මේ වසරේ බොහෝ සමාගම් ඉක්මනින් දුරස්ථ වැඩවලට මාරු විය. සමහර ගනුදෙනුකරුවන් සඳහා අපි සතියකට දුරස්ථ රැකියා සියයකට වඩා සංවිධානය කරන්න. මෙය ඉක්මනින් පමණක් නොව ආරක්ෂිතව සිදු කිරීම වැදගත් විය. VDI තාක්ෂණය ගලවා ගැනීමට පැමිණියේය: එහි ආධාරයෙන්, සියලුම සේවා ස්ථානවලට ආරක්ෂක ප්රතිපත්ති බෙදා හැරීම සහ දත්ත කාන්දුවීම් වලින් ආරක්ෂා වීම පහසුය.
මෙම ලිපියෙන්, අපගේ Citrix VDI මත පදනම් වූ අතථ්ය ඩෙස්ක්ටොප් සේවාව තොරතුරු ආරක්ෂාව සම්බන්ධයෙන් ක්රියා කරන ආකාරය මම ඔබට කියමි. ransomware හෝ ඉලක්කගත ප්රහාර වැනි බාහිර තර්ජන වලින් සේවාදායක ඩෙස්ක්ටොප් ආරක්ෂා කිරීමට අප කරන දේ මම ඔබට පෙන්වන්නම්.
අපි විසඳන ආරක්ෂක ගැටළු මොනවාද
සේවාවට ඇති ප්රධාන ආරක්ෂක තර්ජන කිහිපයක් අපි හඳුනාගෙන ඇත. එක් අතකින්, අතථ්ය ඩෙස්ක්ටොප් එක පරිශීලකයාගේ පරිගණකයෙන් ආසාදනය වීමේ අවදානමක් දරයි. අනෙක් අතට, අථත්ය ඩෙස්ක්ටොප් එකෙන් අන්තර්ජාලයේ විවෘත අවකාශයට පිටවී ආසාදිත ගොනුවක් බාගත කිරීමේ අනතුරක් ඇත. මෙය සිදු වුවද, එය සමස්ත යටිතල පහසුකම්වලට බලපාන්නේ නැත. එබැවින්, සේවාව නිර්මාණය කිරීමේදී, අපි ගැටළු කිහිපයක් විසඳා ඇත:
- බාහිර තර්ජන වලින් සම්පූර්ණ VDI ස්ථාවරය ආරක්ෂා කිරීම.
- ගනුදෙනුකරුවන් එකිනෙකාගෙන් හුදකලා කිරීම.
- අතථ්ය ඩෙස්ක්ටොප් ආරක්ෂා කිරීම.
- ඕනෑම උපාංගයකින් ආරක්ෂිත පරිශීලක සම්බන්ධතාවය.
FortiGate, Fortinet වෙතින් නව පරම්පරාවේ ෆයර්වෝල්, ආරක්ෂාවේ හරය බවට පත් විය. එය VDI ස්ථාවරයේ ගමනාගමනය පාලනය කරයි, එක් එක් සේවාදායකයා සඳහා හුදකලා යටිතල පහසුකම් සපයයි, සහ පරිශීලක පාර්ශවයේ දුර්වලතා වලින් ආරක්ෂා කරයි. IS ගැටළු බොහොමයක් වසා දැමීමට එහි හැකියාවන් ප්රමාණවත්ය.
නමුත් සමාගමට විශේෂ ආරක්ෂක අවශ්යතා තිබේ නම්, අපි අමතර විකල්ප ඉදිරිපත් කරමු:
- අපි නිවසේ පරිගණක වලින් වැඩ කිරීමට ආරක්ෂිත සම්බන්ධතාවයක් සංවිධානය කරමු.
- අපි ආරක්ෂක ලොග් ස්වයං විශ්ලේෂණයට ප්රවේශය ලබා දෙන්නෙමු.
- අපි ඩෙස්ක්ටොප් මත ප්රති-වයිරස ආරක්ෂණ කළමනාකරණය සපයන්නෙමු.
