پرو ہوسٹر > بلاگ > انتظامیہ > ہم کس طرح صارف کے ورچوئل ڈیسک ٹاپس کو وائرس، اسپائی ویئر اور حملوں سے محفوظ رکھتے ہیں۔

ہم کس طرح صارف کے ورچوئل ڈیسک ٹاپس کو وائرس، اسپائی ویئر اور حملوں سے محفوظ رکھتے ہیں۔

اس سال، بہت سے کمپنیوں نے عجلت میں دور دراز کے کاموں کو تبدیل کر دیا. کچھ گاہکوں کے لئے ہم مدد کی فی ہفتہ سو سے زیادہ دور دراز ملازمتوں کو منظم کریں۔ یہ نہ صرف جلدی بلکہ محفوظ طریقے سے کرنا ضروری تھا۔ VDI ٹیکنالوجی بچاؤ کے لیے آئی: اس کی مدد سے، تمام کام کی جگہوں پر حفاظتی پالیسیاں تقسیم کرنا اور ڈیٹا لیک ہونے سے بچانا آسان ہے۔ 

اس آرٹیکل میں، میں آپ کو بتاؤں گا کہ ہماری Citrix VDI پر مبنی ورچوئل ڈیسک ٹاپ سروس معلومات کی حفاظت کے معاملے میں کیسے کام کرتی ہے۔ میں آپ کو دکھاؤں گا کہ ہم کلائنٹ کے ڈیسک ٹاپس کو بیرونی خطرات جیسے کہ رینسم ویئر یا ٹارگٹڈ حملوں سے بچانے کے لیے کیا کرتے ہیں۔ 

ہم کس طرح صارف کے ورچوئل ڈیسک ٹاپس کو وائرس، اسپائی ویئر اور حملوں سے محفوظ رکھتے ہیں۔

سیکیورٹی کے کون سے مسائل ہم حل کرتے ہیں۔ 

ہم نے سروس کے لیے کئی بڑے سیکورٹی خطرات کی نشاندہی کی ہے۔ ایک طرف، ورچوئل ڈیسک ٹاپ صارف کے کمپیوٹر سے متاثر ہونے کا خطرہ چلاتا ہے۔ دوسری جانب ورچوئل ڈیسک ٹاپ سے باہر نکل کر انٹرنیٹ کی کھلی جگہ پر جانے اور متاثرہ فائل کے ڈاؤن لوڈ ہونے کا خطرہ ہے۔ اگر ایسا ہو بھی جائے تو اس سے پورے انفراسٹرکچر کو متاثر نہیں ہونا چاہیے۔ لہذا، سروس بناتے وقت، ہم نے کئی مسائل حل کیے: 

  • بیرونی خطرات سے پورے VDI اسٹینڈ کی حفاظت کرتا ہے۔
  • گاہکوں کی ایک دوسرے سے الگ تھلگ۔
  • ورچوئل ڈیسک ٹاپس کی خود حفاظت کرنا۔ 
  • کسی بھی ڈیوائس سے محفوظ صارف کنکشن۔

FortiGate، Fortinet سے ایک نئی نسل کا فائر وال، تحفظ کا مرکز بن گیا۔ یہ VDI اسٹینڈ کی ٹریفک کو کنٹرول کرتا ہے، ہر کلائنٹ کے لیے الگ تھلگ بنیادی ڈھانچہ فراہم کرتا ہے، اور صارف کی طرف سے خطرات سے بچاتا ہے۔ اس کی صلاحیتیں آئی ایس کے بیشتر مسائل کو بند کرنے کے لیے کافی ہیں۔ 

لیکن اگر کمپنی کے پاس خصوصی حفاظتی تقاضے ہیں، تو ہم اضافی اختیارات پیش کرتے ہیں: 

  • ہم گھر کے کمپیوٹر سے کام کرنے کے لیے ایک محفوظ کنکشن کا اہتمام کرتے ہیں۔
  • ہم سیکیورٹی لاگز کے خود تجزیہ تک رسائی دیتے ہیں۔
  • ہم ڈیسک ٹاپس پر اینٹی وائرس تحفظ کا انتظام فراہم کرتے ہیں۔
  • ہم صفر دن کے خطرات سے حفاظت کرتے ہیں۔ 
  • غیر مجاز کنکشن کے خلاف اضافی تحفظ کے لیے ملٹی فیکٹر توثیق سیٹ اپ کریں۔

