โปรโฮสต์ > บล็อก > การบริหาร > วิธีที่เราปกป้องเดสก์ท็อปเสมือนของลูกค้าจากไวรัส สปายแวร์ และการโจมตี

วิธีที่เราปกป้องเดสก์ท็อปเสมือนของลูกค้าจากไวรัส สปายแวร์ และการโจมตี

ในปีนี้ หลายบริษัทรีบเปลี่ยนมาทำงานจากระยะไกล สำหรับลูกค้าบางรายเรา ช่วยแล้ว จัดระเบียบงานระยะไกลได้มากกว่าร้อยงานต่อสัปดาห์ สิ่งสำคัญคือต้องทำเช่นนี้ไม่เพียงแต่อย่างรวดเร็ว แต่ต้องปลอดภัยด้วย เทคโนโลยี VDI มาช่วย: ด้วยความช่วยเหลือ ทำให้สะดวกในการกระจายนโยบายความปลอดภัยไปยังสถานที่ทำงานทั้งหมดและป้องกันการรั่วไหลของข้อมูล 

ในบทความนี้ ฉันจะบอกคุณว่าบริการเดสก์ท็อปเสมือนที่ใช้ Citrix VDI ทำงานอย่างไรในแง่ของความปลอดภัยของข้อมูล ฉันจะแสดงให้คุณเห็นว่าเราทำอะไรบ้างเพื่อปกป้องเดสก์ท็อปไคลเอนต์จากภัยคุกคามภายนอก เช่น แรนซัมแวร์หรือการโจมตีแบบกำหนดเป้าหมาย 

วิธีที่เราปกป้องเดสก์ท็อปเสมือนของลูกค้าจากไวรัส สปายแวร์ และการโจมตี

เราแก้ไขปัญหาด้านความปลอดภัยอะไรบ้าง 

เราได้ระบุภัยคุกคามด้านความปลอดภัยที่สำคัญหลายประการต่อบริการนี้ ในด้านหนึ่ง เดสก์ท็อปเสมือนเสี่ยงต่อการติดไวรัสจากคอมพิวเตอร์ของผู้ใช้ ในทางกลับกัน มีอันตรายจากการออกจากเดสก์ท็อปเสมือนไปยังพื้นที่เปิดโล่งของอินเทอร์เน็ตและดาวน์โหลดไฟล์ที่ติดไวรัส แม้ว่าสิ่งนี้จะเกิดขึ้น แต่ก็ไม่ควรส่งผลกระทบต่อโครงสร้างพื้นฐานทั้งหมด ดังนั้นเมื่อสร้างบริการเราจึงแก้ไขปัญหาหลายประการ: 

  • การป้องกัน VDI ทั้งหมดยืนหยัดจากภัยคุกคามภายนอก
  • การแยกลูกค้าออกจากกัน
  • การปกป้องเดสก์ท็อปเสมือนด้วยตนเอง 
  • รักษาความปลอดภัยการเชื่อมต่อผู้ใช้จากอุปกรณ์ใดๆ

FortiGate ไฟร์วอลล์รุ่นใหม่จาก Fortinet กลายเป็นแกนหลักของการป้องกัน โดยจะควบคุมการรับส่งข้อมูลของแท่น VDI จัดเตรียมโครงสร้างพื้นฐานแบบแยกสำหรับไคลเอนต์แต่ละราย และป้องกันช่องโหว่ฝั่งผู้ใช้ ความสามารถเพียงพอที่จะปิดปัญหา IS ส่วนใหญ่ได้ 

แต่หากบริษัทมีข้อกำหนดด้านความปลอดภัยพิเศษ เราก็เสนอทางเลือกเพิ่มเติม: 

  • เราจัดระเบียบการเชื่อมต่อที่ปลอดภัยเพื่อทำงานจากคอมพิวเตอร์ที่บ้าน
  • เราให้สิทธิ์เข้าถึงการวิเคราะห์บันทึกความปลอดภัยด้วยตนเอง
  • เราจัดให้มีการจัดการการป้องกันไวรัสบนเดสก์ท็อป
  • เราป้องกันช่องโหว่แบบซีโรเดย์ 
  • ตั้งค่าการรับรองความถูกต้องแบบหลายปัจจัยเพื่อป้องกันเพิ่มเติมจากการเชื่อมต่อที่ไม่ได้รับอนุญาต

