Bu yıl birçok şirket aceleyle uzaktan çalışmaya geçti. Bazı müşterilerimiz için haftada yüzün üzerinde uzaktan iş organize edin. Bunu sadece hızlı değil, aynı zamanda güvenli bir şekilde yapmak da önemliydi. VDI teknolojisi kurtarmaya geldi: onun yardımıyla güvenlik politikalarını tüm işyerlerine dağıtmak ve veri sızıntılarına karşı koruma sağlamak uygundur.
Bu yazımda Citrix VDI tabanlı sanal masaüstü hizmetimizin bilgi güvenliği açısından nasıl çalıştığını anlatacağım. İstemci masaüstü bilgisayarlarını fidye yazılımı veya hedefli saldırılar gibi dış tehditlerden korumak için neler yaptığımızı size göstereceğim.
Hangi güvenlik sorunlarını çözüyoruz?
Hizmete yönelik birkaç ana güvenlik tehdidi belirledik. Bir yandan sanal masaüstü, kullanıcının bilgisayarından virüs bulaşma riskini taşır. Öte yandan sanal masaüstünden internetin açık alanına çıkıp virüslü bir dosya indirme tehlikesi de var. Bu gerçekleşse bile altyapının tamamını etkilememelidir. Bu nedenle hizmeti oluştururken birkaç sorunu çözdük:
- VDI standının tamamını dış tehditlere karşı korur.
- Müşterilerin birbirlerinden izolasyonu.
- Sanal masaüstlerinin kendilerini koruma.
- Kullanıcıları herhangi bir cihazdan güvenli bir şekilde bağlayın.
Korumanın temelini Fortinet'in yeni nesil güvenlik duvarı FortiGate oluşturuyordu. VDI kabin trafiğini izler, her istemci için yalıtılmış bir altyapı sağlar ve kullanıcı tarafındaki güvenlik açıklarına karşı koruma sağlar. Yetenekleri çoğu bilgi güvenliği sorununu çözmek için yeterlidir.
Ancak bir şirketin özel güvenlik gereksinimleri varsa ek seçenekler sunuyoruz:
- Ev bilgisayarlarından çalışmak için güvenli bir bağlantı düzenliyoruz.
- Güvenlik günlüklerinin bağımsız analizi için erişim sağlıyoruz.
- Masaüstü bilgisayarlarda antivirüs korumasının yönetimini sağlıyoruz.
- Sıfır gün güvenlik açıklarına karşı koruma sağlıyoruz.
- Yetkisiz bağlantılara karşı ek koruma için çok faktörlü kimlik doğrulamayı yapılandırıyoruz.
Sorunları nasıl çözdüğümüzü size daha detaylı anlatacağım.
Stand nasıl korunur ve ağ güvenliği nasıl sağlanır?
Ağ kısmını segmentlere ayıralım. Standımızda tüm kaynakların yönetilmesi için kapalı bir yönetim segmentini öne çıkarıyoruz. Yönetim segmentine dışarıdan erişilemez: istemciye bir saldırı durumunda saldırganlar oraya ulaşamayacaktır.
FortiGate korumadan sorumludur. Antivirüs, güvenlik duvarı ve izinsiz giriş önleme sisteminin (IPS) işlevlerini birleştirir.
Her istemci için sanal masaüstlerine yönelik yalıtılmış bir ağ bölümü oluşturuyoruz. Bu amaçla FortiGate'in sanal etki alanı teknolojisi veya VDOM'u vardır. Güvenlik duvarını birkaç sanal varlığa bölmenize ve her istemciye ayrı bir güvenlik duvarı gibi davranan kendi VDOM'unu ayırmanıza olanak tanır. Ayrıca yönetim segmenti için ayrı bir VDOM oluşturuyoruz.
Bunun aşağıdaki diyagram olduğu ortaya çıkıyor:
İstemciler arasında ağ bağlantısı yoktur: her biri kendi VDOM'unda yaşar ve diğerini etkilemez. Bu teknoloji olmasaydı, istemcileri güvenlik duvarı kurallarıyla ayırmak zorunda kalırdık ki bu da insan hatası nedeniyle risklidir. Bu tür kuralları sürekli kapalı olması gereken bir kapıya benzetebiliriz. VDOM durumunda hiçbir “kapı” bırakmıyoruz.
Ayrı bir VDOM'da istemcinin kendi adreslemesi ve yönlendirmesi vardır. Bu nedenle aralıkları geçmek şirket için sorun teşkil etmiyor. İstemci gerekli IP adreslerini sanal masaüstlerine atayabilir. Bu, kendi fikri mülkiyet planları olan büyük şirketler için uygundur.
