Dit jaar zijn veel bedrijven haastig overgestapt op werken op afstand. Voor sommige opdrachtgevers hebben wij organiseer meer dan honderd externe banen per week. Het was belangrijk om dit niet alleen snel, maar ook veilig te doen. VDI-technologie kwam te hulp: met zijn hulp is het handig om beveiligingsbeleid naar alle werkplekken te verspreiden en te beschermen tegen datalekken.
In dit artikel vertel ik je hoe onze virtuele desktop dienst op basis van Citrix VDI werkt vanuit het oogpunt van informatiebeveiliging. Ik laat u zien wat we doen om clientdesktops te beschermen tegen externe bedreigingen zoals ransomware of gerichte aanvallen.
Welke veiligheidsproblemen lossen wij op?
We hebben verschillende belangrijke beveiligingsbedreigingen voor de service geïdentificeerd. Enerzijds loopt de virtuele desktop het risico geïnfecteerd te worden vanaf de computer van de gebruiker. Aan de andere kant bestaat het gevaar dat u van de virtuele desktop naar de open ruimte van internet gaat en een geïnfecteerd bestand downloadt. Zelfs als dit gebeurt, mag dit geen gevolgen hebben voor de gehele infrastructuur. Daarom hebben we bij het maken van de service verschillende problemen opgelost:
- Beschermt de gehele VDI-stand tegen externe bedreigingen.
- Isolatie van cliënten van elkaar.
- Bescherming van de virtuele desktops zelf.
- Verbind gebruikers veilig vanaf elk apparaat.
De kern van de bescherming was FortiGate, een nieuwe generatie firewall van Fortinet. Het bewaakt het VDI-standverkeer, biedt een geïsoleerde infrastructuur voor elke client en beschermt tegen kwetsbaarheden aan de gebruikerszijde. De mogelijkheden zijn voldoende om de meeste informatiebeveiligingsproblemen op te lossen.
Maar als een bedrijf bijzondere beveiligingseisen stelt, bieden wij aanvullende mogelijkheden:
- Voor het werken vanaf thuiscomputers organiseren wij een beveiligde verbinding.
- Wij bieden toegang voor onafhankelijke analyse van beveiligingslogboeken.
- Wij bieden beheer van antivirusbescherming op desktops.
- Wij beschermen tegen zero-day-kwetsbaarheden.
- We configureren multi-factor authenticatie voor extra bescherming tegen ongeautoriseerde verbindingen.
Ik zal je in meer detail vertellen hoe we de problemen hebben opgelost.
Hoe u de stand kunt beschermen en de netwerkbeveiliging kunt garanderen
Laten we het netwerkgedeelte segmenteren. Op de stand belichten we een gesloten beheersegment voor het beheer van alle middelen. Het beheersegment is van buitenaf niet toegankelijk: bij een aanval op de klant zullen aanvallers daar niet kunnen komen.
FortiGate is verantwoordelijk voor de bescherming. Het combineert de functies van een antivirus-, firewall- en inbraakpreventiesysteem (IPS).
Voor elke klant creëren we een geïsoleerd netwerksegment voor virtuele desktops. Hiervoor beschikt FortiGate over virtuele domeintechnologie, oftewel VDOM. Hiermee kunt u de firewall opsplitsen in verschillende virtuele entiteiten en elke client zijn eigen VDOM toewijzen, die zich gedraagt als een afzonderlijke firewall. Ook voor het managementsegment creëren we een aparte VDOM.
Dit blijkt het volgende diagram te zijn:
Er is geen netwerkconnectiviteit tussen cliënten: ieder leeft in zijn eigen VDOM en heeft geen invloed op de ander. Zonder deze technologie zouden we clients moeten scheiden met firewallregels, wat riskant is vanwege menselijke fouten. Dergelijke regels kun je vergelijken met een deur die voortdurend gesloten moet zijn. In het geval van VDOM laten we helemaal geen ‘deuren’ achter.
In een aparte VDOM heeft de client zijn eigen adressering en routing. Daarom is het overschrijden van de afstanden geen probleem voor het bedrijf. De klant kan de benodigde IP-adressen toewijzen aan virtuele desktops. Dit is handig voor grote bedrijven die hun eigen IP-abonnementen hebben.
