Anul acesta, multe companii au trecut în grabă la lucrul la distanță. Pentru unii clienti noi organizează peste o sută de locuri de muncă la distanță pe săptămână. Era important să faceți acest lucru nu numai rapid, ci și în siguranță. Tehnologia VDI a venit în ajutor: cu ajutorul ei, este convenabil să distribuiți politici de securitate în toate locurile de muncă și să protejați împotriva scurgerilor de date.
În acest articol vă voi spune cum funcționează serviciul nostru de desktop virtual bazat pe Citrix VDI din punct de vedere al securității informațiilor. Vă voi arăta ce facem pentru a proteja desktopurile client de amenințări externe, cum ar fi ransomware sau atacuri direcționate.
Ce probleme de securitate rezolvăm?
Am identificat câteva amenințări principale de securitate la adresa serviciului. Pe de o parte, desktopul virtual riscă să fie infectat de pe computerul utilizatorului. Pe de altă parte, există pericolul de a ieși de pe desktopul virtual în spațiul deschis al Internetului și de a descărca un fișier infectat. Chiar dacă se întâmplă acest lucru, nu ar trebui să afecteze întreaga infrastructură. Prin urmare, la crearea serviciului, am rezolvat mai multe probleme:
- Protejează întregul stand VDI de amenințările externe.
- Izolarea clienților unul de celălalt.
- Protejarea desktopurilor virtuale în sine.
- Conectați în siguranță utilizatorii de pe orice dispozitiv.
Nucleul protecției a fost FortiGate, un firewall de nouă generație de la Fortinet. Monitorizează traficul cabinei VDI, oferă o infrastructură izolată pentru fiecare client și protejează împotriva vulnerabilităților din partea utilizatorului. Capacitățile sale sunt suficiente pentru a rezolva majoritatea problemelor de securitate a informațiilor.
Dar dacă o companie are cerințe speciale de securitate, oferim opțiuni suplimentare:
- Organizăm o conexiune sigură pentru lucrul de pe computerele de acasă.
- Oferim acces pentru analiza independentă a jurnalelor de securitate.
- Oferim managementul protecției antivirus pe desktop-uri.
- Ne protejăm împotriva vulnerabilităților zero-day.
- Configuram autentificarea cu mai mulți factori pentru protecție suplimentară împotriva conexiunilor neautorizate.
Vă voi spune mai detaliat cum am rezolvat problemele.
Cum să protejați standul și să asigurați securitatea rețelei
Să segmentăm partea de rețea. La stand evidențiem un segment de management închis pentru gestionarea tuturor resurselor. Segmentul de management este inaccesibil din exterior: în cazul unui atac asupra clientului, atacatorii nu vor putea ajunge acolo.
FortiGate este responsabil pentru protecție. Combină funcțiile unui antivirus, firewall și sistem de prevenire a intruziunilor (IPS).
Pentru fiecare client creăm un segment de rețea izolat pentru desktop-uri virtuale. În acest scop, FortiGate are tehnologia domeniului virtual, sau VDOM. Vă permite să împărțiți firewall-ul în mai multe entități virtuale și să alocați fiecărui client propriul VDOM, care se comportă ca un firewall separat. De asemenea, creăm un VDOM separat pentru segmentul de management.
Aceasta se dovedește a fi următoarea diagramă:
Nu există conectivitate la rețea între clienți: fiecare trăiește în propriul VDOM și nu îl influențează pe celălalt. Fără această tehnologie, ar trebui să separăm clienții cu reguli de firewall, ceea ce este riscant din cauza erorii umane. Puteți compara astfel de reguli cu o ușă care trebuie închisă constant. În cazul VDOM, nu lăsăm deloc „uși”.
Într-un VDOM separat, clientul are propria sa adresare și rutare. Prin urmare, trecerea intervalelor nu devine o problemă pentru companie. Clientul poate atribui adresele IP necesare desktopurilor virtuale. Acest lucru este convenabil pentru companiile mari care au propriile planuri de IP.