- ශුන්ය දින අවදානම් වලින් අපි ආරක්ෂා වෙමු.
- අනවසර සම්බන්ධතා වලට එරෙහිව අමතර ආරක්ෂාවක් සඳහා බහු සාධක සත්යාපනය සකසන්න.
කර්තව්යයන් විසඳූ ආකාරය ගැන මම ඔබට තවත් කියන්නම්.
අපි කුටිය ආරක්ෂා කරන ආකාරය සහ ජාල ආරක්ෂාව සහතික කරන ආකාරය
අපි ජාල කොටස කොටස් කරමු. කුටියේදී, අපි සියලු සම්පත් කළමනාකරණය කිරීම සඳහා සංවෘත කළමනාකරණ අංශයක් වෙන් කරමු. කළමනාකරණ අංශයට පිටතින් ප්රවේශ විය නොහැක: සේවාදායකයාට පහර දීමකදී, ප්රහාරකයන්ට එහි යාමට නොහැකි වනු ඇත.
FortiGate ආරක්ෂාව සඳහා වගකිව යුතුය. එය ප්රති-වයිරස, ෆයර්වෝල්, ආක්රමණය වැළැක්වීමේ පද්ධතිය (IPS) යන කාර්යයන් ඒකාබද්ධ කරයි.
එක් එක් සේවාදායකයා සඳහා, අපි අතථ්ය ඩෙස්ක්ටොප් සඳහා හුදකලා ජාල කොටසක් සාදන්නෙමු. මෙය සිදු කිරීම සඳහා, FortiGate සතුව අතථ්ය වසම් තාක්ෂණයක් හෝ VDOM ඇත. එය ඔබට ෆයර්වෝලය අථත්ය ආයතන කිහිපයකට බෙදීමට සහ වෙනම ෆයර්වෝලයක් ලෙස හැසිරෙන එක් එක් සේවාදායකයාට තමන්ගේම VDOM වෙන් කිරීමට ඉඩ සලසයි. අපි කළමනාකරණ අංශය සඳහා වෙනම VDOM එකක් ද නිර්මාණය කරමු.
එය මෙම යෝජනා ක්රමය හැරෙනවා:
සේවාලාභීන් අතර ජාල සම්බන්ධතාවයක් නොමැත: සෑම එකක්ම තමන්ගේම VDOM තුළ ජීවත් වන අතර අනෙකාට බලපාන්නේ නැත. මෙම තාක්ෂණය නොමැතිව, අපට ගණුදෙණුකරුවන් ෆයර්වෝල් නීති සමඟින් වෙන් කිරීමට සිදුවනු ඇති අතර, මානව සාධකය හේතුවෙන් මෙය අවදානම් සහගත වේ. ඔබට එවැනි නීති නිරන්තරයෙන් වසා තිබිය යුතු දොරක් සමඟ සැසඳිය හැකිය. VDOM සම්බන්ධයෙන් ගත් කල, අපි කිසිසේත් "දොරවල්" අත් නොහරිමු.
වෙනම VDOM එකක, සේවාලාභියාට තමන්ගේම ලිපින සහ මාර්ගගත කිරීමක් ඇත. එබැවින්, පරාසයන් ඡේදනය වීම සමාගමට ගැටළුවක් නොවේ. සේවාදායකයාට අවශ්ය IP ලිපින අථත්ය ඩෙස්ක්ටොප් වෙත පැවරිය හැක. තමන්ගේම IP සැලසුම් ඇති විශාල සමාගම් සඳහා මෙය පහසු වේ.
