ఈ సంవత్సరం, చాలా కంపెనీలు రిమోట్ పనికి హడావిడిగా మారాయి. కొంతమంది ఖాతాదారులకు మేము
సిట్రిక్స్ VDI ఆధారంగా మా వర్చువల్ డెస్క్టాప్ సేవ సమాచార భద్రత కోణం నుండి ఎలా పనిచేస్తుందో ఈ కథనంలో నేను మీకు చెప్తాను. ransomware లేదా లక్షిత దాడుల వంటి బాహ్య బెదిరింపుల నుండి క్లయింట్ డెస్క్టాప్లను రక్షించడానికి మేము ఏమి చేయాలో నేను మీకు చూపిస్తాను.
మేము ఏ భద్రతా సమస్యలను పరిష్కరిస్తాము?
మేము సేవకు అనేక ప్రధాన భద్రతా ప్రమాదాలను గుర్తించాము. ఒక వైపు, వర్చువల్ డెస్క్టాప్ వినియోగదారు యొక్క కంప్యూటర్ నుండి సోకిన ప్రమాదాన్ని అమలు చేస్తుంది. మరోవైపు, వర్చువల్ డెస్క్టాప్ నుండి ఇంటర్నెట్ యొక్క బహిరంగ ప్రదేశంలోకి వెళ్లి ఇన్ఫెక్షన్ ఉన్న ఫైల్ను డౌన్లోడ్ చేసే ప్రమాదం ఉంది. ఇది జరిగినప్పటికీ, ఇది మొత్తం మౌలిక సదుపాయాలపై ప్రభావం చూపకూడదు. అందువల్ల, సేవను సృష్టించేటప్పుడు, మేము అనేక సమస్యలను పరిష్కరించాము:
- బాహ్య బెదిరింపుల నుండి మొత్తం VDI స్టాండ్ను రక్షిస్తుంది.
- క్లయింట్లను ఒకరికొకరు వేరుచేయడం.
- వర్చువల్ డెస్క్టాప్లను తాము రక్షించుకోవడం.
- ఏదైనా పరికరం నుండి వినియోగదారులను సురక్షితంగా కనెక్ట్ చేయండి.
రక్షణ యొక్క ప్రధాన అంశం ఫోర్టిగేట్, ఫోర్టినెట్ నుండి కొత్త తరం ఫైర్వాల్. ఇది VDI బూత్ ట్రాఫిక్ను పర్యవేక్షిస్తుంది, ప్రతి క్లయింట్కు ఒక వివిక్త మౌలిక సదుపాయాలను అందిస్తుంది మరియు వినియోగదారు వైపు దుర్బలత్వాల నుండి రక్షిస్తుంది. చాలా సమాచార భద్రతా సమస్యలను పరిష్కరించడానికి దీని సామర్థ్యాలు సరిపోతాయి.
కానీ కంపెనీకి ప్రత్యేక భద్రతా అవసరాలు ఉంటే, మేము అదనపు ఎంపికలను అందిస్తాము:
- మేము హోమ్ కంప్యూటర్ల నుండి పని చేయడానికి సురక్షిత కనెక్షన్ని నిర్వహిస్తాము.
- మేము భద్రతా లాగ్ల స్వతంత్ర విశ్లేషణ కోసం యాక్సెస్ను అందిస్తాము.
- మేము డెస్క్టాప్లపై యాంటీవైరస్ రక్షణ నిర్వహణను అందిస్తాము.
- మేము జీరో-డే దుర్బలత్వాల నుండి రక్షిస్తాము.
- అనధికార కనెక్షన్ల నుండి అదనపు రక్షణ కోసం మేము బహుళ-కారకాల ప్రమాణీకరణను కాన్ఫిగర్ చేస్తాము.
మేము సమస్యలను ఎలా పరిష్కరించాలో మరింత వివరంగా చెబుతాను.
