I år gikk mange bedrifter raskt over til fjernarbeid. For noen kunder har vi organisere mer enn hundre eksterne jobber per uke. Det var viktig å gjøre dette ikke bare raskt, men også trygt. VDI-teknologien har kommet til unnsetning: med dens hjelp er det praktisk å distribuere sikkerhetspolicyer til alle arbeidsplasser og beskytte mot datalekkasjer.
I denne artikkelen vil jeg fortelle deg hvordan vår virtuelle skrivebordstjeneste basert på Citrix VDI fungerer fra et informasjonssikkerhetssynspunkt. Jeg skal vise deg hva vi gjør for å beskytte klientdatamaskiner mot eksterne trusler som løsepengevare eller målrettede angrep.
Hvilke sikkerhetsproblemer løser vi?
Vi har identifisert flere hovedsikkerhetstrusler mot tjenesten. På den ene siden risikerer det virtuelle skrivebordet å bli infisert fra brukerens datamaskin. På den annen side er det en fare for å gå ut fra det virtuelle skrivebordet til det åpne rommet på Internett og laste ned en infisert fil. Selv om dette skjer, bør det ikke påvirke hele infrastrukturen. Derfor, når vi opprettet tjenesten, løste vi flere problemer:
- Beskytter hele VDI-stativet mot eksterne trusler.
- Isolering av klienter fra hverandre.
- Beskytter selve de virtuelle skrivebordene.
- Koble til brukere sikkert fra hvilken som helst enhet.
Kjernen i beskyttelsen var FortiGate, en ny generasjon brannmur fra Fortinet. Den overvåker VDI-standtrafikk, gir en isolert infrastruktur for hver klient, og beskytter mot sårbarheter på brukersiden. Dens evner er nok til å løse de fleste informasjonssikkerhetsproblemer.
Men hvis et selskap har spesielle sikkerhetskrav, tilbyr vi flere alternativer:
- Vi organiserer en sikker tilkobling for arbeid fra hjemmedatamaskiner.
- Vi gir tilgang for uavhengig analyse av sikkerhetslogger.
- Vi tilbyr administrasjon av antivirusbeskyttelse på stasjonære datamaskiner.
- Vi beskytter mot nulldagssårbarheter.
- Vi konfigurerer multifaktorautentisering for ekstra beskyttelse mot uautoriserte tilkoblinger.
Jeg vil fortelle deg mer detaljert hvordan vi løste problemene.
Hvordan beskytte stativet og sikre nettverkssikkerhet
La oss segmentere nettverksdelen. På standen fremhever vi et lukket ledelsessegment for styring av alle ressurser. Ledelsessegmentet er utilgjengelig fra utsiden: i tilfelle et angrep på klienten vil angripere ikke kunne komme dit.
FortiGate er ansvarlig for beskyttelse. Den kombinerer funksjonene til et antivirus, brannmur og inntrengingsforebyggende system (IPS).
For hver klient lager vi et isolert nettverkssegment for virtuelle skrivebord. For dette formålet har FortiGate virtuell domeneteknologi, eller VDOM. Den lar deg dele brannmuren i flere virtuelle enheter og tildele hver klient sin egen VDOM, som oppfører seg som en egen brannmur. Vi oppretter også en egen VDOM for ledelsessegmentet.
Dette viser seg å være følgende diagram:
Det er ingen nettverkstilkobling mellom klienter: hver bor i sin egen VDOM og påvirker ikke den andre. Uten denne teknologien ville vi måtte skille klienter med brannmurregler, noe som er risikabelt på grunn av menneskelige feil. Du kan sammenligne slike regler med en dør som hele tiden må være lukket. Når det gjelder VDOM, etterlater vi ingen "dører" i det hele tatt.
I en egen VDOM har klienten sin egen adressering og ruting. Derfor blir det ikke noe problem for bedriften å krysse rekkevidder. Klienten kan tildele de nødvendige IP-adressene til virtuelle skrivebord. Dette er praktisk for store selskaper som har sine egne IP-planer.
