هن سال، ڪيتريون ئي ڪمپنيون جلدي طور تي ريموٽ ڪم ڏانهن تبديل ٿي ويا. ڪجھ گراهڪن لاءِ اسان هر هفتي سو کان وڌيڪ ريموٽ نوڪريون منظم ڪريو. اهو ضروري هو ته اهو نه رڳو جلدي، پر پڻ محفوظ طور تي. VDI ٽيڪنالاجي بچاء لاء اچي چڪو آهي: ان جي مدد سان، اهو آسان آهي سيڪيورٽي پاليسين کي سڀني ڪم جي جڳهن تي ورهائڻ ۽ ڊيٽا ليڪ جي خلاف حفاظت ڪرڻ.
هن آرٽيڪل ۾ آئون توهان کي ٻڌايان ٿو ته ڪيئن اسان جي ورچوئل ڊيسڪ ٽاپ سروس Citrix VDI تي ٻڌل معلومات سيڪيورٽي نقطي نظر کان ڪم ڪري ٿي. مان توهان کي ڏيکاريندس ته اسان ڪلائنٽ ڊيسڪ ٽاپ کي ٻاهرين خطرن جهڙوڪ ransomware يا ٽارگيٽ حملن کان بچائڻ لاءِ ڇا ڪندا آهيون.
اسان ڪهڙا سيڪيورٽي مسئلا حل ڪريون ٿا؟
اسان خدمت لاءِ ڪيترن ئي مکيه سيڪيورٽي خطرن جي نشاندهي ڪئي آهي. هڪ طرف، ورچوئل ڊيسڪ ٽاپ صارف جي ڪمپيوٽر کان متاثر ٿيڻ جو خطرو هلائي ٿو. ٻئي طرف ورچوئل ڊيسڪ ٽاپ کان ٻاهر انٽرنيٽ جي اوپن اسپيس ۾ وڃڻ ۽ متاثر ٿيل فائل ڊائون لوڊ ٿيڻ جو خطرو آهي. جيتوڻيڪ ائين ٿئي ٿو، اهو سڄي انفراسٽرڪچر تي اثر انداز نه ٿيڻ گهرجي. تنهن ڪري، جڏهن خدمت ٺاهي، اسان ڪيترن ئي مسئلن کي حل ڪيو:
- سڄي VDI اسٽينڊ کي ٻاهرين خطرن کان بچائي ٿو.
- هڪ ٻئي کان گراهڪن جي الڳ ٿيڻ.
- پاڻ کي مجازي ڊيسڪ ٽاپ جي حفاظت.
- محفوظ طور تي صارفين کي ڪنهن به ڊوائيس کان ڳنڍيو.
تحفظ جو بنيادي حصو فورٽي گيٽ هو، هڪ نئين نسل جي فائر وال فورٽينٽ کان. اهو VDI بوٿ ٽرئفڪ مانيٽر ڪري ٿو، هر ڪلائنٽ لاءِ الڳ الڳ انفراسٽرڪچر مهيا ڪري ٿو، ۽ صارف جي پاسي تي خطرن جي خلاف حفاظت ڪري ٿو. ان جون صلاحيتون تمام گهڻيون معلوماتي سيڪيورٽي مسئلن کي حل ڪرڻ لاءِ ڪافي آهن.
پر جيڪڏهن هڪ ڪمپني کي خاص حفاظتي گهرجون آهن، اسان اضافي اختيارن کي پيش ڪندا آهيون:
- اسان گھر جي ڪمپيوٽرن کان ڪم ڪرڻ لاءِ محفوظ ڪنيڪشن منظم ڪريون ٿا.
- اسان سيڪيورٽي لاگز جي آزاد تجزيو لاءِ رسائي فراهم ڪندا آهيون.
- اسان ڊيسڪٽاپس تي اينٽي وائرس تحفظ جو انتظام مهيا ڪندا آهيون.
- اسان صفر ڏينهن جي خطرن جي خلاف حفاظت ڪندا آهيون.
- اسان غير مجاز ڪنيڪشن جي خلاف اضافي تحفظ لاءِ گھڻن عنصر جي تصديق کي ترتيب ڏيون ٿا.
مان توهان کي وڌيڪ تفصيل سان ٻڌايان ٿو ته اسان ڪيئن مسئلا حل ڪيا.
