I år gick många företag hastigt över till distansarbete. För vissa kunder vi organisera mer än hundra distansjobb per vecka. Det var viktigt att göra detta inte bara snabbt, utan också säkert. VDI-tekniken har kommit till undsättning: med dess hjälp är det bekvämt att distribuera säkerhetspolicyer till alla arbetsplatser och skydda mot dataläckor.
I den här artikeln kommer jag att berätta hur vår virtuella skrivbordstjänst baserad på Citrix VDI fungerar ur informationssäkerhetssynpunkt. Jag ska visa dig vad vi gör för att skydda klientdatorer från externa hot som ransomware eller riktade attacker.
Vilka säkerhetsproblem löser vi?
Vi har identifierat flera huvudsakliga säkerhetshot mot tjänsten. Å ena sidan löper det virtuella skrivbordet risken att bli infekterad från användarens dator. Å andra sidan finns det en fara att gå ut från det virtuella skrivbordet till det öppna utrymmet på Internet och ladda ner en infekterad fil. Även om detta händer bör det inte påverka hela infrastrukturen. Därför löste vi flera problem när vi skapade tjänsten:
- Skyddar hela VDI-stativet från yttre hot.
- Isolering av klienter från varandra.
- Skyddar själva de virtuella skrivborden.
- Anslut användare på ett säkert sätt från vilken enhet som helst.
Kärnan i skyddet var FortiGate, en ny generations brandvägg från Fortinet. Den övervakar VDI-båstrafik, tillhandahåller en isolerad infrastruktur för varje klient och skyddar mot sårbarheter på användarsidan. Dess kapacitet är tillräcklig för att lösa de flesta informationssäkerhetsproblem.
Men om ett företag har särskilda säkerhetskrav erbjuder vi ytterligare alternativ:
- Vi organiserar en säker anslutning för att arbeta från hemdatorer.
- Vi tillhandahåller åtkomst för oberoende analys av säkerhetsloggar.
- Vi tillhandahåller hantering av antivirusskydd på stationära datorer.
- Vi skyddar mot nolldagssårbarheter.
- Vi konfigurerar multifaktorautentisering för ytterligare skydd mot obehöriga anslutningar.
Jag ska berätta mer i detalj hur vi löste problemen.
Hur man skyddar stativet och säkerställer nätverkssäkerhet
Låt oss segmentera nätverksdelen. I montern lyfter vi fram ett slutet förvaltningssegment för att hantera alla resurser. Managementsegmentet är otillgängligt från utsidan: i händelse av en attack mot klienten kommer angripare inte att kunna ta sig dit.
FortiGate ansvarar för skyddet. Den kombinerar funktionerna hos ett antivirus, brandvägg och intrångsskyddssystem (IPS).
För varje klient skapar vi ett isolerat nätverkssegment för virtuella skrivbord. För detta ändamål har FortiGate virtuell domänteknologi, eller VDOM. Det låter dig dela upp brandväggen i flera virtuella enheter och allokera varje klient sin egen VDOM, som beter sig som en separat brandvägg. Vi skapar även en separat VDOM för förvaltningssegmentet.
Detta visar sig vara följande diagram:
Det finns ingen nätverksanslutning mellan klienter: var och en bor i sin egen VDOM och påverkar inte den andra. Utan denna teknik skulle vi behöva separera klienter med brandväggsregler, vilket är riskabelt på grund av mänskliga fel. Du kan jämföra sådana regler med en dörr som ständigt måste vara stängd. När det gäller VDOM lämnar vi inga "dörrar" alls.
I en separat VDOM har klienten sin egen adressering och routing. Därför blir det inte ett problem för företaget att korsa banor. Klienten kan tilldela de nödvändiga IP-adresserna till virtuella skrivbord. Detta är praktiskt för stora företag som har sina egna IP-planer.
Vi löser anslutningsproblem med kundens företagsnätverk. En separat uppgift är att ansluta VDI med klientinfrastrukturen. Om ett företag har företagssystem i vårt datacenter kan vi helt enkelt dra en nätverkskabel från dess utrustning till brandväggen. Men oftare har vi att göra med en fjärrplats - ett annat datacenter eller en kunds kontor. I det här fallet tänker vi igenom ett säkert utbyte med webbplatsen och bygger site2site VPN med IPsec VPN.
Systemen kan variera beroende på infrastrukturens komplexitet. På vissa ställen räcker det med att ansluta ett enda kontorsnätverk till VDI – statisk routing räcker där. Stora företag har många nätverk som ständigt förändras; här behöver klienten dynamisk routing. Vi använder olika protokoll: det har redan förekommit fall med OSPF (Open Shortest Path First), GRE-tunnlar (Generic Routing Encapsulation) och BGP (Border Gateway Protocol). FortiGate stöder nätverksprotokoll i separata VDOM, utan att påverka andra klienter.
Du kan också bygga GOST-VPN - kryptering baserad på kryptografiska skyddsmedel certifierade av FSB i Ryska federationen. Till exempel att använda KS1-klasslösningar i den virtuella miljön "S-Terra Virtual Gateway" eller PAK ViPNet, APKSH "Continent", "S-Terra".
Konfigurera grupppolicyer. Vi kommer överens med kunden om grupppolicyer som tillämpas på VDI. Här skiljer sig inte principerna för inställning från att fastställa policyer på kontoret. Vi sätter upp integration med Active Directory och delegerar hantering av vissa grupppolicyer till kunder. Hyresgästadministratörer kan tillämpa policyer på datorobjektet, hantera organisationsenheten i Active Directory och skapa användare.
