Mwaka huu, kampuni nyingi zilibadilisha haraka kazi za mbali. Kwa baadhi ya wateja sisi panga kazi zaidi ya mia moja kwa wiki. Ilikuwa muhimu kufanya hivyo si kwa haraka tu, bali pia kwa usalama. Teknolojia ya VDI imekuja kuwaokoa: kwa msaada wake, ni rahisi kusambaza sera za usalama kwa maeneo yote ya kazi na kulinda dhidi ya uvujaji wa data.
Katika nakala hii nitakuambia jinsi huduma yetu ya kompyuta ya mezani kulingana na Citrix VDI inavyofanya kazi kutoka kwa mtazamo wa usalama wa habari. Nitakuonyesha tunachofanya ili kulinda kompyuta za mezani za mteja dhidi ya vitisho vya nje kama vile ransomware au mashambulizi yanayolengwa.
Je, tunatatua matatizo gani ya usalama?
Tumetambua matishio kadhaa kuu ya usalama kwa huduma. Kwa upande mmoja, kompyuta ya mezani inaendesha hatari ya kuambukizwa kutoka kwa kompyuta ya mtumiaji. Kwa upande mwingine, kuna hatari ya kutoka kwenye eneo-kazi la kawaida hadi kwenye nafasi ya wazi ya Mtandao na kupakua faili iliyoambukizwa. Hata kama hii itatokea, haipaswi kuathiri miundombinu yote. Kwa hivyo, wakati wa kuunda huduma, tulitatua shida kadhaa:
- Hulinda msimamo mzima wa VDI dhidi ya vitisho vya nje.
- Kutengwa kwa wateja kutoka kwa kila mmoja.
- Kulinda kompyuta za mezani zenyewe.
- Unganisha watumiaji kwa usalama kutoka kwa kifaa chochote.
Msingi wa ulinzi ulikuwa FortiGate, firewall ya kizazi kipya kutoka Fortinet. Inafuatilia trafiki ya kibanda cha VDI, hutoa miundombinu iliyotengwa kwa kila mteja, na hulinda dhidi ya udhaifu kwa upande wa mtumiaji. Uwezo wake unatosha kutatua masuala mengi ya usalama wa habari.
Lakini ikiwa kampuni ina mahitaji maalum ya usalama, tunatoa chaguzi za ziada:
- Tunapanga muunganisho salama wa kufanya kazi kutoka kwa kompyuta za nyumbani.
- Tunatoa ufikiaji wa uchanganuzi huru wa kumbukumbu za usalama.
- Tunatoa usimamizi wa ulinzi wa antivirus kwenye kompyuta za mezani.
- Tunalinda dhidi ya athari za siku sifuri.
- Tunasanidi uthibitishaji wa vipengele vingi kwa ulinzi wa ziada dhidi ya miunganisho isiyoidhinishwa.
Nitakuambia kwa undani zaidi jinsi tulivyotatua matatizo.
Jinsi ya kulinda stendi na kuhakikisha usalama wa mtandao
Wacha tugawanye sehemu ya mtandao. Kwenye stendi tunaangazia sehemu ya usimamizi iliyofungwa ya kudhibiti rasilimali zote. Sehemu ya usimamizi haipatikani kutoka nje: katika tukio la shambulio kwa mteja, washambuliaji hawataweza kufika huko.
FortiGate inawajibika kwa ulinzi. Inachanganya kazi za kingavirusi, ngome, na mfumo wa kuzuia uvamizi (IPS).
Kwa kila mteja tunaunda sehemu ya mtandao iliyotengwa kwa kompyuta za mezani. Kwa kusudi hili, FortiGate ina teknolojia ya kikoa pepe, au VDOM. Inakuruhusu kugawanya ngome katika vyombo kadhaa pepe na kutenga kila mteja VDOM yake, ambayo hufanya kama ngome tofauti. Pia tunaunda VDOM tofauti kwa sehemu ya usimamizi.
Hii inageuka kuwa mchoro ufuatao:
Hakuna muunganisho wa mtandao kati ya wateja: kila mmoja anaishi katika VDOM yake na haiathiri mwingine. Bila teknolojia hii, tungelazimika kutenganisha wateja na sheria za ngome, ambayo ni hatari kwa sababu ya makosa ya kibinadamu. Unaweza kulinganisha sheria kama hizo na mlango ambao lazima umefungwa kila wakati. Katika kesi ya VDOM, hatuachi "milango" hata kidogo.
Katika VDOM tofauti, mteja ana anwani na uelekezaji wake. Kwa hivyo, kuvuka safu haiwi shida kwa kampuni. Mteja anaweza kugawa anwani za IP zinazohitajika kwa kompyuta za mezani. Hii ni rahisi kwa makampuni makubwa ambayo yana mipango yao ya IP.