අපි සේවාලාභියාගේ ආයතනික ජාලය සමඟ සම්බන්ධතා ගැටළු විසඳන්නෙමු. වෙනම කාර්යයක් වන්නේ සේවාදායක යටිතල පහසුකම් සමඟ VDI ඩොකින් කිරීමයි. සමාගමක් අපගේ දත්ත මධ්යස්ථානයේ ආයතනික පද්ධති තබා ගන්නේ නම්, ඔබට එහි උපකරණයේ සිට ෆයර්වෝල් වෙත ජාල කේබලයක් ධාවනය කළ හැකිය. නමුත් බොහෝ විට අපි දුරස්ථ වෙබ් අඩවියක් සමඟ කටයුතු කරන්නෙමු - වෙනත් දත්ත මධ්යස්ථානයක් හෝ සේවාදායකයාගේ කාර්යාලය. මෙම අවස්ථාවේදී, අපි වෙබ් අඩවිය සමඟ ආරක්ෂිත හුවමාරුවක් සහ IPsec VPN භාවිතයෙන් site2site VPN එකක් ගොඩනඟා ගැනීම ගැන සිතමු.
යටිතල පහසුකම්වල සංකීර්ණත්වය අනුව යෝජනා ක්රම වෙනස් විය හැකිය. කොහේ හරි VDI වෙත තනි කාර්යාල ජාලයක් සම්බන්ධ කිරීමට ප්රමාණවත් වේ - ප්රමාණවත් ස්ථිතික මාර්ගගත කිරීමක් ඇත. විශාල සමාගම් නිරන්තරයෙන් වෙනස් වන බොහෝ ජාල ඇත; මෙහිදී සේවාදායකයාට ගතික මාර්ගගත කිරීම අවශ්ය වේ. අපි විවිධ ප්රොටෝකෝල භාවිතා කරමු: OSPF (Shortest Path First), GRE උමං මාර්ග (Generic Routing Encapsulation) සහ BGP (Border Gateway Protocol) සමඟ දැනටමත් අවස්ථා තිබේ. FortiGate වෙනත් සේවාලාභීන්ට බලපෑම් නොකර වෙනම VDOM වල ජාල ප්රොටෝකෝල සඳහා සහය දක්වයි.
රුසියානු සමූහාණ්ඩුවේ FSB විසින් සහතික කරන ලද ගුප්ත ආරක්ෂණ මෙවලම් මත පදනම්ව ඔබට GOST-VPN - සංකේතනය ද ගොඩනගා ගත හැකිය. උදාහරණයක් ලෙස, "S-Terra virtual gateway" හෝ HSS ViPNet, APKSh "Continent", "S-Terra" යන අතථ්ය පරිසරය තුළ KS1 පන්තියේ විසඳුම් භාවිතා කිරීම.
කණ්ඩායම් ප්රතිපත්ති සකසන්න. අපි VDI මත යොදන සේවාදායක කණ්ඩායම් ප්රතිපත්ති සමඟ සම්බන්ධීකරණය කරන්නෙමු. මෙහිදී, සැකසීමේ මූලධර්ම කාර්යාලයේ ප්රතිපත්ති සැකසීමට වඩා වෙනස් නොවේ. අපි සක්රීය නාමාවලිය සමඟ ඒකාබද්ධ වීම සහ සමහර කණ්ඩායම් ප්රතිපත්තිවල පාලනය සේවාලාභීන් වෙත පවරමින් සිටිමු. කුලී නිවැසියන්ට පරිගණක වස්තුවට ප්රතිපත්ති යෙදිය හැකිය, සක්රීය නාමාවලියෙහි ආයතනික ඒකකයක් කළමනාකරණය කළ හැකිය, සහ පරිශීලකයන් නිර්මාණය කළ හැක.
