Tento rok mnohé firmy narýchlo prešli na prácu na diaľku. Pre niektorých klientov my organizovať viac ako sto vzdialených úloh týždenne. Bolo dôležité to urobiť nielen rýchlo, ale aj bezpečne. Technológia VDI prišla na pomoc: s jej pomocou je vhodné distribuovať bezpečnostné politiky na všetky pracoviská a chrániť pred únikom dát.
V tomto článku vám poviem, ako funguje naša služba virtuálneho desktopu založená na Citrix VDI z hľadiska informačnej bezpečnosti. Ukážem vám, čo robíme na ochranu klientskych počítačov pred vonkajšími hrozbami, ako sú ransomvér alebo cielené útoky.
Aké bezpečnostné problémy riešime?
Identifikovali sme niekoľko hlavných bezpečnostných hrozieb služby. Na jednej strane je virtuálna plocha vystavená riziku infekcie z počítača používateľa. Na druhej strane existuje nebezpečenstvo odchodu z virtuálnej plochy do voľného priestoru internetu a stiahnutia infikovaného súboru. Ak sa tak aj stane, nemalo by to ovplyvniť celú infraštruktúru. Preto sme pri vytváraní služby vyriešili niekoľko problémov:
- Chráni celý stojan VDI pred vonkajšími hrozbami.
- Izolácia klientov od seba navzájom.
- Ochrana samotných virtuálnych desktopov.
- Bezpečne pripojte používateľov z akéhokoľvek zariadenia.
Jadrom ochrany bol FortiGate, firewall novej generácie od Fortinetu. Monitoruje prevádzku kabíny VDI, poskytuje izolovanú infraštruktúru pre každého klienta a chráni pred zraniteľnosťami na strane používateľa. Jeho schopnosti sú dostatočné na vyriešenie väčšiny problémov s bezpečnosťou informácií.
Ak má však spoločnosť špeciálne požiadavky na bezpečnosť, ponúkame ďalšie možnosti:
- Organizujeme bezpečné pripojenie pre prácu z domácich počítačov.
- Poskytujeme prístup pre nezávislú analýzu bezpečnostných protokolov.
- Zabezpečujeme správu antivírusovej ochrany na desktopoch.
- Chránime sa pred zraniteľnosťami zero-day.
- Konfigurujeme viacfaktorovú autentifikáciu pre dodatočnú ochranu pred neoprávneným pripojením.
Poviem vám podrobnejšie, ako sme vyriešili problémy.
Ako chrániť stojan a zaistiť bezpečnosť siete
Poďme segmentovať sieťovú časť. V stánku vyzdvihujeme uzavretý segment manažmentu pre riadenie všetkých zdrojov. Segment správy je zvonku neprístupný: v prípade útoku na klienta sa tam útočníci nedostanú.
FortiGate je zodpovedný za ochranu. Spája v sebe funkcie antivírusu, firewallu a systému prevencie narušenia (IPS).
Pre každého klienta vytvoríme izolovaný segment siete pre virtuálne desktopy. Na tento účel má FortiGate technológiu virtuálnej domény alebo VDOM. Umožňuje rozdeliť firewall na niekoľko virtuálnych entít a každému klientovi prideliť vlastný VDOM, ktorý sa správa ako samostatný firewall. Pre segment manažmentu vytvárame aj samostatný VDOM.
Ukázalo sa, že ide o nasledujúci diagram:
Medzi klientmi neexistuje sieťová konektivita: každý žije vo svojom vlastnom VDOM a neovplyvňuje ostatných. Bez tejto technológie by sme museli oddeľovať klientov pravidlami firewallu, čo je riskantné kvôli ľudskej chybe. Takéto pravidlá môžete prirovnať k dverám, ktoré musia byť neustále zatvorené. V prípade VDOM nenechávame žiadne „dvere“.
V samostatnom VDOM má klient vlastné adresovanie a smerovanie. Prekračovanie rozsahov sa preto pre spoločnosť nestáva problémom. Klient môže virtuálnym desktopom priradiť potrebné IP adresy. To je výhodné pre veľké spoločnosti, ktoré majú svoje vlastné plány IP.
