Sannadkan, shirkado badan ayaa si degdeg ah ugu wareegay shaqada fog. Qaar ka mid ah macaamiisha annagu abaabul in ka badan boqol shaqo fogfog todobaadkii. Waxay ahayd muhiim in tan si dhakhso ah loo sameeyo, laakiin sidoo kale si badbaado leh. Tiknoolajiyada VDI-da ayaa soo samatabbixisay: iyada oo caawimadeeda, ay ku habboon tahay in loo qaybiyo siyaasadaha amniga dhammaan goobaha shaqada iyo ilaalinta xogta xogta.
Maqaalkan waxaan kuu sheegi doonaa sida adeeggayaga desktop-ka ee ku saleysan Citrix VDI uu uga shaqeeyo dhanka amniga macluumaadka. Waxaan ku tusi doonaa waxa aan samayno si aan uga ilaalino miisaska macaamiisha khataraha dibadeed sida ransomware ama weerarada la bartilmaameedsado.
Waa maxay dhibaatooyinka amniga aan xalino?
Waxaan ogaanay dhowr khataraha amniga ugu waaweyn ee adeegga. Dhinaca kale, desktop-ka casriga ah wuxuu wadaa khatarta ah in laga qaado kombuyuutarka isticmaalaha. Dhanka kale, waxaa jirta khatar ah in laga baxo desktop-ka casriga ah oo la galo meel bannaan oo internetka ah oo la soo dejiyo feyl cudur leh. Xitaa haddii ay tani dhacdo, waa inaysan saameyn ku yeelan dhammaan kaabayaasha. Sidaa darteed, markii aan abuurnay adeegga, waxaan xallinay dhowr dhibaatooyin:
- Waxay ka ilaalisaa dhammaan istaagga VDI-da khataraha dibadeed.
- Kala soocida macaamiisha midba midka kale.
- Ilaalinta miisaska casriga ah laftooda.
- Si ammaan ah ugu xidh isticmaalayaasha qalab kasta.
Xudunta u ah ilaalinta waxay ahayd FortiGate, dab-damis jiil cusub oo ka yimid Fortinet. Waxay la socotaa taraafikada rugta VDI, waxay siisaa kaabayaal go'doon macmiil kasta, waxayna ka ilaalisaa dayacanka dhinaca isticmaalaha. Awoodeeda ayaa ku filan inay xalliso inta badan arrimaha amniga macluumaadka.
Laakiin haddii shirkad ay leedahay shuruudo ammaan oo gaar ah, waxaan bixinaa doorashooyin dheeraad ah:
- Waxaanu abaabulnaa xidhiidh sugan oo ka shaqaynta kombuyuutarrada guriga.
- Waxaan bixinaa marin u helida falanqaynta madax banaan ee diiwaanka amniga.
- Waxaan ku bixinaa maaraynta ilaalinta fayraska kombuyuutarrada.
- Waxaan ka ilaalinaa nuglaanshaha eber-maalin ah.
- Waxaan u habaynaynaa xaqiijinta arrimo badan oo ilaalin dheeraad ah oo ka dhan ah xidhiidhada aan la ogolayn.
Waxaan si faahfaahsan kuugu sheegi doonaa sida aan u xalinay dhibaatooyinka.
Sida loo ilaaliyo tarabuunka oo loo hubiyo amniga shabakada
Aynu kala qaybinno qaybta shabakadda. Meesha waxaan ku muujineynaa qayb maamul oo xiran oo lagu maareynayo dhammaan agabka. Qaybta maamulka waa mid aan laga heli karin dibadda: haddii ay dhacdo weerar lagu qaado macmiilka, weerarradu ma awoodi doonaan inay halkaas tagaan.
FortiGate ayaa mas'uul ka ah ilaalinta. Waxa uu isku daraa hawlaha antivirus, firewall, iyo nidaamka ka hortagga faragelinta (IPS).
Macmiil kasta waxaan u abuurnaa qayb shabakadeed oo go'doonsan oo loogu talagalay miisaska casriga ah. Ujeedadan awgeed, FortiGate waxay haysataa tignoolajiyada domain-ka ee farsamada, ama VDOM. Waxay kuu ogolaaneysaa inaad u kala qaybiso dab-damiska dhowr hay'adood oo farsamaysan oo aad u qoondayso macmiil kasta VDOM u gaar ah, kaas oo u dhaqma sida dab-damis gooni ah. Waxaan sidoo kale u abuurnaa VDOM gaar ah qaybta maamulka.
