery ny diarin'ny hetsika rehetra ao amin'ny VDI amin'ny toerana iray izahay, mahita hetsika mampiahiahy ary manara-maso ny fifandraisana.
Ny iray amin'ireo mpanjifanay dia mampiasa vokatra Fortinet ao amin'ny biraony. Ho an'izany dia nanamboatra ny fampiakarana log izahay - ka afaka nandinika ny hetsika fiarovana rehetra ho an'ny milina birao sy birao virtoaly ny mpanjifa.
Ahoana ny fiarovana ny birao virtoaly
Avy amin'ny fandrahonana fantatra. Raha te hitantana tsy miankina amin'ny fiarovana ny anti-virus ny mpanjifa, dia mametraka Kaspersky Security ho an'ny tontolo virtoaly koa izahay.
Ity vahaolana ity dia miasa tsara amin'ny rahona. Isika rehetra dia zatra ny zava-misy fa ny antivirus Kaspersky mahazatra dia vahaolana "mavesatra". Mifanohitra amin'izany kosa, Kaspersky Security for Virtualization dia tsy mitondra milina virtoaly. Ny angon-drakitra virus rehetra dia hita ao amin'ny mpizara, izay mamoaka didim-pitsarana ho an'ny milina virtoaly rehetra amin'ny node. Ny solomaso maivana ihany no apetraka amin'ny birao virtoaly. Mandefa rakitra any amin'ny mpizara izany ho fanamarinana.
Ity maritrano ity dia manome fiarovana amin'ny rakitra, fiarovana amin'ny Internet ary fiarovana amin'ny fanafihana nefa tsy mampandefitra ny fiasan'ny milina virtoaly. Amin'ity tranga ity, ny mpanjifa dia afaka mampiditra tsy miankina amin'ny fiarovana ny rakitra. Manampy amin'ny fametrahana fototra ny vahaolana izahay. Hiresaka momba ny endri-javatra ao amin'ny lahatsoratra misaraka isika.
Avy amin'ny fandrahonana tsy fantatra. Mba hanaovana izany, mampifandray an'i FortiSandbox - "boaty fasika" avy any Fortinet. Ampiasainay ho toy ny sivana izy io raha sendra misy fandrahonana aotra andro ny antivirus. Rehefa avy misintona ny rakitra dia scan aloha amin'ny antivirus ary avy eo alefa any amin'ny sandbox. FortiSandbox dia maka tahaka ny milina virtoaly, mitantana ny rakitra ary mandinika ny fitondran-tenany: inona no zavatra ao amin'ny rejisitra idirana, na mandefa fangatahana ivelany, sy ny sisa. Raha toa ka mampiahiahy ny fisie iray dia voafafa ilay milina virtoaly sandboxed ary tsy mihatra amin'ny mpampiasa VDI ilay rakitra ratsy.
Ahoana ny fametrahana fifandraisana azo antoka amin'ny VDI
Manamarina ny fanarahan'ny fitaovana amin'ny fepetra fiarovana ny fampahalalana izahay. Hatramin'ny niandohan'ny asa lavitra, ny mpanjifa dia nanatona anay tamin'ny fangatahana: mba hiantohana ny fiasan'ny mpampiasa amin'ny solosainy manokana. Izay manampahaizana manokana momba ny fiarovana ny fampahalalam-baovao dia mahafantatra fa sarotra ny fiarovana ny fitaovana an-trano: tsy afaka mametraka ny antivirus ilaina ianao na mampihatra ny politikan'ny vondrona, satria tsy fitaovana birao izany.
Amin'ny alΓ lan'ny default, ny VDI dia lasa "layer" azo antoka eo anelanelan'ny fitaovana manokana sy ny tambajotra orinasa. Mba hiarovana ny VDI amin'ny fanafihana avy amin'ny masinin'ny mpampiasa, dia esorinay ny takelaka ary mandrara ny fandefasana USB. Saingy tsy mahatonga ny fitaovan'ny mpampiasa ho azo antoka izany.
Mamaha ny olana amin'ny fampiasana FortiClient izahay. Ity dia fitaovana fiarovana amin'ny teboka farany. Ny mpampiasa ny orinasa dia mametraka FortiClient amin'ny solosainy ao an-tranony ary mampiasa izany mba hifandraisana amin'ny birao virtoaly. Mamaha olana 3 indray mandeha ny FortiClient:
- lasa "varavarankely tokana" fidirana ho an'ny mpampiasa;
- manamarina raha manana antivirus sy ny fanavaozana OS farany ny solosainao manokana;
- manangana tonelina VPN ho an'ny fidirana azo antoka.
Ny mpiasa iray ihany no mahazo fidirana raha mandalo fanamarinana. Mandritra izany fotoana izany, ny birao virtoaly dia tsy azo idirana amin'ny Internet, izay midika fa voaro kokoa amin'ny fanafihana izy ireo.
Raha te hitantana ny fiarovana ny endpoint ny orinasa iray, dia manolotra FortiClient EMS (Endpoint Management Server) izahay. Azon'ny mpanjifa atao ny manitsy ny fisavana desktop sy ny fisorohana ny fidirana, ary mamorona lisitra fotsy misy adiresy.
Fanampiana anton-javatra fanamarinana. Amin'ny alΓ lan'ny default, ny mpampiasa dia voamarina amin'ny alΓ lan'ny Citrix netscaler. Eto ihany koa dia afaka manatsara ny fiarovana amin'ny alΓ lan'ny fanamarinana multifactor mifototra amin'ny vokatra SafeNet. Ity lohahevitra ity dia mendrika ny fiheverana manokana; hiresaka momba izany koa isika ao amin'ny lahatsoratra misaraka.
Nanangona traikefa toy izany izahay tamin'ny fiarahana tamin'ny vahaolana samihafa nandritra ny taona niasana. Ny serivisy VDI dia namboarina manokana ho an'ny mpanjifa tsirairay, noho izany dia nisafidy ny fitaovana mora indrindra izahay. Angamba tsy ho ela dia hanampy zavatra hafa isika ary hizara ny traikefantsika.
Amin'ny 7 Oktobra amin'ny 17.00 dia hiresaka momba ny birao virtoaly ao amin'ny webinar ny mpiara-miasa amiko "Ilaina ve ny VDI, sa ahoana ny fandaminana asa lavitra?"
, raha te hiresaka momba ny fotoana mety amin'ny orinasa iray ny teknolojia VDI ary rehefa tsara kokoa ny mampiasa fomba hafa.
Source: www.habr.com