Tahun ini, banyak syarikat tergesa-gesa beralih kepada kerja jauh. Bagi sesetengah pelanggan kami mengatur lebih daripada seratus pekerjaan terpencil setiap minggu. Adalah penting untuk melakukan ini bukan sahaja dengan cepat, tetapi juga dengan selamat. Teknologi VDI telah datang untuk menyelamatkan: dengan bantuannya, adalah mudah untuk mengedarkan dasar keselamatan ke semua tempat kerja dan melindungi daripada kebocoran data.
Dalam artikel ini saya akan memberitahu anda bagaimana perkhidmatan desktop maya kami berdasarkan Citrix VDI berfungsi dari sudut pandangan keselamatan maklumat. Saya akan menunjukkan kepada anda perkara yang kami lakukan untuk melindungi desktop pelanggan daripada ancaman luaran seperti perisian tebusan atau serangan yang disasarkan.
Apakah masalah keselamatan yang kami selesaikan?
Kami telah mengenal pasti beberapa ancaman keselamatan utama kepada perkhidmatan tersebut. Di satu pihak, desktop maya menghadapi risiko dijangkiti daripada komputer pengguna. Sebaliknya, terdapat bahaya untuk keluar dari desktop maya ke ruang terbuka Internet dan memuat turun fail yang dijangkiti. Walaupun ini berlaku, ia tidak sepatutnya menjejaskan keseluruhan infrastruktur. Oleh itu, semasa membuat perkhidmatan, kami menyelesaikan beberapa masalah:
- Melindungi keseluruhan pendirian VDI daripada ancaman luar.
- Pengasingan pelanggan antara satu sama lain.
- Melindungi desktop maya itu sendiri.
- Sambungkan pengguna dengan selamat dari mana-mana peranti.
Teras perlindungan ialah FortiGate, tembok api generasi baharu daripada Fortinet. Ia memantau trafik gerai VDI, menyediakan infrastruktur terpencil untuk setiap pelanggan, dan melindungi daripada kelemahan pada bahagian pengguna. Keupayaannya cukup untuk menyelesaikan kebanyakan isu keselamatan maklumat.
Tetapi jika syarikat mempunyai keperluan keselamatan khas, kami menawarkan pilihan tambahan:
- Kami mengatur sambungan selamat untuk bekerja dari komputer rumah.
- Kami menyediakan akses untuk analisis bebas log keselamatan.
- Kami menyediakan pengurusan perlindungan antivirus pada desktop.
- Kami melindungi daripada kelemahan sifar hari.
- Kami mengkonfigurasi pengesahan berbilang faktor untuk perlindungan tambahan terhadap sambungan yang tidak dibenarkan.
Saya akan memberitahu anda dengan lebih terperinci bagaimana kami menyelesaikan masalah.
Bagaimana untuk melindungi pendirian dan memastikan keselamatan rangkaian
Mari bahagikan bahagian rangkaian. Di tempat duduk kami menyerlahkan segmen pengurusan tertutup untuk mengurus semua sumber. Segmen pengurusan tidak boleh diakses dari luar: sekiranya berlaku serangan ke atas pelanggan, penyerang tidak akan dapat ke sana.
FortiGate bertanggungjawab untuk perlindungan. Ia menggabungkan fungsi antivirus, firewall, dan sistem pencegahan pencerobohan (IPS).
Untuk setiap pelanggan kami mencipta segmen rangkaian terpencil untuk desktop maya. Untuk tujuan ini, FortiGate mempunyai teknologi domain maya, atau VDOM. Ia membolehkan anda membahagikan tembok api kepada beberapa entiti maya dan memperuntukkan setiap pelanggan VDOMnya sendiri, yang berkelakuan seperti tembok api yang berasingan. Kami juga membuat VDOM berasingan untuk segmen pengurusan.
Ini ternyata rajah berikut:
Tiada sambungan rangkaian antara pelanggan: masing-masing tinggal dalam VDOM sendiri dan tidak mempengaruhi yang lain. Tanpa teknologi ini, kami perlu memisahkan pelanggan dengan peraturan firewall, yang berisiko disebabkan oleh kesilapan manusia. Anda boleh membandingkan peraturan sedemikian dengan pintu yang mesti sentiasa ditutup. Dalam kes VDOM, kami tidak meninggalkan "pintu" sama sekali.
Dalam VDOM yang berasingan, pelanggan mempunyai pengalamatan dan penghalaan sendiri. Oleh itu, melintasi julat tidak menjadi masalah bagi syarikat. Pelanggan boleh menetapkan alamat IP yang diperlukan kepada desktop maya. Ini mudah untuk syarikat besar yang mempunyai rancangan IP mereka sendiri.
