Имсол бисьёр корхонахо шитобкорона ба кори дурдаст гузаштанд. Барои баъзе мизоҷон мо дар як хафта зиёда аз сад кори дурдаст ташкил карда шавад. Ин корро на танхо зуд, балки беталаф анчом додан хам мухим буд. Технологияи VDI ба наҷот омад: бо ёрии он паҳн кардани сиёсати амният дар ҳама ҷойҳои корӣ ва муҳофизат аз ихроҷи маълумот қулай аст.
Дар ин мақола ман ба шумо мегӯям, ки чӣ тавр хидмати мизи кории виртуалии мо дар асоси Citrix VDI аз нуқтаи назари амнияти иттилоотӣ кор мекунад. Ман ба шумо нишон медиҳам, ки мо барои ҳифзи мизи кории муштарӣ аз таҳдидҳои беруна, аз қабили нармафзори фидя ё ҳамлаҳои мақсаднок чӣ кор мекунем.
Кадом мушкилоти амниятро мо ҳал мекунем?
Мо якчанд таҳдидҳои асосии амниятро ба хидмат муайян кардем. Аз як тараф, мизи кории виртуалӣ хатари сироят шудан аз компютери корбарро дорад. Аз тарафи дигар, хатари баромадан аз мизи кории виртуалӣ ба фазои кушоди Интернет ва зеркашии файли сироятшуда вуҷуд дорад. Ҳатто агар ин рӯй диҳад, он набояд ба тамоми инфрасохтор таъсир расонад. Аз ин рӯ, ҳангоми эҷоди хидмат, мо якчанд мушкилотро ҳал кардем:
- Тамоми стенди VDI-ро аз таҳдидҳои беруна муҳофизат мекунад.
- Ҷудо кардани муштариён аз ҳамдигар.
- Муҳофизати худи мизи кории виртуалӣ.
- Корбаронро аз ҳама гуна дастгоҳ бехатар пайваст кунед.
Асоси муҳофизат FortiGate буд, як девори насли нав аз Fortinet. Он трафики VDI-ро назорат мекунад, барои ҳар як муштарӣ инфрасохтори ҷудогона фароҳам меорад ва аз осебпазирии ҷониби корбар муҳофизат мекунад. Имкониятҳои он барои ҳалли аксари масъалаҳои амнияти иттилоотӣ кофӣ мебошанд.
Аммо агар ширкат талаботи махсуси амниятӣ дошта бошад, мо имконоти иловагӣ пешниҳод мекунем:
- Мо пайвасти бехатарро барои кор аз компютерҳои хонагӣ ташкил мекунем.
- Мо барои таҳлили мустақили гузоришҳои амниятӣ дастрасӣ медиҳем.
- Мо идоракунии муҳофизати антивирусро дар мизи корӣ таъмин мекунем.
- Мо аз осебпазирии сифрӣ муҳофизат мекунем.
- Мо аутентификатсияи бисёрфакторро барои ҳифзи иловагӣ аз пайвастҳои беиҷозат танзим мекунем.
Ман ба шумо муфассалтар мегӯям, ки мо мушкилотро чӣ гуна ҳал кардем.
Чӣ тавр муҳофизат кардани стенд ва таъмини амнияти шабака
Биёед қисми шабакаро тақсим кунем. Дар стенд мо сегменти пӯшидаи идоракуниро барои идоракунии тамоми захираҳо таъкид мекунем. Сегменти идоракунӣ аз берун дастнорас аст: дар сурати ҳамла ба муштарӣ, ҳамлагарон ба он ҷо расида наметавонанд.
FortiGate барои муҳофизат масъул аст. Он вазифаҳои антивирус, девори девор ва системаи пешгирии ҳамла (IPS) -ро муттаҳид мекунад.
Барои ҳар як муштарӣ мо як сегменти шабакаи ҷудошуда барои мизи кории виртуалӣ эҷод мекунем. Бо ин мақсад, FortiGate дорои технологияи домени виртуалӣ ё VDOM мебошад. Он ба шумо имкон медиҳад, ки брандмауэрро ба якчанд объектҳои виртуалӣ тақсим кунед ва ба ҳар як муштарӣ VDOM-и худро ҷудо кунед, ки он ҳамчун девори алоҳида амал мекунад. Мо инчунин барои сегменти идоракунӣ VDOM-и алоҳида эҷод мекунем.