اسٽينڊ جي حفاظت ڪيئن ڪجي ۽ نيٽ ورڪ سيڪيورٽي کي يقيني بڻايو وڃي
اچو ته نيٽ ورڪ جو حصو ورهايو. اسٽينڊ تي اسان سڀني وسيلن کي منظم ڪرڻ لاءِ بند انتظام واري حصي کي نمايان ڪريون ٿا. مئنيجمينٽ جو حصو ٻاهر کان ناگزير آهي: ڪلائنٽ تي حملي جي صورت ۾، حملو ڪندڙ اتي حاصل ڪرڻ جي قابل نه هوندا.
FortiGate تحفظ لاء ذميوار آهي. اهو هڪ اينٽي وائرس، فائر وال، ۽ مداخلت جي روڪٿام واري نظام (IPS) جي ڪم کي گڏ ڪري ٿو.
هر ڪلائنٽ لاءِ اسان ورچوئل ڊيسڪ ٽاپ لاءِ هڪ الڳ نيٽ ورڪ سيڪشن ٺاهيندا آهيون. هن مقصد لاء، FortiGate وٽ مجازي ڊومين ٽيڪنالاجي، يا VDOM آهي. اهو توهان کي اجازت ڏئي ٿو ته فائر وال کي ڪيترن ئي ورچوئل ادارن ۾ ورهائي ۽ هر ڪلائنٽ کي پنهنجي VDOM مختص ڪري، جيڪو هڪ الڳ فائر وال وانگر ڪم ڪري ٿو. اسان انتظامي ڀاڱي لاءِ الڳ VDOM پڻ ٺاھيون ٿا.
اهو ظاهر ٿئي ٿو ته هيٺيون خاڪو آهي:
ڪلائنٽ جي وچ ۾ ڪوبه نيٽ ورڪ ڪنيڪشن ناهي: هر هڪ پنهنجي VDOM ۾ رهي ٿو ۽ ٻئي تي اثر انداز نٿو ڪري. هن ٽيڪنالاجي جي بغير، اسان کي ڪلائنٽ کي فائر وال قاعدن سان الڳ ڪرڻو پوندو، جيڪو انساني غلطي جي ڪري خطرناڪ آهي. توهان اهڙين ضابطن جو مقابلو ڪري سگهو ٿا دروازي کي جيڪو مسلسل بند ڪيو وڃي. VDOM جي صورت ۾، اسان سڀني کي "دروازو" نه ڇڏيندا آهيون.
هڪ الڳ VDOM ۾، ڪلائنٽ جو پنهنجو پتو ۽ رستو آهي. تنهن ڪري، حدون پار ڪرڻ ڪمپني لاء ڪو مسئلو ناهي. ڪلائنٽ ضروري IP پتي کي مجازي ڊيسڪ ٽاپ تي تفويض ڪري سگھي ٿو. اهو وڏين ڪمپنين لاءِ آسان آهي جن وٽ پنهنجا IP منصوبا آهن.
اسان ڪلائنٽ جي ڪارپوريٽ نيٽ ورڪ سان رابطي جي مسئلن کي حل ڪريون ٿا. هڪ الڳ ڪم VDI کي ڪلائنٽ انفراسٽرڪچر سان ڳنڍي رهيو آهي. جيڪڏهن ڪو ڪمپني اسان جي ڊيٽا سينٽر ۾ ڪارپوريٽ سسٽم رکي ٿي، اسان صرف هڪ نيٽ ورڪ ڪيبل هلائي سگهون ٿا ان جي سامان کان فائر وال تائين. پر گهڻو ڪري اسان هڪ ريموٽ سائيٽ سان ڊيل ڪري رهيا آهيون - ٻيو ڊيٽا سينٽر يا ڪلائنٽ جي آفيس. انهي صورت ۾، اسان سائيٽ سان هڪ محفوظ تبادلي ذريعي سوچيو ۽ IPsec VPN استعمال ڪندي site2site VPN ٺاهي.