Kami menyelesaikan isu ketersambungan dengan rangkaian korporat pelanggan. Tugas berasingan ialah menyambungkan VDI dengan infrastruktur pelanggan. Jika syarikat menyimpan sistem korporat di pusat data kami, kami hanya boleh menjalankan kabel rangkaian daripada peralatannya ke tembok api. Tetapi lebih kerap kami berurusan dengan tapak terpencil - pusat data lain atau pejabat pelanggan. Dalam kes ini, kami memikirkan melalui pertukaran selamat dengan tapak dan membina VPN tapak2 menggunakan VPN IPsec.
Skim mungkin berbeza-beza bergantung pada kerumitan infrastruktur. Di sesetengah tempat ia cukup untuk menyambungkan rangkaian pejabat tunggal ke VDI - penghalaan statik sudah cukup di sana. Syarikat besar mempunyai banyak rangkaian yang sentiasa berubah; di sini pelanggan memerlukan penghalaan dinamik. Kami menggunakan protokol yang berbeza: sudah ada kes dengan OSPF (Open Shortest Path First), terowong GRE (Generic Routing Encapsulation) dan BGP (Border Gateway Protocol). FortiGate menyokong protokol rangkaian dalam VDOM berasingan, tanpa menjejaskan pelanggan lain.
Anda juga boleh membina GOST-VPN - penyulitan berdasarkan cara perlindungan kriptografi yang diperakui oleh FSB Persekutuan Rusia. Contohnya, menggunakan penyelesaian kelas KS1 dalam persekitaran maya βS-Terra Virtual Gatewayβ atau PAK ViPNet, APKSH βContinentβ, βS-Terraβ.
Menyediakan Dasar Kumpulan. Kami bersetuju dengan pelanggan tentang dasar kumpulan yang digunakan pada VDI. Di sini prinsip penetapan tidak berbeza dengan penetapan polisi di pejabat. Kami menyediakan penyepaduan dengan Active Directory dan mewakilkan pengurusan beberapa dasar kumpulan kepada pelanggan. Pentadbir penyewa boleh menggunakan dasar pada objek Komputer, mengurus unit organisasi dalam Active Directory dan mencipta pengguna.
Pada FortiGate, untuk setiap pelanggan VDOM kami menulis dasar keselamatan rangkaian, menetapkan sekatan akses dan mengkonfigurasi pemeriksaan trafik. Kami menggunakan beberapa modul FortiGate:
- Modul IPS mengimbas trafik untuk perisian hasad dan menghalang pencerobohan;
- antivirus melindungi desktop itu sendiri daripada perisian hasad dan perisian pengintip;
- penapisan web menyekat akses kepada sumber dan tapak yang tidak boleh dipercayai dengan kandungan berniat jahat atau tidak sesuai;
- Tetapan firewall mungkin membenarkan pengguna mengakses Internet hanya ke tapak tertentu.
Kadangkala pelanggan ingin mengurus akses pekerja ke tapak web secara bebas. Lebih kerap daripada tidak, bank datang dengan permintaan ini: perkhidmatan keselamatan memerlukan kawalan akses kekal di sisi syarikat. Syarikat sedemikian sendiri memantau trafik dan kerap membuat perubahan pada dasar. Dalam kes ini, kami menukar semua trafik dari FortiGate ke arah pelanggan. Untuk melakukan ini, kami menggunakan antara muka yang dikonfigurasikan dengan infrastruktur syarikat. Selepas ini, pelanggan sendiri mengkonfigurasi peraturan untuk akses kepada rangkaian korporat dan Internet.
Kami menonton acara di gerai. Bersama-sama dengan FortiGate kami menggunakan FortiAnalyzer, pengumpul balak dari Fortinet. Dengan bantuannya, kami melihat semua log peristiwa pada VDI di satu tempat, mencari tindakan yang mencurigakan dan menjejaki korelasi.
Salah seorang pelanggan kami menggunakan produk Fortinet di pejabat mereka. Untuk itu, kami mengkonfigurasi muat naik log - jadi pelanggan dapat menganalisis semua acara keselamatan untuk mesin pejabat dan desktop maya.
Bagaimana untuk melindungi desktop maya
Daripada ancaman yang diketahui. Jika pelanggan ingin mengurus perlindungan anti-virus secara bebas, kami juga memasang Kaspersky Security untuk persekitaran maya.
