Din is-sena, ħafna kumpaniji qalbu bil-għaġla għal xogħol mill-bogħod. Għal xi klijenti aħna torganizza aktar minn mitt impjieg remot fil-ġimgħa. Kien importanti li tagħmel dan mhux biss malajr, iżda wkoll b'mod sikur. It-teknoloġija VDI waslet għall-salvataġġ: bl-għajnuna tagħha, huwa konvenjenti li tqassam politiki ta 'sigurtà fuq il-postijiet tax-xogħol kollha u tipproteġi kontra tnixxijiet tad-dejta.
F'dan l-artikolu ser ngħidlek kif jaħdem is-servizz tad-desktop virtwali tagħna bbażat fuq Citrix VDI mil-lat tas-sigurtà tal-informazzjoni. Ser nuruk x'nagħmlu biex nipproteġu d-desktops tal-klijenti minn theddid estern bħal ransomware jew attakki mmirati.
Liema problemi ta’ sigurtà nsolvu?
Aħna identifikajna bosta theddidiet ewlenin għas-sigurtà għas-servizz. Min-naħa waħda, id-desktop virtwali għandu r-riskju li jiġi infettat mill-kompjuter tal-utent. Min-naħa l-oħra, hemm periklu li toħroġ mid-desktop virtwali fl-ispazju miftuħ tal-Internet u tniżżel fajl infettat. Anke jekk jiġri dan, m'għandux jaffettwa l-infrastruttura kollha. Għalhekk, meta ħloqna s-servizz, solvejna diversi problemi:
- Jipproteġi l-istand VDI kollu minn theddid estern.
- Iżolament tal-klijenti minn xulxin.
- Il-protezzjoni tad-desktops virtwali nfushom.
- Ikkonnettja b'mod sigur l-utenti minn kwalunkwe apparat.
Il-qalba tal-protezzjoni kienet FortiGate, firewall ta 'ġenerazzjoni ġdida minn Fortinet. Tissorvelja t-traffiku tal-kabina VDI, tipprovdi infrastruttura iżolata għal kull klijent, u tipproteġi kontra vulnerabbiltajiet min-naħa tal-utent. Il-kapaċitajiet tiegħu huma biżżejjed biex isolvu l-biċċa l-kbira tal-kwistjonijiet tas-sigurtà tal-informazzjoni.
Imma jekk kumpanija għandha rekwiżiti speċjali ta 'sigurtà, noffru għażliet addizzjonali:
- Aħna norganizzaw konnessjoni sigura għax-xogħol minn kompjuters tad-dar.
- Aħna nipprovdu aċċess għal analiżi indipendenti ta 'logs tas-sigurtà.
- Aħna nipprovdu ġestjoni tal-protezzjoni antivirus fuq id-desktops.
- Aħna nipproteġu kontra vulnerabbiltajiet zero-day.
- Aħna kkonfiguraw awtentikazzjoni b'ħafna fatturi għal protezzjoni addizzjonali kontra konnessjonijiet mhux awtorizzati.
Jien ngħidlek f'aktar dettall kif solvejna l-problemi.
Kif tipproteġi l-istand u tiżgura s-sigurtà tan-netwerk
Ejja nsegmentaw il-parti tan-netwerk. Fl-istand aħna nenfasizzaw segment ta 'ġestjoni magħluq għall-ġestjoni tar-riżorsi kollha. Is-segment ta 'ġestjoni huwa inaċċessibbli minn barra: fil-każ ta' attakk fuq il-klijent, l-attakkanti ma jkunux jistgħu jaslu hemm.
FortiGate huwa responsabbli għall-protezzjoni. Hija tgħaqqad il-funzjonijiet ta 'antivirus, firewall, u sistema ta' prevenzjoni ta 'intrużjoni (IPS).
