W tym roku wiele firm w pośpiechu przeszło na pracę zdalną. Dla niektórych klientów organizuj ponad sto zdalnych prac tygodniowo. Ważne było, aby zrobić to nie tylko szybko, ale i bezpiecznie. Z pomocą przyszła technologia VDI: za jej pomocą wygodnie jest rozprowadzić polityki bezpieczeństwa na wszystkich stanowiskach pracy i zabezpieczyć się przed wyciekiem danych.
W tym artykule opowiem Ci, jak z punktu widzenia bezpieczeństwa informacji działa nasza usługa wirtualnych pulpitów oparta na Citrix VDI. Pokażę Ci, co robimy, aby chronić komputery klienckie przed zagrożeniami zewnętrznymi, takimi jak oprogramowanie ransomware lub ataki ukierunkowane.
Jakie problemy bezpieczeństwa rozwiązujemy?
Zidentyfikowaliśmy kilka głównych zagrożeń bezpieczeństwa usługi. Z jednej strony wirtualny pulpit jest narażony na ryzyko infekcji z komputera użytkownika. Z drugiej strony istnieje niebezpieczeństwo wyjścia z wirtualnego pulpitu na otwartą przestrzeń Internetu i pobrania zainfekowanego pliku. Nawet jeśli tak się stanie, nie powinno to mieć wpływu na całą infrastrukturę. Dlatego tworząc usługę rozwiązaliśmy kilka problemów:
- Chroni całe stoisko VDI przed zagrożeniami zewnętrznymi.
- Izolacja klientów od siebie.
- Ochrona samych wirtualnych pulpitów.
- Bezpiecznie łącz użytkowników z dowolnego urządzenia.
Sercem ochrony był FortiGate, firewall nowej generacji firmy Fortinet. Monitoruje ruch na stoisku VDI, zapewnia izolowaną infrastrukturę dla każdego klienta i chroni przed podatnościami po stronie użytkownika. Jego możliwości są wystarczające, aby rozwiązać większość problemów związanych z bezpieczeństwem informacji.
Jeśli jednak firma ma specjalne wymagania dotyczące bezpieczeństwa, oferujemy dodatkowe opcje:
- Organizujemy bezpieczne połączenie do pracy z komputerów domowych.
- Zapewniamy dostęp do niezależnej analizy logów bezpieczeństwa.
- Zapewniamy zarządzanie ochroną antywirusową na komputerach stacjonarnych.
- Chronimy przed lukami typu zero-day.
- Konfigurujemy uwierzytelnianie wieloskładnikowe dla dodatkowej ochrony przed nieautoryzowanymi połączeniami.
Opowiem Ci bardziej szczegółowo, jak rozwiązaliśmy problemy.
Jak zabezpieczyć stoisko i zapewnić bezpieczeństwo sieci
Segmentujmy część sieciową. Na stoisku wyróżniamy zamknięty segment zarządzania, służący do zarządzania wszystkimi zasobami. Segment zarządzania jest niedostępny z zewnątrz: w przypadku ataku na klienta atakujący nie będą mogli się tam dostać.
Za ochronę odpowiada FortiGate. Łączy w sobie funkcje programu antywirusowego, zapory ogniowej i systemu zapobiegania włamaniom (IPS).
Dla każdego klienta tworzymy wydzielony segment sieci dla wirtualnych desktopów. W tym celu FortiGate posiada technologię domeny wirtualnej, czyli VDOM. Umożliwia podzielenie zapory ogniowej na kilka wirtualnych jednostek i przydzielenie każdemu klientowi własnego VDOM, który zachowuje się jak oddzielny firewall. Tworzymy także osobny VDOM dla segmentu zarządczego.
Okazuje się, że jest to następujący schemat:
Pomiędzy klientami nie ma łączności sieciowej: każdy żyje w swoim własnym VDOM i nie wpływa na drugiego. Bez tej technologii musielibyśmy oddzielać klientów regułami firewalla, co jest ryzykowne ze względu na błąd ludzki. Takie zasady można porównać do drzwi, które muszą być stale zamknięte. W przypadku VDOM nie zostawiamy żadnych „drzwi”.
W oddzielnej VDOM klient ma własne adresowanie i routing. Dlatego przekraczanie zakresów nie staje się dla firmy problemem. Klient może przypisać niezbędne adresy IP do wirtualnych pulpitów. Jest to wygodne dla dużych firm, które mają własne plany IP.
