Këtë vit, shumë kompani kaluan me nxitim në punën në distancë. Për disa klientë ne organizoni më shumë se njëqind punë të largëta në javë. Ishte e rëndësishme ta bëni këtë jo vetëm shpejt, por edhe në mënyrë të sigurt. Teknologjia VDI ka ardhur në shpëtim: me ndihmën e saj, është e përshtatshme të shpërndahen politikat e sigurisë në të gjitha vendet e punës dhe të mbrohen nga rrjedhjet e të dhënave.
Në këtë artikull do t'ju tregoj se si funksionon shërbimi ynë i desktopit virtual i bazuar në Citrix VDI nga pikëpamja e sigurisë së informacionit. Unë do t'ju tregoj se çfarë bëjmë për të mbrojtur desktopët e klientëve nga kërcënimet e jashtme si ransomware ose sulmet e synuara.
Çfarë problemesh sigurie zgjidhim?
Ne kemi identifikuar disa kërcënime kryesore të sigurisë për shërbimin. Nga njëra anë, desktopi virtual rrezikon të infektohet nga kompjuteri i përdoruesit. Nga ana tjetër, ekziston rreziku i daljes nga desktopi virtual në hapësirën e hapur të internetit dhe shkarkimi i një skedari të infektuar. Edhe nëse kjo ndodh, nuk duhet të ndikojë në të gjithë infrastrukturën. Prandaj, gjatë krijimit të shërbimit, ne zgjidhëm disa probleme:
- Mbron të gjithë stendën VDI nga kërcënimet e jashtme.
- Izolimi i klientëve nga njëri-tjetri.
- Mbrojtja e vetë desktopëve virtualë.
- Lidhni në mënyrë të sigurt përdoruesit nga çdo pajisje.
Thelbi i mbrojtjes ishte FortiGate, një mur zjarri i gjeneratës së re nga Fortinet. Ai monitoron trafikun e kabinës VDI, siguron një infrastrukturë të izoluar për çdo klient dhe mbron nga dobësitë në anën e përdoruesit. Aftësitë e tij janë të mjaftueshme për të zgjidhur shumicën e çështjeve të sigurisë së informacionit.
Por nëse një kompani ka kërkesa të veçanta sigurie, ne ofrojmë opsione shtesë:
- Ne organizojmë një lidhje të sigurt për të punuar nga kompjuterët e shtëpisë.
- Ne ofrojmë akses për analiza të pavarura të regjistrave të sigurisë.
- Ne ofrojmë menaxhim të mbrojtjes antivirus në desktop.
- Ne mbrohemi nga dobësitë e ditës zero.
- Ne konfigurojmë vërtetimin me shumë faktorë për mbrojtje shtesë kundër lidhjeve të paautorizuara.
Unë do t'ju tregoj më në detaje se si i zgjidhëm problemet.
Si të mbroni stendën dhe të siguroni sigurinë e rrjetit
Le të segmentojmë pjesën e rrjetit. Në stendë ne theksojmë një segment të mbyllur të menaxhimit për menaxhimin e të gjitha burimeve. Segmenti i menaxhimit është i paarritshëm nga jashtë: në rast të një sulmi ndaj klientit, sulmuesit nuk do të mund të arrijnë atje.
FortiGate është përgjegjës për mbrojtjen. Ai kombinon funksionet e një antivirusi, muri i zjarrit dhe sistemi i parandalimit të ndërhyrjeve (IPS).
Për çdo klient ne krijojmë një segment të izoluar rrjeti për desktopët virtualë. Për këtë qëllim, FortiGate ka teknologjinë e domenit virtual, ose VDOM. Kjo ju lejon të ndani murin e zjarrit në disa entitete virtuale dhe t'i ndani secilit klient VDOM-in e tij, i cili sillet si një mur i veçantë zjarri. Ne gjithashtu krijojmë një VDOM të veçantë për segmentin e menaxhimit.
Kjo rezulton të jetë diagrami i mëposhtëm:
Nuk ka lidhje rrjeti midis klientëve: secili jeton në VDOM-in e vet dhe nuk ndikon tek tjetri. Pa këtë teknologji, ne do të na duhej t'i veçonim klientët me rregulla të murit të zjarrit, gjë që është e rrezikshme për shkak të gabimit njerëzor. Rregulla të tilla mund t'i krahasoni me një derë që duhet të mbyllet vazhdimisht. Në rastin e VDOM-it, ne nuk lëmë "dyer" fare.
Në një VDOM të veçantë, klienti ka adresimin dhe rrugëzimin e vet. Prandaj, kalimi i kufijve nuk bëhet problem për kompaninë. Klienti mund të caktojë adresat e nevojshme IP në desktopët virtualë. Kjo është e përshtatshme për kompanitë e mëdha që kanë planet e tyre të IP.