Vi løser tilkoblingsproblemer med kundens bedriftsnettverk. En egen oppgave er å koble VDI med klientinfrastrukturen. Hvis et selskap har bedriftssystemer i datasenteret vårt, kan vi ganske enkelt kjøre en nettverkskabel fra utstyret til brannmuren. Men oftere har vi å gjøre med et eksternt nettsted - et annet datasenter eller en kundes kontor. I dette tilfellet tenker vi gjennom en sikker utveksling med nettstedet og bygger site2site VPN ved hjelp av IPsec VPN.
Ordninger kan variere avhengig av kompleksiteten til infrastrukturen. Noen steder er det nok å koble et enkelt kontornettverk til VDI - statisk ruting er nok der. Store bedrifter har mange nettverk som er i stadig endring; her trenger klienten dynamisk ruting. Vi bruker forskjellige protokoller: det har allerede vært tilfeller med OSPF (Open Shortest Path First), GRE-tunneler (Generic Routing Encapsulation) og BGP (Border Gateway Protocol). FortiGate støtter nettverksprotokoller i separate VDOM-er, uten å påvirke andre klienter.
Du kan også bygge GOST-VPN - kryptering basert på kryptografiske beskyttelsesmidler sertifisert av FSB i Den russiske føderasjonen. For eksempel bruk av KS1-klasseløsninger i det virtuelle miljøet "S-Terra Virtual Gateway" eller PAK ViPNet, APKSH "Continent", "S-Terra".
Sette opp gruppepolicyer. Vi er enige med klienten om gruppepolicyer som brukes på VDI. Her er ikke prinsippene for innstilling annerledes enn å sette retningslinjer på kontoret. Vi setter opp integrasjon med Active Directory og delegerer administrasjon av enkelte gruppepolicyer til klienter. Leietakeradministratorer kan bruke policyer på datamaskinobjektet, administrere organisasjonsenheten i Active Directory og opprette brukere.
På FortiGate, for hver klient VDOM skriver vi en nettverkssikkerhetspolicy, setter tilgangsbegrensninger og konfigurerer trafikkinspeksjon. Vi bruker flere FortiGate-moduler:
- IPS-modul skanner trafikk for skadelig programvare og forhindrer inntrenging;
- antiviruset beskytter selve stasjonære datamaskiner mot skadelig programvare og spyware;
- nettfiltrering blokkerer tilgang til upålitelige ressurser og nettsteder med skadelig eller upassende innhold;
- Brannmurinnstillinger kan tillate brukere å få tilgang til Internett bare til enkelte nettsteder.
Noen ganger ønsker en klient å administrere ansattes tilgang til nettsteder uavhengig. Oftere enn ikke kommer bankene med denne forespørselen: sikkerhetstjenester krever at tilgangskontrollen forblir på selskapets side. Slike selskaper overvåker selv trafikken og gjør regelmessig endringer i retningslinjer. I dette tilfellet snur vi all trafikk fra FortiGate mot klienten. For å gjøre dette bruker vi et konfigurert grensesnitt med selskapets infrastruktur. Etter dette konfigurerer klienten selv reglene for tilgang til bedriftsnettverket og Internett.
Vi følger begivenhetene på standen. Sammen med FortiGate bruker vi FortiAnalyzer, en tømmerstokksamler fra Fortinet. Med dens hjelp ser vi på alle hendelseslogger på VDI på ett sted, finner mistenkelige handlinger og sporer korrelasjoner.
En av våre kunder bruker Fortinet-produkter på kontoret sitt. For det konfigurerte vi loggopplasting - slik at klienten kunne analysere alle sikkerhetshendelser for kontormaskiner og virtuelle skrivebord.
Hvordan beskytte virtuelle skrivebord
Fra kjente trusler. Hvis klienten ønsker å administrere antivirusbeskyttelse uavhengig, installerer vi i tillegg Kaspersky Security for virtuelle miljøer.