Penyelesaian ini berfungsi dengan baik di awan. Kita semua terbiasa dengan fakta bahawa antivirus Kaspersky klasik adalah penyelesaian "berat". Sebaliknya, Kaspersky Security for Virtualization tidak memuatkan mesin maya. Semua pangkalan data virus terletak pada pelayan, yang mengeluarkan keputusan untuk semua mesin maya nod. Hanya ejen cahaya dipasang pada desktop maya. Ia menghantar fail ke pelayan untuk pengesahan.
Seni bina ini secara serentak menyediakan perlindungan fail, perlindungan Internet dan perlindungan serangan tanpa menjejaskan prestasi mesin maya. Dalam kes ini, pelanggan boleh memperkenalkan pengecualian kepada perlindungan fail secara bebas. Kami membantu dengan persediaan asas penyelesaian. Kami akan bercakap tentang ciri-cirinya dalam artikel berasingan.
Daripada ugutan yang tidak diketahui. Untuk melakukan ini, kami menyambungkan FortiSandbox - "kotak pasir" daripada Fortinet. Kami menggunakannya sebagai penapis sekiranya antivirus terlepas ancaman sifar hari. Selepas memuat turun fail, kami mula-mula mengimbasnya dengan antivirus dan kemudian menghantarnya ke kotak pasir. FortiSandbox meniru mesin maya, menjalankan fail dan memerhati kelakuannya: objek dalam registri yang diakses, sama ada ia menghantar permintaan luaran, dan sebagainya. Jika fail berkelakuan mencurigakan, mesin maya kotak pasir dipadamkan dan fail berniat jahat tidak berakhir pada VDI pengguna.
Bagaimana untuk menyediakan sambungan selamat ke VDI
Kami menyemak pematuhan peranti dengan keperluan keselamatan maklumat. Sejak permulaan kerja jauh, pelanggan telah menghubungi kami dengan permintaan: untuk memastikan operasi selamat pengguna dari komputer peribadi mereka. Mana-mana pakar keselamatan maklumat tahu bahawa melindungi peranti rumah adalah sukar: anda tidak boleh memasang antivirus yang diperlukan atau menggunakan dasar kumpulan, kerana ini bukan peralatan pejabat.
Secara lalai, VDI menjadi "lapisan" selamat antara peranti peribadi dan rangkaian korporat. Untuk melindungi VDI daripada serangan daripada mesin pengguna, kami melumpuhkan papan keratan dan melarang pemajuan USB. Tetapi ini tidak menjadikan peranti pengguna itu sendiri selamat.
Kami menyelesaikan masalah menggunakan FortiClient. Ini ialah alat perlindungan titik akhir. Pengguna syarikat memasang FortiClient pada komputer rumah mereka dan menggunakannya untuk menyambung ke desktop maya. FortiClient menyelesaikan 3 masalah sekaligus:
- menjadi "tetingkap tunggal" akses untuk pengguna;
- menyemak sama ada komputer peribadi anda mempunyai antivirus dan kemas kini OS terkini;
- membina terowong VPN untuk akses selamat.
Seorang pekerja hanya mendapat akses jika mereka lulus pengesahan. Pada masa yang sama, desktop maya itu sendiri tidak boleh diakses dari Internet, yang bermaksud mereka lebih dilindungi daripada serangan.
Jika syarikat ingin menguruskan sendiri perlindungan titik akhir, kami menawarkan FortiClient EMS (Pelayan Pengurusan Titik Akhir). Pelanggan boleh mengkonfigurasi pengimbasan desktop dan pencegahan pencerobohan, dan membuat senarai putih alamat.
Menambah faktor pengesahan. Secara lalai, pengguna disahkan melalui Citrix netscaler. Di sini juga, kami boleh meningkatkan keselamatan menggunakan pengesahan berbilang faktor berdasarkan produk SafeNet. Topik ini patut diberi perhatian khusus; kami juga akan membincangkannya dalam artikel berasingan.
Kami telah mengumpul pengalaman sedemikian dalam bekerja dengan penyelesaian yang berbeza sepanjang tahun kerja yang lalu. Perkhidmatan VDI dikonfigurasikan secara berasingan untuk setiap pelanggan, jadi kami memilih alat yang paling fleksibel. Mungkin dalam masa terdekat kami akan menambah sesuatu yang lain dan berkongsi pengalaman kami.
Pada 7 Oktober jam 17.00 rakan sekerja saya akan bercakap tentang desktop maya di webinar "Adakah VDI perlu, atau bagaimana untuk mengatur kerja jauh?"
, jika anda ingin membincangkan bila teknologi VDI sesuai untuk syarikat dan bila lebih baik menggunakan kaedah lain.
Sumber: www.habr.com