Ин диаграммаи зерин мегардад:
Байни муштариён пайвасти шабакавӣ вуҷуд надорад: ҳар як дар VDOM-и худ зиндагӣ мекунад ва ба дигараш таъсир намерасонад. Бе ин технология мо бояд мизоҷонро бо қоидаҳои брандмауэр ҷудо кунем, ки аз сабаби хатои инсон хатарнок аст. Шумо метавонед чунин қоидаҳоро бо даре муқоиса кунед, ки бояд ҳамеша баста бошад. Дар мавриди VDOM, мо умуман "дарҳо" намемонем.
Дар VDOM-и алоҳида, муштарӣ суроға ва масири худро дорад. Аз ин рӯ, убури қаторҳо барои ширкат мушкиле намегардад. Мизоҷ метавонад суроғаҳои IP-и заруриро ба мизи кории виртуалӣ таъин кунад. Ин барои ширкатҳои бузург, ки нақшаҳои IP-и худро доранд, қулай аст.
Мо масъалаҳои пайвастшавиро бо шабакаи корпоративии муштарӣ ҳал мекунем. Вазифаи алоҳида пайваст кардани VDI бо инфрасохтори муштарӣ мебошад. Агар ширкат системаҳои корпоративиро дар маркази маълумоти мо нигоҳ дорад, мо метавонем танҳо як сими шабакавиро аз таҷҳизоти он ба брандмауэр гузаронем. Аммо аксар вақт мо бо як сайти дурдаст - маркази дигари маълумот ё идораи муштарӣ сарукор дорем. Дар ин ҳолат, мо тавассути мубодилаи бехатар бо сайт фикр мекунем ва бо истифода аз IPsec VPN site2site VPN бунёд мекунем.
Нақшаҳо метавонанд вобаста ба мураккабии инфрасохтор фарқ кунанд. Дар баъзе ҷойҳо пайваст кардани шабакаи ягонаи офис ба VDI кифоя аст - масири статикӣ дар он ҷо кофӣ аст. Ширкатҳои калон шабакаҳои зиёде доранд, ки доимо тағйир меёбанд; Дар ин ҷо ба муштарӣ масири динамикӣ ниёз дорад. Мо протоколҳои гуногунро истифода мебарем: аллакай ҳолатҳо бо OSPF (Open Shortest Path First), нақбҳои GRE (Generic Routing Encapsulation) ва BGP (Протоколи дарвозаи сарҳадӣ) буданд. FortiGate протоколҳои шабакаро дар VDOM-ҳои алоҳида бидуни таъсир ба мизоҷони дигар дастгирӣ мекунад.
Шумо инчунин метавонед ГОСТ-VPN - рамзгузорӣ дар асоси воситаҳои муҳофизати криптографӣ, ки аз ҷониби ФСБ-и Федератсияи Русия тасдиқ шудааст, созед. Масалан, истифодаи қарорҳои синфи KS1 дар муҳити виртуалии "S-Terra Virtual Gateway" ё PAK ViPNet, APKSH "Continent", "S-Terra".
Танзими сиёсатҳои гурӯҳӣ. Мо бо муштарӣ дар бораи сиёсатҳои гурӯҳӣ, ки дар VDI татбиқ мешаванд, розӣ мешавем. Дар ин ҷо принсипҳои танзим аз муқаррар кардани сиёсат дар идора фарқ надоранд. Мо ҳамгироиро бо Active Directory таъсис додем ва идоракунии баъзе сиёсатҳои гурӯҳро ба мизоҷон вогузорем. Маъмурони иҷорагир метавонанд сиёсатҳоро ба объекти компютерӣ татбиқ кунанд, воҳиди ташкилиро дар Active Directory идора кунанд ва корбаронро эҷод кунанд.
