Ngayong taon, maraming kumpanya ang nagmamadaling lumipat sa malayong trabaho. Para sa ilang mga kliyente namin ayusin ang higit sa isang daang malalayong trabaho kada linggo. Mahalagang gawin ito hindi lamang mabilis, ngunit ligtas din. Ang teknolohiya ng VDI ay dumating upang iligtas: sa tulong nito, ito ay maginhawa upang ipamahagi ang mga patakaran sa seguridad sa lahat ng mga lugar ng trabaho at protektahan laban sa mga pagtagas ng data.
Sa artikulong ito sasabihin ko sa iyo kung paano gumagana ang aming virtual na serbisyo sa desktop batay sa Citrix VDI mula sa punto ng view ng seguridad ng impormasyon. Ipapakita ko sa iyo kung ano ang ginagawa namin upang protektahan ang mga desktop ng kliyente mula sa mga panlabas na banta gaya ng ransomware o mga naka-target na pag-atake.
Anong mga problema sa seguridad ang nalutas natin?
Natukoy namin ang ilang pangunahing banta sa seguridad sa serbisyo. Sa isang banda, ang virtual desktop ay may panganib na ma-infect mula sa computer ng user. Sa kabilang banda, may panganib na lumabas mula sa virtual desktop papunta sa open space ng Internet at mag-download ng nahawaang file. Kahit na mangyari ito, hindi ito dapat makaapekto sa buong imprastraktura. Samakatuwid, kapag lumilikha ng serbisyo, nalutas namin ang ilang mga problema:
- Pinoprotektahan ang buong stand ng VDI mula sa mga panlabas na banta.
- Paghihiwalay ng mga kliyente sa isa't isa.
- Pinoprotektahan ang mga virtual na desktop mismo.
- Ligtas na ikonekta ang mga user mula sa anumang device.
Ang pangunahing bahagi ng proteksyon ay ang FortiGate, isang bagong henerasyong firewall mula sa Fortinet. Sinusubaybayan nito ang trapiko ng VDI booth, nagbibigay ng nakahiwalay na imprastraktura para sa bawat kliyente, at pinoprotektahan laban sa mga kahinaan sa panig ng gumagamit. Ang mga kakayahan nito ay sapat na upang malutas ang karamihan sa mga isyu sa seguridad ng impormasyon.
Ngunit kung ang isang kumpanya ay may mga espesyal na kinakailangan sa seguridad, nag-aalok kami ng mga karagdagang opsyon:
- Nag-aayos kami ng isang secure na koneksyon para sa pagtatrabaho mula sa mga computer sa bahay.
- Nagbibigay kami ng access para sa independiyenteng pagsusuri ng mga log ng seguridad.
- Nagbibigay kami ng pamamahala ng proteksyon ng antivirus sa mga desktop.
- Pinoprotektahan namin laban sa zero-day na mga kahinaan.
- Kino-configure namin ang multi-factor authentication para sa karagdagang proteksyon laban sa mga hindi awtorisadong koneksyon.
Sasabihin ko sa iyo nang mas detalyado kung paano namin nalutas ang mga problema.
Paano protektahan ang stand at tiyakin ang seguridad ng network
I-segment natin ang bahagi ng network. Sa stand ay itinatampok namin ang isang saradong bahagi ng pamamahala para sa pamamahala ng lahat ng mapagkukunan. Ang segment ng pamamahala ay hindi naa-access mula sa labas: sa kaganapan ng isang pag-atake sa kliyente, ang mga umaatake ay hindi makakarating doon.
Ang FortiGate ay responsable para sa proteksyon. Pinagsasama nito ang mga function ng isang antivirus, firewall, at intrusion prevention system (IPS).
Para sa bawat kliyente, lumikha kami ng nakahiwalay na segment ng network para sa mga virtual na desktop. Para sa layuning ito, ang FortiGate ay may virtual na teknolohiya ng domain, o VDOM. Binibigyang-daan ka nitong hatiin ang firewall sa ilang virtual entity at ilaan ang bawat kliyente ng sarili nitong VDOM, na kumikilos tulad ng isang hiwalay na firewall. Gumagawa din kami ng hiwalay na VDOM para sa segment ng pamamahala.
