Letos so mnoga podjetja naglo prešla na delo na daljavo. Za nekatere stranke mi organizira več kot sto oddaljenih del na teden. Pomembno je bilo, da to storimo ne le hitro, ampak tudi varno. Tehnologija VDI je priskočila na pomoč: z njeno pomočjo je priročno razdeliti varnostne politike na vsa delovna mesta in zaščititi pred uhajanjem podatkov.
V tem članku vam bom povedal, kako deluje naša storitev virtualnega namizja, ki temelji na Citrix VDI, z vidika informacijske varnosti. Pokazal vam bom, kaj počnemo za zaščito odjemalskih namizij pred zunanjimi grožnjami, kot so izsiljevalska programska oprema ali ciljni napadi.
Katere varnostne težave rešujemo?
Identificirali smo več glavnih varnostnih groženj storitve. Po eni strani je virtualno namizje izpostavljeno tveganju, da se okuži iz uporabnikovega računalnika. Po drugi strani pa obstaja nevarnost, da greste z virtualnega namizja v odprti prostor interneta in prenesete okuženo datoteko. Tudi če se to zgodi, ne bi smelo vplivati na celotno infrastrukturo. Zato smo pri ustvarjanju storitve rešili več težav:
- Ščiti celotno stojalo VDI pred zunanjimi grožnjami.
- Izolacija strank drug od drugega.
- Zaščita samih virtualnih namizij.
- Varno povežite uporabnike iz katere koli naprave.
Jedro zaščite je bil FortiGate, nova generacija požarnega zidu podjetja Fortinet. Spremlja promet kabine VDI, zagotavlja izolirano infrastrukturo za vsako stranko in ščiti pred ranljivostmi na strani uporabnika. Njegove zmogljivosti zadostujejo za rešitev večine težav z varnostjo informacij.
Če pa ima podjetje posebne varnostne zahteve, nudimo dodatne možnosti:
- Organiziramo varno povezavo za delo z domačih računalnikov.
- Omogočamo dostop za neodvisno analizo varnostnih dnevnikov.
- Nudimo upravljanje protivirusne zaščite na namiznih računalnikih.
- Ščitimo pred ranljivostmi ničelnega dne.
- Konfiguriramo večfaktorsko avtentikacijo za dodatno zaščito pred nepooblaščenimi povezavami.
Povedal vam bom podrobneje, kako smo rešili težave.
Kako zaščititi stojalo in zagotoviti varnost omrežja
Segmentirajmo mrežni del. Na stojnici izpostavljamo zaprti segment upravljanja za upravljanje vseh virov. Segment upravljanja je nedostopen od zunaj: v primeru napada na stranko napadalci ne bodo mogli priti tja.
FortiGate je odgovoren za zaščito. Združuje funkcije protivirusnega programa, požarnega zidu in sistema za preprečevanje vdorov (IPS).
Za vsakega odjemalca ustvarimo izoliran segment omrežja za virtualna namizja. Za ta namen ima FortiGate tehnologijo virtualne domene ali VDOM. Omogoča vam, da požarni zid razdelite na več virtualnih entitet in vsakemu odjemalcu dodelite lasten VDOM, ki se obnaša kot ločen požarni zid. Ustvarimo tudi ločen VDOM za segment upravljanja.
Izkazalo se je, da je naslednji diagram:
Med odjemalci ni omrežne povezave: vsak živi v svojem VDOM in ne vpliva na drugega. Brez te tehnologije bi morali odjemalce ločevati s pravili požarnega zidu, kar je tvegano zaradi človeške napake. Takšna pravila lahko primerjate z vrati, ki morajo biti nenehno zaprta. V primeru VDOM sploh ne puščamo “vrat”.
V ločenem VDOM ima odjemalec lastno naslavljanje in usmerjanje. Zato prestopanje razponov ne postane problem za podjetje. Odjemalec lahko virtualnim namizjem dodeli potrebne naslove IP. To je priročno za velika podjetja, ki imajo svoje načrte IP.
