Энэ жил олон компани алсын зайн ажил руу яаран шилжсэн. Зарим үйлчлүүлэгчдийн хувьд бид долоо хоногт зуу гаруй алсын ажлын байр зохион байгуулах. Үүнийг хурдан төдийгүй аюулгүйгээр хийх нь чухал байв. VDI технологи нь аврах ажилд ирлээ: түүний тусламжтайгаар аюулгүй байдлын бодлогыг бүх ажлын байранд түгээх, мэдээлэл алдагдахаас хамгаалахад тохиромжтой.
Энэ нийтлэлд би Citrix VDI дээр суурилсан манай виртуал ширээний үйлчилгээ мэдээллийн аюулгүй байдлын үүднээс хэрхэн ажилладаг талаар танд хэлэх болно. Бид үйлчлүүлэгчийн ширээний компьютерийг ransomware эсвэл зорилтот халдлага гэх мэт гадны аюулаас хамгаалахын тулд юу хийдгийг би танд үзүүлэх болно.
Бид аюулгүй байдлын ямар асуудлыг шийдэж байна вэ?
Бид үйлчилгээний аюулгүй байдлын хэд хэдэн гол аюулыг тодорхойлсон. Нэг талаас, виртуал ширээний компьютер нь хэрэглэгчийн компьютерээс халдвар авах эрсдэлтэй байдаг. Нөгөөтэйгүүр, виртуал ширээний компьютерээс интернетийн нээлттэй орон зайд нэвтэрч, халдвар авсан файлыг татаж авах аюултай. Ийм зүйл болсон ч бүхэл бүтэн дэд бүтцэд нөлөөлөх ёсгүй. Тиймээс үйлчилгээг бий болгохдоо бид хэд хэдэн асуудлыг шийдсэн.
- VDI тавиурыг бүхэлд нь гадны аюулаас хамгаална.
- Үйлчлүүлэгчдийг бие биенээсээ тусгаарлах.
- Виртуал ширээний компьютерийг өөрсдөө хамгаалах.
- Хэрэглэгчдийг ямар ч төхөөрөмжөөс найдвартай холбоно уу.
Хамгаалалтын цөм нь Fortinet-ийн шинэ үеийн галт хана болох FortiGate байв. Энэ нь VDI лангууны урсгалыг хянаж, үйлчлүүлэгч бүрт тусгаарлагдсан дэд бүтцийг бий болгож, хэрэглэгчийн талын эмзэг байдлаас хамгаалдаг. Түүний чадвар нь мэдээллийн аюулгүй байдлын ихэнх асуудлыг шийдвэрлэхэд хангалттай юм.
Гэхдээ хэрэв компани аюулгүй байдлын тусгай шаардлага тавьдаг бол бид нэмэлт сонголтуудыг санал болгож байна:
- Бид гэрийн компьютерээс ажиллах найдвартай холболтыг зохион байгуулдаг.
- Бид аюулгүй байдлын бүртгэлд бие даасан дүн шинжилгээ хийх боломжийг олгодог.
- Бид ширээний компьютер дээр вирусны эсрэг хамгаалалтыг удирдан чиглүүлдэг.
- Бид тэг өдрийн эмзэг байдлаас хамгаалдаг.
- Бид зөвшөөрөлгүй холболтоос нэмэлт хамгаалалт хийхийн тулд олон хүчин зүйлийн баталгаажуулалтыг тохируулдаг.
Асуудлыг хэрхэн шийдсэн талаар би танд илүү дэлгэрэнгүй ярих болно.
Стенд хэрхэн хамгаалах, сүлжээний аюулгүй байдлыг хангах
Сүлжээний хэсгийг сегментчилье. Стенд дээр бид бүх нөөцийг удирдах хаалттай менежментийн сегментийг онцолж байна. Менежментийн сегмент нь гаднаас нь нэвтрэх боломжгүй: үйлчлүүлэгч рүү халдсан тохиолдолд халдагчид тэнд хүрч чадахгүй.
FortiGate нь хамгаалалтыг хариуцдаг. Энэ нь вирусны эсрэг, галт хана, халдлагаас урьдчилан сэргийлэх систем (IPS) зэрэг функцуудыг хослуулсан.
Үйлчлүүлэгч бүрийн хувьд бид виртуал ширээний компьютерт зориулсан тусгаарлагдсан сүлжээний сегментийг үүсгэдэг. Энэ зорилгоор FortiGate нь виртуал домэйн технологи буюу VDOM-тэй. Энэ нь танд галт ханыг хэд хэдэн виртуал нэгж болгон хувааж, үйлчлүүлэгч бүрт тусдаа галт хана шиг ажилладаг VDOM-ийг хуваарилах боломжийг олгодог. Мөн бид менежментийн сегментэд зориулж тусдаа VDOM үүсгэдэг.