Riešime problémy s konektivitou s firemnou sieťou klienta. Samostatnou úlohou je prepojenie VDI s klientskou infraštruktúrou. Ak má spoločnosť podnikové systémy v našom dátovom centre, môžeme jednoducho viesť sieťový kábel z jej zariadenia k firewallu. Častejšie však máme do činenia so vzdialeným miestom – iným dátovým centrom alebo kanceláriou klienta. V tomto prípade myslíme na zabezpečenú výmenu s webom a vytvárame site2site VPN pomocou IPsec VPN.
Schémy sa môžu líšiť v závislosti od zložitosti infraštruktúry. Niekde stačí pripojiť jedinú kancelársku sieť na VDI - tam stačí statické smerovanie. Veľké spoločnosti majú veľa sietí, ktoré sa neustále menia; tu klient potrebuje dynamické smerovanie. Používame rôzne protokoly: už sa vyskytli prípady s OSPF (Open Shortest Path First), GRE tunely (Generic Routing Encapsulation) a BGP (Border Gateway Protocol). FortiGate podporuje sieťové protokoly v samostatných VDOM bez ovplyvnenia ostatných klientov.
Môžete tiež vybudovať GOST-VPN - šifrovanie založené na kryptografických ochranných prostriedkoch certifikovaných FSB Ruskej federácie. Napríklad pomocou riešení triedy KS1 vo virtuálnom prostredí „S-Terra Virtual Gateway“ alebo PAK ViPNet, APKSH „Continent“, „S-Terra“.
Nastavenie skupinovej politiky. S klientom sa dohodneme na skupinových politikách, ktoré sú aplikované na VDI. Tu sa princípy nastavenia nelíšia od nastavenia politík v kancelárii. Nastavili sme integráciu s Active Directory a delegovali správu niektorých zásad skupiny na klientov. Správcovia nájomníkov môžu aplikovať politiky na objekt Počítač, spravovať organizačnú jednotku v Active Directory a vytvárať používateľov.
Na FortiGate pre každého klienta VDOM napíšeme bezpečnostnú politiku siete, nastavíme obmedzenia prístupu a nakonfigurujeme kontrolu prevádzky. Používame niekoľko modulov FortiGate:
- Modul IPS skenuje prevádzku na prítomnosť škodlivého softvéru a zabraňuje prienikom;
- antivírus chráni samotné desktopy pred škodlivým softvérom a spywarom;
- filtrovanie webu blokuje prístup k nespoľahlivým zdrojom a stránkam so škodlivým alebo nevhodným obsahom;
- Nastavenia brány firewall môžu používateľom umožniť prístup na internet iba niektorým stránkam.
Niekedy chce klient samostatne spravovať prístup zamestnancov na webové stránky. Banky častejšie prichádzajú s touto požiadavkou: bezpečnostné služby vyžadujú, aby kontrola prístupu zostala na strane spoločnosti. Takéto spoločnosti sami sledujú návštevnosť a pravidelne menia pravidlá. V tomto prípade otočíme všetku návštevnosť z FortiGate smerom ku klientovi. Na tento účel používame nakonfigurované rozhranie s infraštruktúrou spoločnosti. Potom si klient sám nakonfiguruje pravidlá pre prístup do podnikovej siete a internetu.
Sledujeme dianie v stánku. Spolu s FortiGate používame FortiAnalyzer, zberač guľatiny od Fortinet. S jeho pomocou na jednom mieste prezeráme všetky protokoly udalostí na VDI, nájdeme podozrivé akcie a sledujeme korelácie.
Jeden z našich klientov používa vo svojej kancelárii produkty Fortinet. Na tento účel sme nakonfigurovali nahrávanie protokolov - klient tak mohol analyzovať všetky bezpečnostné udalosti pre kancelárske stroje a virtuálne desktopy.
Ako chrániť virtuálne plochy
Zo známych hrozieb. Ak chce klient samostatne spravovať antivírusovú ochranu, dodatočne nainštalujeme Kaspersky Security pre virtuálne prostredia.