Kani waxa uu noqonayaa jaantuskan soo socda:
Ma jiro xiriir shabakadeed oo u dhexeeya macaamiisha: mid kastaa wuxuu ku nool yahay VDOM u gaar ah mana saameynayo kan kale. Tignoolajiyadan la'aanteed, waa in aan kala saarno macaamiisha leh xeerarka dab-damiska, taas oo halis u ah khaladka aadanaha. Waxaad is barbardhigi kartaa xeerarka noocaas ah albaab ay tahay in si joogto ah loo xiro. Xaaladda VDOM, kama tagno "albaab" haba yaraatee.
VDOM gaar ah, macmiilku wuxuu leeyahay ciwaan u gaar ah iyo marin u gaar ah. Sidaa darteed, kala-goynta kala-goysyadu dhib kuma aha shirkadda. Macmiilku wuxuu ku meelayn karaa ciwaannada IP-ga lagama maarmaanka ah miisaska casriga ah. Tani waxay ku habboon tahay shirkadaha waaweyn ee leh qorshahooda IP-ga.
Waxaanu ku xalinnaa arrimaha isku xidhka shabakada shirkada macmiilka. Hawl gooni ah ayaa ah in VDI-da lagu xidho kaabayaasha macmiilka. Haddii shirkadu ay ku hayso nidaamka shirkadaha ee xaruntayada xogta, waxaan si fudud uga wadi karnaa fiilada shabakada qalabkeeda ilaa dab-damiska. Laakiin marar badan waxaan la macaamilnaa goob fog - xarun kale oo xog ama xafiiska macmiilka. Xaaladdan oo kale, waxaan u maleyneynaa iyada oo loo marayo is-weydaarsi aamin ah oo lala yeesho goobta oo aan dhisno site2site VPN isticmaalaya IPsec VPN.
Nidaamyadu way kala duwanaan karaan iyadoo ku xidhan kakanaanta kaabayaasha. Meelaha qaarkood waa ku filan tahay in lagu xiro hal shabakad xafiis VDI - dariiqa toosan ayaa ku filan halkaas. Shirkadaha waaweyni waxay leeyihiin shabakado badan oo si joogto ah isbeddelaya; halkan macmiilku wuxuu u baahan yahay marin firfircoon. Waxaan isticmaalnaa hab-maamuusyo kala duwan: waxaa hore u jiray kiisas OSPF (Open Path First), GRE tunnels (Generic Routing Encapsulation) iyo BGP (Border Gateway Protocol). FortiGate waxay taageertaa borotokoolka shabakada VDOM-yada kala duwan, iyada oo aan saamaynaynin macaamiisha kale.
Waxa kale oo aad dhisi kartaa GOST-VPN - sireed ku salaysan ilaalinta cryptographic macnaheedu waa shahaado ay bixisay FSB ee Federaalka Ruushka. Tusaale ahaan, adeegsiga xalalka fasalka KS1 ee jawiga casriga ah βS-Terra Virtual Gatewayβ ama PAK ViPNet, APKSH βContinentβ, βS-Terraβ.
Dejinta Siyaasadaha Kooxda. Waxaan ku raacnay macmiilka siyaasadaha kooxda ee lagu dabaqo VDI. Halkan mabaadi'da dejinta kama duwana dejinta siyaasadaha xafiiska. Waxaan dejinay la-qabsiga Hagaha Firfircoon iyo maamulka u wakiina ee qaar ka mid ah siyaasadaha kooxda macaamiisha. Maamulayaasha kiraystaha waxay ku dabaqi karaan siyaasadaha shayga Kombayuutarka, waxay maamuli karaan qaybta ururka ee Hagaha Active, oo ay abuuraan isticmaalayaasha.