Дар FortiGate, барои ҳар як муштарии VDOM мо сиёсати амнияти шабакаро менависем, маҳдудиятҳои дастрасӣ муқаррар мекунем ва санҷиши трафикро танзим мекунем. Мо якчанд модулҳои FortiGate-ро истифода мебарем:
- Модули IPS трафикро барои нармафзори зараровар скан мекунад ва ҳамлаҳоро пешгирӣ мекунад;
- антивирус худи мизи кории худро аз нармафзори зараровар ва ҷосусӣ муҳофизат мекунад;
- филтркунии веб дастрасӣ ба захираҳои беэътимод ва сайтҳоро бо мундариҷаи зараровар ё номуносиб блок мекунад;
- Танзимоти брандмауэр метавонад ба корбарон имкон диҳад, ки ба Интернет танҳо ба сайтҳои муайян дастрасӣ пайдо кунанд.
Баъзан муштарӣ мехоҳад дастрасии кормандонро ба вебсайтҳо мустақилона идора кунад. Бештари вақт, бонкҳо бо ин дархост меоянд: хадамоти амниятӣ талаб мекунанд, ки назорати дастрасӣ дар тарафи ширкат боқӣ монад. Худи чунин ширкатҳо трафикро назорат мекунанд ва мунтазам ба сиёсат тағйирот ворид мекунанд. Дар ин ҳолат мо тамоми трафикро аз FortiGate ба сӯи муштарӣ мегардонем. Барои ин, мо интерфейси танзимшударо бо инфрасохтори ширкат истифода мебарем. Пас аз ин, худи муштарӣ қоидаҳои дастрасӣ ба шабакаи корпоративӣ ва Интернетро танзим мекунад.
Мо вокеахоро дар стенд тамошо мекунем. Якҷоя бо FortiGate мо FortiAnalyzer, коллектори лог аз Fortinet -ро истифода мебарем. Бо кӯмаки он, мо ҳама гузоришҳои рӯйдодҳоро дар VDI дар як ҷо дида мебароем, амалҳои шубҳанокро пайдо мекунем ва таносубҳоро пайгирӣ мекунем.
Яке аз муштариёни мо дар офиси худ аз маҳсулоти Fortinet истифода мебарад. Барои он, мо боркунии гузоришро танзим кардем - ба тавре ки муштарӣ тавонист тамоми рӯйдодҳои амниятиро барои мошинҳои офисӣ ва мизи кории виртуалӣ таҳлил кунад.
Чӣ тавр муҳофизат кардани мизи кории виртуалӣ
Аз таҳдидҳои маълум. Агар муштарӣ мехоҳад, ки муҳофизати антивирусро мустақилона идора кунад, мо ба таври илова Kaspersky Security барои муҳити виртуалӣ насб мекунем.
Ин ҳалли хуб дар абр кор мекунад. Мо ҳама ба он одат кардаем, ки антивируси классикии Касперский ҳалли "вазнин" аст. Баръакс, Kaspersky Security for Virtualization мошинҳои виртуалиро бор намекунад. Ҳама пойгоҳи додаҳои вирусҳо дар сервер ҷойгиранд, ки барои ҳама мошинҳои виртуалии гиреҳ ҳукмҳо мебароранд. Дар мизи кории виртуалӣ танҳо агенти нур насб карда шудааст. Он файлҳоро барои тафтиш ба сервер мефиристад.
Ин меъморӣ ҳамзамон ҳифзи файл, ҳифзи интернет, муҳофизат аз ҳамлаҳоро таъмин мекунад ва кори мошинҳои виртуалиро кам намекунад. Дар ин ҳолат, муштарӣ метавонад мустақилона барои ҳифзи файл истисноҳо ҷорӣ кунад. Мо дар танзими асосии ҳалли мушкилот кӯмак мерасонем. Мо дар бораи хусусиятҳои он дар мақолаи алоҳида сӯҳбат хоҳем кард.
Аз таҳдидҳои номаълум. Барои ин, мо FortiSandbox - "қуттии қум" -ро аз Fortinet пайваст мекунем. Мо онро ҳамчун филтр истифода мебарем, агар антивирус таҳдиди рӯзи сифрро аз даст диҳад. Пас аз зеркашии файл, мо аввал онро бо антивирус скан мекунем ва сипас онро ба қуттии қум мефиристем. FortiSandbox як мошини виртуалиро тақлид мекунад, файлро иҷро мекунад ва рафтори онро мушоҳида мекунад: ба кадом объектҳои реестр дастрасӣ доранд, оё он дархостҳои беруна мефиристад ва ғайра. Агар файл шубҳанок рафтор кунад, мошини виртуалии қуттии сандуқӣ нест карда мешавад ва файли зараровар дар VDI корбар хотима намеёбад.