Għal kull klijent noħolqu segment ta 'netwerk iżolat għal desktops virtwali. Għal dan il-għan, FortiGate għandu teknoloġija ta 'dominju virtwali, jew VDOM. Jippermettilek taqsam il-firewall f'diversi entitajiet virtwali u talloka kull klijent il-VDOM tiegħu stess, li jġib ruħu bħal firewall separat. Noħolqu wkoll VDOM separat għas-segment tal-ġestjoni.
Din tirriżulta li hija d-dijagramma li ġejja:
M'hemm l-ebda konnettività tan-netwerk bejn il-klijenti: kull wieħed jgħix fil-VDOM tiegħu stess u ma jinfluwenzax lill-ieħor. Mingħajr din it-teknoloġija, ikollna nisseparaw il-klijenti b'regoli tal-firewall, li hija riskjuża minħabba żball uman. Tista 'tqabbel regoli bħal dawn ma' bieb li jrid jingħalaq kontinwament. Fil-każ ta 'VDOM, ma nħallu l-ebda "bibien".
F'VDOM separat, il-klijent għandu l-indirizzar u r-rotot tiegħu stess. Għalhekk, il-qsim tal-firxiet ma jsirx problema għall-kumpanija. Il-klijent jista' jassenja l-indirizzi IP meħtieġa għal desktops virtwali. Dan huwa konvenjenti għal kumpaniji kbar li għandhom il-pjanijiet IP tagħhom stess.
Aħna nsolvu kwistjonijiet ta 'konnettività man-netwerk korporattiv tal-klijent. Kompitu separat huwa li tgħaqqad il-VDI mal-infrastruttura tal-klijent. Jekk kumpanija żżomm sistemi korporattivi fiċ-ċentru tad-dejta tagħna, nistgħu sempliċement inħaddmu kejbil tan-netwerk mit-tagħmir tagħha sal-firewall. Iżda aktar spiss qed nittrattaw ma 'sit remot - ċentru tad-dejta ieħor jew uffiċċju ta' klijent. F'dan il-każ, naħsbu permezz ta 'skambju sikur mas-sit u nibnu site2site VPN billi tuża IPsec VPN.
L-iskemi jistgħu jvarjaw skont il-kumplessità tal-infrastruttura. F'xi postijiet huwa biżżejjed li tikkonnettja netwerk ta 'uffiċċju wieħed ma' VDI - ir-rotot statiku huwa biżżejjed hemmhekk. Kumpaniji kbar għandhom ħafna netwerks li qed jinbidlu kontinwament; hawn il-klijent jeħtieġ routing dinamiku. Aħna nużaw protokolli differenti: diġà kien hemm każijiet b'OSPF (Open Shortest Path First), mini GRE (Generic Routing Encapsulation) u BGP (Border Gateway Protocol). FortiGate jappoġġja protokolli tan-netwerk f'VDOMs separati, mingħajr ma jaffettwa klijenti oħra.
Tista 'wkoll tibni GOST-VPN - encryption ibbażata fuq mezzi ta' protezzjoni kriptografiċi ċċertifikati mill-FSB tal-Federazzjoni Russa. Per eżempju, bl-użu ta 'soluzzjonijiet tal-klassi KS1 fl-ambjent virtwali "S-Terra Virtual Gateway" jew PAK ViPNet, APKSH "Kontinent", "S-Terra".
Twaqqif ta 'Politiki tal-Grupp. Aħna naqblu mal-klijent dwar il-politiki tal-grupp li huma applikati fuq VDI. Hawnhekk il-prinċipji tal-issettjar mhumiex differenti mill-iffissar tal-politiki fl-uffiċċju. Aħna waqqafna l-integrazzjoni ma 'Active Directory u niddelegaw il-ġestjoni ta' xi politiki tal-grupp lill-klijenti. Amministraturi tal-kerrejja jistgħu japplikaw politiki għall-oġġett Kompjuter, jimmaniġġjaw l-unità organizzattiva f'Active Directory, u joħolqu utenti.