Ito ay lumabas na ang sumusunod na diagram:
Walang koneksyon sa network sa pagitan ng mga kliyente: bawat isa ay nakatira sa sarili nitong VDOM at hindi nakakaimpluwensya sa isa. Kung wala ang teknolohiyang ito, kailangan nating paghiwalayin ang mga kliyente gamit ang mga panuntunan sa firewall, na mapanganib dahil sa pagkakamali ng tao. Maaari mong ihambing ang mga naturang panuntunan sa isang pinto na dapat palaging sarado. Sa kaso ng VDOM, wala kaming iniiwan na "pinto" sa lahat.
Sa isang hiwalay na VDOM, ang kliyente ay may sariling pag-address at pagruruta. Samakatuwid, ang pagtawid sa mga saklaw ay hindi nagiging problema para sa kumpanya. Maaaring italaga ng kliyente ang mga kinakailangang IP address sa mga virtual na desktop. Ito ay maginhawa para sa malalaking kumpanya na may sariling mga plano sa IP.
Niresolba namin ang mga isyu sa koneksyon sa corporate network ng kliyente. Ang isang hiwalay na gawain ay ang pagkonekta ng VDI sa imprastraktura ng kliyente. Kung ang isang kumpanya ay nagpapanatili ng mga corporate system sa aming data center, maaari lang kaming magpatakbo ng isang network cable mula sa kagamitan nito hanggang sa firewall. Ngunit mas madalas kaming nakikipag-usap sa isang malayong site - isa pang data center o opisina ng isang kliyente. Sa kasong ito, nag-iisip kami sa pamamagitan ng isang secure na palitan sa site at bumuo ng site2site VPN gamit ang IPsec VPN.
Maaaring mag-iba ang mga scheme depende sa pagiging kumplikado ng imprastraktura. Sa ilang mga lugar sapat na upang ikonekta ang isang solong network ng opisina sa VDI - sapat na ang static na pagruruta doon. Ang mga malalaking kumpanya ay may maraming mga network na patuloy na nagbabago; dito kailangan ng kliyente ng dynamic na pagruruta. Gumagamit kami ng iba't ibang protocol: nagkaroon na ng mga kaso sa OSPF (Open Shortest Path First), GRE tunnels (Generic Routing Encapsulation) at BGP (Border Gateway Protocol). Sinusuportahan ng FortiGate ang mga protocol ng network sa magkakahiwalay na VDOM, nang hindi naaapektuhan ang ibang mga kliyente.
Maaari ka ring bumuo ng GOST-VPN - ang pag-encrypt batay sa cryptographic na proteksyon ay nangangahulugang sertipikado ng FSB ng Russian Federation. Halimbawa, ang paggamit ng mga solusyon sa klase ng KS1 sa virtual na kapaligiran na "S-Terra Virtual Gateway" o PAK ViPNet, APKSH "Continent", "S-Terra".
Pagse-set up ng Mga Patakaran ng Grupo. Sumasang-ayon kami sa kliyente sa mga patakaran ng grupo na inilalapat sa VDI. Dito ang mga prinsipyo ng pagtatakda ay hindi naiiba sa pagtatakda ng mga patakaran sa opisina. Nag-set up kami ng integration sa Active Directory at nagtalaga ng pamamahala ng ilang patakaran ng grupo sa mga kliyente. Maaaring maglapat ang mga administrator ng nangungupahan ng mga patakaran sa object ng Computer, pamahalaan ang unit ng organisasyon sa Active Directory, at lumikha ng mga user.