On FortiGate, macmiil kasta VDOM waxaan ku qornaa siyaasadda amniga shabakada, dejinno xaddidaadaha gelitaanka iyo habaynta kormeerka taraafikada. Waxaan isticmaalnaa dhowr qaybood oo FortiGate ah:
- Module IPS wuxuu baadhayaa taraafikada si uu u galo malware wuxuuna ka hortagaa faragelinta;
- Anti-virus-ku wuxuu ka ilaaliyaa kombuyuutarrada laftooda malware-ka iyo spyware;
- Shaandhaynta shabakadu waxay xannibtaa gelitaanka ilaha aan la isku halayn karin iyo goobaha leh waxyaabo xaasidnimo ah ama aan habboonayn;
- Dejinta Firewall waxay u oggolaan kartaa isticmaalayaasha inay galaan internetka oo keliya goobaha qaarkood.
Mararka qaarkood macmiilku wuxuu rabaa inuu si madax-bannaan u maareeyo gelitaanka shaqaalaha ee shabakadaha. Inta badan, bangiyada waxay la yimaadaan codsigan: adeegyada ammaanku waxay u baahan yihiin in xakamaynta gelitaanka ay ku sii jirto dhinaca shirkadda. Shirkadaha noocan oo kale ah laftoodu waxay la socdaan taraafikada waxayna si joogto ah isbeddel ugu sameeyaan siyaasadaha. Xaaladdan oo kale, waxaan dhammaan taraafikada FortiGate u leexinaynaa dhinaca macmiilka. Si tan loo sameeyo, waxaan isticmaalnaa is-dhexgal la habeeyey oo leh kaabayaasha shirkadda. Taas ka dib, macmiilka laftiisa ayaa dejinaya xeerarka gelitaanka shabakadda shirkadaha iyo internetka.
Waxaan daawanaa dhacdooyinka goobta taagan. Si wada jir ah FortiGate waxaan isticmaalnaa FortiAnalyzer, oo ah ururiyaha log ee Fortinet. Caawinteeda, waxaan ku eegeynaa dhammaan diiwaannada dhacdooyinka ee VDI hal meel, hel ficillada shakiga leh iyo raad raac xiriirka.
Mid ka mid ah macaamiisheena ayaa ku isticmaala alaabada Fortinet xafiiskooda. Taas awgeed, waxaan u habaynay gelinta log- si macmiilku u awooday inuu falanqeeyo dhammaan dhacdooyinka amniga ee mashiinnada xafiisyada iyo miisaska casriga ah.
Sida loo ilaaliyo desktop-yada casriga ah
Laga soo bilaabo hanjabaad la yaqaan. Haddii macmiilku rabo inuu si madaxbanaan u maareeyo ilaalinta fayraska-ka-hortagga, waxaanu sidoo kale ku rakibnaa Kaspersky Security ee bey'adaha farsamada.
Xalkani wuxuu si fiican ugu shaqeeyaa daruuraha. Dhammaanteen waxaan la qabsannay xaqiiqda ah in Kaspersky-ka caadiga ah uu yahay xal "culus". Taas bedelkeeda, Kaspersky Security for Virtualization ma rarto mishiinnada farsamada. Dhammaan kaydadka fayraska waxay ku yaalliin server-ka, kaas oo soo saara xukunnada dhammaan mashiinnada farsamada ee noodhka. Keliya wakiilka iftiinka ayaa lagu rakibay miiska farsamada. Waxay u dirtaa faylasha server-ka si loo xaqiijiyo.
Nashqadani waxay si isku mar ah u bixisaa ilaalinta faylalka, ilaalinta internetka, ka ilaalinta weerarada, mana yarayso waxqabadka mashiinada farsamada. Xaaladdan oo kale, macmiilku wuxuu si madax-bannaan u soo bandhigi karaa ka-reebis ilaalinta faylka. Waxaan ka caawineynaa dejinta aasaasiga ah ee xalka. Waxaan kaga hadli doonaa sifooyinkeeda maqaal gaar ah.
Laga soo bilaabo hanjabaad aan la garanayn. Si tan loo sameeyo, waxaan isku xireynaa FortiSandbox - "sandbox" ka Fortinet. Waxaan u isticmaalnaa shaandheyn ahaan haddii ay dhacdo in fayraska uu seego khatar-maalin eber ah. Ka dib marka faylka la soo dejiyo, waxaan marka hore ku sawirnaa antivirus ka dibna u dirnaa sanduuqa ciidda. FortiSandbox waxay ku daydaa mashiinka farsamada, waxay socodsiisaa faylka oo fiirisaa habdhaqankeeda: waxa shayga diiwaanka ku jira ee la galo, haddii ay soo dirto codsiyada dibadda, iyo wixii la mid ah. Haddii fayl uu u dhaqmo si shaki leh, mashiinka farsamada ee bacaadka leh waa la tirtirayaa oo faylka xaasidnimadu kuma dhammaanayo isticmaale VDI.
