Ове године многе компаније су ужурбано прешле на рад на даљину. За неке клијенте ми организује више од стотину удаљених послова недељно. Било је важно то учинити не само брзо, већ и безбедно. ВДИ технологија је дошла у помоћ: уз њену помоћ је згодно дистрибуирати безбедносне политике на сва радна места и штитити од цурења података.
У овом чланку ћу вам рећи како наша услуга виртуелне радне површине заснована на Цитрик ВДИ функционише са тачке гледишта безбедности информација. Показаћу вам шта радимо да заштитимо клијентске радне површине од спољних претњи као што су рансомваре или циљани напади.
Које безбедносне проблеме решавамо?
Идентификовали смо неколико главних безбедносних претњи за услугу. С једне стране, виртуелна радна површина ризикује да буде заражена са рачунара корисника. С друге стране, постоји опасност од изласка са виртуелне радне површине на отворени простор Интернета и преузимања заражене датотеке. Чак и ако се то догоди, то не би требало да утиче на целокупну инфраструктуру. Стога смо приликом креирања услуге решили неколико проблема:
- Штити цео ВДИ штанд од спољних претњи.
- Изолација клијената једних од других.
- Заштита самих виртуелних десктопа.
- Безбедно повежите кориснике са било ког уређаја.
Срж заштите био је ФортиГате, заштитни зид нове генерације компаније Фортинет. Он прати промет ВДИ штанда, обезбеђује изоловану инфраструктуру за сваког клијента и штити од рањивости на страни корисника. Његове могућности су довољне за решавање већине проблема безбедности информација.
Али ако компанија има посебне безбедносне захтеве, нудимо додатне опције:
- Организујемо сигурну везу за рад са кућних рачунара.
- Пружамо приступ за независну анализу сигурносних дневника.
- Пружамо управљање антивирусном заштитом на десктоп рачунарима.
- Штитимо се од рањивости нултог дана.
- Конфигуришемо вишефакторску аутентификацију за додатну заштиту од неовлашћених веза.
Рећи ћу вам детаљније како смо решили проблеме.
Како заштитити штанд и осигурати сигурност мреже
Хајде да сегментирамо мрежни део. На штанду издвајамо затворени сегмент управљања за управљање свим ресурсима. Сегмент управљања је недоступан споља: у случају напада на клијента, нападачи неће моћи да дођу тамо.
ФортиГате је одговоран за заштиту. Комбинује функције антивирусног програма, заштитног зида и система за спречавање упада (ИПС).
За сваког клијента креирамо изоловани мрежни сегмент за виртуелне десктопе. За ову сврху, ФортиГате има технологију виртуелног домена, или ВДОМ. Омогућава вам да поделите заштитни зид на неколико виртуелних ентитета и сваком клијенту доделите сопствени ВДОМ, који се понаша као посебан заштитни зид. Такође креирамо посебан ВДОМ за сегмент управљања.
Испоставило се да је ово следећи дијаграм:
Не постоји мрежна повезаност између клијената: сваки живи у свом ВДОМ-у и не утиче на другог. Без ове технологије, морали бисмо да одвојимо клијенте правилима заштитног зида, што је ризично због људске грешке. Таква правила можете упоредити са вратима која треба стално затварати. У случају ВДОМ-а уопште не остављамо „врата“.
У посебном ВДОМ-у, клијент има своје адресирање и рутирање. Дакле, прелазак домета не представља проблем за компанију. Клијент може да додели неопходне ИП адресе виртуелним радним површинама. Ово је згодно за велике компаније које имају сопствене ИП планове.
Решавамо проблеме повезивања са корпоративном мрежом клијента. Посебан задатак је повезивање ВДИ-а са клијентском инфраструктуром. Ако компанија држи корпоративне системе у нашем дата центру, можемо једноставно да повежемо мрежни кабл од њене опреме до заштитног зида. Али чешће имамо посла са удаљеном локацијом - другим центром података или канцеларијом клијента. У овом случају, размишљамо о безбедној размени са сајтом и градимо сите2сите ВПН користећи ИПсец ВПН.
Шеме се могу разликовати у зависности од сложености инфраструктуре. На неким местима је довољно повезати једну канцеларијску мрежу на ВДИ - тамо је довољно статичко рутирање. Велике компаније имају много мрежа које се стално мењају; овде је клијенту потребно динамичко рутирање. Користимо различите протоколе: већ је било случајева са ОСПФ (Опен Схортест Патх Фирст), ГРЕ тунелима (Генериц Роутинг Енцапсулатион) и БГП (Бордер Гатеваи Протоцол). ФортиГате подржава мрежне протоколе у засебним ВДОМ-овима, без утицаја на друге клијенте.
Такође можете изградити ГОСТ-ВПН - шифровање засновано на средствима криптографске заштите која је сертификована од стране ФСБ Руске Федерације. На пример, коришћењем решења класе КС1 у виртуелном окружењу „С-Терра Виртуал Гатеваи” или ПАК ВиПНет, АПКСХ „Цонтинент”, „С-Терра”.
Подешавање смерница групе. Са клијентом се договарамо о групним политикама које се примењују на ВДИ. Овде се принципи постављања не разликују од постављања политике у канцеларији. Поставили смо интеграцију са активним директоријумом и делегирали управљање неким групним политикама клијентима. Администратори станара могу да примењују смернице на објекат Цомпутер, управљају организационом јединицом у Ацтиве Дирецтори-у и креирају кориснике.
