Цього року багато компаній швидко переходили на віддалення. Деяким клієнтам ми організовувати більше сотні віддалених робочих місць протягом тижня. Було важливо зробити це не лише швидко, а й безпечно. На допомогу прийшла технологія VDI: з її допомогою зручно розповсюджувати політики безпеки на всі робочі місця та захищатись від витоків даних.
У цій статті я розповім, як улаштований наш сервіс віртуальних робочих столів на базі Citrix VDI з погляду інформаційної безпеки. Покажу, що ми робимо, щоб захистити клієнтські робочі столи від зовнішніх загроз типу шифрувальників чи спрямованих атак.
Які завдання безпеки ми вирішуємо
Ми виділили кілька основних загроз для безпеки сервісу. З одного боку, віртуальний робочий стіл ризикує заразитися з комп'ютера користувача. З іншого боку, є небезпека вийти з віртуального робочого столу у відкритий космос інтернет та завантажити заражений файл. Навіть якщо таке станеться, це не повинне вплинути на всю інфраструктуру. Тому під час створення сервісу ми вирішували кілька завдань:
- Захист всього стенду VDI від зовнішніх загроз.
- Ізоляція клієнтів один від одного.
- Захист самих віртуальних робочих столів.
- Безпечне підключення користувачів з будь-яких пристроїв.
Ядром захисту став FortiGate – міжмережевий екран нового покоління Fortinet. Він контролює трафік стенду VDI, забезпечує ізольовану інфраструктуру для кожного клієнта та захищає від уразливостей на стороні користувача. Його можливостей вистачає, щоб закрити більшу частину питань ІБ.
Але якщо компанія має спеціальні вимоги до безпеки, ми пропонуємо додаткові можливості:
- Організуємо захищене з'єднання для роботи з домашніх комп'ютерів.
- Даємо доступ до самостійного аналізу журналів безпеки.
- Надаємо управління антивірусним захистом на робочих столах.
- Захищаємо від уразливостей «нульового дня».
- Налаштовуємо мультифакторну аутентифікацію для додаткового захисту від несанкціонованого підключення.
Розповім докладніше, як вирішили завдання.
Як захищаємо стенд та забезпечуємо мережеву безпеку
Сегментуємо мережеву частину. На стенді ми виділяємо закритий менеджмент-сегмент для керування всіма ресурсами. Менеджмент-сегмент недоступний ззовні: у разі атаки на клієнта зловмисники не зможуть потрапити туди.
За захист відповідає FortiGate. Він поєднує функції антивірусу, міжмережевого екрану, системи запобігання вторгненням (intrusion prevention system, IPS).
Під кожного клієнта створюємо ізольований мережевий сегмент для віртуальних робочих столів. Для цього у FortiGate є технологія віртуальних доменів, або VDOM. Вона дозволяє розбивати міжмережевий екран на кілька віртуальних сутностей та виділяти кожному клієнту свій VDOM, який веде себе як окремий файрвол. Для менеджмент-сегменту також створюємо окремий VDOM.
Виходить така схема:
Між клієнтами немає мережевої зв'язності: кожен живе у своєму VDOM'і і не впливає на іншого. Без цієї технології нам довелося б розділяти клієнтів правилами міжмережевого екрану, а це ризиковано через людський чинник. Можна порівняти такі правила із дверима, які потрібно постійно зачиняти. У випадку з VDOM'ом ми взагалі не залишаємо «дверей».
В окремому VDOM'і у клієнта своя адресація та маршрутизація. Тому перетин діапазонів не стає проблемою для компанії. Клієнт може закріпити за віртуальними робочими столами потрібні IP-адреси. Це зручно для великих компаній, які мають свої IP-плани.
Вирішуємо питання зв'язків із корпоративною мережею клієнта. Окреме завдання – стикування VDI із клієнтською інфраструктурою. Якщо компанія тримає корпоративні системи в нашому ЦОДі, можна просто протягнути кабель мережі від його обладнання до міжмережевого екрану. Але частіше ми маємо справу з віддаленим майданчиком - іншим ЦОД або офісом клієнта. У цьому випадку ми продумуємо безпечний обмін із майданчиком та будуємо site2site VPN за допомогою IPsec VPN.
Схеми можуть бути різними залежно від складності інфраструктури. Десь достатньо підключити до VDI єдину офісну мережу – там вистачає статична маршрутизація. У великих компаніях багато мереж, що постійно змінюються; тут клієнту потрібна динамічна маршрутизація. Ми використовуємо різні протоколи: вже були кейси з OSPF (Open Shortest Path First), GRE-тунелями (Generic Routing Encapsulation) та BGP (Border Gateway Protocol). FortiGate підтримує мережеві протоколи в окремих VDOM'ах без впливу на інших клієнтів.
Можна побудувати і ГОСТ-VPN – шифрування з урахуванням сертифікованих ФСБ РФ коштів криптозащиты. Наприклад, за допомогою рішень класу КС1 у віртуальному середовищі "С-Терра віртуальний шлюз" або ПАК ViPNet, АПКШ "Континент", "С-Терра".
Налаштовуємо Group Policies. Ми погоджуємося з клієнтом групові політики, які застосовуються на VDI. Тут принципи налаштування нічим не відрізняються від налаштувань політик в офісі. Ми налаштовуємо інтеграцію з Active Directory та делегуємо клієнтам керування деякими груповими політиками. Адміністратори клієнта можуть застосовувати політики на об'єкт Computer, керувати організаційною одиницею Active Directory і створювати користувачів.