స్టాండ్ను ఎలా రక్షించాలి మరియు నెట్వర్క్ భద్రతను ఎలా నిర్ధారించాలి
నెట్వర్క్ భాగాన్ని సెగ్మెంట్ చేద్దాం. స్టాండ్ వద్ద మేము అన్ని వనరులను నిర్వహించడానికి క్లోజ్డ్ మేనేజ్మెంట్ సెగ్మెంట్ను హైలైట్ చేస్తాము. నిర్వహణ విభాగం బయటి నుండి యాక్సెస్ చేయబడదు: క్లయింట్పై దాడి జరిగినప్పుడు, దాడి చేసేవారు అక్కడికి చేరుకోలేరు.
FortiGate రక్షణ బాధ్యత. ఇది యాంటీవైరస్, ఫైర్వాల్ మరియు చొరబాటు నివారణ వ్యవస్థ (IPS) యొక్క విధులను మిళితం చేస్తుంది.
ప్రతి క్లయింట్ కోసం మేము వర్చువల్ డెస్క్టాప్ల కోసం వివిక్త నెట్వర్క్ విభాగాన్ని సృష్టిస్తాము. ఈ ప్రయోజనం కోసం, FortiGate వర్చువల్ డొమైన్ టెక్నాలజీ లేదా VDOMని కలిగి ఉంది. ఇది ఫైర్వాల్ను అనేక వర్చువల్ ఎంటిటీలుగా విభజించడానికి మరియు ప్రతి క్లయింట్కు దాని స్వంత VDOMని కేటాయించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది ప్రత్యేక ఫైర్వాల్ వలె ప్రవర్తిస్తుంది. మేము నిర్వహణ విభాగం కోసం ప్రత్యేక VDOMని కూడా సృష్టిస్తాము.
ఇది క్రింది రేఖాచిత్రంగా మారుతుంది:
క్లయింట్ల మధ్య నెట్వర్క్ కనెక్టివిటీ లేదు: ప్రతి ఒక్కటి దాని స్వంత VDOMలో నివసిస్తుంది మరియు మరొకదానిని ప్రభావితం చేయదు. ఈ సాంకేతికత లేకుండా, మేము ఫైర్వాల్ నియమాలతో క్లయింట్లను వేరు చేయాల్సి ఉంటుంది, ఇది మానవ తప్పిదం వల్ల ప్రమాదకరం. మీరు అటువంటి నియమాలను నిరంతరం మూసివేయవలసిన తలుపుతో పోల్చవచ్చు. VDOM విషయంలో, మేము ఎటువంటి "తలుపులు" వదిలిపెట్టము.
ప్రత్యేక VDOMలో, క్లయింట్ దాని స్వంత చిరునామా మరియు రూటింగ్ను కలిగి ఉంటుంది. అందువల్ల, పరిధులను దాటడం కంపెనీకి సమస్యగా మారదు. క్లయింట్ వర్చువల్ డెస్క్టాప్లకు అవసరమైన IP చిరునామాలను కేటాయించవచ్చు. వారి స్వంత IP ప్రణాళికలను కలిగి ఉన్న పెద్ద కంపెనీలకు ఇది సౌకర్యవంతంగా ఉంటుంది.
మేము క్లయింట్ యొక్క కార్పొరేట్ నెట్వర్క్తో కనెక్టివిటీ సమస్యలను పరిష్కరిస్తాము. క్లయింట్ ఇన్ఫ్రాస్ట్రక్చర్తో VDIని కనెక్ట్ చేయడం ఒక ప్రత్యేక పని. ఒక కంపెనీ మా డేటా సెంటర్లో కార్పొరేట్ సిస్టమ్లను ఉంచినట్లయితే, మేము దాని పరికరాల నుండి ఫైర్వాల్కు నెట్వర్క్ కేబుల్ను అమలు చేయవచ్చు. కానీ చాలా తరచుగా మేము రిమోట్ సైట్తో వ్యవహరిస్తున్నాము - మరొక డేటా సెంటర్ లేదా క్లయింట్ కార్యాలయం. ఈ సందర్భంలో, మేము సైట్తో సురక్షిత మార్పిడి ద్వారా ఆలోచిస్తాము మరియు IPsec VPNని ఉపయోగించి site2site VPNని నిర్మిస్తాము.