Ne zgjidhim çështjet e lidhjes me rrjetin e korporatës së klientit. Një detyrë e veçantë është lidhja e VDI me infrastrukturën e klientit. Nëse një kompani mban sisteme të korporatës në qendrën tonë të të dhënave, ne thjesht mund të drejtojmë një kabllo rrjeti nga pajisjet e saj në murin e zjarrit. Por më shpesh kemi të bëjmë me një sit të largët - një qendër tjetër të dhënash ose zyrë klienti. Në këtë rast, ne mendojmë përmes një shkëmbimi të sigurt me sitin dhe ndërtojmë VPN site2site duke përdorur IPsec VPN.
Skemat mund të ndryshojnë në varësi të kompleksitetit të infrastrukturës. Në disa vende mjafton të lidhni një rrjet të vetëm zyre me VDI - rrugëtimi statik është i mjaftueshëm atje. Kompanitë e mëdha kanë shumë rrjete që ndryshojnë vazhdimisht; këtu klienti ka nevojë për rrugëtim dinamik. Ne përdorim protokolle të ndryshme: tashmë ka pasur raste me OSPF (Open Shortest Path First), tunele GRE (Generic Routing Encapsulation) dhe BGP (Border Gateway Protocol). FortiGate mbështet protokollet e rrjetit në VDOM të veçanta, pa ndikuar tek klientët e tjerë.
Ju gjithashtu mund të ndërtoni GOST-VPN - kriptim bazuar në mjetet e mbrojtjes kriptografike të certifikuara nga FSB e Federatës Ruse. Për shembull, përdorimi i zgjidhjeve të klasës KS1 në mjedisin virtual “S-Terra Virtual Gateway” ose PAK ViPNet, APKSH “Continent”, “S-Terra”.
Vendosja e politikave të grupit. Ne pajtohemi me klientin për politikat e grupit që zbatohen në VDI. Këtu parimet e vendosjes nuk ndryshojnë nga përcaktimi i politikave në zyrë. Ne vendosëm integrimin me Active Directory dhe delegojmë menaxhimin e disa politikave të grupit te klientët. Administratorët e qiramarrësve mund të aplikojnë politika për objektin kompjuterik, të menaxhojnë njësinë organizative në Active Directory dhe të krijojnë përdorues.
Në FortiGate, për çdo klient VDOM ne shkruajmë një politikë sigurie rrjeti, vendosim kufizime të hyrjes dhe konfigurojmë inspektimin e trafikut. Ne përdorim disa module FortiGate:
- модуль IPS проверяет трафик на зловреды и предотвращает вторжения;
- antivirusi mbron vetë desktopët nga malware dhe spyware;
- filtrimi i uebit bllokon aksesin në burime dhe faqe jo të besueshme me përmbajtje keqdashëse ose të papërshtatshme;
- Cilësimet e murit të zjarrit mund t'i lejojnë përdoruesit të hyjnë në internet vetëm në sajte të caktuara.
Ndonjëherë një klient dëshiron të menaxhojë në mënyrë të pavarur aksesin e punonjësve në faqet e internetit. Më shpesh sesa jo, bankat vijnë me këtë kërkesë: shërbimet e sigurisë kërkojnë që kontrolli i aksesit të mbetet në anën e kompanisë. Kompani të tilla vetë monitorojnë trafikun dhe rregullisht bëjnë ndryshime në politika. Në këtë rast, ne e kthejmë të gjithë trafikun nga FortiGate drejt klientit. Për ta bërë këtë, ne përdorim një ndërfaqe të konfiguruar me infrastrukturën e kompanisë. Pas kësaj, vetë klienti konfiguron rregullat për hyrjen në rrjetin e korporatës dhe internetin.
Ne i shikojmë ngjarjet në stendë. Së bashku me FortiGate ne përdorim FortiAnalyzer, një koleksionist regjistrash nga Fortinet. Me ndihmën e tij, ne shikojmë të gjitha regjistrat e ngjarjeve në VDI në një vend, gjejmë veprime të dyshimta dhe gjurmojmë korrelacionet.
Një nga klientët tanë përdor produktet Fortinet në zyrën e tyre. Për të, ne konfiguruam ngarkimin e regjistrave - kështu që klienti ishte në gjendje të analizonte të gjitha ngjarjet e sigurisë për makinat e zyrës dhe desktopët virtualë.
Si të mbroni desktopët virtualë
Nga kërcënimet e njohura. Nëse klienti dëshiron të menaxhojë në mënyrë të pavarur mbrojtjen kundër viruseve, ne instalojmë gjithashtu Kaspersky Security për mjedise virtuale.