ฉันจะบอกคุณเพิ่มเติมเกี่ยวกับวิธีการแก้ไขงาน 

เราปกป้องบูธและรับรองความปลอดภัยของเครือข่ายอย่างไร

เราแบ่งส่วนเครือข่าย ที่บูธ เราจัดสรรส่วนการจัดการแบบปิดสำหรับการจัดการทรัพยากรทั้งหมด ส่วนการจัดการไม่สามารถเข้าถึงได้จากภายนอก: ในกรณีที่มีการโจมตีไคลเอนต์ ผู้โจมตีจะไม่สามารถไปถึงที่นั่นได้ 

FortiGate มีหน้าที่รับผิดชอบในการป้องกัน มันรวมฟังก์ชั่นของโปรแกรมป้องกันไวรัส, ไฟร์วอลล์, ระบบป้องกันการบุกรุก (IPS) 

สำหรับไคลเอนต์แต่ละราย เราสร้างเซ็กเมนต์เครือข่ายแบบแยกสำหรับเดสก์ท็อปเสมือน เมื่อต้องการทำเช่นนี้ FortiGate จึงมีเทคโนโลยีโดเมนเสมือนหรือ VDOM ช่วยให้คุณสามารถแยกไฟร์วอลล์ออกเป็นเอนทิตีเสมือนหลายรายการ และจัดสรร VDOM ของตัวเองให้กับไคลเอนต์แต่ละราย ซึ่งทำงานเหมือนไฟร์วอลล์ที่แยกจากกัน นอกจากนี้เรายังสร้าง VDOM แยกต่างหากสำหรับส่วนการจัดการ

ปรากฎโครงร่างนี้:
วิธีที่เราปกป้องเดสก์ท็อปเสมือนของลูกค้าจากไวรัส สปายแวร์ และการโจมตี

ไม่มีการเชื่อมต่อเครือข่ายระหว่างไคลเอนต์: แต่ละไคลเอนต์อยู่ใน VDOM ของตัวเองและไม่ส่งผลกระทบต่อไคลเอนต์อื่น หากไม่มีเทคโนโลยีนี้ เราจะต้องแยกไคลเอนต์ตามกฎไฟร์วอลล์ และนี่ถือเป็นความเสี่ยงเนื่องจากปัจจัยด้านมนุษย์ คุณสามารถเปรียบเทียบกฎดังกล่าวกับประตูที่ต้องปิดตลอดเวลา ในกรณีของ VDOM เราไม่ทิ้ง "ประตู" ไว้เลย 

ใน VDOM ที่แยกต่างหาก ไคลเอนต์มีการกำหนดที่อยู่และการกำหนดเส้นทางของตัวเอง ดังนั้นจุดตัดกันของช่วงจึงไม่เป็นปัญหาสำหรับบริษัท ลูกค้าสามารถกำหนดที่อยู่ IP ที่ต้องการให้กับเดสก์ท็อปเสมือนได้ ซึ่งสะดวกสำหรับบริษัทขนาดใหญ่ที่มีแผน IP ของตนเอง 

เราแก้ไขปัญหาการเชื่อมต่อกับเครือข่ายองค์กรของลูกค้า งานที่แยกต่างหากคือการเชื่อมต่อ VDI กับโครงสร้างพื้นฐานไคลเอนต์ หากบริษัทเก็บระบบขององค์กรไว้ในศูนย์ข้อมูลของเรา คุณก็เพียงแค่ใช้สายเคเบิลเครือข่ายจากอุปกรณ์ของบริษัทไปยังไฟร์วอลล์ แต่บ่อยครั้งที่เรากำลังติดต่อกับไซต์ระยะไกล - ศูนย์ข้อมูลอื่นหรือสำนักงานของลูกค้า ในกรณีนี้ เรากำลังคิดถึงการแลกเปลี่ยนที่ปลอดภัยกับไซต์และสร้าง site2site VPN โดยใช้ IPsec VPN 