Fuq FortiGate, għal kull klijent VDOM niktbu politika tas-sigurtà tan-netwerk, nistabbilixxu restrizzjonijiet ta 'aċċess u kkonfiguraw l-ispezzjoni tat-traffiku. Aħna nużaw diversi moduli FortiGate:
- Il-modulu IPS jiskenja t-traffiku għal malware u jipprevjeni l-intrużjonijiet;
- l-antivirus jipproteġi d-desktops infushom minn malware u spyware;
- l-iffiltrar tal-web jimblokka l-aċċess għal riżorsi u siti mhux affidabbli b'kontenut malizzjuż jew mhux xieraq;
- Is-settings tal-firewall jistgħu jippermettu lill-utenti jaċċessaw l-Internet biss għal ċerti siti.
Xi drabi klijent irid jimmaniġġja b'mod indipendenti l-aċċess tal-impjegati għall-websajts. Iktar iva milli le, il-banek jiġu b’din it-talba: is-servizzi tas-sigurtà jeħtieġu li l-kontroll tal-aċċess jibqa’ min-naħa tal-kumpanija. Kumpaniji bħal dawn stess jimmonitorjaw it-traffiku u jagħmlu bidliet regolari fil-politiki. F'dan il-każ, indawru t-traffiku kollu minn FortiGate lejn il-klijent. Biex tagħmel dan, nużaw interface kkonfigurat mal-infrastruttura tal-kumpanija. Wara dan, il-klijent innifsu jikkonfigura r-regoli għall-aċċess għan-netwerk korporattiv u l-Internet.
Naraw l-avvenimenti fl-istand. Flimkien mal-FortiGate nużaw FortiAnalyzer, kollettur taz-zkuk minn Fortinet. Bl-għajnuna tagħha, inħarsu lejn ir-reġistri tal-avvenimenti kollha fuq VDI f'post wieħed, insibu azzjonijiet suspettużi u nsegwu l-korrelazzjonijiet.
Wieħed mill-klijenti tagħna juża l-prodotti Fortinet fl-uffiċċju tagħhom. Għalih, aħna kkonfigurajna l-uploading ta 'log - sabiex il-klijent seta' janalizza l-avvenimenti kollha tas-sigurtà għal magni tal-uffiċċju u desktops virtwali.
Kif tipproteġi desktops virtwali
Minn theddid magħruf. Jekk il-klijent irid jimmaniġġja b'mod indipendenti l-protezzjoni kontra l-virus, aħna wkoll ninstallaw Kaspersky Security għal ambjenti virtwali.
Din is-soluzzjoni taħdem tajjeb fis-sħab. Aħna lkoll mdorrijin għall-fatt li l-antivirus klassiku Kaspersky huwa soluzzjoni "tqal". B'kuntrast, Kaspersky Security for Virtualization ma jgħabbix magni virtwali. Id-databases kollha tal-virus jinsabu fuq is-server, li joħroġ verdetti għall-magni virtwali kollha tan-node. L-aġent tad-dawl biss huwa installat fuq id-desktop virtwali. Hija tibgħat fajls lis-server għall-verifika.
Din l-arkitettura simultanjament tipprovdi protezzjoni tal-fajls, protezzjoni tal-Internet, u protezzjoni tal-attakk mingħajr ma tikkomprometti l-prestazzjoni tal-magni virtwali. F'dan il-każ, il-klijent jista' b'mod indipendenti jintroduċi eċċezzjonijiet għall-protezzjoni tal-fajls. Aħna ngħinu fis-setup bażiku tas-soluzzjoni. Se nitkellmu dwar il-karatteristiċi tagħha f'artiklu separat.