Энэ нь дараах диаграмм болж хувирав.
Үйлчлүүлэгчдийн хооронд сүлжээний холболт байхгүй: тус бүр өөрийн VDOM-д амьдардаг бөгөөд нөгөөдөө нөлөөлдөггүй. Энэ технологигүйгээр бид үйлчлүүлэгчдийг галт ханын дүрмээр салгах ёстой бөгөөд энэ нь хүний буруугаас болж эрсдэлтэй байдаг. Та ийм дүрмийг байнга хаалттай байх ёстой хаалгатай харьцуулж болно. VDOM-ийн хувьд бид "хаалга" огт үлдээдэггүй.
Тусдаа VDOM-д үйлчлүүлэгч өөрийн хаяг, чиглүүлэлттэй байдаг. Тиймээс тус компанийг гатлах нь асуудал биш юм. Үйлчлүүлэгч шаардлагатай IP хаягуудыг виртуал ширээний компьютерт өгөх боломжтой. Энэ нь өөрийн гэсэн IP төлөвлөгөөтэй томоохон компаниудад тохиромжтой.
Бид үйлчлүүлэгчийн корпорацийн сүлжээнд холбогдох асуудлыг шийддэг. Тусдаа ажил бол VDI-г үйлчлүүлэгчийн дэд бүтэцтэй холбох явдал юм. Хэрэв компани манай дата төвд корпорацийн системийг хадгалдаг бол бид түүний төхөөрөмжөөс галт хана руу сүлжээний кабелийг ажиллуулж болно. Гэхдээ ихэнхдээ бид алслагдсан сайттай харьцдаг - өөр мэдээллийн төв эсвэл үйлчлүүлэгчийн оффис. Энэ тохиолдолд бид сайттай аюулгүй солилцох талаар бодож, IPsec VPN ашиглан site2site VPN-ийг бүтээдэг.
Дэд бүтцийн нарийн төвөгтэй байдлаас шалтгаалан схемүүд өөр өөр байж болно. Зарим газарт нэг оффисын сүлжээг VDI-д холбоход хангалттай байдаг - статик чиглүүлэлт хангалттай байдаг. Томоохон компаниуд байнга өөрчлөгдөж байдаг олон сүлжээтэй байдаг; Энд үйлчлүүлэгчид динамик чиглүүлэлт хэрэгтэй. Бид өөр өөр протоколуудыг ашигладаг: OSPF (Нээлттэй богино замыг эхлээд), GRE туннель (Ерөнхий чиглүүлэлтийн бүрхүүл) болон BGP (Хилийн гарцын протокол) зэрэг тохиолдлууд аль хэдийн гарч байсан. FortiGate нь бусад үйлчлүүлэгчдэд нөлөөлөхгүйгээр тусдаа VDOM-д сүлжээний протоколуудыг дэмждэг.
Та мөн ОХУ-ын ФСБ-аас баталгаажуулсан криптограф хамгаалалтын хэрэгсэлд суурилсан GOST-VPN - шифрлэлтийг барьж болно. Жишээлбэл, "S-Terra Virtual Gateway" эсвэл PAK ViPNet, APKSH "Continent", "S-Terra" виртуал орчинд KS1 ангиллын шийдлүүдийг ашиглах.
Бүлгийн бодлогыг тохируулах. VDI дээр хэрэгжиж буй бүлгийн бодлогын талаар бид үйлчлүүлэгчтэй санал нэг байна. Энд тогтоох зарчим нь албан тасалгааны бодлого тогтоохоос ялгаатай биш юм. Бид Active Directory-тэй нэгтгэж, зарим бүлгийн бодлогын удирдлагыг үйлчлүүлэгчдэд шилжүүлдэг. Түрээслэгчийн администраторууд Компьютерийн объектод бодлого хэрэгжүүлэх, Active Directory дахь байгууллагын нэгжийг удирдах, хэрэглэгч үүсгэх боломжтой.