FortiGate හි, එක් එක් සේවාලාභියා VDOM සඳහා, අපි ජාල ආරක්ෂණ ප්රතිපත්තියක් ලියන්නෙමු, ප්රවේශ සීමා කිරීම් සහ රථවාහන පරීක්ෂාව සකසන්නෙමු. අපි FortiGate මොඩියුල කිහිපයක් භාවිතා කරමු:
- IPS මොඩියුලය අනිෂ්ට මෘදුකාංග සඳහා ගමනාගමනය පරීක්ෂා කරන අතර ආක්රමණයන් වළක්වයි;
- ප්රති-වයිරස අනිෂ්ට මෘදුකාංග සහ ඔත්තු මෘදුකාංග වලින් ඩෙස්ක්ටොප් ආරක්ෂා කරයි;
- වෙබ් පෙරහන අනිෂ්ට හෝ නුසුදුසු අන්තර්ගතයන් සහිත විශ්වාස කළ නොහැකි සම්පත් සහ අඩවි වෙත ප්රවේශය අවහිර කරයි;
- ෆයර්වෝල් සැකසුම් මඟින් පරිශීලකයින්ට අන්තර්ජාලයට ප්රවේශ වීමට ඉඩ ලබා දෙන්නේ ඇතැම් වෙබ් අඩවි වල පමණි.
සමහර විට සේවාදායකයාට අඩවි වලට සේවක ප්රවේශය ස්වාධීනව කළමනාකරණය කිරීමට අවශ්ය වේ. බොහෝ විට බැංකු එවැනි ඉල්ලීමක් සමඟ පැමිණේ: ප්රවේශ පාලනය සමාගමේ පැත්තේ පවතින ලෙස ආරක්ෂක සේවාවන් ඉල්ලා සිටී. එවැනි සමාගම් තමන් විසින්ම ගමනාගමනය නිරීක්ෂණය කරන අතර නිතිපතා ප්රතිපත්ති වෙනස් කරයි. මෙම අවස්ථාවේදී, අපි FortiGate සිට සියලුම ගමනාගමනය සේවාදායකයා දෙසට හරවන්නෙමු. මෙය සිදු කිරීම සඳහා, අපි සමාගමේ යටිතල පහසුකම් සමඟ වින්යාසගත අතුරු මුහුණතක් භාවිතා කරමු. ඊට පසු, සේවාදායකයා විසින්ම ආයතනික ජාලයට සහ අන්තර්ජාලයට ප්රවේශ වීම සඳහා නීති වින්යාස කරයි.
ස්ථාවරයේ සිදුවීම් නැරඹීම. FortiGate සමඟ එක්ව, අපි Fortinet වෙතින් ලොග් එකතු කරන්නෙකු වන FortiAnalyzer භාවිතා කරමු. එහි ආධාරයෙන්, අපි VDI හි සියලුම සිදුවීම් ලොග එක තැනක බලා, සැක කටයුතු ක්රියාකාරකම් සොයා සහ සහසම්බන්ධතා සොයා ගනිමු.
අපගේ එක් සේවාදායකයෙක් ඔහුගේ කාර්යාලයේ Fortinet නිෂ්පාදන භාවිතා කරයි. ඒ සඳහා, අපි ලොග් උඩුගත කිරීම සකසන්නෙමු - එබැවින් සේවාලාභියාට කාර්යාල යන්ත්ර සහ අතථ්ය ඩෙස්ක්ටොප් සඳහා සියලුම ආරක්ෂක සිදුවීම් විශ්ලේෂණය කළ හැකිය.
අපි අතථ්ය ඩෙස්ක්ටොප් ආරක්ෂා කරන ආකාරය
දන්නා තර්ජන වලින්. සේවාදායකයාට ප්රති-වයිරස ආරක්ෂාව ස්වාධීනව කළමනාකරණය කිරීමට අවශ්ය නම්, අපි අතිරේකව අථත්යකරණය සඳහා Kaspersky Security ස්ථාපනය කරමු.
මෙම විසඳුම වලාකුළු තුළ හොඳින් ක්රියා කරයි. සම්භාව්ය Kaspersky ප්රති-වයිරසය “බර” විසඳුමක් බව අපි කවුරුත් පුරුදු වී සිටිමු. එය මෙන් නොව, Kaspersky Security for Virtualization අථත්ය යන්ත්ර පටවන්නේ නැත. සියලුම වෛරස් දත්ත සමුදායන් සේවාදායකයේ පිහිටා ඇත, එය සියලුම සත්කාරක අථත්ය යන්ත්ර සඳහා තීන්දු නිකුත් කරයි. අථත්ය ඩෙස්ක්ටොප් එක මත ආලෝක නියෝජිතයා පමණක් ස්ථාපනය කර ඇත. එය සත්යාපනය සඳහා ගොනු සේවාදායකයට යවයි.
