Este ano, muitas empresas mudaram às pressas para o trabalho remoto. Para alguns clientes nós organize mais de cem trabalhos remotos por semana. Era importante fazer isso não apenas com rapidez, mas também com segurança. A tecnologia VDI veio em socorro: com sua ajuda, é conveniente distribuir políticas de segurança a todos os locais de trabalho e proteger contra vazamentos de dados.
Neste artigo, contarei como funciona nosso serviço de desktop virtual baseado em Citrix VDI do ponto de vista da segurança da informação. Mostrarei o que fazemos para proteger os desktops dos clientes contra ameaças externas, como ransomware ou ataques direcionados.
Que problemas de segurança resolvemos?
Identificamos várias ameaças principais à segurança do serviço. Por um lado, o desktop virtual corre o risco de ser infectado pelo computador do usuário. Por outro lado, existe o perigo de sair da área de trabalho virtual para o espaço aberto da Internet e baixar um arquivo infectado. Mesmo que isso aconteça, não deverá afetar toda a infraestrutura. Portanto, ao criar o serviço, resolvemos vários problemas:
- Protege todo o suporte VDI contra ameaças externas.
- Isolamento de clientes uns dos outros.
- Protegendo os próprios desktops virtuais.
- Conecte usuários com segurança de qualquer dispositivo.
O núcleo da proteção era o FortiGate, um firewall de nova geração da Fortinet. Ele monitora o tráfego da cabine VDI, fornece uma infraestrutura isolada para cada cliente e protege contra vulnerabilidades do lado do usuário. Seus recursos são suficientes para resolver a maioria dos problemas de segurança da informação.
Mas se uma empresa tiver requisitos especiais de segurança, oferecemos opções adicionais:
- Organizamos uma conexão segura para trabalhar em computadores domésticos.
- Fornecemos acesso para análise independente de logs de segurança.
- Fornecemos gerenciamento de proteção antivírus em desktops.
- Protegemos contra vulnerabilidades de dia zero.
- Configuramos a autenticação multifator para proteção adicional contra conexões não autorizadas.
Contarei com mais detalhes como resolvemos os problemas.
Como proteger o estande e garantir a segurança da rede
Vamos segmentar a parte da rede. No stand destacamos um segmento fechado de gestão para gestão de todos os recursos. O segmento de gerenciamento é inacessível de fora: em caso de ataque ao cliente, os invasores não conseguirão chegar lá.
FortiGate é responsável pela proteção. Ele combina as funções de antivírus, firewall e sistema de prevenção de intrusões (IPS).
Para cada cliente criamos um segmento de rede isolado para desktops virtuais. Para isso, o FortiGate conta com tecnologia de domínio virtual, ou VDOM. Ele permite dividir o firewall em várias entidades virtuais e atribuir a cada cliente seu próprio VDOM, que se comporta como um firewall separado. Também criamos um VDOM separado para o segmento de gerenciamento.
Acontece que este é o seguinte diagrama:
Não há conectividade de rede entre clientes: cada um vive em seu próprio VDOM e não influencia o outro. Sem esta tecnologia, teríamos que separar os clientes com regras de firewall, o que é arriscado devido a erro humano. Você pode comparar essas regras a uma porta que deve estar constantemente fechada. No caso do VDOM, não deixamos nenhuma “porta”.
Em um VDOM separado, o cliente possui seu próprio endereçamento e roteamento. Portanto, cruzar faixas não se torna um problema para a empresa. O cliente pode atribuir os endereços IP necessários aos desktops virtuais. Isso é conveniente para grandes empresas que possuem seus próprios planos de IP.
Resolvemos problemas de conectividade com a rede corporativa do cliente. Uma tarefa separada é conectar o VDI à infraestrutura do cliente. Se uma empresa mantém sistemas corporativos em nosso data center, podemos simplesmente passar um cabo de rede de seu equipamento até o firewall. Porém, com mais frequência, estamos lidando com um local remoto – outro data center ou o escritório de um cliente. Neste caso, pensamos em uma troca segura com o site e construímos uma VPN site2site usando VPN IPsec.
Os esquemas podem variar dependendo da complexidade da infraestrutura. Em alguns lugares, é suficiente conectar uma única rede de escritório ao VDI - o roteamento estático é suficiente. As grandes empresas possuem muitas redes que estão em constante mudança; aqui o cliente precisa de roteamento dinâmico. Utilizamos protocolos diferentes: já houve casos com OSPF (Open Shortest Path First), túneis GRE (Generic Routing Encapsulation) e BGP (Border Gateway Protocol). FortiGate suporta protocolos de rede em VDOMs separados, sem afetar outros clientes.
Você também pode construir GOST-VPN - criptografia baseada em meios de proteção criptográfica certificados pelo FSB da Federação Russa. Por exemplo, utilizando soluções de classe KS1 no ambiente virtual “S-Terra Virtual Gateway” ou PAK ViPNet, APKSH “Continent”, “S-Terra”.
Configurando Políticas de Grupo. Concordamos com o cliente sobre as políticas de grupo aplicadas na VDI. Aqui, os princípios de definição não são diferentes da definição de políticas no escritório. Configuramos a integração com o Active Directory e delegamos o gerenciamento de algumas políticas de grupo aos clientes. Os administradores locatários podem aplicar políticas ao objeto Computador, gerenciar a unidade organizacional no Active Directory e criar usuários.