Rešujemo težave s povezljivostjo s poslovnim omrežjem naročnika. Posebna naloga je povezovanje VDI z odjemalsko infrastrukturo. Če podjetje hrani korporativne sisteme v našem podatkovnem centru, lahko preprosto napeljemo omrežni kabel od njegove opreme do požarnega zidu. Toda pogosteje imamo opravka z oddaljenim mestom - drugim podatkovnim centrom ali pisarno stranke. V tem primeru razmišljamo o varni izmenjavi s spletnim mestom in zgradimo site2site VPN z uporabo IPsec VPN.
Sheme se lahko razlikujejo glede na kompleksnost infrastrukture. Ponekod je dovolj, da povežete eno samo pisarniško omrežje z VDI - tam je dovolj statično usmerjanje. Velika podjetja imajo veliko mrež, ki se nenehno spreminjajo; tukaj odjemalec potrebuje dinamično usmerjanje. Uporabljamo različne protokole: bili so že primeri z OSPF (Open Shortest Path First), GRE tunnels (Generic Routing Encapsulation) in BGP (Border Gateway Protocol). FortiGate podpira omrežne protokole v ločenih VDOM, ne da bi to vplivalo na druge odjemalce.
Prav tako lahko zgradite GOST-VPN - šifriranje, ki temelji na sredstvih za kriptografsko zaščito, ki jih je potrdil FSB Ruske federacije. Na primer z uporabo rešitev razreda KS1 v virtualnem okolju "S-Terra Virtual Gateway" ali PAK ViPNet, APKSH "Continent", "S-Terra".
Nastavitev skupinskih pravilnikov. S stranko se dogovorimo o pravilnikih skupine, ki veljajo za VDI. Tu se načela postavljanja ne razlikujejo od določanja politik v pisarni. Vzpostavili smo integracijo z Active Directory in delegirali upravljanje nekaterih skupinskih politik na stranke. Skrbniki najemnikov lahko uporabljajo pravilnike za objekt Računalnik, upravljajo organizacijsko enoto v imeniku Active Directory in ustvarjajo uporabnike.
Na FortiGate za vsako stranko VDOM napišemo politiko varnosti omrežja, nastavimo omejitve dostopa in konfiguriramo pregled prometa. Uporabljamo več modulov FortiGate:
- IPS modul skenira promet za zlonamerno programsko opremo in preprečuje vdore;
- protivirusni program ščiti sama namizja pred zlonamerno in vohunsko programsko opremo;
- spletno filtriranje blokira dostop do nezanesljivih virov in spletnih mest z zlonamerno ali neprimerno vsebino;
- Nastavitve požarnega zidu lahko uporabnikom dovolijo dostop do interneta le do določenih spletnih mest.
Včasih želi naročnik samostojno upravljati dostop zaposlenih do spletnih strani. Pogosteje se s to zahtevo oglasijo banke: varnostne službe zahtevajo, da nadzor dostopa ostane na strani podjetja. Takšna podjetja sama spremljajo promet in redno spreminjajo politike. V tem primeru usmerimo ves promet od FortiGate proti stranki. Za to uporabljamo konfiguriran vmesnik z infrastrukturo podjetja. Po tem odjemalec sam konfigurira pravila za dostop do omrežja podjetja in interneta.
Spremljamo dogajanje na stojnici. Skupaj s FortiGate uporabljamo FortiAnalyzer, zbiralnik dnevnikov podjetja Fortinet. Z njegovo pomočjo na enem mestu pogledamo vse dnevnike dogodkov na VDI, poiščemo sumljiva dejanja in sledimo korelacijam.
Ena od naših strank uporablja izdelke Fortinet v svoji pisarni. Zanj smo konfigurirali nalaganje dnevnika - tako da je odjemalec lahko analiziral vse varnostne dogodke za pisarniške stroje in virtualna namizja.
Kako zaščititi virtualna namizja
Od znanih groženj. Če želi naročnik samostojno upravljati protivirusno zaščito, mu dodatno namestimo Kaspersky Security za virtualna okolja.