FortiGate дээр бид VDOM үйлчлүүлэгч бүрийн хувьд сүлжээний аюулгүй байдлын бодлогыг бичиж, хандалтын хязгаарлалт тогтоож, замын хөдөлгөөний хяналтыг тохируулдаг. Бид хэд хэдэн FortiGate модулийг ашигладаг:
- IPS модуль нь траффикийг хортой программаас хайж, халдлагаас сэргийлдэг;
- вирусны эсрэг програм нь компьютерийг хортой програм, тагнуулын програмаас хамгаалдаг;
- вэб шүүлтүүр нь найдваргүй нөөц, хортой эсвэл зохисгүй контент бүхий сайт руу нэвтрэхийг хориглодог;
- Галт ханын тохиргоо нь хэрэглэгчдэд зөвхөн тодорхой сайтууд руу интернетэд нэвтрэх боломжийг олгодог.
Заримдаа үйлчлүүлэгч ажилчдын вэбсайт руу нэвтрэх эрхийг бие даан удирдахыг хүсдэг. Ихэнхдээ банкууд ийм хүсэлтээр ирдэг: аюулгүй байдлын үйлчилгээ нь хандалтын хяналтыг компанийн талд байлгахыг шаарддаг. Ийм компаниуд өөрсдөө замын хөдөлгөөнд хяналт тавьж, бодлогодоо байнга өөрчлөлт оруулдаг. Энэ тохиолдолд бид бүх урсгалыг FortiGate-аас үйлчлүүлэгч рүү чиглүүлдэг. Үүнийг хийхийн тулд бид компанийн дэд бүтэцтэй тохируулсан интерфэйсийг ашигладаг. Үүний дараа үйлчлүүлэгч өөрөө корпорацийн сүлжээ болон интернетэд нэвтрэх дүрмийг тохируулдаг.
Бид үйл явдлыг индэр дээрээс харж байна. FortiGate-тай хамт бид Fortinet-ийн мод цуглуулагч FortiAnalyzer-ийг ашигладаг. Үүний тусламжтайгаар бид VDI дээрх бүх үйл явдлын бүртгэлийг нэг дороос харж, сэжигтэй үйлдлүүдийг олж, хамаарлыг хянадаг.
Манай нэг үйлчлүүлэгч Fortinet-ийн бүтээгдэхүүнийг оффис дээрээ ашигладаг. Үүний тулд бид лог байршуулах тохиргоог хийсэн бөгөөд ингэснээр үйлчлүүлэгч оффисын машин болон виртуал ширээний компьютеруудын аюулгүй байдлын бүх үйл явдлыг шинжлэх боломжтой болсон.
Виртуал ширээний компьютерийг хэрхэн хамгаалах вэ
Мэдэгдэж буй аюул заналаас. Хэрэв үйлчлүүлэгч вирусын эсрэг хамгаалалтыг бие даан удирдахыг хүсвэл бид виртуал орчинд зориулж Kaspersky Security програмыг нэмж суулгана.
Энэ шийдэл нь үүлэн дээр сайн ажилладаг. Сонгодог Касперскийн антивирус бол "хүнд" шийдэл гэдэгт бид бүгд дассан. Үүний эсрэгээр Kaspersky Security for Virtualization нь виртуал машинуудыг ачаалдаггүй. Вирусын бүх мэдээллийн сан нь сервер дээр байрладаг бөгөөд энэ нь зангилааны бүх виртуал машинуудад дүгнэлт гаргадаг. Зөвхөн гэрлийн агентыг виртуал ширээний компьютер дээр суулгасан. Энэ нь баталгаажуулахын тулд файлуудыг сервер рүү илгээдэг.
Энэхүү архитектур нь виртуал машинуудын гүйцэтгэлийг алдагдуулахгүйгээр файлын хамгаалалт, интернетийн хамгаалалт, халдлагын хамгаалалтыг нэгэн зэрэг хангадаг. Энэ тохиолдолд үйлчлүүлэгч файлын хамгаалалтад үл хамаарах зүйлийг бие даан нэвтрүүлж болно. Бид шийдлийн үндсэн тохиргоонд тусална. Бид түүний онцлог шинж чанаруудын талаар тусдаа өгүүллээр ярих болно.
Үл мэдэгдэх аюулаас. Үүнийг хийхийн тулд бид FortiSandbox-ыг холбодог - Fortinet-ийн "sandbox". Антивирус нь тэг өдрийн аюулыг алдах тохиолдолд бид үүнийг шүүлтүүр болгон ашигладаг. Файлыг татаж авсны дараа бид эхлээд вирусны эсрэг сканнердаж, хамгаалагдсан хязгаарлагдмал орчинд илгээдэг. FortiSandbox нь виртуал машиныг дуурайж, файлыг ажиллуулж, түүний үйлдлийг ажигладаг: бүртгэлийн ямар объектуудад ханддаг, гадаад хүсэлт илгээдэг эсэх гэх мэт. Хэрэв файл сэжигтэй үйлдэл хийвэл хамгаалагдсан хязгаарлагдмал орчинд хадгалагдсан виртуал машин устаж, хортой файл нь хэрэглэгчийн VDI дээр дуусдаггүй.