Tunatatua masuala ya muunganisho na mtandao wa kampuni wa mteja. Kazi tofauti ni kuunganisha VDI na miundombinu ya mteja. Ikiwa kampuni itaweka mifumo ya ushirika katika kituo chetu cha data, tunaweza tu kuendesha kebo ya mtandao kutoka kwa vifaa vyake hadi ngome. Lakini mara nyingi zaidi tunashughulika na tovuti ya mbali - kituo kingine cha data au ofisi ya mteja. Katika hali hii, tunafikiria kupitia ubadilishanaji salama na tovuti na kujenga site2site VPN kwa kutumia IPsec VPN.
Mipango inaweza kutofautiana kulingana na ugumu wa miundombinu. Katika maeneo mengine inatosha kuunganisha mtandao wa ofisi moja kwa VDI - njia ya tuli inatosha huko. Makampuni makubwa yana mitandao mingi ambayo inabadilika mara kwa mara; hapa mteja anahitaji uelekezaji wa nguvu. Tunatumia itifaki tofauti: tayari kumekuwa na visa vya OSPF (Open Shortest Njia ya Kwanza), vichuguu vya GRE (Generic Routing Encapsulation) na BGP (Border Gateway Protocol). FortiGate inasaidia itifaki za mtandao katika VDOM tofauti, bila kuathiri wateja wengine.
Unaweza pia kujenga GOST-VPN - usimbaji fiche kulingana na njia za ulinzi wa siri zilizoidhinishwa na FSB ya Shirikisho la Urusi. Kwa mfano, kwa kutumia suluhu za darasa la KS1 katika mazingira pepe ya βS-Terra Virtual Gatewayβ au PAK ViPNet, APKSH βContinentβ, βS-Terraβ.
Kuanzisha Sera za Kikundi. Tunakubaliana na mteja kuhusu sera za kikundi ambazo zinatumika kwenye VDI. Hapa kanuni za kuweka hazina tofauti na kuweka sera ofisini. Tunaanzisha muunganisho na Active Directory na kukabidhi usimamizi wa baadhi ya sera za kikundi kwa wateja. Wasimamizi wa wapangaji wanaweza kutumia sera kwa kifaa cha Kompyuta, kudhibiti kitengo cha shirika katika Saraka Inayotumika, na kuunda watumiaji.
Kwenye FortiGate, kwa kila mteja VDOM tunaandika sera ya usalama ya mtandao, kuweka vikwazo vya kufikia na kusanidi ukaguzi wa trafiki. Tunatumia moduli kadhaa za FortiGate:
- Moduli ya IPS inakagua trafiki kwa programu hasidi na kuzuia uingiliaji;
- antivirus inalinda desktops wenyewe kutoka kwa programu hasidi na spyware;
- uchujaji wa mtandao huzuia ufikiaji wa rasilimali na tovuti zisizoaminika zilizo na maudhui mabaya au yasiyofaa;
- Mipangilio ya Firewall inaweza kuruhusu watumiaji kufikia Mtandao kwenye tovuti fulani pekee.
Wakati mwingine mteja anataka kudhibiti ufikiaji wa wavuti kwa wafanyikazi kwa uhuru. Mara nyingi zaidi kuliko hivyo, benki huja na ombi hili: huduma za usalama zinahitaji kwamba udhibiti wa upatikanaji ubaki upande wa kampuni. Kampuni kama hizo zenyewe hufuatilia trafiki na hufanya mabadiliko ya sera mara kwa mara. Katika kesi hii, tunageuza trafiki yote kutoka FortiGate kuelekea mteja. Ili kufanya hivyo, tunatumia kiolesura kilichowekwa na miundombinu ya kampuni. Baada ya hayo, mteja mwenyewe hutengeneza sheria za upatikanaji wa mtandao wa ushirika na mtandao.
Tunatazama matukio kwenye stendi. Pamoja na FortiGate tunatumia FortiAnalyzer, mkusanyaji wa kumbukumbu kutoka Fortinet. Kwa msaada wake, tunaangalia kumbukumbu zote za matukio kwenye VDI katika sehemu moja, kupata vitendo vya kutiliwa shaka na kufuatilia uwiano.
Mmoja wa wateja wetu hutumia bidhaa za Fortinet katika ofisi zao. Kwa ajili yake, tulisanidi upakiaji wa kumbukumbu - kwa hivyo mteja aliweza kuchanganua matukio yote ya usalama kwa mashine za ofisi na kompyuta za mezani.
Jinsi ya kulinda kompyuta za mezani
Kutoka kwa vitisho vinavyojulikana. Ikiwa mteja anataka kusimamia kwa uhuru ulinzi wa kupambana na virusi, sisi pia huweka Usalama wa Kaspersky kwa mazingira ya kawaida.
Suluhisho hili linafanya kazi vizuri katika wingu. Sisi sote tumezoea ukweli kwamba antivirus ya Kaspersky ya classic ni suluhisho "nzito". Kwa kulinganisha, Usalama wa Kaspersky kwa Virtualization haipakia mashine za kawaida. Hifadhidata zote za virusi ziko kwenye seva, ambayo hutoa uamuzi kwa mashine zote za kawaida za nodi. Ni wakala wa mwanga pekee ndiye aliyesakinishwa kwenye eneo-kazi pepe. Inatuma faili kwa seva kwa uthibitishaji.