На FortiGate для кожного клієнтського VDOM'a ми пишемо мережеву безпекову політику, задаємо обмеження доступу і налаштовуємо перевірку трафіку. Використовуємо декілька модулів FortiGate:
- модуль IPS перевіряє трафік на зловреди та запобігає вторгненню;
- антивірус захищає самі робочі столи від шкідливого та шпигунського ПЗ;
- веб-фільтеринг блокує доступ до неблагонадійних ресурсів та сайтів із шкідливим або неприйнятним вмістом;
- Налаштування міжмережевого екрану можуть дозволити виходити користувачам в Інтернет лише на певні сайти.
Іноді клієнт хоче самостійно керувати доступом співробітників до сайтів. Найчастіше з таким запитом приходять банки: служби безпеки вимагають, щоб контроль доступу залишався на боці компанії. Такі компанії самі моніторять трафік і регулярно вносять зміни до політики. У цьому випадку весь трафік із FortiGate ми розвертаємо у бік клієнта. Для цього використовуємо налаштований стик із інфраструктурою компанії. Після цього клієнт сам налаштовує правила доступу до корпоративної мережі та інтернету.
Спостерігаємо за подіями на стенді. Разом із FortiGate ми використовуємо FortiAnalyzer – колектор логів від Fortinet. З його допомогою дивимося всі журнали подій на VDI в одному місці, знаходимо підозрілі дії та відстежуємо кореляції.
Один із наших клієнтів використовує продукти Fortinet у своєму офісі. Для нього ми налаштували розвантаження журналів – так клієнт зміг аналізувати всі події безпеки для офісних машин та віртуальних робочих столів.
Як захищаємо віртуальні робочі столи
Від відомих погроз. Якщо клієнт хоче самостійно керувати антивірусним захистом, ми додатково ставимо Kaspersky Security для віртуальних середовищ.
Це рішення добре працює у хмарі. Усі ми звикли, що класичний антивірус Касперського – це «важке» рішення. На відміну від нього Kaspersky Security для віртуальних середовищ не навантажує віртуальні машини. Усі вірусні бази перебувають на сервері, який видає вердикти всім віртуальних машин вузла. На віртуальному робочому столі встановлено лише легкий агент. Він надсилає файли для перевірки на сервер.
Така архітектура одночасно забезпечує файловий захист, інтернет-захист, захист від атак та не знижує продуктивність віртуальних машин. При цьому клієнт може вносити винятки у файловий захист. Ми допомагаємо з базовим налаштуванням рішення. Про її особливості розповімо в окремій статті.
Від невідомих погроз. Для цього підключаємо FortiSandbox - "пісочницю" від Fortinet. Ми використовуємо її як фільтр у разі, якщо антивірус пропустить загрозу «нульового дня». Після завантаження файлу спочатку перевіряємо його антивірусом, а потім відправляємо в «пісочницю». FortiSandbox емулює віртуальну машину, запускає файл і спостерігає за його поведінкою: до яких об'єктів у реєстрі звертається, чи надсилає зовнішні запити і таке інше. Якщо файл поводиться підозріло, віртуалка в пісочниці видаляється, і шкідливий файл не потрапляє на VDI.
Як налаштовуємо безпечне підключення до VDI
Перевіряємо відповідність пристрою вимогам ІБ. З початку видалення клієнти зверталися до нас із запитами: забезпечити безпечну роботу користувачів з їхніх особистих комп'ютерів. Будь-який фахівець з ІБ знає, що захистити домашні пристрої складно: не можна встановити туди потрібний антивірус або застосувати групові політики, оскільки це не офісне обладнання.
За умовчанням VDI стає безпечним «прошарком» між особистим пристроєм і корпоративною мережею. Для захисту VDI від атак з машини ми відключаємо буфер обміну, забороняємо прокидання USB. Але це не робить сам пристрій користувача безпечним.
Проблему вирішуємо за допомогою FortiClient. Це засіб захисту кінцевих точок (endpoint-захисту). Користувачі компанії ставлять FortiClient на свої домашні комп'ютери та за його допомогою підключаються до віртуального робочого столу. FortiClient вирішує відразу 3 завдання:
- стає "єдиним вікном" доступу для користувача;
- перевіряє, чи є на власному комп'ютері антивірус та останні оновлення ОС;
- будує VPN-тунель для захищеного доступу.
Співробітник отримує доступ лише, якщо проходить перевірку. При цьому самі віртуальні робочі столи недоступні з інтернету, отже, краще захищені від атак.
Якщо компанія хоче сама керувати endpoint-захистом, ми пропонуємо FortiClient EMS (Endpoint Management Server). Клієнт може сам налаштовувати сканування робочих столів та запобігання вторгненням, формувати білий список адрес.
Додаємо фактори автентифікації. За замовчуванням користувачі автентифікуються через Citrix NetScaler. Ми також можемо посилити безпеку за допомогою мультифакторної аутентифікації на базі продуктів SafeNet. Ця тема заслуговує на окрему увагу, про це теж розповімо в окремій статті.
Такий досвід роботи з різними рішеннями накопичився за останній рік роботи. Сервіс VDI настроюється окремо під кожного клієнта, тому ми вибирали максимально гнучкі інструменти. Можливо, незабаром додамо щось ще й поділимося досвідом.
7 жовтня о 17.00 мої колеги розкажуть про віртуальні робочі столи на вебінарі «Чи потрібний VDI, чи як організувати віддалену роботу?»
Якщо хочете обговорити, коли компанії підійде технологія VDI, а коли краще використовувати інші способи.
Джерело: habr.com