Rezolvăm problemele de conectivitate cu rețeaua corporativă a clientului. O sarcină separată este conectarea VDI cu infrastructura client. Dacă o companie păstrează sisteme corporative în centrul nostru de date, pur și simplu putem rula un cablu de rețea de la echipamentul său la firewall. Dar mai des avem de-a face cu un site la distanță - un alt centru de date sau biroul unui client. În acest caz, gândim la un schimb securizat cu site-ul și construim site2site VPN folosind IPsec VPN.
Schemele pot varia în funcție de complexitatea infrastructurii. În unele locuri este suficient să conectați o singură rețea de birou la VDI - rutarea statică este suficientă acolo. Companiile mari au multe rețele care se schimbă constant; aici clientul are nevoie de rutare dinamică. Folosim diferite protocoale: au existat deja cazuri cu OSPF (Open Shortest Path First), tuneluri GRE (Generic Routing Encapsulation) și BGP (Border Gateway Protocol). FortiGate acceptă protocoale de rețea în VDOM-uri separate, fără a afecta alți clienți.
De asemenea, puteți construi GOST-VPN - criptare bazată pe mijloace de protecție criptografică certificate de FSB al Federației Ruse. De exemplu, folosind soluții de clasă KS1 în mediul virtual „S-Terra Virtual Gateway” sau PAK ViPNet, APKSH „Continent”, „S-Terra”.
Configurarea politicilor de grup. Suntem de acord cu clientul asupra politicilor de grup care sunt aplicate pe VDI. Aici principiile de stabilire nu sunt diferite de stabilirea politicilor de la birou. Am configurat integrarea cu Active Directory și delegăm managementul unor politici de grup clienților. Administratorii chiriași pot aplica politici obiectului Computer, pot gestiona unitatea organizațională în Active Directory și pot crea utilizatori.
Pe FortiGate, pentru fiecare client VDOM scriem o politică de securitate a rețelei, stabilim restricții de acces și configurăm inspecția traficului. Folosim mai multe module FortiGate:
- Modulul IPS scanează traficul pentru malware și previne intruziunile;
- antivirusul protejează desktopurile de programe malware și spyware;
- filtrarea web blochează accesul la resurse nesigure și site-uri cu conținut rău intenționat sau neadecvat;
- Setările paravanului de protecție pot permite utilizatorilor să acceseze Internetul numai pe anumite site-uri.
Uneori, un client dorește să gestioneze independent accesul angajaților la site-uri web. De cele mai multe ori, băncile vin cu această solicitare: serviciile de securitate impun ca controlul accesului să rămână de partea companiei. Astfel de companii monitorizează ele însele traficul și fac în mod regulat modificări ale politicilor. În acest caz, îndreptăm tot traficul de la FortiGate către client. Pentru a face acest lucru, folosim o interfață configurată cu infrastructura companiei. După aceasta, clientul însuși configurează regulile de acces la rețeaua corporativă și la Internet.
Urmărim evenimentele la stand. Împreună cu FortiGate folosim FortiAnalyzer, un colector de bușteni de la Fortinet. Cu ajutorul acestuia, analizăm toate jurnalele de evenimente de pe VDI într-un singur loc, găsim acțiuni suspecte și urmărim corelațiile.
Unul dintre clienții noștri folosește produsele Fortinet în biroul său. Pentru aceasta, am configurat încărcarea jurnalelor - astfel încât clientul a putut analiza toate evenimentele de securitate pentru mașinile de birou și desktopurile virtuale.
Cum să protejați desktopurile virtuale
Din amenințări cunoscute. Dacă clientul dorește să gestioneze în mod independent protecția antivirus, instalăm suplimentar Kaspersky Security pentru medii virtuale.
Această soluție funcționează bine în cloud. Cu toții suntem obișnuiți cu faptul că clasicul antivirus Kaspersky este o soluție „grea”. În schimb, Kaspersky Security for Virtualization nu încarcă mașini virtuale. Toate bazele de date de viruși sunt localizate pe server, care emite verdicte pentru toate mașinile virtuale ale nodului. Doar agentul de lumină este instalat pe desktopul virtual. Trimite fișiere către server pentru verificare.