Rozwiązujemy problemy z łącznością z siecią firmową Klienta. Osobnym zadaniem jest połączenie VDI z infrastrukturą klienta. Jeśli firma przechowuje systemy korporacyjne w naszym centrum danych, możemy po prostu poprowadzić kabel sieciowy od jej sprzętu do zapory sieciowej. Częściej jednak mamy do czynienia ze zdalną lokalizacją – innym centrum danych lub biurem klienta. W tym przypadku zastanawiamy się nad bezpieczną wymianą danych z witryną i budujemy VPN typu site2site przy użyciu protokołu IPsec VPN.
Schematy mogą się różnić w zależności od złożoności infrastruktury. W niektórych miejscach wystarczy podłączyć pojedynczą sieć biurową do VDI – tam wystarczy routing statyczny. Duże firmy mają wiele sieci, które stale się zmieniają; tutaj klient potrzebuje dynamicznego routingu. Stosujemy różne protokoły: zdarzały się już przypadki z OSPF (Open Shortest Path First), tunelami GRE (Generic Routing Encapsulation) i BGP (Border Gateway Protocol). FortiGate obsługuje protokoły sieciowe w oddzielnych VDOM, bez wpływu na innych klientów.
Możesz także zbudować GOST-VPN - szyfrowanie oparte na środkach ochrony kryptograficznej certyfikowanych przez FSB Federacji Rosyjskiej. Przykładowo wykorzystując rozwiązania klasy KS1 w środowisku wirtualnym „S-Terra Virtual Gateway” lub PAK ViPNet, APKSH „Continent”, „S-Terra”.
Konfigurowanie zasad grupy. Uzgadniamy z klientem zasady grupowe stosowane na VDI. Tutaj zasady ustalania nie różnią się od ustalania polityk w biurze. Konfigurujemy integrację z Active Directory i delegujemy zarządzanie niektórymi politykami grupowymi klientom. Administratorzy dzierżawy mogą stosować zasady do obiektu Komputer, zarządzać jednostką organizacyjną w Active Directory i tworzyć użytkowników.
Na FortiGate dla każdego klienta VDOM piszemy politykę bezpieczeństwa sieci, ustawiamy ograniczenia dostępu i konfigurujemy inspekcję ruchu. Korzystamy z kilku modułów FortiGate:
- Moduł IPS skanuje ruch w poszukiwaniu złośliwego oprogramowania i zapobiega włamaniom;
- program antywirusowy chroni same komputery stacjonarne przed złośliwym oprogramowaniem i oprogramowaniem szpiegującym;
- filtrowanie sieci blokuje dostęp do niewiarygodnych zasobów i witryn zawierających złośliwą lub nieodpowiednią treść;
- Ustawienia zapory sieciowej mogą umożliwiać użytkownikom dostęp do Internetu tylko w przypadku niektórych witryn.
Czasami klient chce samodzielnie zarządzać dostępem pracowników do stron internetowych. Najczęściej z taką prośbą przychodzą banki: służby bezpieczeństwa wymagają, aby kontrola dostępu pozostawała po stronie firmy. Takie firmy same monitorują ruch i regularnie wprowadzają zmiany w politykach. W tym przypadku kierujemy cały ruch z FortiGate w stronę klienta. W tym celu wykorzystujemy skonfigurowany interfejs z infrastrukturą firmy. Następnie klient sam konfiguruje reguły dostępu do sieci firmowej i Internetu.
Wydarzenia obserwujemy na stoisku. Razem z FortiGate korzystamy z FortiAnalyzer, narzędzia do zbierania logów firmy Fortinet. Za jego pomocą przeglądamy wszystkie logi zdarzeń na VDI w jednym miejscu, znajdujemy podejrzane działania i śledzimy korelacje.
Jeden z naszych klientów korzysta z produktów Fortinet w swoim biurze. W tym celu skonfigurowaliśmy przesyłanie logów - dzięki czemu klient mógł analizować wszystkie zdarzenia związane z bezpieczeństwem komputerów biurowych i wirtualnych pulpitów.
Jak chronić wirtualne pulpity
Ze znanych zagrożeń. Jeśli klient chce samodzielnie zarządzać ochroną antywirusową, dodatkowo instalujemy Kaspersky Security dla środowisk wirtualnych.
To rozwiązanie świetnie sprawdza się w chmurze. Wszyscy jesteśmy przyzwyczajeni do tego, że klasyczny program antywirusowy firmy Kaspersky jest rozwiązaniem „ciężkim”. Natomiast Kaspersky Security for Virtualization nie ładuje maszyn wirtualnych. Wszystkie bazy wirusów znajdują się na serwerze, który wydaje werdykty dla wszystkich maszyn wirtualnych węzła. Na wirtualnym pulpicie zainstalowany jest tylko agent light. Wysyła pliki na serwer w celu weryfikacji.