VDI-д аюулгүй холболтыг хэрхэн тохируулах вэ
Бид төхөөрөмжийн мэдээллийн аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг шалгадаг. Алсын зайнаас ажиллаж эхэлснээс хойш үйлчлүүлэгчид хувийн компьютерээсээ хэрэглэгчдийн аюулгүй ажиллагааг хангах хүсэлтийг бидэнд хандсан. Гэрийн төхөөрөмжийг хамгаалах нь хэцүү гэдгийг мэдээллийн аюулгүй байдлын мэргэжилтэн мэддэг: энэ нь оффисын төхөөрөмж биш тул шаардлагатай вирусны эсрэг програм суулгах эсвэл бүлгийн бодлогыг хэрэгжүүлэх боломжгүй юм.
Анхдагч байдлаар, VDI нь хувийн төхөөрөмж болон корпорацийн сүлжээний хооронд аюулгүй "давхарга" болдог. VDI-г хэрэглэгчийн машины халдлагаас хамгаалахын тулд бид санах ойг идэвхгүй болгож, USB дамжуулалтыг хориглодог. Гэхдээ энэ нь хэрэглэгчийн төхөөрөмжийг өөрөө аюулгүй болгодоггүй.
Бид FortiClient ашиглан асуудлыг шийддэг. Энэ бол төгсгөлийн цэгийг хамгаалах хэрэгсэл юм. Компанийн хэрэглэгчид FortiClient програмыг гэрийн компьютер дээрээ суулгаж, виртуал ширээний компьютерт холбоход ашигладаг. FortiClient нь нэг дор 3 асуудлыг шийддэг.
- хэрэглэгчийн хандалтын "нэг цонх" болдог;
- таны хувийн компьютер вирусны эсрэг болон хамгийн сүүлийн үеийн үйлдлийн системийн шинэчлэлтүүд байгаа эсэхийг шалгах;
- аюулгүй нэвтрэх VPN туннель бүтээдэг.
Ажилтан баталгаажуулалтад тэнцсэн тохиолдолд л нэвтрэх эрхтэй болно. Үүний зэрэгцээ виртуал ширээний компьютерууд нь интернетээс нэвтрэх боломжгүй байдаг бөгөөд энэ нь халдлагаас илүү сайн хамгаалагдсан гэсэн үг юм.
Хэрэв компани төгсгөлийн цэгийн хамгаалалтыг өөрөө удирдахыг хүсвэл бид FortiClient EMS (Endpoint Management Server) санал болгож байна. Үйлчлүүлэгч нь ширээний сканнердах болон халдлагаас урьдчилан сэргийлэх тохиргоог хийж, хаягийн цагаан жагсаалтыг үүсгэж болно.
Баталгаажуулах хүчин зүйлийг нэмж байна. Анхдагч байдлаар, хэрэглэгчдийг Citrix netscaler-ээр баталгаажуулдаг. Энд бас SafeNet бүтээгдэхүүн дээр суурилсан олон хүчин зүйлийн баталгаажуулалтыг ашиглан аюулгүй байдлыг сайжруулах боломжтой. Энэ сэдэв нь онцгой анхаарал хандуулах ёстой бөгөөд бид энэ талаар тусдаа өгүүллээр ярих болно.
Өнгөрсөн нэг жилийн хугацаанд бид янз бүрийн шийдэлтэй ажиллах туршлага хуримтлуулсан. VDI үйлчилгээг үйлчлүүлэгч бүрт тусад нь тохируулсан тул бид хамгийн уян хатан хэрэгслүүдийг сонгосон. Магадгүй ойрын ирээдүйд өөр зүйл нэмж, туршлагаа хуваалцах болно.
7-р сарын 17.00-ны XNUMX цагаас "VDI шаардлагатай юу, алсын зайн ажлыг хэрхэн зохион байгуулах вэ?" вэбинар дээр манай хамт олон виртуал ширээний компьютерийн талаар ярих болно.
, хэрэв та VDI технологи нь компанид хэзээ тохиромжтой вэ, өөр аргыг ашиглах нь дээр гэж хэлэлцэхийг хүсвэл.
Эх сурвалж: www.habr.com