Taun ieu, seueur perusahaan buru-buru ngalih ka padamelan jarak jauh. Pikeun sababaraha klien kami ngatur leuwih ti saratus jobs jauh per minggu. Penting pikeun ngalakukeun ieu henteu ngan gancang, tapi ogé aman. Téknologi VDI parantos nyalametkeun: kalayan bantosanana, éta merenah pikeun nyebarkeun kawijakan kaamanan ka sadaya tempat kerja sareng ngajagi tina bocor data.
Dina tulisan ieu kuring bakal nyarioskeun ka anjeun kumaha jasa desktop virtual kami dumasar kana Citrix VDI jalan tina sudut pandang kaamanan inpormasi. Kuring bakal nunjukkeun ka anjeun naon anu urang lakukeun pikeun ngajagi desktop klien tina ancaman éksternal sapertos ransomware atanapi serangan anu ditargetkeun.
masalah kaamanan naon urang ngajawab?
Kami parantos ngaidentipikasi sababaraha ancaman kaamanan utama pikeun jasa éta. Di hiji sisi, desktop virtual ngagaduhan résiko katépaan tina komputer pangguna. Di sisi anu sanés, aya bahaya pikeun kaluar tina desktop virtual kana rohangan kabuka Internét sareng ngaunduh file anu kainféksi. Sanaos ieu kajantenan, éta henteu kedah mangaruhan sadayana infrastruktur. Ku alatan éta, nalika nyieun jasa, urang direngsekeun sababaraha masalah:
- Ngajaga sakabéh VDI nangtung tina ancaman éksternal.
- Isolasi klien tina unggal lianna.
- Ngajagi desktop virtual sorangan.
- Sambungkeun pangguna tina alat naon waé.
Inti panyalindungan éta FortiGate, firewall generasi anyar ti Fortinet. Éta ngawas lalu lintas stan VDI, nyayogikeun infrastruktur terasing pikeun unggal klien, sareng ngajagi tina kerentanan dina sisi pangguna. Kamampuhanna cekap pikeun ngabéréskeun seueur masalah kaamanan inpormasi.
Tapi upami perusahaan ngagaduhan syarat kaamanan khusus, kami nawiskeun pilihan tambahan:
- Urang ngatur sambungan aman pikeun digawé ti komputer imah.
- Urang nyadiakeun aksés pikeun analisis bebas tina log kaamanan.
- Kami nyayogikeun manajemén panyalindungan antipirus dina desktop.
- Urang ngajaga ngalawan kerentanan enol poé.
- Urang ngonpigurasikeun auténtikasi multi-faktor pikeun panyalindungan tambahan ngalawan sambungan nu teu sah.
Kuring gé ngabejaan Anjeun leuwih jéntré kumaha urang ngajawab masalah.
Kumaha ngajaga stand jeung mastikeun kaamanan jaringan
Hayu urang ngabagi bagian jaringan. Di stand kami nyorot bagéan manajemén katutup pikeun ngatur sadaya sumber. Bagéan manajemén henteu tiasa diaksés ti luar: upami aya serangan ka klien, panyerang moal tiasa dugi ka dinya.
FortiGate tanggung jawab panyalindungan. Éta ngagabungkeun fungsi antipirus, firewall, sareng sistem pencegahan intrusion (IPS).
Pikeun unggal klien kami nyiptakeun bagéan jaringan terasing pikeun desktop virtual. Pikeun tujuan ieu, FortiGate gaduh téknologi domain virtual, atanapi VDOM. Eta ngidinan Anjeun pikeun ngabagi firewall kana sababaraha éntitas maya jeung allocate unggal klien VDOM sorangan, nu behaves kawas firewall misah. Urang ogé nyieun hiji VDOM misah pikeun bagean manajemén.
Ieu tétéla jadi diagram di handap ieu:
Henteu aya konektipitas jaringan antara klien: masing-masing hirup di VDOM sorangan sareng henteu mangaruhan anu sanés. Tanpa téknologi ieu, urang kedah misahkeun klien sareng aturan firewall, anu picilakaeun kusabab kasalahan manusa. Anjeun tiasa ngabandingkeun aturan sapertos ka panto anu kedah ditutup terus. Dina kasus VDOM, urang ninggalkeun euweuh "panto" pisan.
Dina VDOM misah, klien nu boga alamat na routing sorangan. Ku alatan éta, nyebrang rentang teu jadi masalah pikeun pausahaan. Klién tiasa napelkeun alamat IP anu diperyogikeun kana desktop virtual. Ieu merenah pikeun pausahaan badag anu boga rencana IP sorangan.