Wij lossen connectiviteitsproblemen met het bedrijfsnetwerk van de klant op. Een aparte taak is het verbinden van VDI met de clientinfrastructuur. Als een bedrijf bedrijfssystemen in ons datacenter bewaart, kunnen we eenvoudig een netwerkkabel van de apparatuur naar de firewall leggen. Maar vaker hebben we te maken met een externe locatie: een ander datacenter of het kantoor van een klant. In dit geval denken we na over een veilige uitwisseling met de site en bouwen we site2site VPN met behulp van IPsec VPN.
Regelingen kunnen variëren afhankelijk van de complexiteit van de infrastructuur. Op sommige plaatsen is het voldoende om één kantoornetwerk op VDI aan te sluiten; statische routing is daar voldoende. Grote bedrijven hebben veel netwerken die voortdurend veranderen; hier heeft de klant dynamische routing nodig. We gebruiken verschillende protocollen: er zijn al gevallen geweest met OSPF (Open Shortest Path First), GRE-tunnels (Generic Routing Encapsulation) en BGP (Border Gateway Protocol). FortiGate ondersteunt netwerkprotocollen in afzonderlijke VDOM's, zonder dat dit gevolgen heeft voor andere clients.
U kunt ook GOST-VPN bouwen - encryptie op basis van cryptografische beschermingsmiddelen gecertificeerd door de FSB van de Russische Federatie. Gebruik bijvoorbeeld KS1-klasseoplossingen in de virtuele omgeving "S-Terra Virtual Gateway" of PAK ViPNet, APKSH "Continent", "S-Terra".
Groepsbeleid instellen. Wij spreken met de klant het groepsbeleid af dat op VDI wordt toegepast. Hier verschillen de principes van het vaststellen niet van het vaststellen van beleid op kantoor. We hebben de integratie met Active Directory opgezet en het beheer van een aantal groepsbeleidslijnen aan klanten gedelegeerd. Tenantbeheerders kunnen beleid toepassen op het Computer-object, de organisatie-eenheid in Active Directory beheren en gebruikers maken.
Op FortiGate schrijven we voor elke client VDOM een netwerkbeveiligingsbeleid, stellen we toegangsbeperkingen in en configureren we verkeersinspectie. We gebruiken verschillende FortiGate-modules:
- IPS-module scant verkeer op malware en voorkomt inbraken;
- de antivirus beschermt de desktops zelf tegen malware en spyware;
- webfiltering blokkeert de toegang tot onbetrouwbare bronnen en sites met kwaadaardige of ongepaste inhoud;
- Firewall-instellingen kunnen ervoor zorgen dat gebruikers alleen toegang tot internet hebben tot bepaalde sites.
Soms wil een klant de toegang van medewerkers tot websites zelfstandig beheren. Vaak komen banken met dit verzoek: veiligheidsdiensten eisen dat de toegangscontrole aan de kant van het bedrijf blijft. Dergelijke bedrijven houden zelf het verkeer in de gaten en brengen regelmatig wijzigingen in het beleid aan. In dit geval sturen we al het verkeer van FortiGate naar de klant. Hiervoor gebruiken we een geconfigureerde interface met de infrastructuur van het bedrijf. Hierna configureert de klant zelf de regels voor toegang tot het bedrijfsnetwerk en internet.
Op de stand kijken we naar de gebeurtenissen. Samen met FortiGate maken we gebruik van FortiAnalyzer, een logcollector van Fortinet. Met zijn hulp bekijken we alle gebeurtenislogboeken op VDI op één plek, vinden we verdachte acties en volgen we correlaties.
Een van onze klanten gebruikt Fortinet-producten op kantoor. Hiervoor hebben we het uploaden van logbestanden geconfigureerd, zodat de klant alle beveiligingsgebeurtenissen voor kantoormachines en virtuele desktops kon analyseren.
Hoe virtuele desktops te beschermen
Van bekende bedreigingen. Als de klant de antivirusbescherming zelfstandig wil beheren, installeren we bovendien Kaspersky Security voor virtuele omgevingen.