Ta rešitev dobro deluje v oblaku. Vsi smo navajeni, da je klasični protivirusni program Kaspersky "težka" rešitev. Nasprotno pa Kaspersky Security for Virtualization ne nalaga virtualnih strojev. Vse baze podatkov o virusih se nahajajo na strežniku, ki izda sodbe za vse virtualne stroje vozlišča. Na virtualnem namizju je nameščen samo lahki agent. Datoteke pošlje strežniku v preverjanje.
Ta arhitektura istočasno zagotavlja zaščito datotek, internetno zaščito in zaščito pred napadi brez ogrožanja zmogljivosti virtualnih strojev. V tem primeru lahko naročnik samostojno uvede izjeme pri zaščiti datotek. Pomagamo pri osnovni postavitvi rešitve. O njegovih značilnostih bomo govorili v ločenem članku.
Od neznanih groženj. Da bi to naredili, povežemo FortiSandbox – »peskovnik« podjetja Fortinet. Uporabljamo ga kot filter, če protivirusni program zgreši grožnjo ničelnega dne. Po prenosu datoteke najprej skeniramo z antivirusom in jo nato pošljemo v peskovnik. FortiSandbox emulira virtualni stroj, zažene datoteko in opazuje njeno vedenje: do katerih predmetov v registru se dostopa, ali pošilja zunanje zahteve itd. Če se datoteka obnaša sumljivo, se virtualni stroj v peskovniku izbriše in zlonamerna datoteka ne konča v uporabniškem VDI.
Kako vzpostaviti varno povezavo z VDI
Preverimo skladnost naprave z zahtevami glede informacijske varnosti. Že od začetka dela na daljavo se stranke na nas obračajo z zahtevami: zagotoviti varno delovanje uporabnikov z osebnih računalnikov. Vsak strokovnjak za informacijsko varnost ve, da je zaščita domačih naprav težka: ne morete namestiti potrebnega protivirusnega programa ali uporabiti skupinskih pravilnikov, ker to ni pisarniška oprema.
VDI privzeto postane varna »plast« med osebno napravo in omrežjem podjetja. Za zaščito VDI pred napadi iz uporabniškega računalnika onemogočimo odložišče in prepovemo posredovanje USB. Toda zaradi tega uporabnikova naprava sama po sebi ni varna.
Težavo rešimo s FortiClientom. To je orodje za zaščito končne točke. Uporabniki podjetja namestijo FortiClient na svoje domače računalnike in se z njim povežejo z virtualnim namizjem. FortiClient rešuje 3 težave hkrati:
- postane »eno okno« dostopa za uporabnika;
- preveri, ali ima vaš osebni računalnik protivirusni program in najnovejše posodobitve OS;
- zgradi tunel VPN za varen dostop.
Zaposleni dobi dostop le, če opravi preverjanje. Hkrati so sama virtualna namizja nedostopna iz interneta, kar pomeni, da so bolje zaščitena pred napadi.
Če želi podjetje samo upravljati zaščito končne točke, nudimo FortiClient EMS (Endpoint Management Server). Odjemalec lahko konfigurira skeniranje namizja in preprečevanje vdorov ter ustvari beli seznam naslovov.
Dodajanje faktorjev pristnosti. Privzeto se uporabniki preverjajo prek Citrix netscaler. Tudi tukaj lahko povečamo varnost z večfaktorsko avtentikacijo, ki temelji na izdelkih SafeNet. Ta tema si zasluži posebno pozornost, o tem bomo govorili tudi v ločenem članku.
Tovrstne izkušnje pri delu z različnimi rešitvami smo si nabrali v preteklem letu dela. Storitev VDI je konfigurirana za vsakega odjemalca posebej, zato smo izbrali najbolj prilagodljiva orodja. Morda bomo v bližnji prihodnosti še kaj dodali in delili svoje izkušnje.
7. oktobra ob 17.00. uri bodo moji sodelavci govorili o virtualnih namizjih na webinarju "Ali je VDI potreben ali kako organizirati delo na daljavo?"
, če želite razpravljati o tem, kdaj je tehnologija VDI primerna za podjetje in kdaj je bolje uporabiti druge metode.
Vir: www.habr.com