Sida loo sameeyo xiriir aamin ah VDI
Waxaan hubinaa u hoggaansanaanta aaladda shuruudaha amniga macluumaadka. Tan iyo bilawgii shaqada fogaanta, macaamiishu waxay nagu soo dhawaadeen codsiyo: si loo hubiyo hawlgalka badbaadada leh ee isticmaalayaasha kombuyuutarkooda gaarka ah. Khabiir kasta oo ku takhasusay amniga macluumaadka ayaa og in ilaalinta aaladaha guriga ay adag tahay: ma rakibi kartid ka-hortagga lagama maarmaanka ah ama ma adeegsan kartid siyaasadaha kooxda, maadaama aysan tani ahayn qalab xafiis.
Sida caadiga ah, VDI waxay noqotaa "lakab" aamin ah oo u dhexeeya qalabka gaarka ah iyo shabakadda shirkadda. Si aan VDI-da uga ilaalino weerrarada mashiinka isticmaale, waxaanu joojinaa sabuuradda, waxaanan mamnuucnay gudbinta USB-ga. Laakiin tani kama dhigayso qalabka isticmaalaha laftiisa mid sugan.
Waxaan xallinaa dhibaatada anagoo adeegsanayna FortiClient. Kani waa aalad ilaalinta barta dhamaadka. Isticmaalayaasha shirkadu waxay ku rakibaan FortiClient kombuyuutarrada gurigooda waxayna u isticmaalaan inay ku xidhaan miisamka casriga ah. FortiClient waxay xallisaa 3 dhibaato hal mar:
- wuxuu noqdaa "daaqadaha keliya" ee isticmaalaha;
- wuxuu hubiyaa in kombuyuutarkaaga gaarka ahi leeyahay antivirus iyo casriyaynta OS ee ugu dambeysay;
- waxay dhistaa tunnel VPN si loo helo ammaan sugan.
Shaqaaluhu wuxuu heli karaa oo keliya haddii uu ka gudbo xaqiijinta. Isla mar ahaantaana, miisaska casriga ah laftoodu waa kuwo aan laga heli karin internetka, taas oo macnaheedu yahay inay si fiican uga ilaalinayaan weerarada.
Haddii shirkad ay rabto inay maamusho ilaalinta barta dhamaadka lafteeda, waxaan bixinaa FortiClient EMS (Server Maareynta Dhamaadka). Macmiilku waxa uu habayn karaa iskaanka desktop-ka iyo ka-hortagga faragelinta, oo waxa uu samayn karaa liis cad oo cinwaano ah.
Ku darida qodobbada xaqiijinta Sida caadiga ah, isticmaalayaasha waxaa lagu xaqiijiyay Citrix netscaler. Halkan, sidoo kale, waxaan ku wanaajin karnaa amniga anagoo adeegsanayna xaqiijinta dhinacyo badan oo ku saleysan alaabada SafeNet. Mawduucan wuxuu mudan yahay fiiro gaar ah, waxaan sidoo kale uga hadli doonaa arrintan maqaal gaar ah.
Waxaan soo ururinay waayo-aragnimada noocaas ah ee la shaqeynta xalal kala duwan sannadkii hore ee shaqada. Adeegga VDI waxa si gaar ah loogu habeeyey macmiil kasta, sidaa awgeed waxaanu dooranay qalabka ugu dabacsan. Waxaa laga yaabaa in mustaqbalka dhow aan wax kale ku darno oo aan wadaagno khibradeena.
Oktoobar 7 saacada 17.00 asxaabteyda ayaa ka hadli doona wax ku saabsan miisaska casriga ah ee webinar "VDI lagama maarmaan ma tahay, mise sida loo abaabulo shaqo fog?"
, haddii aad rabto inaad ka hadasho marka farsamada VDI ay ku habboon tahay shirkad iyo marka ay fiican tahay in la isticmaalo hababka kale.
Source: www.habr.com