Kami ngajawab masalah konektipitas sareng jaringan perusahaan klien. Tugas anu misah nyaéta nyambungkeun VDI sareng infrastruktur klien. Upami perusahaan nyimpen sistem perusahaan di pusat data urang, urang ngan saukur tiasa ngajalankeun kabel jaringan tina alatna ka firewall. Tapi leuwih sering urang keur kaayaan situs jauh - puseur data sejen atawa kantor klien urang. Dina hal ieu, urang mikir ngaliwatan bursa aman jeung situs jeung ngawangun site2site VPN maké IPsec VPN.
Skéma bisa rupa-rupa gumantung kana pajeulitna infrastruktur. Di sababaraha tempat éta cukup pikeun nyambungkeun jaringan kantor tunggal ka VDI - routing statik cukup aya. Perusahaan ageung gaduh seueur jaringan anu terus robih; di dieu klien nu peryogi routing dinamis. Urang make protokol béda: geus aya kasus kalawan OSPF (Buka Shortest Path Kahiji), torowongan GRE (Generik Routing Encapsulation) jeung BGP (Border Gateway Protocol). FortiGate ngarojong protokol jaringan dina VDOM misah, tanpa mangaruhan klien séjén.
Anjeun ogé tiasa ngawangun GOST-VPN - enkripsi dumasar kana panyalindungan kriptografis anu disertipikasi ku FSB Féderasi Rusia. Contona, ngagunakeun solusi kelas KS1 di lingkungan maya "S-Terra Virtual Gateway" atanapi PAK ViPNet, APKSH "Buana", "S-Terra".
Nyetél Kawijakan Grup. Kami satuju sareng klien ngeunaan kawijakan grup anu diterapkeun dina VDI. Di dieu prinsip netepkeun teu béda ti netepkeun kawijakan di kantor. Kami nyetél integrasi sareng Active Directory sareng utusan manajemén sababaraha kawijakan grup ka klien. Pangurus panyewa tiasa nerapkeun kabijakan kana objék Komputer, ngatur unit organisasi dina Active Directory, sareng nyiptakeun pangguna.
Dina FortiGate, pikeun tiap klien VDOM kami nulis kawijakan kaamanan jaringan, nyetel larangan aksés jeung ngonpigurasikeun inspeksi lalulintas. Kami nganggo sababaraha modul FortiGate:
- modul IPS nyeken lalulintas keur malware sarta nyegah intrusions;
- antipirus ngajaga desktop sorangan tina malware sareng spyware;
- nyaring wéb ngablokir aksés kana sumber anu teu dipercaya sareng situs anu eusina jahat atanapi henteu pantes;
- Setélan firewall bisa ngidinan pamaké pikeun ngakses Internet ngan ka loka tangtu.
Kadang klien hoyong sacara mandiri ngatur aksés karyawan kana situs wéb. Beuki sering ti moal, bank datangna kalawan pamundut ieu: jasa kaamanan merlukeun kontrol aksés tetep di sisi parusahaan. Perusahaan sapertos kitu nyalira ngawaskeun lalu lintas sareng rutin ngarobih kawijakan. Dina hal ieu, urang balikkeun sakabéh lalulintas ti FortiGate arah klien nu. Jang ngalampahkeun ieu, urang ngagunakeun panganteur ngonpigurasi kalawan infrastruktur parusahaan. Saatos ieu, klien sorangan ngonpigurasikeun aturan pikeun aksés ka jaringan perusahaan sareng Internét.
Urang lalajo acara di stand. Kalayan FortiGate kami nganggo FortiAnalyzer, kolektor log ti Fortinet. Kalayan pitulungna, urang ningali sadaya log acara dina VDI di hiji tempat, mendakan tindakan anu curiga sareng ngalacak korélasi.
Salah sahiji klien kami nganggo produk Fortinet di kantorna. Pikeun éta, kami ngonpigurasi unggah log - ku kituna klien tiasa nganalisis sadaya acara kaamanan pikeun mesin kantor sareng desktop virtual.
Kumaha ngajaga desktop virtual
Ti ancaman dipikawanoh. Upami klien hoyong sacara mandiri ngatur panyalindungan anti-virus, kami ogé masang Kaspersky Security pikeun lingkungan virtual.