మౌలిక సదుపాయాల సంక్లిష్టతను బట్టి పథకాలు మారవచ్చు. కొన్ని చోట్ల ఒకే ఆఫీస్ నెట్వర్క్ని VDIకి కనెక్ట్ చేస్తే సరిపోతుంది - అక్కడ స్టాటిక్ రూటింగ్ సరిపోతుంది. పెద్ద కంపెనీలు నిరంతరం మారుతున్న అనేక నెట్వర్క్లను కలిగి ఉన్నాయి; ఇక్కడ క్లయింట్కు డైనమిక్ రూటింగ్ అవసరం. మేము వేర్వేరు ప్రోటోకాల్లను ఉపయోగిస్తాము: OSPF (ఓపెన్ షార్టెస్ట్ పాత్ ఫస్ట్), GRE టన్నెల్స్ (జెనరిక్ రూటింగ్ ఎన్క్యాప్సులేషన్) మరియు BGP (బోర్డర్ గేట్వే ప్రోటోకాల్)తో ఇప్పటికే కేసులు ఉన్నాయి. ఫోర్టిగేట్ ఇతర క్లయింట్లను ప్రభావితం చేయకుండా, ప్రత్యేక VDOMలలో నెట్వర్క్ ప్రోటోకాల్లకు మద్దతు ఇస్తుంది.
మీరు GOST-VPNని కూడా నిర్మించవచ్చు - క్రిప్టోగ్రాఫిక్ రక్షణ ఆధారంగా గుప్తీకరణ అంటే రష్యన్ ఫెడరేషన్ యొక్క FSB ద్వారా ధృవీకరించబడింది. ఉదాహరణకు, "S-Terra వర్చువల్ గేట్వే" లేదా PAK ViPNet, APKSH "ఖండం", "S-Terra"లో వర్చువల్ వాతావరణంలో KS1 తరగతి పరిష్కారాలను ఉపయోగించడం.
సమూహ విధానాలను ఏర్పాటు చేస్తోంది. VDIలో వర్తించే సమూహ విధానాలపై మేము క్లయింట్తో ఏకీభవిస్తాము. ఇక్కడ సెట్టింగు సూత్రాలు కార్యాలయంలోని విధానాలను సెట్ చేయడానికి భిన్నంగా లేవు. మేము యాక్టివ్ డైరెక్టరీతో ఏకీకరణను సెటప్ చేస్తాము మరియు క్లయింట్లకు కొన్ని సమూహ విధానాల నిర్వహణను అప్పగించాము. అద్దెదారు నిర్వాహకులు కంప్యూటర్ ఆబ్జెక్ట్కు విధానాలను వర్తింపజేయవచ్చు, యాక్టివ్ డైరెక్టరీలో సంస్థాగత యూనిట్ను నిర్వహించవచ్చు మరియు వినియోగదారులను సృష్టించవచ్చు.