මෙම ගෘහනිර්මාණ ශිල්පය එකවර ගොනු ආරක්ෂාව, අන්තර්ජාල ආරක්ෂාව, ප්රහාර වලින් ආරක්ෂාව සපයන අතර අතථ්ය යන්ත්රවල ක්රියාකාරිත්වය අඩු නොකරයි. මෙම අවස්ථාවේදී, සේවාදායකයාට ගොනු ආරක්ෂණයටම ව්යතිරේක කළ හැකිය. විසඳුමේ මූලික සැකසුම සඳහා අපි උදව් කරන්නෙමු. එහි විශේෂාංග ගැන අපි වෙනම ලිපියකින් කතා කරමු.
නොදන්නා තර්ජන වලින්. මෙය සිදු කිරීම සඳහා, අපි Fortinet වෙතින් වැලිපිල්ලක් වන FortiSandbox සම්බන්ධ කරමු. ප්රති-වයිරසයට ශුන්ය-දින තර්ජනයක් මග හැරී ගියහොත් අපි එය පෙරනයක් ලෙස භාවිතා කරමු. ගොනුව බාගත කිරීමෙන් පසුව, අපි එය ප්රථමයෙන් ප්රති-වයිරසයකින් පරීක්ෂා කර, පසුව එය වැලිපිල්ලට යවන්නෙමු. FortiSandbox අථත්ය යන්ත්රයක් අනුකරණය කරයි, ගොනුවක් දියත් කරයි සහ එහි හැසිරීම නිරීක්ෂණය කරයි: එය ප්රවේශ වන රෙජිස්ට්රියේ ඇති වස්තූන් මොනවාද, එය බාහිර ඉල්ලීම් යවන්නේද, යනාදිය. ගොනුව සැක සහිත ලෙස හැසිරෙන්නේ නම්, වැලි පෙට්ටිය සහිත VM මකා දමනු ලබන අතර අනිෂ්ට ගොනුව පරිශීලකයාගේ VDI මත තබා නැත.
VDI වෙත ආරක්ෂිත සම්බන්ධතාවයක් සකසන්නේ කෙසේද
තොරතුරු ආරක්ෂණ අවශ්යතා සමඟ උපාංගයේ අනුකූලතාවය අපි පරීක්ෂා කරමු. දුරස්ථ වැඩ ආරම්භයේ සිටම, සේවාදායකයින් ඉල්ලීම් සමඟ අප හා සම්බන්ධ වී ඇත: ඔවුන්ගේ පුද්ගලික පරිගණක වලින් පරිශීලකයින්ගේ ආරක්ෂිත ක්රියාකාරිත්වය සහතික කිරීම සඳහා. නිවසේ උපාංග ආරක්ෂා කිරීම දුෂ්කර බව ඕනෑම තොරතුරු ආරක්ෂණ විශේෂ ist යෙකු දනී: ඔබට අවශ්ය ප්රති-වයිරස එහි ස්ථාපනය කිරීමට හෝ කණ්ඩායම් ප්රතිපත්ති යෙදිය නොහැක, මේවා කාර්යාල උපකරණ නොවන බැවිනි.
පෙරනිමියෙන්, VDI පුද්ගලික උපාංගය සහ ආයතනික ජාලය අතර ආරක්ෂිත "ස්ථරයක්" බවට පත්වේ. පරිශීලකයාගේ යන්ත්රයෙන් එල්ල වන ප්රහාර වලින් VDI ආරක්ෂා කිරීම සඳහා, අපි පසුරු පුවරුව අක්රිය කරමු, USB ඉදිරියට යැවීම අක්රිය කරමු. නමුත් මෙය පරිශීලක උපාංගයම ආරක්ෂිත නොවේ.