Sa FortiGate, para sa bawat kliyenteng VDOM sumusulat kami ng patakaran sa seguridad ng network, nagtatakda ng mga paghihigpit sa pag-access at nagko-configure ng inspeksyon ng trapiko. Gumagamit kami ng ilang FortiGate module:
- Ini-scan ng module ng IPS ang trapiko para sa malware at pinipigilan ang mga panghihimasok;
- pinoprotektahan ng antivirus ang mga desktop mismo mula sa malware at spyware;
- hinaharangan ng web filtering ang pag-access sa mga hindi mapagkakatiwalaang mapagkukunan at mga site na may nakakahamak o hindi naaangkop na nilalaman;
- Maaaring payagan ng mga setting ng firewall ang mga user na ma-access ang Internet sa ilang partikular na site lamang.
Minsan gusto ng isang kliyente na malayang pamahalaan ang access ng empleyado sa mga website. Mas madalas kaysa sa hindi, ang mga bangko ay may kasamang kahilingang ito: ang mga serbisyo sa seguridad ay nangangailangan na ang kontrol sa pag-access ay mananatili sa panig ng kumpanya. Ang mga naturang kumpanya mismo ay sumusubaybay sa trapiko at regular na gumagawa ng mga pagbabago sa mga patakaran. Sa kasong ito, binabaling namin ang lahat ng trapiko mula FortiGate patungo sa kliyente. Para magawa ito, gumagamit kami ng naka-configure na interface sa imprastraktura ng kumpanya. Pagkatapos nito, ang kliyente mismo ang nag-configure ng mga patakaran para sa pag-access sa corporate network at sa Internet.
Pinapanood namin ang mga kaganapan sa stand. Kasama ng FortiGate ginagamit namin ang FortiAnalyzer, isang kolektor ng log mula sa Fortinet. Sa tulong nito, tinitingnan namin ang lahat ng mga log ng kaganapan sa VDI sa isang lugar, naghahanap ng mga kahina-hinalang aksyon at sinusubaybayan ang mga ugnayan.
Gumagamit ang isa sa aming mga kliyente ng mga produkto ng Fortinet sa kanilang opisina. Para dito, na-configure namin ang pag-upload ng log - upang masuri ng kliyente ang lahat ng mga kaganapan sa seguridad para sa mga makina ng opisina at virtual na desktop.
Paano protektahan ang mga virtual na desktop
Mula sa mga kilalang pagbabanta. Kung gusto ng kliyente na independiyenteng pamahalaan ang proteksyon ng anti-virus, i-install din namin ang Kaspersky Security para sa mga virtual na kapaligiran.
Ang solusyon na ito ay mahusay na gumagana sa cloud. Nasanay tayong lahat sa katotohanan na ang klasikong Kaspersky antivirus ay isang "mabigat" na solusyon. Sa kaibahan, ang Kaspersky Security para sa Virtualization ay hindi naglo-load ng mga virtual machine. Ang lahat ng mga database ng virus ay matatagpuan sa server, na nagbibigay ng mga hatol para sa lahat ng mga virtual machine ng node. Tanging ang light agent lang ang naka-install sa virtual desktop. Nagpapadala ito ng mga file sa server para sa pag-verify.
Ang arkitektura na ito ay sabay-sabay na nagbibigay ng proteksyon sa file, proteksyon sa Internet, at proteksyon sa pag-atake nang hindi nakompromiso ang pagganap ng mga virtual machine. Sa kasong ito, ang kliyente ay maaaring independiyenteng magpakilala ng mga pagbubukod sa proteksyon ng file. Tumutulong kami sa pangunahing pag-setup ng solusyon. Pag-uusapan natin ang tungkol sa mga tampok nito sa isang hiwalay na artikulo.