Architektura ta zapewnia jednocześnie ochronę plików, ochronę Internetu i ochronę przed atakami bez pogarszania wydajności maszyn wirtualnych. W takim przypadku klient może samodzielnie wprowadzić wyjątki od ochrony plików. Pomagamy w podstawowej konfiguracji rozwiązania. O jego funkcjach porozmawiamy w osobnym artykule.
Od nieznanych zagrożeń. W tym celu podłączamy FortiSandbox – „piaskownicę” firmy Fortinet. Używamy go jako filtra na wypadek, gdyby program antywirusowy przeoczył zagrożenie dnia zerowego. Po pobraniu pliku najpierw skanujemy go antywirusem, a następnie wysyłamy do piaskownicy. FortiSandbox emuluje maszynę wirtualną, uruchamia plik i obserwuje jego zachowanie: do jakich obiektów w rejestrze uzyskuje się dostęp, czy wysyła żądania zewnętrzne i tak dalej. Jeśli plik zachowuje się podejrzanie, maszyna wirtualna w trybie piaskownicy jest usuwana, a szkodliwy plik nie trafia do VDI użytkownika.
Jak skonfigurować bezpieczne połączenie z VDI
Sprawdzamy zgodność urządzenia z wymogami bezpieczeństwa informacji. Od początku pracy zdalnej klienci zwracali się do nas z prośbami: o zapewnienie użytkownikom bezpiecznej pracy z ich komputerów osobistych. Każdy specjalista ds. bezpieczeństwa informacji wie, że ochrona urządzeń domowych jest trudna: nie można zainstalować niezbędnego programu antywirusowego ani zastosować zasad grupowych, ponieważ nie jest to sprzęt biurowy.
Domyślnie VDI staje się bezpieczną „warstwą” pomiędzy urządzeniem osobistym a siecią firmową. Aby chronić VDI przed atakami z komputera użytkownika, wyłączamy schowek i zabraniamy przekazywania USB. Nie zapewnia to jednak bezpieczeństwa samego urządzenia użytkownika.
Rozwiązujemy problem za pomocą FortiClient. To narzędzie do ochrony punktów końcowych. Użytkownicy firmy instalują FortiClient na swoich domowych komputerach i za jego pomocą łączą się z wirtualnym pulpitem. FortiClient rozwiązuje 3 problemy jednocześnie:
- staje się „jednym oknem” dostępu dla użytkownika;
- sprawdza, czy Twój komputer osobisty posiada program antywirusowy i najnowsze aktualizacje systemu operacyjnego;
- buduje tunel VPN dla bezpiecznego dostępu.
Pracownik uzyskuje dostęp tylko wtedy, gdy pomyślnie przejdzie weryfikację. Jednocześnie same wirtualne pulpity są niedostępne z Internetu, co oznacza, że są lepiej chronione przed atakami.
Jeśli firma chce sama zarządzać ochroną punktów końcowych, oferujemy FortiClient EMS (Endpoint Management Server). Klient może skonfigurować skanowanie pulpitu i zapobieganie włamaniom oraz utworzyć białą listę adresów.
Dodawanie czynników uwierzytelniających. Domyślnie użytkownicy są uwierzytelniani za pomocą narzędzia Citrix Netscaler. Tutaj również możemy zwiększyć bezpieczeństwo wykorzystując uwierzytelnianie wieloczynnikowe w oparciu o produkty SafeNet. Temat ten zasługuje na szczególną uwagę, o tym także porozmawiamy w osobnym artykule.
Takie doświadczenie w pracy z różnymi rozwiązaniami zgromadziliśmy przez ostatni rok pracy. Usługę VDI konfigurujemy osobno dla każdego klienta, dlatego wybraliśmy najbardziej elastyczne narzędzia. Być może w najbliższej przyszłości dodamy coś jeszcze i podzielimy się naszymi doświadczeniami.
7 października o godz. 17.00 moi koledzy będą rozmawiać o wirtualnych desktopach na webinarze „Czy VDI jest potrzebne, czyli jak zorganizować pracę zdalną?”
, jeśli chcesz porozmawiać, kiedy technologia VDI jest odpowiednia dla firmy, a kiedy lepiej zastosować inne metody.
Źródło: www.habr.com