انفراسٹرڪچر جي پيچيدگي جي لحاظ کان اسڪيمون مختلف ٿي سگهن ٿيون. ڪجهه هنڌن تي اهو ڪافي آهي ته هڪ واحد آفيس نيٽ ورڪ کي VDI سان ڳنڍڻ لاء - جامد رستو اتي ڪافي آهي. وڏيون ڪمپنيون ڪيترائي نيٽ ورڪ آهن جيڪي مسلسل تبديل ٿي رهيا آهن. هتي ڪلائنٽ کي متحرڪ رستي جي ضرورت آهي. اسان مختلف پروٽوڪول استعمال ڪندا آهيون: OSPF (اوپن شارٽسٽ پاٿ فرسٽ)، GRE سرنگون (Generic Routing Encapsulation) ۽ BGP (بارڊر گيٽ وي پروٽوڪول) جا ڪيس اڳ ۾ ئي موجود آهن. FortiGate نيٽ ورڪ پروٽوڪول کي سپورٽ ڪري ٿو الڳ VDOMs ۾، بغير ٻين گراهڪن کي متاثر ڪرڻ کان سواء.
توهان پڻ ٺاهي سگهو ٿا GOST-VPN - انڪرپشن جي بنياد تي cryptographic تحفظ جو مطلب آهي تصديق ٿيل روسي فيڊريشن جي FSB پاران. مثال طور، ورچوئل ماحول ۾ KS1 ڪلاس حل استعمال ڪرڻ “S-Terra Virtual Gateway” or PAK ViPNet, APKSH “Content”, “S-Terra”.
گروپ پاليسين کي ترتيب ڏيڻ. اسان ڪلائنٽ سان متفق آهيون گروپ پاليسين تي جيڪي VDI تي لاڳو ٿين ٿيون. هتي سيٽنگ جا اصول آفيس ۾ پاليسيون ترتيب ڏيڻ کان مختلف نه آهن. اسان ايڪٽو ڊاريڪٽري سان گڏ انضمام قائم ڪيو ۽ ڪلائنٽ کي ڪجهه گروپ پاليسين جو انتظام ڪيو. ٽيننٽ ايڊمنسٽريٽر ڪمپيوٽر جي اعتراض تي پاليسيون لاڳو ڪري سگهن ٿا، فعال ڊاريڪٽري ۾ تنظيمي يونٽ کي منظم ڪري سگهن ٿا، ۽ استعمال ڪندڙ ٺاهي سگهن ٿا.
FortiGate تي، هر ڪلائنٽ لاء VDOM اسان هڪ نيٽ ورڪ سيڪيورٽي پاليسي لکندا آهيون، رسائي جي پابنديون سيٽ ڪريو ۽ ٽرئفڪ جي چڪاس کي ترتيب ڏيو. اسان ڪيترائي FortiGate ماڊل استعمال ڪندا آهيون:
- IPS ماڊل مالويئر لاءِ ٽرئفڪ کي اسڪين ڪري ٿو ۽ مداخلت کي روڪي ٿو.
- اينٽي وائرس ڊيسڪٽاپس کي پاڻ کي مالويئر ۽ اسپائي ويئر کان بچائيندو آهي؛
- ويب فلٽرنگ کي غير معتبر وسيلن ۽ سائيٽن تائين پهچ کي بلاڪ ڪري ٿو بدڪاري يا نامناسب مواد سان؛
- فائر وال سيٽنگون شايد صارفين کي صرف ڪجهه سائيٽن تائين انٽرنيٽ تائين رسائي جي اجازت ڏين ٿيون.
ڪڏهن ڪڏهن هڪ ڪلائنٽ آزاد طور تي ويب سائيٽن تائين ملازم جي رسائي کي منظم ڪرڻ چاهي ٿو. گهڻو ڪري نه، بينڪ هن درخواست سان گڏ ايندا آهن: سيڪيورٽي خدمتن جي ضرورت آهي ته رسائي ڪنٽرول ڪمپني جي پاسي تي رهي. اهڙيون ڪمپنيون پاڻ ٽرئفڪ جي نگراني ڪن ٿيون ۽ باقاعده پاليسين ۾ تبديليون ڪن ٿيون. انهي حالت ۾، اسان سڀني ٽرئفڪ کي FortiGate کان ڪلائنٽ ڏانهن ڦيرايو. هن کي ڪرڻ لاء، اسان ڪمپني جي بنيادي ڍانچي سان ترتيب ڏنل انٽرفيس استعمال ڪندا آهيون. ان کان پوء، ڪلائنٽ پاڻ کي ڪارپوريٽ نيٽ ورڪ ۽ انٽرنيٽ تائين رسائي جي ضابطن کي ترتيب ڏئي ٿو.