แบบแผนอาจแตกต่างกัน ขึ้นอยู่กับความซับซ้อนของโครงสร้างพื้นฐาน ที่ไหนสักแห่งก็เพียงพอที่จะเชื่อมต่อเครือข่ายสำนักงานเดียวกับ VDI - มีการกำหนดเส้นทางแบบคงที่เพียงพอ บริษัทขนาดใหญ่มีเครือข่ายมากมายที่เปลี่ยนแปลงอยู่ตลอดเวลา ที่นี่ลูกค้าต้องการการกำหนดเส้นทางแบบไดนามิก เราใช้โปรโตคอลที่แตกต่างกัน: มีหลายกรณีที่มี OSPF (เปิดเส้นทางที่สั้นที่สุดก่อน), GRE tunnels (การห่อหุ้มการกำหนดเส้นทางทั่วไป) และ BGP (Border Gateway Protocol) FortiGate รองรับโปรโตคอลเครือข่ายใน VDOM แยกกัน โดยไม่ส่งผลกระทบต่อไคลเอนต์อื่น 

คุณยังสามารถสร้าง GOST-VPN - การเข้ารหัสโดยใช้เครื่องมือป้องกันการเข้ารหัสที่ได้รับการรับรองโดย FSB ของสหพันธรัฐรัสเซีย ตัวอย่างเช่น การใช้โซลูชันของคลาส KS1 ในสภาพแวดล้อมเสมือน "เกตเวย์เสมือน S-Terra" หรือ HSS ViPNet, APKSh "ทวีป", "S-Terra"

ตั้งค่านโยบายกลุ่ม เราประสานงานกับนโยบายกลุ่มลูกค้าที่ใช้กับ VDI ในที่นี้หลักการกำหนดก็ไม่ต่างจากการกำหนดนโยบายในสำนักงาน เรากำลังตั้งค่าการรวมเข้ากับ Active Directory และมอบหมายการควบคุมนโยบายกลุ่มบางส่วนให้กับลูกค้า ผู้ดูแลระบบผู้เช่าสามารถใช้นโยบายกับออบเจ็กต์คอมพิวเตอร์ จัดการหน่วยองค์กรใน Active Directory และสร้างผู้ใช้ได้ 

บน FortiGate เราเขียนนโยบายความปลอดภัยเครือข่าย กำหนดข้อจำกัดการเข้าถึง และตั้งค่าการตรวจสอบการรับส่งข้อมูลสำหรับไคลเอนต์แต่ละราย VDOM เราใช้โมดูล FortiGate หลายโมดูล: 

  • โมดูล IPS ตรวจสอบการรับส่งข้อมูลเพื่อหามัลแวร์และป้องกันการบุกรุก
  • โปรแกรมป้องกันไวรัสปกป้องเดสก์ท็อปจากมัลแวร์และสปายแวร์
  • การกรองเว็บบล็อกการเข้าถึงทรัพยากรและไซต์ที่ไม่น่าเชื่อถือซึ่งมีเนื้อหาที่เป็นอันตรายหรือไม่เหมาะสม
  • การตั้งค่าไฟร์วอลล์อาจอนุญาตให้ผู้ใช้เข้าถึงอินเทอร์เน็ตได้เฉพาะบางไซต์เท่านั้น 

บางครั้งลูกค้าต้องการจัดการการเข้าถึงไซต์ของพนักงานอย่างอิสระ บ่อยครั้งที่ธนาคารมักมาพร้อมกับคำขอดังกล่าว: บริการรักษาความปลอดภัยต้องการให้การควบคุมการเข้าถึงยังคงอยู่ที่ด้านข้างของบริษัท บริษัทดังกล่าวจะตรวจสอบการรับส่งข้อมูลด้วยตนเองและทำการเปลี่ยนแปลงนโยบายเป็นประจำ ในกรณีนี้ เราจะเปลี่ยนการรับส่งข้อมูลทั้งหมดจาก FortiGate ไปยังไคลเอนต์ ในการดำเนินการนี้ เราใช้อินเทอร์เฟซที่กำหนดค่าไว้กับโครงสร้างพื้นฐานของบริษัท หลังจากนั้นลูกค้าเองจะกำหนดค่ากฎสำหรับการเข้าถึงเครือข่ายองค์กรและอินเทอร์เน็ต 