No FortiGate, para cada cliente VDOM escrevemos uma política de segurança de rede, definimos restrições de acesso e configuramos a inspeção de tráfego. Usamos vários módulos FortiGate:
- O módulo IPS verifica o tráfego em busca de malware e evita invasões;
- o antivírus protege os próprios desktops contra malware e spyware;
- a filtragem da web bloqueia o acesso a recursos e sites não confiáveis com conteúdo malicioso ou impróprio;
- As configurações do firewall podem permitir que os usuários acessem a Internet apenas em determinados sites.
Às vezes, um cliente deseja gerenciar de forma independente o acesso dos funcionários aos sites. Na maioria das vezes, os bancos vêm com este pedido: os serviços de segurança exigem que o controle de acesso permaneça por parte da empresa. Essas próprias empresas monitoram o tráfego e fazem alterações regulares nas políticas. Neste caso, direcionamos todo o tráfego do FortiGate para o cliente. Para isso, utilizamos uma interface configurada com a infraestrutura da empresa. Depois disso, o próprio cliente configura as regras de acesso à rede corporativa e à Internet.
Assistimos aos acontecimentos no estande. Juntamente com o FortiGate usamos o FortiAnalyzer, um coletor de logs da Fortinet. Com sua ajuda, analisamos todos os logs de eventos na VDI em um só lugar, encontramos ações suspeitas e rastreamos correlações.
Um de nossos clientes usa produtos Fortinet em seu escritório. Para isso, configuramos o upload de logs - para que o cliente pudesse analisar todos os eventos de segurança das máquinas de escritório e desktops virtuais.
Como proteger desktops virtuais
De ameaças conhecidas. Se o cliente quiser gerenciar de forma independente a proteção antivírus, instalamos adicionalmente o Kaspersky Security para ambientes virtuais.
Esta solução funciona bem na nuvem. Estamos todos habituados ao facto de o clássico antivírus Kaspersky ser uma solução “pesada”. Por outro lado, o Kaspersky Security for Virtualization não carrega máquinas virtuais. Todos os bancos de dados de vírus estão localizados no servidor, que emite veredictos para todas as máquinas virtuais do nó. Somente o agente light está instalado na área de trabalho virtual. Ele envia arquivos ao servidor para verificação.
Essa arquitetura fornece simultaneamente proteção de arquivos, proteção da Internet e proteção contra ataques sem comprometer o desempenho das máquinas virtuais. Neste caso, o cliente pode introduzir de forma independente exceções à proteção de arquivos. Ajudamos com a configuração básica da solução. Falaremos sobre seus recursos em um artigo separado.
De ameaças desconhecidas. Para fazer isso, conectamos o FortiSandbox – um “sandbox” da Fortinet. Nós o usamos como filtro caso o antivírus perca uma ameaça de dia zero. Depois de baixar o arquivo, primeiro o verificamos com um antivírus e depois o enviamos para a sandbox. O FortiSandbox emula uma máquina virtual, executa o arquivo e observa seu comportamento: quais objetos do registro são acessados, se envia solicitações externas e assim por diante. Se um arquivo se comportar de forma suspeita, a máquina virtual em sandbox será excluída e o arquivo malicioso não irá parar no VDI do usuário.
Como configurar uma conexão segura com VDI
Verificamos a conformidade do dispositivo com os requisitos de segurança da informação. Desde o início do trabalho remoto, os clientes nos abordam com pedidos: garantir o funcionamento seguro dos usuários a partir de seus computadores pessoais. Qualquer especialista em segurança da informação sabe que proteger dispositivos domésticos é difícil: não é possível instalar o antivírus necessário ou aplicar políticas de grupo, pois não se trata de equipamento de escritório.
Por padrão, a VDI se torna uma “camada” segura entre um dispositivo pessoal e a rede corporativa. Para proteger o VDI contra ataques da máquina do usuário, desativamos a área de transferência e proibimos o encaminhamento de USB. Mas isso não torna o dispositivo do usuário seguro.
Resolvemos o problema usando FortiClient. Esta é uma ferramenta de proteção de endpoint. Os usuários da empresa instalam o FortiClient em seus computadores domésticos e o utilizam para se conectar a um desktop virtual. FortiClient resolve 3 problemas de uma vez:
- passa a ser uma “janela única” de acesso do usuário;
- verifica se o seu computador pessoal possui antivírus e as atualizações mais recentes do sistema operacional;
- constrói um túnel VPN para acesso seguro.
Um funcionário só obtém acesso se passar na verificação. Ao mesmo tempo, os próprios desktops virtuais são inacessíveis pela Internet, o que significa que estão mais bem protegidos contra ataques.
Se uma empresa deseja gerenciar a proteção de endpoint por conta própria, oferecemos o FortiClient EMS (Endpoint Management Server). O cliente pode configurar a verificação da área de trabalho e a prevenção de invasões e criar uma lista branca de endereços.
Adicionando fatores de autenticação. Por padrão, os usuários são autenticados por meio do Citrix netscaler. Também aqui podemos aumentar a segurança usando autenticação multifator baseada em produtos SafeNet. Este tópico merece atenção especial, também falaremos sobre isso em um artigo separado.
Acumulamos essa experiência trabalhando com diferentes soluções ao longo do último ano de trabalho. O serviço VDI é configurado separadamente para cada cliente, por isso escolhemos as ferramentas mais flexíveis. Talvez num futuro próximo possamos acrescentar algo mais e partilhar a nossa experiência.
No dia 7 de outubro, às 17.00h, meus colegas falarão sobre desktops virtuais no webinar “É necessário VDI ou como organizar o trabalho remoto?”
, se quiser discutir quando a tecnologia VDI é adequada para uma empresa e quando é melhor usar outros métodos.
Fonte: habr.com