Kjo zgjidhje funksionon mirë në re. Të gjithë jemi mësuar me faktin se antivirusi klasik Kaspersky është një zgjidhje "e rëndë". Në të kundërt, Kaspersky Security for Virtualization nuk ngarkon makinat virtuale. Të gjitha bazat e të dhënave të viruseve janë të vendosura në server, i cili lëshon verdikte për të gjitha makinat virtuale të nyjës. Vetëm agjenti i dritës është i instaluar në desktopin virtual. Ai dërgon skedarë në server për verifikim.
Kjo arkitekturë siguron njëkohësisht mbrojtje skedarësh, mbrojtje nga interneti dhe mbrojtje nga sulmet pa kompromentuar performancën e makinave virtuale. Në këtë rast, klienti mund të prezantojë në mënyrë të pavarur përjashtime nga mbrojtja e skedarëve. Ne ndihmojmë me konfigurimin bazë të zgjidhjes. Ne do të flasim për veçoritë e tij në një artikull të veçantë.
Nga kërcënimet e panjohura. Për ta bërë këtë, ne lidhim FortiSandbox - një "sandbox" nga Fortinet. Ne e përdorim atë si një filtër në rast se antivirusi humbet një kërcënim të ditës zero. Pas shkarkimit të skedarit, fillimisht e skanojmë me një antivirus dhe më pas e dërgojmë në sandbox. FortiSandbox imiton një makinë virtuale, ekzekuton skedarin dhe vëzhgon sjelljen e tij: cilat objekte në regjistër aksesohen, nëse dërgon kërkesa të jashtme etj. Nëse një skedar sillet në mënyrë të dyshimtë, makina virtuale me sandbox fshihet dhe skedari me qëllim të keq nuk përfundon në VDI të përdoruesit.
Si të vendosni një lidhje të sigurt me VDI
Ne kontrollojmë përputhshmërinë e pajisjes me kërkesat e sigurisë së informacionit. Që nga fillimi i punës në distancë, klientët na janë drejtuar me kërkesa: të sigurojmë funksionimin e sigurt të përdoruesve nga kompjuterët e tyre personal. Çdo specialist i sigurisë së informacionit e di se mbrojtja e pajisjeve shtëpiake është e vështirë: nuk mund të instaloni antivirusin e nevojshëm ose të aplikoni politika grupore, pasi kjo nuk është pajisje zyre.
По умолчанию VDI становится безопасной «прослойкой» между личным устройством и корпоративной сетью. Для защиты VDI от атак с пользовательской машины мы отключаем буфер обмена, запрещаем проброс USB. Но это не делает само пользовательское устройство безопасным.
Ne e zgjidhim problemin duke përdorur FortiClient. Ky është një mjet për mbrojtjen e pikës fundore. Përdoruesit e kompanisë instalojnë FortiClient në kompjuterët e tyre në shtëpi dhe e përdorin atë për t'u lidhur me një desktop virtual. FortiClient zgjidh 3 probleme njëherësh:
- bëhet një "dritare e vetme" aksesi për përdoruesin;
- kontrollon nëse kompjuteri juaj personal ka një antivirus dhe përditësimet më të fundit të sistemit operativ;
- строит VPN-тоннель для защищенного доступа.
Një punonjës fiton akses vetëm nëse kalon verifikimin. Në të njëjtën kohë, vetë desktopët virtualë janë të paarritshëm nga interneti, që do të thotë se ata mbrohen më mirë nga sulmet.
Nëse një kompani dëshiron të menaxhojë vetë mbrojtjen e pikës fundore, ne ofrojmë FortiClient EMS (Endpoint Management Server). Klienti mund të konfigurojë skanimin e desktopit dhe parandalimin e ndërhyrjeve dhe të krijojë një listë të bardhë adresash.
Shtimi i faktorëve të vërtetimit. Si parazgjedhje, përdoruesit vërtetohen përmes Citrix netscaler. Këtu, gjithashtu, ne mund të përmirësojmë sigurinë duke përdorur vërtetimin me shumë faktorë bazuar në produktet SafeNet. Kjo temë meriton vëmendje të veçantë; ne gjithashtu do të flasim për këtë në një artikull të veçantë.
Ne kemi grumbulluar një përvojë të tillë në punën me zgjidhje të ndryshme gjatë vitit të kaluar të punës. Shërbimi VDI është konfiguruar veçmas për çdo klient, kështu që ne zgjodhëm mjetet më fleksibël. Ndoshta në të ardhmen e afërt do të shtojmë diçka tjetër dhe do të ndajmë përvojën tonë.
Më 7 tetor në orën 17.00 kolegët e mi do të flasin për desktopët virtualë në webinarin "A është e nevojshme VDI, apo si të organizohet puna në distancë?"
, nëse doni të diskutoni kur teknologjia VDI është e përshtatshme për një kompani dhe kur është më mirë të përdorni metoda të tjera.
Burimi: www.habr.com