میں آپ کو مزید بتاؤں گا کہ کاموں کو کیسے حل کیا گیا۔ 

ہم کس طرح بوتھ کی حفاظت کرتے ہیں اور نیٹ ورک کی حفاظت کو یقینی بناتے ہیں۔

ہم نیٹ ورک کے حصے کو تقسیم کرتے ہیں۔ بوتھ پر، ہم تمام وسائل کے انتظام کے لیے ایک بند انتظامی طبقہ مختص کرتے ہیں۔ انتظامی طبقہ باہر سے ناقابل رسائی ہے: کلائنٹ پر حملے کی صورت میں، حملہ آور وہاں نہیں پہنچ پائیں گے۔ 

FortiGate تحفظ کے لیے ذمہ دار ہے۔ یہ اینٹی وائرس، فائر وال، مداخلت کی روک تھام کے نظام (IPS) کے افعال کو یکجا کرتا ہے۔ 

ہر کلائنٹ کے لیے، ہم ورچوئل ڈیسک ٹاپس کے لیے الگ تھلگ نیٹ ورک سیگمنٹ بناتے ہیں۔ ایسا کرنے کے لیے، فورٹی گیٹ کے پاس ورچوئل ڈومین ٹیکنالوجی، یا VDOM ہے۔ یہ آپ کو فائر وال کو کئی ورچوئل اداروں میں تقسیم کرنے اور ہر کلائنٹ کو اس کا اپنا VDOM مختص کرنے کی اجازت دیتا ہے، جو ایک علیحدہ فائر وال کی طرح برتاؤ کرتا ہے۔ ہم انتظامی طبقہ کے لیے ایک علیحدہ VDOM بھی بناتے ہیں۔

اس اسکیم سے پتہ چلتا ہے:
ہم کس طرح صارف کے ورچوئل ڈیسک ٹاپس کو وائرس، اسپائی ویئر اور حملوں سے محفوظ رکھتے ہیں۔

کلائنٹس کے درمیان کوئی نیٹ ورک کنیکٹوٹی نہیں ہے: ہر ایک اپنے VDOM میں رہتا ہے اور دوسرے کو متاثر نہیں کرتا ہے۔ اس ٹیکنالوجی کے بغیر، ہمیں کلائنٹس کو فائر وال کے اصولوں سے الگ کرنا پڑے گا، اور یہ انسانی عنصر کی وجہ سے خطرناک ہے۔ آپ ایسے اصولوں کا موازنہ ایسے دروازے سے کر سکتے ہیں جو مسلسل بند ہونا چاہیے۔ VDOM کے معاملے میں، ہم "دروازے" بالکل نہیں چھوڑتے ہیں۔ 

ایک علیحدہ VDOM میں، کلائنٹ کا اپنا ایڈریسنگ اور روٹنگ ہے۔ لہذا، حدود کا چوراہا کمپنی کے لیے کوئی مسئلہ نہیں بنتا ہے۔ کلائنٹ مطلوبہ IP ایڈریس ورچوئل ڈیسک ٹاپس کو تفویض کر سکتا ہے۔ یہ بڑی کمپنیوں کے لیے آسان ہے جن کے اپنے IP پلان ہیں۔ 

ہم کلائنٹ کے کارپوریٹ نیٹ ورک کے ساتھ رابطے کے مسائل حل کرتے ہیں۔ ایک الگ کام کلائنٹ کے بنیادی ڈھانچے کے ساتھ VDI کی ڈاکنگ ہے۔ اگر کوئی کمپنی ہمارے ڈیٹا سینٹر میں کارپوریٹ سسٹم رکھتی ہے، تو آپ آسانی سے اس کے آلات سے فائر وال تک نیٹ ورک کیبل چلا سکتے ہیں۔ لیکن زیادہ کثرت سے ہم ایک دور دراز سائٹ کے ساتھ کام کر رہے ہیں - دوسرے ڈیٹا سینٹر یا کلائنٹ کے دفتر۔ اس صورت میں، ہم سائٹ کے ساتھ ایک محفوظ تبادلے کے بارے میں سوچ رہے ہیں اور IPsec VPN کا استعمال کرتے ہوئے ایک site2site VPN بنا رہے ہیں۔ 

بنیادی ڈھانچے کی پیچیدگی کے لحاظ سے اسکیمیں مختلف ہوسکتی ہیں۔ کہیں یہ ایک ہی آفس نیٹ ورک کو VDI سے جوڑنے کے لئے کافی ہے - کافی مستحکم روٹنگ ہے۔ بڑی کمپنیوں کے پاس بہت سے نیٹ ورک ہیں جو مسلسل بدل رہے ہیں۔ یہاں کلائنٹ کو متحرک روٹنگ کی ضرورت ہے۔ ہم مختلف پروٹوکول استعمال کرتے ہیں: OSPF (اوپن شارٹسٹ پاتھ فرسٹ)، GRE ٹنلز (Generic Routing Encapsulation) اور BGP (بارڈر گیٹ وے پروٹوکول) کے معاملے پہلے ہی موجود ہیں۔ FortiGate دوسرے کلائنٹس کو متاثر کیے بغیر علیحدہ VDOMs میں نیٹ ورک پروٹوکول کو سپورٹ کرتا ہے۔ 