අපි FortiClient හි සහාය ඇතිව ගැටළුව විසඳන්නෙමු. මෙය අන්ත ලක්ෂ්ය (අවසන් ලක්ෂ්ය ආරක්ෂණය) ආරක්ෂා කිරීමේ මෙවලමකි. සමාගමේ පරිශීලකයින් ඔවුන්ගේ නිවසේ පරිගණකවල FortiClient ස්ථාපනය කර අතථ්ය ඩෙස්ක්ටොප් එකකට සම්බන්ධ වීමට එය භාවිතා කරයි. FortiClient එකවර කාර්යයන් 3ක් විසඳයි:
- පරිශීලකයා සඳහා ප්රවේශය "තනි කවුළුවක්" බවට පත් වේ;
- පුද්ගලික පරිගණකයේ ප්රති-වයිරසයක් සහ නවතම OS යාවත්කාලීන තිබේදැයි පරීක්ෂා කරයි;
- ආරක්ෂිත ප්රවේශය සඳහා VPN උමගක් සාදයි.
සේවකයාට ප්රවේශය ලැබෙන්නේ එය සත්යාපනය සමත් වුවහොත් පමණි. ඒ අතරම, අථත්ය ඩෙස්ක්ටොප් අන්තර්ජාලයෙන් ප්රවේශ විය නොහැක, එයින් අදහස් කරන්නේ ඒවා ප්රහාර වලින් වඩා හොඳින් ආරක්ෂා වී ඇති බවයි.
සමාගමකට අන්ත ලක්ෂ්ය ආරක්ෂාව කළමනාකරණය කිරීමට අවශ්ය නම්, අපි FortiClient EMS (Endpoint Management Server) පිරිනමන්නෙමු. සේවාලාභියාට ඩෙස්ක්ටොප් ස්කෑන් කිරීම සහ ආක්රමණය වැළැක්වීම වින්යාස කළ හැකිය, ලිපින සුදු ලැයිස්තුවක් සෑදිය හැකිය.
සත්යාපන සාධක එකතු කරන්න. පෙරනිමියෙන්, පරිශීලකයන් Citrix netscaler හරහා සත්යාපනය කරනු ලැබේ. මෙහිදීද, SafeNet නිෂ්පාදන මත පදනම් වූ බහු සාධක සත්යාපනය සමඟින් අපට ආරක්ෂාව වැඩි කළ හැක. මෙම මාතෘකාව විශේෂ අවධානයක් ලැබිය යුතුය, අපි ඒ ගැන වෙනම ලිපියකින් කතා කරමු.
පසුගිය වසර වැඩ කාලය තුළ විවිධ විසඳුම් සමඟ වැඩ කිරීමේ එවැනි අත්දැකීම් අපි රැස් කර ගෙන ඇත. VDI සේවාව එක් එක් සේවාදායකයා සඳහා වෙන වෙනම වින්යාස කර ඇත, එබැවින් අපි වඩාත් නම්යශීලී මෙවලම් තෝරා ගත්තෙමු. සමහර විට නුදුරු අනාගතයේ දී අපි තවත් දෙයක් එකතු කර අපගේ අත්දැකීම් බෙදා ගන්නෙමු.
ඔක්තෝබර් 7 වෙනිදා 17.00 ට මගේ සගයන් webinar හි අතථ්ය ඩෙස්ක්ටොප් ගැන කතා කරනු ඇත "මට VDI අවශ්යද, නැතහොත් දුරස්ථ වැඩ සංවිධානය කරන්නේ කෙසේද?"
, VDI තාක්ෂණය සමාගමකට සුදුසු වන්නේ කවදාද සහ වෙනත් ක්රම භාවිතා කිරීම වඩා හොඳ වන්නේ කවදාද යන්න සාකච්ඡා කිරීමට ඔබට අවශ්ය නම්.
මූලාශ්රය: www.habr.com