اسان اسٽينڊ تي واقعن کي ڏسندا آهيون. FortiGate سان گڏ اسان استعمال ڪندا آهيون FortiAnalyzer، Fortinet کان هڪ لاگ ڪليڪٽر. ان جي مدد سان، اسان ڏسون ٿا سڀ واقعا لاگ ان VDI تي ھڪڙي جڳھ تي، مشڪوڪ ڪارناما ڳولھيو ۽ رابطي کي ٽريڪ ڪريو.
اسان جو هڪ گراهڪ استعمال ڪري ٿو Fortinet پروڊڪٽس پنهنجي آفيس ۾. ان لاءِ، اسان لاگ اپ لوڊ ڪرڻ کي ترتيب ڏنو - تنھنڪري ڪلائنٽ سڀني سيڪيورٽي واقعن جو تجزيو ڪرڻ جي قابل ٿي ويو آفيس مشينن ۽ ورچوئل ڊيسڪ ٽاپ لاءِ.
ورچوئل ڊيسڪ ٽاپ جي حفاظت ڪيئن ڪجي
ڄاڻايل خطرن کان. جيڪڏهن ڪلائنٽ آزاد طور تي اينٽي وائرس تحفظ کي منظم ڪرڻ چاهي ٿو، اسان اضافي طور تي نصب ڪريون ٿا Kaspersky سيڪيورٽي مجازي ماحول لاءِ.
هي حل ڪڪر ۾ سٺو ڪم ڪري ٿو. اسان سڀ ان حقيقت جا عادي آهيون ته کلاسک ڪاسپرسڪي اينٽي وائرس هڪ ”گهري“ حل آهي. ان جي ابتڙ، Virtualization لاء Kaspersky سيڪيورٽي ورچوئل مشينن کي لوڊ نٿو ڪري. سڀئي وائرس ڊيٽابيس سرور تي واقع آهن، جيڪي نوڊ جي سڀني ورچوئل مشينن لاءِ فيصلا ڪن ٿا. مجازي ڊيسڪ ٽاپ تي صرف روشني ايجنٽ نصب ٿيل آهي. اهو تصديق لاءِ سرور ڏانهن فائلون موڪلي ٿو.
هي فن تعمير هڪ ئي وقت فائل تحفظ، انٽرنيٽ تحفظ، ۽ حملي جي تحفظ فراهم ڪري ٿو بغير ورچوئل مشينن جي ڪارڪردگي سان سمجهوتو ڪرڻ جي. انهي صورت ۾، ڪلائنٽ آزاد طور تي فائل جي حفاظت لاء استثناء متعارف ڪرايو. اسان حل جي بنيادي سيٽنگ سان مدد ڪندا آهيون. اسان هڪ الڳ مضمون ۾ ان جي خاصيتن جي باري ۾ ڳالهائي ويندي.
اڻڄاتل خطرن کان. هن کي ڪرڻ لاءِ، اسان ڳنڍيندا آهيون FortiSandbox - هڪ “sandbox” Fortinet کان. اسان ان کي فلٽر طور استعمال ڪريون ٿا ان صورت ۾ جيڪڏهن اينٽي وائرس صفر ڏينهن جي خطري کي ياد ڪري. فائل ڊائون لوڊ ڪرڻ کان پوء، اسان پهريان ان کي هڪ اينٽي وائرس سان اسڪين ڪيو ۽ پوء ان کي سينڊ باڪس ڏانهن موڪليو. FortiSandbox هڪ ورچوئل مشين کي متحرڪ ڪري ٿو، فائل کي هلائي ٿو ۽ ان جي رويي جو مشاهدو ڪري ٿو: رجسٽري ۾ ڪهڙيون شيون پهچن ٿيون، ڇا اهو خارجي درخواستون موڪلي ٿو، وغيره. جيڪڏهن ڪا فائل مشڪوڪ طريقي سان عمل ڪري ٿي، سينڊ باڪس ٿيل ورچوئل مشين کي ختم ڪيو ويندو آهي ۽ خراب فائل صارف VDI تي ختم نه ٿيندي آهي.
VDI سان محفوظ ڪنيڪشن ڪيئن قائم ڪجي
اسان چيڪ ڪريون ٿا ڊوائيس جي تعميل معلومات جي حفاظت جي گهرجن سان. ريموٽ ڪم جي شروعات کان وٺي، گراهڪن اسان کي درخواستن سان رابطو ڪيو آهي: انهن جي ذاتي ڪمپيوٽرن کان صارفين جي محفوظ آپريشن کي يقيني بڻائڻ لاء. ڪو به معلوماتي سيڪيورٽي ماهر ڄاڻي ٿو ته گھر جي ڊوائيسز کي بچائڻ ڏکيو آهي: توهان ضروري اينٽي وائرس انسٽال نٿا ڪري سگهو يا گروپ پاليسيون لاڳو نٿا ڪري سگهو، ڇو ته هي آفيس جو سامان ناهي.