Această arhitectură oferă simultan protecție fișierelor, protecție pe internet și protecție împotriva atacurilor fără a compromite performanța mașinilor virtuale. În acest caz, clientul poate introduce în mod independent excepții la protecția fișierelor. Vă ajutăm cu configurarea de bază a soluției. Despre caracteristicile sale vom vorbi într-un articol separat.
Din amenințări necunoscute. Pentru a face acest lucru, conectăm FortiSandbox – un „sandbox” de la Fortinet. Îl folosim ca filtru în cazul în care antivirusul ratează o amenințare zero-day. După descărcarea fișierului, îl scanăm mai întâi cu un antivirus și apoi îl trimitem în sandbox. FortiSandbox emulează o mașină virtuală, rulează fișierul și observă comportamentul acestuia: ce obiecte din registry sunt accesate, dacă trimite solicitări externe și așa mai departe. Dacă un fișier se comportă suspect, mașina virtuală din sandbox este ștearsă și fișierul rău intenționat nu ajunge pe VDI-ul utilizatorului.
Cum să configurați o conexiune securizată la VDI
Verificăm conformitatea dispozitivului cu cerințele de securitate a informațiilor. De la începutul lucrului la distanță, clienții ne-au abordat cu solicitări: să asigurăm funcționarea în siguranță a utilizatorilor de pe computerele lor personale. Orice specialist în securitatea informațiilor știe că protejarea dispozitivelor de acasă este dificilă: nu poți instala antivirusul necesar sau aplica politici de grup, deoarece acesta nu este un echipament de birou.
În mod implicit, VDI devine un „strat” securizat între un dispozitiv personal și rețeaua corporativă. Pentru a proteja VDI de atacurile de la computerul utilizatorului, dezactivăm clipboard-ul și interzicem redirecționarea USB. Dar acest lucru nu face dispozitivul utilizatorului în sine sigur.
Rezolvăm problema folosind FortiClient. Acesta este un instrument de protecție a punctelor finale. Utilizatorii companiei instalează FortiClient pe computerele lor de acasă și îl folosesc pentru a se conecta la un desktop virtual. FortiClient rezolvă 3 probleme simultan:
- devine „o fereastră unică” de acces pentru utilizator;
- verifică dacă computerul personal are un antivirus și cele mai recente actualizări ale sistemului de operare;
- construiește un tunel VPN pentru acces securizat.
Un angajat are acces doar dacă trece verificarea. În același timp, desktopurile virtuale în sine sunt inaccesibile de pe Internet, ceea ce înseamnă că sunt mai bine protejate de atacuri.
Dacă o companie dorește să gestioneze ea însăși protecția endpoint-ului, oferim FortiClient EMS (Endpoint Management Server). Clientul poate configura scanarea desktopului și prevenirea intruziunilor și poate crea o listă albă de adrese.
Adăugarea factorilor de autentificare. În mod implicit, utilizatorii sunt autentificați prin Citrix netscaler. Și aici putem îmbunătăți securitatea utilizând autentificarea multifactorială bazată pe produsele SafeNet. Acest subiect merită o atenție specială; despre asta vom vorbi și într-un articol separat.
Am acumulat o astfel de experiență în lucrul cu diferite soluții în ultimul an de muncă. Serviciul VDI este configurat separat pentru fiecare client, așa că am ales cele mai flexibile instrumente. Poate că în viitorul apropiat vom adăuga altceva și vom împărtăși experiența noastră.
Pe 7 octombrie, la ora 17.00, colegii mei vor vorbi despre desktop-urile virtuale la webinarul „Este necesar VDI sau cum se organizează lucrul de la distanță?”
, dacă doriți să discutați când tehnologia VDI este potrivită pentru o companie și când este mai bine să folosiți alte metode.
Sursa: www.habr.com