FortiGateలో, ప్రతి క్లయింట్ VDOM కోసం మేము నెట్వర్క్ భద్రతా విధానాన్ని వ్రాస్తాము, యాక్సెస్ పరిమితులను సెట్ చేస్తాము మరియు ట్రాఫిక్ తనిఖీని కాన్ఫిగర్ చేస్తాము. మేము అనేక ఫోర్టిగేట్ మాడ్యూళ్ళను ఉపయోగిస్తాము:
- IPS మాడ్యూల్ మాల్వేర్ కోసం ట్రాఫిక్ను స్కాన్ చేస్తుంది మరియు చొరబాట్లను నిరోధిస్తుంది;
- యాంటీవైరస్ డెస్క్టాప్లను మాల్వేర్ మరియు స్పైవేర్ నుండి రక్షిస్తుంది;
- వెబ్ ఫిల్టరింగ్ హానికరమైన లేదా అనుచితమైన కంటెంట్తో నమ్మదగని వనరులు మరియు సైట్లకు యాక్సెస్ను బ్లాక్ చేస్తుంది;
- ఫైర్వాల్ సెట్టింగ్లు వినియోగదారులు నిర్దిష్ట సైట్లకు మాత్రమే ఇంటర్నెట్ను యాక్సెస్ చేయడానికి అనుమతించవచ్చు.
కొన్నిసార్లు క్లయింట్ వెబ్సైట్లకు ఉద్యోగి యాక్సెస్ను స్వతంత్రంగా నిర్వహించాలనుకుంటున్నారు. చాలా తరచుగా, బ్యాంకులు ఈ అభ్యర్థనతో వస్తాయి: భద్రతా సేవలకు యాక్సెస్ నియంత్రణ కంపెనీ వైపు ఉండాలి. అలాంటి కంపెనీలు స్వయంగా ట్రాఫిక్ను పర్యవేక్షిస్తాయి మరియు పాలసీలలో క్రమం తప్పకుండా మార్పులు చేస్తాయి. ఈ సందర్భంలో, మేము ఫోర్టిగేట్ నుండి క్లయింట్ వైపు మొత్తం ట్రాఫిక్ను మారుస్తాము. దీన్ని చేయడానికి, మేము కంపెనీ ఇన్ఫ్రాస్ట్రక్చర్తో కాన్ఫిగర్ చేసిన ఇంటర్ఫేస్ను ఉపయోగిస్తాము. దీని తరువాత, క్లయింట్ స్వయంగా కార్పొరేట్ నెట్వర్క్ మరియు ఇంటర్నెట్కు యాక్సెస్ కోసం నియమాలను కాన్ఫిగర్ చేస్తాడు.
మేము స్టాండ్లో ఈవెంట్లను చూస్తాము. FortiGateతో కలిసి మేము Fortinet నుండి లాగ్ కలెక్టర్ అయిన FortiAnalyzerని ఉపయోగిస్తాము. దాని సహాయంతో, మేము VDIలోని అన్ని ఈవెంట్ లాగ్లను ఒకే చోట పరిశీలిస్తాము, అనుమానాస్పద చర్యలను కనుగొంటాము మరియు సహసంబంధాలను ట్రాక్ చేస్తాము.
మా క్లయింట్లలో ఒకరు తమ కార్యాలయంలో ఫోర్టినెట్ ఉత్పత్తులను ఉపయోగిస్తున్నారు. దాని కోసం, మేము లాగ్ అప్లోడింగ్ను కాన్ఫిగర్ చేసాము - కాబట్టి క్లయింట్ ఆఫీస్ మెషీన్లు మరియు వర్చువల్ డెస్క్టాప్ల కోసం అన్ని భద్రతా ఈవెంట్లను విశ్లేషించగలిగారు.
వర్చువల్ డెస్క్టాప్లను ఎలా రక్షించాలి
తెలిసిన బెదిరింపుల నుండి. క్లయింట్ స్వతంత్రంగా యాంటీ-వైరస్ రక్షణను నిర్వహించాలనుకుంటే, మేము వర్చువల్ పరిసరాల కోసం Kaspersky సెక్యూరిటీని అదనంగా ఇన్స్టాల్ చేస్తాము.