Usanifu huu kwa wakati mmoja hutoa ulinzi wa faili, ulinzi wa Mtandao, na ulinzi wa mashambulizi bila kuathiri utendaji wa mashine pepe. Katika kesi hii, mteja anaweza kujitegemea kuanzisha isipokuwa kwa ulinzi wa faili. Tunasaidia na usanidi wa msingi wa suluhisho. Tutazungumzia kuhusu vipengele vyake katika makala tofauti.
Kutoka kwa vitisho visivyojulikana. Ili kufanya hivyo, tunaunganisha FortiSandbox - "sandbox" kutoka Fortinet. Tunaitumia kama kichujio ikiwa antivirus itakosa tishio la siku sifuri. Baada ya kupakua faili, tunaichambua kwanza na antivirus na kisha kuituma kwenye sanduku la mchanga. FortiSandbox inaiga mashine ya kawaida, inaendesha faili na inachunguza tabia yake: ni vitu gani kwenye Usajili vinavyopatikana, ikiwa inatuma maombi ya nje, na kadhalika. Ikiwa faili itafanya kazi kwa njia ya kutiliwa shaka, mashine pepe ya sandbox itafutwa na faili hasidi haiishii kwenye VDI ya mtumiaji.
Jinsi ya kusanidi muunganisho salama kwa VDI
Tunaangalia kufuata kwa kifaa na mahitaji ya usalama wa habari. Tangu mwanzo wa kazi ya mbali, wateja wametukaribia na maombi: kuhakikisha uendeshaji salama wa watumiaji kutoka kwa kompyuta zao za kibinafsi. Mtaalamu yeyote wa usalama wa habari anajua kwamba kulinda vifaa vya nyumbani ni vigumu: huwezi kufunga antivirus muhimu au kutumia sera za kikundi, kwa kuwa hii sio vifaa vya ofisi.
Kwa chaguo-msingi, VDI inakuwa "safu" salama kati ya kifaa cha kibinafsi na mtandao wa shirika. Ili kulinda VDI kutokana na mashambulizi kutoka kwa mashine ya mtumiaji, tunazima ubao wa kunakili na kupiga marufuku usambazaji wa USB. Lakini hii haifanyi kifaa cha mtumiaji chenyewe kuwa salama.
Tunatatua tatizo kwa kutumia FortiClient. Hii ni zana ya ulinzi ya mwisho. Watumiaji wa kampuni hiyo husakinisha FortiClient kwenye kompyuta zao za nyumbani na kuitumia kuunganisha kwenye kompyuta ya mezani. FortiClient hutatua shida 3 mara moja:
- inakuwa "dirisha moja" la ufikiaji kwa mtumiaji;
- huangalia ikiwa kompyuta yako ya kibinafsi ina antivirus na sasisho za hivi karibuni za OS;
- huunda handaki ya VPN kwa ufikiaji salama.
Mfanyikazi hupata ufikiaji tu ikiwa atapitisha uthibitishaji. Wakati huo huo, kompyuta za mezani zenyewe hazipatikani kutoka kwa Mtandao, ambayo ina maana kwamba zinalindwa vyema kutokana na mashambulizi.
Ikiwa kampuni inataka kudhibiti ulinzi wa sehemu ya mwisho yenyewe, tunatoa FortiClient EMS (Seva ya Usimamizi wa Endpoint). Mteja anaweza kusanidi utambazaji wa eneo-kazi na uzuiaji wa kuingilia, na kuunda orodha nyeupe ya anwani.
Kuongeza vipengele vya uthibitishaji. Kwa chaguomsingi, watumiaji wanathibitishwa kupitia Citrix netscaler. Hapa, pia, tunaweza kuimarisha usalama kwa kutumia uthibitishaji wa vipengele vingi kulingana na bidhaa za SafeNet. Mada hii inastahili umakini maalum; tutazungumza pia juu ya hii katika nakala tofauti.
Tumekusanya uzoefu kama huo katika kufanya kazi na suluhisho tofauti katika mwaka uliopita wa kazi. Huduma ya VDI imesanidiwa tofauti kwa kila mteja, kwa hivyo tulichagua zana zinazonyumbulika zaidi. Labda katika siku za usoni tutaongeza kitu kingine na kushiriki uzoefu wetu.
Mnamo Oktoba 7 saa 17.00 wenzangu watazungumza juu ya dawati pepe kwenye wavuti "Je, VDI ni muhimu, au jinsi ya kupanga kazi ya mbali?"
, ikiwa unataka kujadili wakati teknolojia ya VDI inafaa kwa kampuni na wakati ni bora kutumia njia zingine.
Chanzo: mapenzi.com