Denne løsningen fungerer godt i skyen. Vi er alle vant til at det klassiske Kaspersky-antiviruset er en "tung" løsning. Derimot laster ikke Kaspersky Security for Virtualization virtuelle maskiner. Alle virusdatabaser er plassert på serveren, som avgir dommer for alle virtuelle maskiner i noden. Bare lysagenten er installert på det virtuelle skrivebordet. Den sender filer til serveren for verifisering.
Denne arkitekturen gir samtidig filbeskyttelse, Internett-beskyttelse og angrepsbeskyttelse uten å kompromittere ytelsen til virtuelle maskiner. I dette tilfellet kan klienten uavhengig innføre unntak fra filbeskyttelse. Vi hjelper til med grunnleggende oppsett av løsningen. Vi vil snakke om funksjonene i en egen artikkel.
Fra ukjente trusler. For å gjøre dette kobler vi til FortiSandbox – en “sandbox” fra Fortinet. Vi bruker det som et filter i tilfelle antiviruset går glipp av en nulldagstrussel. Etter å ha lastet ned filen, skanner vi den først med et antivirus og sender den deretter til sandkassen. FortiSandbox emulerer en virtuell maskin, kjører filen og observerer dens oppførsel: hvilke objekter i registeret som er tilgjengelig, om den sender eksterne forespørsler, og så videre. Hvis en fil oppfører seg mistenkelig, slettes den virtuelle maskinen med sandkasse og den skadelige filen ender ikke opp på brukerens VDI.
Hvordan sette opp en sikker tilkobling til VDI
Vi sjekker enhetens samsvar med kravene til informasjonssikkerhet. Siden begynnelsen av eksternt arbeid har kunder henvendt seg til oss med forespørsler: for å sikre sikker drift av brukere fra deres personlige datamaskiner. Enhver informasjonssikkerhetsspesialist vet at det er vanskelig å beskytte hjemmeenheter: du kan ikke installere nødvendig antivirus eller bruke gruppepolicyer, siden dette ikke er kontorutstyr.
Som standard blir VDI et sikkert "lag" mellom en personlig enhet og bedriftsnettverket. For å beskytte VDI mot angrep fra brukermaskinen, deaktiverer vi utklippstavlen og forbyr videresending av USB. Men dette gjør ikke selve brukerens enhet sikker.
Vi løser problemet ved hjelp av FortiClient. Dette er et endepunktbeskyttelsesverktøy. Selskapets brukere installerer FortiClient på sine hjemmedatamaskiner og bruker det til å koble til et virtuelt skrivebord. FortiClient løser 3 problemer samtidig:
- blir et "enkelt vindu" med tilgang for brukeren;
- sjekker om din personlige datamaskin har et antivirus og de siste OS-oppdateringene;
- bygger en VPN-tunnel for sikker tilgang.
En ansatt får kun tilgang hvis de består verifisering. Samtidig er de virtuelle skrivebordene i seg selv utilgjengelige fra Internett, noe som betyr at de er bedre beskyttet mot angrep.
Hvis en bedrift ønsker å administrere endepunktbeskyttelse selv, tilbyr vi FortiClient EMS (Endpoint Management Server). Klienten kan konfigurere skrivebordsskanning og inntrengningsforebygging, og lage en hvit liste over adresser.
Legge til autentiseringsfaktorer. Som standard blir brukere autentisert gjennom Citrix netscaler. Også her kan vi forbedre sikkerheten ved å bruke multifaktorautentisering basert på SafeNet-produkter. Dette emnet fortjener spesiell oppmerksomhet; vi vil også snakke om dette i en egen artikkel.
Vi har akkumulert slik erfaring i å jobbe med ulike løsninger det siste arbeidsåret. VDI-tjenesten er konfigurert separat for hver klient, så vi valgte de mest fleksible verktøyene. Kanskje vil vi i nær fremtid legge til noe annet og dele vår erfaring.
7. oktober kl. 17.00 vil kollegene mine snakke om virtuelle skrivebord på webinaret "Er VDI nødvendig, eller hvordan organisere eksternt arbeid?"
, hvis du vil diskutere når VDI-teknologi passer for en bedrift og når det er bedre å bruke andre metoder.
Kilde: www.habr.com