ఈ పరిష్కారం క్లౌడ్లో బాగా పనిచేస్తుంది. క్లాసిక్ కాస్పెర్స్కీ యాంటీవైరస్ "భారీ" పరిష్కారం అని మనమందరం అలవాటు పడ్డాము. దీనికి విరుద్ధంగా, వర్చువలైజేషన్ కోసం Kaspersky సెక్యూరిటీ వర్చువల్ మిషన్లను లోడ్ చేయదు. అన్ని వైరస్ డేటాబేస్లు సర్వర్లో ఉన్నాయి, ఇది నోడ్ యొక్క అన్ని వర్చువల్ మెషీన్లకు తీర్పులను జారీ చేస్తుంది. వర్చువల్ డెస్క్టాప్లో లైట్ ఏజెంట్ మాత్రమే ఇన్స్టాల్ చేయబడింది. ఇది ధృవీకరణ కోసం ఫైల్లను సర్వర్కు పంపుతుంది.
ఈ ఆర్కిటెక్చర్ వర్చువల్ మెషీన్ల పనితీరుతో రాజీ పడకుండా ఫైల్ రక్షణ, ఇంటర్నెట్ రక్షణ మరియు దాడి రక్షణను ఏకకాలంలో అందిస్తుంది. ఈ సందర్భంలో, క్లయింట్ స్వతంత్రంగా ఫైల్ రక్షణకు మినహాయింపులను పరిచయం చేయవచ్చు. పరిష్కారం యొక్క ప్రాథమిక సెటప్తో మేము సహాయం చేస్తాము. మేము దాని లక్షణాల గురించి ప్రత్యేక కథనంలో మాట్లాడుతాము.
తెలియని బెదిరింపుల నుండి. దీన్ని చేయడానికి, మేము FortiSandboxని కనెక్ట్ చేస్తాము - Fortinet నుండి "శాండ్బాక్స్". యాంటీవైరస్ జీరో-డే ముప్పును కోల్పోతే మేము దానిని ఫిల్టర్గా ఉపయోగిస్తాము. ఫైల్ను డౌన్లోడ్ చేసిన తర్వాత, మేము మొదట యాంటీవైరస్తో స్కాన్ చేసి, ఆపై దానిని శాండ్బాక్స్కు పంపుతాము. FortiSandbox వర్చువల్ మెషీన్ను అనుకరిస్తుంది, ఫైల్ను అమలు చేస్తుంది మరియు దాని ప్రవర్తనను గమనిస్తుంది: రిజిస్ట్రీలోని ఏ వస్తువులు యాక్సెస్ చేయబడతాయి, అది బాహ్య అభ్యర్థనలను పంపుతుందా మరియు మొదలైనవి. ఒక ఫైల్ అనుమానాస్పదంగా ప్రవర్తిస్తే, శాండ్బాక్స్డ్ వర్చువల్ మెషీన్ తొలగించబడుతుంది మరియు హానికరమైన ఫైల్ వినియోగదారు VDIలో చేరదు.
VDIకి సురక్షిత కనెక్షన్ని ఎలా సెటప్ చేయాలి
మేము సమాచార భద్రతా అవసరాలతో పరికరం యొక్క సమ్మతిని తనిఖీ చేస్తాము. రిమోట్ పని ప్రారంభం నుండి, క్లయింట్లు అభ్యర్థనలతో మమ్మల్ని సంప్రదించారు: వారి వ్యక్తిగత కంప్యూటర్ల నుండి వినియోగదారుల సురక్షిత ఆపరేషన్ను నిర్ధారించడానికి. ఇంటి పరికరాలను రక్షించడం కష్టమని ఏదైనా సమాచార భద్రతా నిపుణుడికి తెలుసు: మీరు అవసరమైన యాంటీవైరస్ని ఇన్స్టాల్ చేయలేరు లేదా సమూహ విధానాలను వర్తింపజేయలేరు, ఎందుకంటే ఇది కార్యాలయ సామగ్రి కాదు.