Чӣ тавр пайвасти бехатарро ба VDI насб кардан мумкин аст
Мо мутобиқати дастгоҳро ба талаботи амнияти иттилоотӣ тафтиш мекунем. Аз оғози кори фосилавӣ муштариён бо дархостҳо ба мо муроҷиат карданд: таъмини кори бехатари корбарон аз компютерҳои шахсии онҳо. Ҳар як мутахассиси амнияти иттилоотӣ медонад, ки ҳифзи дастгоҳҳои хонагӣ душвор аст: шумо наметавонед антивируси заруриро насб кунед ё сиёсати гурӯҳҳоро татбиқ кунед, зеро ин таҷҳизоти идоравӣ нест.
Бо нобаёнӣ, VDI як "қабати" бехатар байни дастгоҳи шахсӣ ва шабакаи корпоративӣ мегардад. Барои муҳофизат кардани VDI аз ҳамлаҳои мошини корбар, мо буферро ғайрифаъол мекунем ва интиқоли USB-ро манъ мекунем. Аммо ин худи дастгоҳи корбарро бехатар намекунад.
Мо мушкилотро бо истифода аз FortiClient ҳал мекунем. Ин як воситаи ҳифзи нуқтаи ниҳоӣ аст. Корбарони ширкат FortiClient-ро дар компютерҳои хонагии худ насб мекунанд ва онро барои пайвастшавӣ ба мизи кории виртуалӣ истифода мебаранд. FortiClient якбора 3 мушкилотро ҳал мекунад:
- "равзанаи ягона"-и дастрасӣ барои корбар мегардад;
- тафтиш мекунад, ки компютери шахсии шумо дорои антивирус ва навсозиҳои охирини ОС мебошад;
- туннели VPN барои дастрасии бехатар месозад.
Корманд танҳо он вақт дастрасӣ пайдо мекунад, агар онҳо аз санҷиш гузаранд. Дар баробари ин, худи мизи кории виртуалӣ аз Интернет дастнорас аст, яъне онҳо аз ҳамлаҳо беҳтар ҳифз шудаанд.
Агар ширкат мехоҳад, ки худи ҳифзи нуқтаи ниҳоиро идора кунад, мо FortiClient EMS (Server Endpoint Management Server) пешниҳод мекунем. Мизоҷ метавонад сканкунии мизи корӣ ва пешгирии ҳамларо танзим кунад ва рӯйхати сафеди суроғаҳоро эҷод кунад.
Илова кардани омилҳои аутентификатсия. Бо нобаёнӣ, корбарон тавассути Citrix netscaler тасдиқ карда мешаванд. Дар ин ҷо низ мо метавонем амниятро бо истифода аз аутентификатсияи бисёрфакторӣ дар асоси маҳсулоти SafeNet такмил диҳем. Ин мавзӯъ сазовори таваҷҷӯҳи махсус аст, мо дар ин бора дар мақолаи алоҳида сӯҳбат хоҳем кард.
Мо дар давоми як соли кор чунин таҷриба дар кор бо ҳалли гуногун ҷамъ овардаем. Хидмати VDI барои ҳар як муштарӣ алоҳида танзим карда мешавад, аз ин рӯ мо абзорҳои чандиртаринро интихоб кардем. Шояд дар ояндаи наздик боз як чизи дигарро илова кунем ва таҷрибаамонро мубодила кунем.
7 октябр, соати 17.00 ҳамкорони ман дар бораи мизи кории виртуалӣ дар вебинари "Оё VDI зарур аст ё чӣ гуна кори дурдастро ташкил кардан мумкин аст?"
, агар шумо хоҳед, ки муҳокима кунед, ки технологияи VDI кай барои ширкат мувофиқ аст ва кай беҳтар аст, ки усулҳои дигарро истифода баред.
Манбаъ: will.com