Müşterinin kurumsal ağıyla bağlantı sorunlarını çözüyoruz. Ayrı bir görev, VDI'yi istemci altyapısına bağlamaktır. Bir şirket kurumsal sistemlerini veri merkezimizde tutuyorsa, ekipmanından güvenlik duvarına kadar bir ağ kablosunu kolayca döşeyebiliriz. Ancak daha sıklıkla uzak bir siteyle (başka bir veri merkezi veya bir müşterinin ofisi) uğraşıyoruz. Bu durumda, siteyle güvenli bir alışveriş yapmayı düşünüyoruz ve IPsec VPN kullanarak site2site VPN'i oluşturuyoruz.
Altyapının karmaşıklığına bağlı olarak şemalar değişiklik gösterebilir. Bazı yerlerde tek bir ofis ağını VDI'ye bağlamak yeterlidir - orada statik yönlendirme yeterlidir. Büyük şirketlerin sürekli değişen birçok ağı vardır; burada istemcinin dinamik yönlendirmeye ihtiyacı var. Farklı protokoller kullanıyoruz: OSPF (Önce En Kısa Yolu Aç), GRE tünelleri (Genel Yönlendirme Kapsüllemesi) ve BGP (Sınır Ağ Geçidi Protokolü) ile ilgili durumlar zaten olmuştur. FortiGate, diğer istemcileri etkilemeden ayrı VDOM'lardaki ağ protokollerini destekler.
Ayrıca, Rusya Federasyonu FSB'si tarafından onaylanan kriptografik koruma araçlarına dayalı GOST-VPN şifrelemesi de oluşturabilirsiniz. Örneğin, “S-Terra Virtual Gateway” veya PAK ViPNet, APKSH “Continent”, “S-Terra” sanal ortamında KS1 sınıfı çözümlerin kullanılması.
Grup İlkelerini ayarlama. VDI'da uygulanan grup politikaları konusunda müşteriyle aynı fikirdeyiz. Burada belirleme ilkeleri ofiste politika belirlemekten farklı değildir. Active Directory ile entegrasyon kuruyoruz ve bazı grup politikalarının yönetimini istemcilere devrediyoruz. Kiracı yöneticileri Bilgisayar nesnesine ilkeler uygulayabilir, Active Directory'deki kuruluş birimini yönetebilir ve kullanıcılar oluşturabilir.
FortiGate'te her istemci VDOM'u için bir ağ güvenlik politikası yazıyoruz, erişim kısıtlamaları belirliyoruz ve trafik denetimini yapılandırıyoruz. Birkaç FortiGate modülü kullanıyoruz:
- IPS modülü trafiği kötü amaçlı yazılımlara karşı tarar ve izinsiz girişleri önler;
- antivirüs, masaüstü bilgisayarları kötü amaçlı yazılımlardan ve casus yazılımlardan korur;
- web filtreleme, güvenilmez kaynaklara ve kötü amaçlı veya uygunsuz içeriğe sahip sitelere erişimi engeller;
- Güvenlik duvarı ayarları, kullanıcıların İnternet'e yalnızca belirli sitelere erişmesine izin verebilir.
Bazen bir müşteri, çalışanların web sitelerine erişimini bağımsız olarak yönetmek ister. Çoğu zaman bankalar şu taleple gelir: Güvenlik hizmetleri, erişim kontrolünün şirket tarafında kalmasını gerektirir. Bu tür şirketlerin kendisi trafiği izliyor ve politikalarda düzenli olarak değişiklikler yapıyor. Bu durumda tüm trafiği FortiGate'ten istemciye çeviriyoruz. Bunu yapmak için şirketin altyapısıyla yapılandırılmış bir arayüz kullanıyoruz. Bundan sonra müşteri, kurumsal ağa ve internete erişim kurallarını kendisi yapılandırır.
Olayları stantta izliyoruz. FortiGate ile birlikte Fortinet'in günlük toplayıcısı olan FortiAnalyzer'ı kullanıyoruz. Onun yardımıyla VDI'daki tüm olay günlüklerine tek bir yerden bakıyoruz, şüpheli eylemleri buluyoruz ve korelasyonları izliyoruz.
Müşterilerimizden biri ofisinde Fortinet ürünlerini kullanıyor. Bunun için günlük yüklemeyi yapılandırdık; böylece istemci, ofis makineleri ve sanal masaüstleri için tüm güvenlik olaylarını analiz edebildi.
Sanal masaüstleri nasıl korunur?
Bilinen tehditlerden. İstemci anti-virüs korumasını bağımsız olarak yönetmek istiyorsa sanal ortamlar için ek olarak Kaspersky Security'yi de yükleriz.