డిఫాల్ట్గా, వ్యక్తిగత పరికరం మరియు కార్పొరేట్ నెట్వర్క్ మధ్య VDI సురక్షితమైన “లేయర్” అవుతుంది. వినియోగదారు మెషీన్ నుండి దాడుల నుండి VDIని రక్షించడానికి, మేము క్లిప్బోర్డ్ను నిలిపివేస్తాము మరియు USB ఫార్వార్డింగ్ను నిషేధిస్తాము. కానీ ఇది వినియోగదారు పరికరాన్ని సురక్షితంగా చేయదు.
మేము FortiClient ఉపయోగించి సమస్యను పరిష్కరిస్తాము. ఇది ఎండ్ పాయింట్ ప్రొటెక్షన్ టూల్. కంపెనీ వినియోగదారులు తమ హోమ్ కంప్యూటర్లలో FortiClientని ఇన్స్టాల్ చేసి, వర్చువల్ డెస్క్టాప్కి కనెక్ట్ చేయడానికి దాన్ని ఉపయోగిస్తారు. FortiClient ఒకేసారి 3 సమస్యలను పరిష్కరిస్తుంది:
- వినియోగదారు కోసం యాక్సెస్ యొక్క "సింగిల్ విండో" అవుతుంది;
- మీ వ్యక్తిగత కంప్యూటర్లో యాంటీవైరస్ మరియు తాజా OS నవీకరణలు ఉన్నాయో లేదో తనిఖీ చేస్తుంది;
- సురక్షిత యాక్సెస్ కోసం VPN టన్నెల్ను నిర్మిస్తుంది.
ఒక ఉద్యోగి ధృవీకరణలో ఉత్తీర్ణులైతే మాత్రమే యాక్సెస్ను పొందుతారు. అదే సమయంలో, వర్చువల్ డెస్క్టాప్లు ఇంటర్నెట్ నుండి ప్రాప్యత చేయలేవు, అంటే అవి దాడుల నుండి బాగా రక్షించబడతాయి.
ఒక కంపెనీ స్వయంగా ఎండ్పాయింట్ రక్షణను నిర్వహించాలనుకుంటే, మేము FortiClient EMS (ఎండ్పాయింట్ మేనేజ్మెంట్ సర్వర్)ని అందిస్తాము. క్లయింట్ డెస్క్టాప్ స్కానింగ్ మరియు చొరబాటు నివారణను కాన్ఫిగర్ చేయవచ్చు మరియు చిరునామాల తెల్లటి జాబితాను సృష్టించవచ్చు.
ప్రామాణీకరణ కారకాలను జోడిస్తోంది. డిఫాల్ట్గా, వినియోగదారులు Citrix netscaler ద్వారా ప్రమాణీకరించబడతారు. ఇక్కడ కూడా, మేము SafeNet ఉత్పత్తుల ఆధారంగా బహుళ కారకాల ప్రమాణీకరణను ఉపయోగించి భద్రతను మెరుగుపరచగలము. ఈ అంశం ప్రత్యేక శ్రద్ధకు అర్హమైనది; మేము దీని గురించి ప్రత్యేక కథనంలో కూడా మాట్లాడుతాము.
గత సంవత్సరం పనిలో విభిన్న పరిష్కారాలతో పని చేయడంలో మేము అలాంటి అనుభవాన్ని పొందాము. VDI సేవ ప్రతి క్లయింట్ కోసం విడిగా కాన్ఫిగర్ చేయబడింది, కాబట్టి మేము అత్యంత సౌకర్యవంతమైన సాధనాలను ఎంచుకున్నాము. బహుశా సమీప భవిష్యత్తులో మనం ఇంకేదైనా జోడించి, మా అనుభవాన్ని పంచుకుంటాము.
అక్టోబర్ 7న 17.00 గంటలకు నా సహోద్యోగులు వెబ్నార్లో వర్చువల్ డెస్క్టాప్ల గురించి మాట్లాడతారు “VDI అవసరమా, లేదా రిమోట్ పనిని ఎలా నిర్వహించాలి?”
మూలం: www.habr.com