На ФортиГате-у, за сваки клијент ВДОМ пишемо безбедносну политику мреже, постављамо ограничења приступа и конфигуришемо инспекцију саобраћаја. Користимо неколико ФортиГате модула:
- ИПС модул скенира саобраћај у потрази за малвером и спречава упаде;
- антивирус штити саме радне површине од малвера и шпијунског софтвера;
- веб филтрирање блокира приступ непоузданим ресурсима и сајтовима са злонамерним или неприкладним садржајем;
- Подешавања заштитног зида могу омогућити корисницима приступ Интернету само одређеним сајтовима.
Понекад клијент жели да самостално управља приступом запослених веб локацијама. Банке најчешће долазе са овим захтевом: безбедносне службе захтевају да контрола приступа остане на страни компаније. Такве компаније саме прате саобраћај и редовно мењају политике. У овом случају, сав саобраћај од ФортиГате-а окрећемо ка клијенту. Да бисмо то урадили, користимо конфигурисани интерфејс са инфраструктуром компаније. Након тога, клијент сам конфигурише правила за приступ корпоративној мрежи и Интернету.
Гледамо дешавања на штанду. Заједно са ФортиГате-ом користимо ФортиАнализер, сакупљач дневника из Фортинет-а. Уз његову помоћ прегледамо све дневнике догађаја на ВДИ на једном месту, проналазимо сумњиве радње и пратимо корелације.
Један од наших клијената користи Фортинет производе у својој канцеларији. За то смо конфигурисали отпремање дневника - тако да је клијент могао да анализира све безбедносне догађаје за канцеларијске машине и виртуелне радне површине.
Како заштитити виртуелне радне површине
Од познатих претњи. Ако клијент жели да самостално управља антивирусном заштитом, додатно инсталирамо Касперски Сецурити за виртуелна окружења.
Ово решење добро функционише у облаку. Сви смо навикли на чињеницу да је класични Касперски антивирус „тешко“ решење. Насупрот томе, Касперски Сецурити фор Виртуализатион не учитава виртуелне машине. Све базе података вируса се налазе на серверу, који издаје пресуде за све виртуелне машине чвора. Само светлосни агент је инсталиран на виртуелној радној површини. Шаље датотеке серверу на верификацију.
Ова архитектура истовремено пружа заштиту датотека, Интернет заштиту и заштиту од напада без угрожавања перформанси виртуелних машина. У овом случају, клијент може самостално увести изузетке за заштиту датотека. Помажемо у основном подешавању решења. О његовим карактеристикама ћемо говорити у посебном чланку.
Од непознатих претњи. Да бисмо то урадили, повезујемо ФортиСандбок – „пешчаник“ из Фортинет-а. Користимо га као филтер у случају да антивирус пропусти претњу нултог дана. Након преузимања датотеке, прво је скенирамо антивирусом, а затим шаљемо у сандбок. ФортиСандбок емулира виртуелну машину, покреће датотеку и посматра њено понашање: којим објектима у регистру се приступа, да ли шаље спољне захтеве и тако даље. Ако се датотека понаша сумњиво, виртуелна машина у заштићеном окружењу се брише и злонамерна датотека не завршава на корисничком ВДИ-у.
Како поставити безбедну везу са ВДИ
Проверавамо усклађеност уређаја са захтевима за безбедност информација. Од почетка рада на даљину, клијенти су нам се обраћали са захтевима: да обезбедимо безбедан рад корисника са њихових персоналних рачунара. Сваки стручњак за безбедност информација зна да је заштита кућних уређаја тешка: не можете инсталирати неопходан антивирус или применити групне политике, јер ово није канцеларијска опрема.
Подразумевано, ВДИ постаје безбедан „слој“ између личног уређаја и корпоративне мреже. Да бисмо заштитили ВДИ од напада са корисничке машине, онемогућавамо клипборд и забрањујемо УСБ прослеђивање. Али то не чини сам уређај корисника безбедним.
Проблем решавамо користећи ФортиЦлиент. Ово је алат за заштиту крајњих тачака. Корисници компаније инсталирају ФортиЦлиент на своје кућне рачунаре и користе га за повезивање са виртуелном радном површином. ФортиЦлиент решава 3 проблема одједном:
- постаје „један прозор“ приступа за корисника;
- проверава да ли ваш лични рачунар има антивирус и најновије верзије ОС-а;
- гради ВПН тунел за сигуран приступ.
Запослени добија приступ само ако прође верификацију. Истовремено, сами виртуелни десктопи су недоступни са Интернета, што значи да су боље заштићени од напада.
Ако компанија жели да сама управља заштитом крајњих тачака, нудимо ФортиЦлиент ЕМС (Ендпоинт Манагемент Сервер). Клијент може да конфигурише скенирање радне површине и спречавање упада и креира белу листу адреса.
Додавање фактора аутентификације. Подразумевано, аутентикација корисника се врши преко Цитрик нетсцалера. И овде можемо побољшати безбедност коришћењем вишефакторске аутентификације засноване на СафеНет производима. Ова тема заслужује посебну пажњу, о томе ћемо такође говорити у посебном чланку.
Такво искуство у раду са различитим решењима стекли смо у протеклих годину дана рада. ВДИ услуга се конфигурише посебно за сваког клијента, тако да смо изабрали најфлексибилније алате. Можда ћемо у блиској будућности додати још нешто и поделити своје искуство.
7. октобра у 17.00 моје колеге ће говорити о виртуелним десктопима на вебинару „Да ли је ВДИ неопходан или како организовати рад на даљину?“
, ако желите да разговарате о томе када је ВДИ технологија погодна за компанију, а када је боље користити друге методе.
Извор: ввв.хабр.цом