Solusi ieu tiasa dianggo saé dina méga. Urang sadayana biasa kanyataan yén antipirus Kaspersky klasik mangrupikeun solusi "beurat". Sabalikna, Kaspersky Security for Virtualization henteu ngamuat mesin virtual. Sadaya basis data virus aya dina server, anu ngaluarkeun vonis pikeun sadaya mesin virtual tina node. Ngan agén lampu dipasang dina desktop virtual. Ieu ngirimkeun file ka server pikeun verifikasi.
Arsitéktur ieu sakaligus nyadiakeun panyalindungan file, panyalindungan Internet, sarta panyalindungan serangan tanpa compromising kinerja mesin virtual. Dina hal ieu, klien tiasa sacara mandiri ngenalkeun pengecualian kana panyalindungan file. Urang mantuan kalawan setelan dasar solusi. Urang bakal ngobrol ngeunaan fitur na dina artikel misah.
Tina ancaman anu teu dipikanyaho. Jang ngalampahkeun ieu, urang sambungkeun FortiSandbox - a "sandbox" ti Fortinet. Kami nganggo éta salaku panyaring upami antipirus kantun ancaman enol dinten. Saatos ngaunduh file, urang nyeken heula nganggo antipirus teras kirimkeun ka kotak pasir. FortiSandbox emulates mesin virtual, ngajalankeun file na observes kabiasaan na: naon objék dina pendaptaran diakses, naha éta ngirimkeun requests éksternal, jeung saterusna. Lamun file behaves curiga, mesin virtual sandboxed dihapus sarta file jahat teu mungkas nepi ka pamaké VDI.
Kumaha nyetél sambungan aman ka VDI
Kami pariksa patuh alat sareng syarat kaamanan inpormasi. Saprak awal gawé jauh, klien geus ditilik kami kalawan requests: pikeun mastikeun operasi aman pamaké tina komputer pribadi maranéhanana. Sakur spesialis kaamanan inpormasi terang yén ngajagi alat bumi sesah: anjeun moal tiasa masang antipirus anu diperyogikeun atanapi nerapkeun kawijakan grup, sabab ieu sanés alat kantor.
Sacara standar, VDI janten "lapisan" aman antara alat pribadi sareng jaringan perusahaan. Pikeun ngajaga VDI tina serangan ti mesin pamaké, urang nganonaktipkeun clipboard jeung nyaram diteruskeun USB. Tapi ieu henteu ngajantenkeun alat pangguna sorangan aman.
Urang ngajawab masalah ngagunakeun FortiClient. Ieu mangrupikeun alat panyalindungan titik tungtung. Pamaké perusahaan masang FortiClient dina komputer imahna sareng nganggo éta pikeun nyambung ka desktop virtual. FortiClient ngarengsekeun 3 masalah sakaligus:
- janten "jandela tunggal" aksés pikeun pamaké;
- pariksa naha komputer pribadi anjeun gaduh antipirus sareng apdet OS panganyarna;
- ngawangun torowongan VPN pikeun aksés aman.
Hiji pagawe ngan gains aksés lamun aranjeunna lulus verifikasi. Dina waktos anu sami, desktop virtual sorangan henteu tiasa diaksés tina Internét, anu hartosna langkung saé dijagi tina serangan.
Upami perusahaan hoyong ngatur panyalindungan endpoint nyalira, kami nawiskeun FortiClient EMS (Endpoint Management Server). Klién tiasa ngonpigurasikeun scanning desktop sareng pencegahan intrusion, sareng ngadamel daptar alamat bodas.
Nambahkeun faktor auténtikasi. Sacara standar, pamaké dioténtikasi ngaliwatan Citrix netscaler. Di dieu ogé, urang tiasa ningkatkeun kaamanan nganggo auténtikasi multifaktor dumasar kana produk SafeNet. Topik ieu pantes perhatian khusus, urang ogé bakal ngobrol ngeunaan ieu dina tulisan anu misah.
Kami parantos ngumpulkeun pangalaman sapertos kitu dina damel sareng solusi anu béda dina taun katukang. Ladenan VDI dikonpigurasi sacara misah pikeun unggal klien, janten kami milih alat anu paling fleksibel. Sugan dina mangsa nu bakal datang urang bakal nambahan hal sejenna sarta babagi pangalaman urang.
Dina 7 Oktober tabuh 17.00 kolega kuring bakal nyarioskeun ngeunaan desktop virtual dina webinar "Naha VDI diperyogikeun, atanapi kumaha ngatur padamelan jarak jauh?"
, upami anjeun hoyong ngabahas iraha téknologi VDI cocog pikeun perusahaan sareng nalika langkung saé ngagunakeun metode anu sanés.
sumber: www.habr.com