ชมเหตุการณ์บนอัฒจันทร์ เมื่อใช้ร่วมกับ FortiGate เราใช้ FortiAnalyzer ซึ่งเป็นตัวรวบรวมบันทึกจาก Fortinet ด้วยความช่วยเหลือนี้ เราจะดูบันทึกเหตุการณ์ทั้งหมดบน VDI ได้ในที่เดียว ค้นหากิจกรรมที่น่าสงสัย และติดตามความสัมพันธ์ 

ลูกค้ารายหนึ่งของเราใช้ผลิตภัณฑ์ของ Fortinet ในสำนักงานของเขา ด้วยเหตุนี้ เราจึงตั้งค่าการอัปโหลดบันทึก เพื่อให้ลูกค้าสามารถวิเคราะห์เหตุการณ์ด้านความปลอดภัยทั้งหมดสำหรับเครื่องสำนักงานและเดสก์ท็อปเสมือนได้

เราปกป้องเดสก์ท็อปเสมือนอย่างไร

จากภัยคุกคามที่ทราบ หากลูกค้าต้องการจัดการการป้องกันไวรัสอย่างอิสระ เราจะติดตั้ง Kaspersky Security for Virtualization เพิ่มเติม 

โซลูชันนี้ทำงานได้ดีในระบบคลาวด์ เราทุกคนคุ้นเคยกับความจริงที่ว่าโปรแกรมป้องกันไวรัส Kaspersky แบบคลาสสิกนั้นเป็นโซลูชั่นที่ "หนักหน่วง" ต่างจาก Kaspersky Security for Virtualization ไม่โหลดเครื่องเสมือน ฐานข้อมูลไวรัสทั้งหมดอยู่บนเซิร์ฟเวอร์ ซึ่งจะตัดสินเครื่องเสมือนของโฮสต์ทั้งหมด เฉพาะ light agent เท่านั้นที่ได้รับการติดตั้งบนเดสก์ท็อปเสมือน มันส่งไฟล์ไปยังเซิร์ฟเวอร์เพื่อตรวจสอบ 

สถาปัตยกรรมนี้ให้การป้องกันไฟล์ การป้องกันอินเทอร์เน็ต ป้องกันการโจมตี และไม่ลดประสิทธิภาพของเครื่องเสมือนไปพร้อมๆ กัน ในกรณีนี้ ไคลเอ็นต์สามารถสร้างข้อยกเว้นให้กับการป้องกันไฟล์ได้ เราช่วยเหลือในการตั้งค่าพื้นฐานของโซลูชัน เราจะพูดถึงคุณสมบัติของมันในบทความแยกต่างหาก

จากภัยคุกคามที่ไม่รู้จัก เพื่อดำเนินการนี้ เราเชื่อมต่อ FortiSandbox ซึ่งเป็นแซนด์บ็อกซ์จาก Fortinet เราใช้เป็นตัวกรองในกรณีที่แอนตี้ไวรัสพลาดภัยคุกคามแบบซีโร่เดย์ หลังจากดาวน์โหลดไฟล์แล้ว อันดับแรกเราจะตรวจสอบด้วยโปรแกรมป้องกันไวรัส จากนั้นจึงส่งไปที่แซนด์บ็อกซ์ FortiSandbox จำลองเครื่องเสมือน เปิดไฟล์ และตรวจสอบพฤติกรรมของมัน: วัตถุใดในรีจิสทรีที่เครื่องเข้าถึง ไม่ว่าจะส่งคำขอภายนอกหรือไม่ และอื่นๆ หากไฟล์มีพฤติกรรมน่าสงสัย VM ที่ทำแซนด์บ็อกซ์จะถูกลบและไฟล์ที่เป็นอันตรายจะไม่ถูกวางไว้บน VDI ของผู้ใช้ 

วิธีการตั้งค่าการเชื่อมต่อที่ปลอดภัยกับ VDI

เราตรวจสอบความสอดคล้องของอุปกรณ์ตามข้อกำหนดด้านความปลอดภัยของข้อมูล ตั้งแต่เริ่มต้นการทำงานจากระยะไกล ลูกค้าได้ติดต่อเราเพื่อแจ้งคำขอ: เพื่อให้แน่ใจว่าผู้ใช้จะทำงานอย่างปลอดภัยจากคอมพิวเตอร์ส่วนบุคคลของพวกเขา ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลรู้ดีว่าการป้องกันอุปกรณ์ในบ้านเป็นเรื่องยาก: คุณไม่สามารถติดตั้งโปรแกรมป้องกันไวรัสที่จำเป็นหรือใช้นโยบายกลุ่มได้เนื่องจากอุปกรณ์เหล่านี้ไม่ใช่อุปกรณ์สำนักงาน 