Bu çözüm bulutta iyi çalışır. Klasik Kaspersky antivirüsünün "ağır" bir çözüm olduğu gerçeğine hepimiz alışkınız. Bunun aksine Kaspersky Security for Virtualization sanal makineleri yüklemez. Tüm virüs veritabanları, düğümün tüm sanal makineleri için kararlar veren sunucuda bulunur. Sanal masaüstüne yalnızca hafif aracı yüklenir. Dosyaları doğrulama için sunucuya gönderir.
Bu mimari, sanal makinelerin performansından ödün vermeden eş zamanlı olarak dosya koruması, İnternet koruması ve saldırı koruması sağlar. Bu durumda istemci, dosya korumasına bağımsız olarak istisnalar getirebilir. Çözümün temel kurulumuna yardımcı oluyoruz. Özelliklerinden ayrı bir yazımızda bahsedeceğiz.
Bilinmeyen tehditlerden. Bunu yapmak için Fortinet'in bir "sanal alanı" olan FortiSandbox'ı bağlarız. Antivirüsün sıfır gün tehdidini kaçırması durumunda bunu filtre olarak kullanırız. Dosyayı indirdikten sonra öncelikle antivirüs ile tarayıp ardından sandbox’a gönderiyoruz. FortiSandbox bir sanal makineyi taklit eder, dosyayı çalıştırır ve davranışını gözlemler: kayıt defterindeki hangi nesnelere erişildiği, harici istekler gönderip göndermediği vb. Bir dosya şüpheli davranırsa korumalı alana alınmış sanal makine silinir ve kötü amaçlı dosya, kullanıcının VDI'sına ulaşmaz.
VDI'ya güvenli bir bağlantı nasıl kurulur?
Cihazın bilgi güvenliği gerekliliklerine uygunluğunu kontrol ediyoruz. Uzaktan çalışmanın başlangıcından bu yana müşterilerimiz bize şu taleplerle yaklaştı: kullanıcıların kişisel bilgisayarlarından güvenli bir şekilde çalışmasını sağlamak. Herhangi bir bilgi güvenliği uzmanı, ev cihazlarını korumanın zor olduğunu bilir: Bu ofis ekipmanı olmadığı için gerekli antivirüs programını yükleyemez veya grup politikalarını uygulayamazsınız.
Varsayılan olarak VDI, kişisel cihaz ile kurumsal ağ arasında güvenli bir "katman" haline gelir. VDI'yi kullanıcı makinesinden gelen saldırılara karşı korumak için panoyu devre dışı bırakıyoruz ve USB iletmeyi yasaklıyoruz. Ancak bu, kullanıcının cihazının kendisini güvenli kılmaz.
FortiClient kullanarak sorunu çözüyoruz. Bu bir uç nokta koruma aracıdır. Şirketin kullanıcıları FortiClient'i ev bilgisayarlarına kuruyor ve bunu sanal bir masaüstüne bağlanmak için kullanıyor. FortiClient aynı anda 3 sorunu çözüyor:
- kullanıcı için “tek pencere” erişim haline gelir;
- kişisel bilgisayarınızda antivirüs olup olmadığını ve en son işletim sistemi güncellemelerini kontrol eder;
- Güvenli erişim için bir VPN tüneli oluşturur.
Bir çalışan yalnızca doğrulamayı geçerse erişim kazanır. Aynı zamanda, sanal masaüstlerine İnternet'ten erişilemez, bu da onların saldırılara karşı daha iyi korunduğu anlamına gelir.
Bir şirket uç nokta korumasını kendisi yönetmek istiyorsa FortiClient EMS'yi (Uç Nokta Yönetim Sunucusu) sunuyoruz. İstemci, masaüstü taramayı ve izinsiz giriş önlemeyi yapılandırabilir ve beyaz bir adres listesi oluşturabilir.
Kimlik doğrulama faktörleri ekleme. Varsayılan olarak kullanıcıların kimlikleri Citrix netscaler aracılığıyla doğrulanır. Burada da SafeNet ürünlerini temel alan çok faktörlü kimlik doğrulamayı kullanarak güvenliği artırabiliriz. Bu konu özel ilgiyi hak ediyor, bunun hakkında da ayrı bir makalede konuşacağız.
Geçtiğimiz yıl boyunca farklı çözümlerle çalışma konusunda böyle bir deneyim biriktirdik. VDI hizmeti her müşteri için ayrı ayrı yapılandırıldığından en esnek araçları seçtik. Belki yakın gelecekte bir şeyler daha ekleyip deneyimlerimizi paylaşacağız.
7 Ekim saat 17.00'de meslektaşlarım “VDI gerekli mi, uzaktan çalışma nasıl organize edilir?” webinarında sanal masaüstleri hakkında konuşacaklar.
Bir şirket için VDI teknolojisinin ne zaman uygun olduğunu ve ne zaman diğer yöntemleri kullanmanın daha iyi olduğunu tartışmak istiyorsanız.
Kaynak: habr.com