ڊفالٽ طور، VDI ذاتي ڊوائيس ۽ ڪارپوريٽ نيٽ ورڪ جي وچ ۾ هڪ محفوظ "پرت" بڻجي ويندو آهي. يوزر مشين جي حملن کان VDI کي بچائڻ لاءِ، اسان ڪلپ بورڊ کي غير فعال ڪريون ٿا ۽ USB فارورڊنگ کي منع ڪريون ٿا. پر اهو صارف جي ڊوائيس پاڻ کي محفوظ نٿو ڪري.
اسان مسئلو حل ڪريون ٿا FortiClient استعمال ڪندي. هي هڪ آخري پوائنٽ تحفظ وارو اوزار آهي. ڪمپني جا صارف پنهنجي گهر جي ڪمپيوٽرن تي FortiClient انسٽال ڪن ٿا ۽ ان کي استعمال ڪن ٿا ورچوئل ڊيسڪ ٽاپ سان ڳنڍڻ لاءِ. FortiClient هڪ ئي وقت ۾ 3 مسئلا حل ڪري ٿو:
- صارف لاء رسائي جي "سنگل ونڊو" بڻجي وڃي ٿي؛
- چيڪ ڪري ٿو ته ڇا توهان جي ذاتي ڪمپيوٽر ۾ اينٽي وائرس آهي ۽ جديد او ايس اپڊيٽ؛
- محفوظ رسائي لاءِ وي پي اين سرنگ ٺاهي ٿي.
هڪ ملازم صرف رسائي حاصل ڪري ٿو جيڪڏهن اهي تصديق پاس ڪن. ساڳئي وقت، مجازي ڊيسڪ ٽاپ پاڻ کي انٽرنيٽ کان ناگزير آهن، جنهن جو مطلب آهي ته اهي حملن کان بهتر محفوظ آهن.
جيڪڏهن ڪو ڪمپني پاڻ کي آخري پوائنٽ جي حفاظت کي منظم ڪرڻ چاهي ٿو، اسان پيش ڪندا آهيون FortiClient EMS (Endpoint Management Server). ڪلائنٽ ڊيسڪ ٽاپ اسڪيننگ ۽ مداخلت جي روڪٿام کي ترتيب ڏئي سگھي ٿو، ۽ پتي جي اڇي لسٽ ٺاهي سگھي ٿو.
تصديق ڪندڙ عنصر شامل ڪرڻ. ڊفالٽ طور، صارفين Citrix netscaler ذريعي تصديق ٿيل آهن. هتي، پڻ، اسان حفاظت کي وڌائي سگهون ٿا ملٽي فيڪٽر جي تصديق استعمال ڪندي SafeNet پروڊڪٽس جي بنياد تي. هي موضوع خاص ڌيان جو مستحق آهي؛ اسان ان بابت پڻ هڪ الڳ مضمون ۾ ڳالهائينداسين.
اسان ڪم جي گذريل سال دوران مختلف حلن سان ڪم ڪرڻ ۾ اهڙو تجربو گڏ ڪيو آهي. VDI سروس هر ڪلائنٽ لاء الڳ الڳ ترتيب ڏني وئي آهي، تنهنڪري اسان سڀ کان وڌيڪ لچڪدار اوزار چونڊيو آهي. شايد ويجهي مستقبل ۾ اسان ڪجهه ٻيو شامل ڪنداسين ۽ اسان جو تجربو حصيداري ڪنداسين.
7 آڪٽوبر تي 17.00 تي منهنجا ساٿي ورچوئل ڊيسڪ ٽاپ بابت ويبينار ۾ ڳالهائيندا “ڇا VDI ضروري آهي، يا ريموٽ ڪم کي ڪيئن منظم ڪجي؟”
، جيڪڏھن توھان بحث ڪرڻ چاھيو ٿا جڏھن VDI ٽيڪنالاجي ھڪڙي ڪمپني لاءِ موزون آھي ۽ جڏھن اھو بھتر آھي ٻين طريقن کي استعمال ڪرڻ لاءِ.
جو ذريعو: www.habr.com