ตามค่าเริ่มต้น VDI จะกลายเป็น "เลเยอร์" ที่ปลอดภัยระหว่างอุปกรณ์ส่วนบุคคลและเครือข่ายองค์กร เพื่อปกป้อง VDI จากการโจมตีจากเครื่องของผู้ใช้ เราจะปิดการใช้งานคลิปบอร์ด ปิดการใช้งานการส่งต่อ USB แต่สิ่งนี้ไม่ได้ทำให้อุปกรณ์ของผู้ใช้มีความปลอดภัย 

เราแก้ไขปัญหาด้วยความช่วยเหลือของ FortiClient นี่คือเครื่องมือสำหรับการปกป้องอุปกรณ์ปลายทาง (การป้องกันอุปกรณ์ปลายทาง) ผู้ใช้ของบริษัทติดตั้ง FortiClient บนคอมพิวเตอร์ที่บ้านและใช้เพื่อเชื่อมต่อกับเดสก์ท็อปเสมือน FortiClient แก้ปัญหา 3 งานพร้อมกัน: 

  • กลายเป็น "หน้าต่างเดียว" ของการเข้าถึงสำหรับผู้ใช้
  • ตรวจสอบว่าคอมพิวเตอร์ส่วนบุคคลมีโปรแกรมป้องกันไวรัสและอัปเดตระบบปฏิบัติการล่าสุดหรือไม่ 
  • สร้างอุโมงค์ VPN เพื่อการเข้าถึงที่ปลอดภัย 

พนักงานจะเข้าถึงได้ก็ต่อเมื่อผ่านการตรวจสอบแล้วเท่านั้น ในขณะเดียวกัน เดสก์ท็อปเสมือนก็ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งหมายความว่าเดสก์ท็อปเสมือนได้รับการปกป้องจากการโจมตีที่ดีกว่า 

หากบริษัทต้องการจัดการการป้องกันเอ็นด์พอยต์ด้วยตนเอง เราขอเสนอ FortiClient EMS (Endpoint Management Server) ไคลเอนต์สามารถกำหนดค่าการสแกนเดสก์ท็อปและการป้องกันการบุกรุก สร้างรายการที่อยู่สีขาว 

เพิ่มปัจจัยการรับรองความถูกต้อง ตามค่าเริ่มต้น ผู้ใช้จะได้รับการตรวจสอบสิทธิ์ผ่าน Citrix netscaler ที่นี่เราสามารถปรับปรุงความปลอดภัยด้วยการรับรองความถูกต้องแบบหลายปัจจัยตามผลิตภัณฑ์ SafeNet ได้เช่นกัน หัวข้อนี้สมควรได้รับความสนใจเป็นพิเศษ เราจะพูดถึงเรื่องนี้ในบทความแยกต่างหาก 

เราได้สั่งสมประสบการณ์ดังกล่าวในการทำงานกับโซลูชันต่างๆ ในช่วงปีที่ผ่านมา บริการ VDI ได้รับการกำหนดค่าแยกกันสำหรับไคลเอนต์แต่ละราย ดังนั้นเราจึงเลือกเครื่องมือที่ยืดหยุ่นที่สุด บางทีในอนาคตอันใกล้นี้เราอาจจะเพิ่มสิ่งอื่นและแบ่งปันประสบการณ์ของเรา

ในวันที่ 7 ตุลาคม เวลา 17.00 น. เพื่อนร่วมงานของฉันจะพูดคุยเกี่ยวกับเดสก์ท็อปเสมือนในการสัมมนาผ่านเว็บ "ฉันจำเป็นต้องมี VDI หรือวิธีจัดระเบียบงานระยะไกล"
ลงทะเบียน, หากคุณต้องการพูดคุยว่าเมื่อใดที่เทคโนโลยี VDI เหมาะกับบริษัท และเมื่อใดควรใช้วิธีอื่นจะดีกว่า

ที่มา: will.com

เพิ่มความคิดเห็น