Toto riešenie funguje dobre v cloude. Všetci sme zvyknutí na to, že klasický antivírus Kaspersky je „ťažké“ riešenie. Na rozdiel od toho Kaspersky Security for Virtualization nenačítava virtuálne počítače. Všetky vírusové databázy sú umiestnené na serveri, ktorý vydáva verdikty pre všetky virtuálne stroje uzla. Na virtuálnej ploche je nainštalovaný iba svetelný agent. Posiela súbory na server na overenie.
Táto architektúra súčasne poskytuje ochranu súborov, internetovú ochranu a ochranu pred útokmi bez toho, aby ohrozila výkon virtuálnych strojov. V tomto prípade môže klient samostatne zaviesť výnimky z ochrany súborov. Pomáhame so základným nastavením riešenia. O jeho vlastnostiach si povieme v samostatnom článku.
Z neznámych hrozieb. K tomu pripájame FortiSandbox – „sandbox“ od Fortinetu. Používame ho ako filter v prípade, že antivírus prehliadne zero-day hrozbu. Po stiahnutí súbor najprv naskenujeme antivírusom a následne odošleme do sandboxu. FortiSandbox emuluje virtuálny stroj, spúšťa súbor a sleduje jeho správanie: k akým objektom v registri sa pristupuje, či odosiela externé požiadavky atď. Ak sa súbor správa podozrivo, virtuálny počítač v karanténe sa odstráni a škodlivý súbor neskončí na VDI používateľa.
Ako nastaviť zabezpečené pripojenie k VDI
Kontrolujeme súlad zariadenia s požiadavkami na bezpečnosť informácií. Od začiatku práce na diaľku sa na nás klienti obracajú s požiadavkami: zabezpečiť bezpečnú prevádzku používateľov z ich osobných počítačov. Každý špecialista na informačnú bezpečnosť vie, že ochrana domácich zariadení je náročná: nemôžete nainštalovať potrebný antivírus ani aplikovať skupinové politiky, pretože nejde o kancelárske vybavenie.
Štandardne sa VDI stáva bezpečnou „vrstvou“ medzi osobným zariadením a podnikovou sieťou. Na ochranu VDI pred útokmi z používateľského počítača deaktivujeme schránku a zakážeme presmerovanie cez USB. To však neznamená, že samotné zariadenie používateľa je bezpečné.
Problém riešime pomocou FortiClient. Toto je nástroj na ochranu koncových bodov. Používatelia spoločnosti si nainštalujú FortiClient na svoje domáce počítače a používajú ho na pripojenie k virtuálnej ploche. FortiClient rieši 3 problémy naraz:
- sa stáva „jednotným oknom“ prístupu pre používateľa;
- skontroluje, či má váš osobný počítač antivírus a najnovšie aktualizácie operačného systému;
- vytvára VPN tunel pre bezpečný prístup.
Zamestnanec získa prístup iba vtedy, ak prejde overením. Samotné virtuálne desktopy sú zároveň nedostupné z internetu, čo znamená, že sú lepšie chránené pred útokmi.
Ak chce spoločnosť spravovať ochranu koncových bodov sama, ponúkame FortiClient EMS (Endpoint Management Server). Klient môže nakonfigurovať skenovanie pracovnej plochy a prevenciu narušenia a vytvoriť biely zoznam adries.
Pridanie faktorov autentifikácie. Používatelia sú štandardne autentifikovaní cez Citrix netscaler. Aj tu môžeme zvýšiť bezpečnosť pomocou viacfaktorovej autentifikácie založenej na produktoch SafeNet. Táto téma si zaslúži osobitnú pozornosť, o ktorej budeme hovoriť aj v samostatnom článku.
Za posledný rok práce sme nazbierali takéto skúsenosti s prácou s rôznymi riešeniami. Služba VDI je konfigurovaná samostatne pre každého klienta, preto sme zvolili najflexibilnejšie nástroje. Snáď v blízkej budúcnosti ešte niečo pridáme a podelíme sa o naše skúsenosti.
7. októbra o 17.00:XNUMX budú moji kolegovia hovoriť o virtuálnych desktopoch na webinári „Je potrebné VDI, alebo ako organizovať prácu na diaľku?“
, ak chcete diskutovať o tom, kedy je technológia VDI vhodná pre firmu a kedy je lepšie použiť iné metódy.
Zdroj: hab.com