Mula sa hindi kilalang pagbabanta. Upang gawin ito, ikinonekta namin ang FortiSandbox - isang "sandbox" mula sa Fortinet. Ginagamit namin ito bilang isang filter kung sakaling makaligtaan ang antivirus ng zero-day threat. Pagkatapos i-download ang file, ini-scan muna namin ito gamit ang isang antivirus at pagkatapos ay ipadala ito sa sandbox. Ginagaya ng FortiSandbox ang isang virtual machine, pinapatakbo ang file at sinusunod ang pag-uugali nito: kung anong mga bagay sa registry ang naa-access, kung nagpapadala ito ng mga panlabas na kahilingan, at iba pa. Kung ang isang file ay kumikilos nang kahina-hinala, ang sandboxed virtual machine ay tatanggalin at ang malisyosong file ay hindi mapupunta sa user VDI.
Paano mag-set up ng secure na koneksyon sa VDI
Sinusuri namin ang pagsunod ng device sa mga kinakailangan sa seguridad ng impormasyon. Mula sa simula ng malayong trabaho, ang mga kliyente ay lumapit sa amin na may mga kahilingan: upang matiyak ang ligtas na operasyon ng mga gumagamit mula sa kanilang mga personal na computer. Alam ng sinumang espesyalista sa seguridad ng impormasyon na mahirap protektahan ang mga device sa bahay: hindi mo maaaring i-install ang kinakailangang antivirus o ilapat ang mga patakaran ng grupo, dahil hindi ito kagamitan sa opisina.
Bilang default, ang VDI ay nagiging isang secure na "layer" sa pagitan ng isang personal na device at ng corporate network. Para protektahan ang VDI mula sa mga pag-atake mula sa user machine, hindi namin pinagana ang clipboard at ipinagbabawal ang USB forwarding. Ngunit hindi nito ginagawang secure ang device ng user mismo.
Niresolba namin ang problema gamit ang FortiClient. Ito ay isang endpoint protection tool. Ang mga gumagamit ng kumpanya ay nag-install ng FortiClient sa kanilang mga computer sa bahay at ginagamit ito upang kumonekta sa isang virtual na desktop. Malulutas ng FortiClient ang 3 problema nang sabay-sabay:
- nagiging "isang window" ng pag-access para sa user;
- sinusuri kung ang iyong personal na computer ay may antivirus at ang pinakabagong mga update sa OS;
- gumagawa ng VPN tunnel para sa secure na pag-access.
Magkakaroon lang ng access ang isang empleyado kung pumasa sila sa verification. Kasabay nito, ang mga virtual na desktop mismo ay hindi naa-access mula sa Internet, na nangangahulugang mas protektado sila mula sa mga pag-atake.
Kung nais ng isang kumpanya na pamahalaan ang mismong proteksyon ng endpoint, nag-aalok kami ng FortiClient EMS (Endpoint Management Server). Maaaring i-configure ng kliyente ang pag-scan sa desktop at pag-iwas sa panghihimasok, at lumikha ng puting listahan ng mga address.
Pagdaragdag ng mga kadahilanan ng pagpapatunay. Bilang default, ang mga user ay napatotohanan sa pamamagitan ng Citrix netscaler. Dito rin, mapapahusay natin ang seguridad gamit ang multifactor authentication batay sa mga produkto ng SafeNet. Ang paksang ito ay nararapat na espesyal na pansin; pag-uusapan din natin ito sa isang hiwalay na artikulo.
Nakaipon kami ng ganoong karanasan sa pagtatrabaho sa iba't ibang solusyon sa nakaraang taon ng trabaho. Ang serbisyo ng VDI ay naka-configure nang hiwalay para sa bawat kliyente, kaya pinili namin ang mga pinaka-flexible na tool. Marahil sa malapit na hinaharap ay magdadagdag kami ng iba at ibabahagi ang aming karanasan.
Sa Oktubre 7 sa 17.00 ang aking mga kasamahan ay magsasalita tungkol sa mga virtual na desktop sa webinar "Kailangan ba ang VDI, o kung paano ayusin ang malayuang trabaho?"
, kung gusto mong talakayin kung kailan ang teknolohiya ng VDI ay angkop para sa isang kumpanya at kung kailan mas mahusay na gumamit ng iba pang mga pamamaraan.
Pinagmulan: www.habr.com