På FortiGate, för varje klient VDOM skriver vi en nätverkssäkerhetspolicy, ställer in åtkomstbegränsningar och konfigurerar trafikinspektion. Vi använder flera FortiGate-moduler:
- IPS-modulen söker igenom trafiken efter skadlig programvara och förhindrar intrång;
- antiviruset skyddar själva stationära datorer från skadlig programvara och spionprogram;
- webbfiltrering blockerar åtkomst till opålitliga resurser och webbplatser med skadligt eller olämpligt innehåll;
- Brandväggsinställningar kan tillåta användare att bara få åtkomst till Internet till vissa webbplatser.
Ibland vill en klient självständigt hantera anställdas åtkomst till webbplatser. Oftare än inte kommer banker med denna begäran: säkerhetstjänster kräver att åtkomstkontrollen förblir på företagets sida. Sådana företag övervakar själva trafiken och gör regelbundet ändringar i policyerna. I det här fallet vänder vi all trafik från FortiGate till klienten. För att göra detta använder vi ett konfigurerat gränssnitt med företagets infrastruktur. Efter detta konfigurerar klienten själv reglerna för åtkomst till företagets nätverk och Internet.
Vi tittar på händelserna i montern. Tillsammans med FortiGate använder vi FortiAnalyzer, en stocksamlare från Fortinet. Med dess hjälp tittar vi på alla händelseloggar på VDI på ett ställe, hittar misstänkta handlingar och spårar korrelationer.
En av våra kunder använder Fortinets produkter på sitt kontor. För det konfigurerade vi logguppladdning - så att klienten kunde analysera alla säkerhetshändelser för kontorsmaskiner och virtuella skrivbord.
Hur man skyddar virtuella skrivbord
Från kända hot. Om klienten självständigt vill hantera antivirusskydd installerar vi dessutom Kaspersky Security för virtuella miljöer.
Denna lösning fungerar bra i molnet. Vi är alla vana vid att det klassiska Kaspersky-antiviruset är en "tung" lösning. Däremot laddar inte Kaspersky Security for Virtualization virtuella maskiner. Alla virusdatabaser finns på servern, som utfärdar domar för alla virtuella maskiner i noden. Endast ljusagenten är installerad på det virtuella skrivbordet. Den skickar filer till servern för verifiering.
Denna arkitektur ger samtidigt filskydd, Internetskydd och attackskydd utan att kompromissa med prestanda hos virtuella maskiner. I det här fallet kan klienten självständigt införa undantag för filskydd. Vi hjälper till med grundläggande uppsättning av lösningen. Vi kommer att prata om dess funktioner i en separat artikel.
Från okända hot. För att göra detta kopplar vi FortiSandbox – en ”sandlåda” från Fortinet. Vi använder det som ett filter ifall antiviruset missar ett nolldagshot. Efter att ha laddat ner filen skannar vi först av den med ett antivirusprogram och skickar den sedan till sandlådan. FortiSandbox emulerar en virtuell maskin, kör filen och observerar dess beteende: vilka objekt i registret som nås, om den skickar externa förfrågningar och så vidare. Om en fil beter sig misstänkt tas den virtuella sandlådemaskinen bort och den skadliga filen hamnar inte på användarens VDI.
Hur man ställer in en säker anslutning till VDI
Vi kontrollerar enhetens överensstämmelse med informationssäkerhetskraven. Sedan början av fjärrarbete har kunder kontaktat oss med förfrågningar: för att säkerställa säker drift av användare från deras persondatorer. Alla informationssäkerhetsspecialister vet att det är svårt att skydda hemenheter: du kan inte installera det nödvändiga antivirusprogrammet eller tillämpa grupppolicyer, eftersom detta inte är kontorsutrustning.
Som standard blir VDI ett säkert "lager" mellan en personlig enhet och företagets nätverk. För att skydda VDI från attacker från användarmaskinen inaktiverar vi urklippet och förbjuder vidarebefordran av USB. Men detta gör inte själva användarens enhet säker.
Vi löser problemet med FortiClient. Detta är ett verktyg för endpoint-skydd. Företagets användare installerar FortiClient på sina hemdatorer och använder det för att ansluta till ett virtuellt skrivbord. FortiClient löser tre problem samtidigt:
- blir ett "enkelt fönster" för åtkomst för användaren;
- kontrollerar om din persondator har ett antivirusprogram och de senaste OS-uppdateringarna;
- bygger en VPN-tunnel för säker åtkomst.
En anställd får bara tillgång om de klarar verifieringen. Samtidigt är de virtuella skrivborden i sig otillgängliga från Internet, vilket innebär att de är bättre skyddade från attacker.
Om ett företag vill hantera endpoint-skydd själv erbjuder vi FortiClient EMS (Endpoint Management Server). Klienten kan konfigurera skrivbordsskanning och intrångsskydd och skapa en vit lista med adresser.
Lägga till autentiseringsfaktorer. Som standard autentiseras användare genom Citrix netscaler. Här kan vi också förbättra säkerheten med multifaktorautentisering baserad på SafeNet-produkter. Detta ämne förtjänar särskild uppmärksamhet; vi kommer också att prata om detta i en separat artikel.
Vi har samlat på oss sådan erfarenhet av att arbeta med olika lösningar under det senaste arbetsåret. VDI-tjänsten konfigureras separat för varje klient, så vi valde de mest flexibla verktygen. Kanske kommer vi inom en snar framtid att lägga till något annat och dela med oss av vår erfarenhet.
Den 7 oktober kl. 17.00 kommer mina kollegor att prata om virtuella skrivbord på webbinariet "Är VDI nödvändigt, eller hur organiserar man fjärrarbete?"
, om man vill diskutera när VDI-teknik är lämplig för ett företag och när det är bättre att använda andra metoder.
Källa: will.com