Minn theddid mhux magħruf. Biex tagħmel dan, aħna nikkonnettjaw FortiSandbox - "sandbox" minn Fortinet. Aħna nużawha bħala filtru f'każ li l-antivirus jitlef theddida zero-day. Wara li tniżżlu l-fajl, l-ewwel niskennjawh b'antivirus u mbagħad nibagħtuh lis-sandbox. FortiSandbox jimita magna virtwali, imexxi l-fajl u josserva l-imġieba tiegħu: liema oġġetti fir-reġistru jiġu aċċessati, jekk tibgħat talbiet esterni, eċċ. Jekk fajl iġib ruħu b'mod suspettuż, il-magna virtwali sandboxed titħassar u l-fajl malizzjuż ma jispiċċax fuq l-utent VDI.
Kif twaqqaf konnessjoni sigura għal VDI
Aħna niċċekkjaw il-konformità tal-apparat mar-rekwiżiti tas-sigurtà tal-informazzjoni. Sa mill-bidu tax-xogħol mill-bogħod, il-klijenti avviċinawna b'talbiet: biex jiżguraw it-tħaddim sikur tal-utenti mill-kompjuters personali tagħhom. Kwalunkwe speċjalista tas-sigurtà tal-informazzjoni jaf li l-protezzjoni tal-apparat tad-dar hija diffiċli: ma tistax tinstalla l-antivirus meħtieġ jew tapplika politiki tal-grupp, peress li dan mhuwiex tagħmir tal-uffiċċju.
B'mod awtomatiku, VDI isir "saff" sikur bejn apparat personali u n-netwerk korporattiv. Biex tipproteġi l-VDI minn attakki mill-magna tal-utent, aħna tiddiżattiva l-clipboard u nipprojbixxu l-USB forwarding. Iżda dan ma jagħmilx l-apparat tal-utent innifsu sigur.
Aħna nsolvu l-problema billi tuża FortiClient. Din hija għodda għall-protezzjoni tal-endpoint. L-utenti tal-kumpanija jinstallaw FortiClient fuq il-kompjuters tad-dar tagħhom u jużawh biex jikkonnettjaw ma' desktop virtwali. FortiClient issolvi 3 problemi f'daqqa:
- issir "tieqa waħda" ta' aċċess għall-utent;
- jiċċekkja jekk il-kompjuter personali tiegħek għandux antivirus u l-aħħar aġġornamenti tal-OS;
- jibni mina VPN għal aċċess sigur.
Impjegat jikseb aċċess biss jekk jgħaddi mill-verifika. Fl-istess ħin, id-desktops virtwali nfushom huma inaċċessibbli mill-Internet, li jfisser li huma protetti aħjar minn attakki.
Jekk kumpanija trid timmaniġġja l-protezzjoni tal-endpoint hija stess, noffru FortiClient EMS (Endpoint Management Server). Il-klijent jista 'jikkonfigura l-iskannjar tad-desktop u l-prevenzjoni tal-intrużjoni, u joħloq lista bajda ta' indirizzi.
Żieda ta 'fatturi ta' awtentikazzjoni. B'mod awtomatiku, l-utenti huma awtentikati permezz ta' Citrix netscaler. Hawnhekk ukoll, nistgħu ntejbu s-sigurtà billi tuża awtentikazzjoni b'ħafna fatturi bbażata fuq prodotti SafeNet. Dan is-suġġett jistħoqqlu attenzjoni speċjali; se nitkellmu wkoll dwar dan f'artiklu separat.
Aħna akkumulajna esperjenza bħal din fil-ħidma ma 'soluzzjonijiet differenti matul l-aħħar sena ta' xogħol. Is-servizz VDI huwa kkonfigurat separatament għal kull klijent, għalhekk għażilna l-aktar għodod flessibbli. Forsi fil-futur qarib inżidu xi ħaġa oħra u naqsmu l-esperjenza tagħna.
Fis-7 ta’ Ottubru fis-17.00, il-kollegi tiegħi se jitkellmu dwar desktops virtwali fil-webinar “Il-VDI huwa meħtieġ, jew kif torganizza x-xogħol remot?”
, jekk trid tiddiskuti meta t-teknoloġija VDI hija adattata għal kumpanija u meta huwa aħjar li tuża metodi oħra.
Sors: www.habr.com