Deze oplossing werkt goed in de cloud. We zijn er allemaal aan gewend dat de klassieke Kaspersky-antivirus een ‘zware’ oplossing is. Kaspersky Security for Virtualization laadt daarentegen geen virtuele machines. Alle virusdatabases bevinden zich op de server, die uitspraken doet voor alle virtuele machines van het knooppunt. Alleen de light-agent wordt op het virtuele bureaublad geïnstalleerd. Het stuurt bestanden ter verificatie naar de server.
Deze architectuur biedt tegelijkertijd bestandsbescherming, internetbescherming en aanvalsbescherming zonder de prestaties van virtuele machines in gevaar te brengen. In dit geval kan de klant zelfstandig uitzonderingen op de bestandsbeveiliging invoeren. Wij helpen met de basisconfiguratie van de oplossing. We zullen in een apart artikel over de kenmerken ervan praten.
Van onbekende bedreigingen. Hiervoor koppelen we FortiSandbox – een ‘sandbox’ van Fortinet. We gebruiken het als filter voor het geval de antivirus een zero-day-dreiging mist. Na het downloaden van het bestand scannen we het eerst met een antivirusprogramma en sturen het vervolgens naar de sandbox. FortiSandbox emuleert een virtuele machine, voert het bestand uit en observeert het gedrag ervan: welke objecten in het register worden benaderd, of het externe verzoeken verzendt, enzovoort. Als een bestand zich verdacht gedraagt, wordt de virtuele machine in de sandbox verwijderd en komt het kwaadaardige bestand niet op de VDI van de gebruiker terecht.
Hoe u een beveiligde verbinding met VDI instelt
We controleren of het apparaat voldoet aan de vereisten voor informatiebeveiliging. Sinds het begin van het werken op afstand hebben klanten ons benaderd met verzoeken: om de veilige werking van gebruikers vanaf hun personal computers te garanderen. Elke informatiebeveiligingsspecialist weet dat het moeilijk is om thuisapparaten te beschermen: je kunt niet de benodigde antivirus installeren of groepsbeleid toepassen, aangezien dit geen kantoorapparatuur is.
Standaard wordt VDI een veilige ‘laag’ tussen een persoonlijk apparaat en het bedrijfsnetwerk. Om VDI te beschermen tegen aanvallen vanaf de computer van de gebruiker, schakelen we het klembord uit en verbieden we het doorsturen van USB. Maar dit maakt het apparaat van de gebruiker zelf niet veilig.
Wij lossen het probleem op met FortiClient. Dit is een hulpmiddel voor eindpuntbescherming. De gebruikers van het bedrijf installeren FortiClient op hun thuiscomputers en gebruiken deze om verbinding te maken met een virtuele desktop. FortiClient lost 3 problemen tegelijk op:
- wordt een “enkelvoudig toegangsvenster” voor de gebruiker;
- controleert of uw pc een antivirusprogramma en de nieuwste OS-updates heeft;
- bouwt een VPN-tunnel voor veilige toegang.
Een medewerker krijgt pas toegang als hij/zij de verificatie doorstaat. Tegelijkertijd zijn de virtuele desktops zelf niet toegankelijk vanaf internet, waardoor ze beter beschermd zijn tegen aanvallen.
Als een bedrijf de endpointbeveiliging zelf wil beheren, bieden wij FortiClient EMS (Endpoint Management Server) aan. De klant kan desktopscanning en inbraakpreventie configureren en een witte lijst met adressen maken.
Authenticatiefactoren toevoegen. Standaard worden gebruikers geverifieerd via Citrix netscaler. Ook hier kunnen we de beveiliging verbeteren met behulp van multifactorauthenticatie op basis van SafeNet-producten. Dit onderwerp verdient speciale aandacht, we zullen hier ook in een apart artikel over praten.
We hebben het afgelopen jaar zoveel ervaring opgedaan met het werken met verschillende oplossingen. De VDI-service wordt voor elke klant afzonderlijk geconfigureerd, daarom hebben we gekozen voor de meest flexibele tools. Misschien zullen we in de nabije toekomst nog iets toevoegen en onze ervaringen delen.
Op 7 oktober om 17.00 uur spreken mijn collega’s over virtuele desktops tijdens het webinar “Is VDI nodig, of hoe organiseer je werken op afstand?”
, als je wilt bespreken wanneer VDI-technologie geschikt is voor een bedrijf en wanneer je beter andere methoden kunt gebruiken.
Bron: www.habr.com