آپ GOST-VPN بھی بنا سکتے ہیں - روسی فیڈریشن کے FSB سے تصدیق شدہ کرپٹو پروٹیکشن ٹولز پر مبنی خفیہ کاری۔ مثال کے طور پر، ورچوئل ماحول "S-Terra ورچوئل گیٹ وے" یا HSS ViPNet، APKSh "Continent"، "S-Terra" میں کلاس KS1 کے حل استعمال کرنا۔

گروپ پالیسیاں مرتب کریں۔ ہم کلائنٹ گروپ کی ان پالیسیوں کے ساتھ ہم آہنگی کرتے ہیں جو VDI پر لاگو ہوتی ہیں۔ یہاں، ترتیب کے اصول دفتر میں پالیسیاں ترتیب دینے سے مختلف نہیں ہیں۔ ہم ایکٹو ڈائریکٹری کے ساتھ انضمام قائم کر رہے ہیں اور کچھ گروپ پالیسیوں کا کنٹرول کلائنٹس کو سونپ رہے ہیں۔ کرایہ دار منتظمین کمپیوٹر آبجیکٹ پر پالیسیاں لاگو کر سکتے ہیں، ایکٹو ڈائرکٹری میں تنظیمی یونٹ کا نظم کر سکتے ہیں، اور صارفین تخلیق کر سکتے ہیں۔ 

FortiGate پر، ہر کلائنٹ VDOM کے لیے، ہم نیٹ ورک سیکیورٹی پالیسی لکھتے ہیں، رسائی کی پابندیاں مرتب کرتے ہیں، اور ٹریفک کا معائنہ ترتیب دیتے ہیں۔ ہم کئی FortiGate ماڈیولز استعمال کرتے ہیں: 

  • IPS ماڈیول مالویئر کے لیے ٹریفک کی جانچ کرتا ہے اور مداخلت کو روکتا ہے۔
  • اینٹی وائرس ڈیسک ٹاپس کو خود کو میلویئر اور اسپائی ویئر سے بچاتا ہے۔
  • ویب فلٹرنگ غیر معتبر وسائل اور نقصان دہ یا نامناسب مواد والی سائٹس تک رسائی کو روکتی ہے۔
  • فائر وال کی ترتیبات صارفین کو صرف مخصوص سائٹوں پر انٹرنیٹ تک رسائی کی اجازت دے سکتی ہیں۔ 

بعض اوقات ایک کلائنٹ آزادانہ طور پر سائٹس تک ملازمین کی رسائی کا انتظام کرنا چاہتا ہے۔ اکثر بینک اس طرح کی درخواست کے ساتھ آتے ہیں: سیکیورٹی سروسز کا مطالبہ ہے کہ رسائی کا کنٹرول کمپنی کے پاس رہے۔ ایسی کمپنیاں خود ٹریفک کی نگرانی کرتی ہیں اور باقاعدگی سے پالیسیوں میں تبدیلیاں کرتی ہیں۔ اس صورت میں، ہم فورٹی گیٹ سے تمام ٹریفک کو کلائنٹ کی طرف موڑ دیتے ہیں۔ ایسا کرنے کے لیے، ہم کمپنی کے بنیادی ڈھانچے کے ساتھ ایک ترتیب شدہ انٹرفیس استعمال کرتے ہیں۔ اس کے بعد، کلائنٹ خود کارپوریٹ نیٹ ورک اور انٹرنیٹ تک رسائی کے لیے قواعد ترتیب دیتا ہے۔ 

سٹینڈ پر ہونے والے واقعات کو دیکھ رہے ہیں۔ فورٹی گیٹ کے ساتھ مل کر، ہم فورٹی اینالائزر کا استعمال کرتے ہیں، جو فورٹی نیٹ سے لاگ کلیکٹر ہے۔ اس کی مدد سے، ہم VDI پر تمام ایونٹ لاگز کو ایک جگہ پر دیکھتے ہیں، مشکوک سرگرمیاں تلاش کرتے ہیں اور ارتباط کو ٹریک کرتے ہیں۔ 

ہمارا ایک کلائنٹ اپنے دفتر میں Fortinet مصنوعات استعمال کرتا ہے۔ اس کے لیے، ہم نے لاگ اپ لوڈنگ ترتیب دی ہے - تاکہ کلائنٹ آفس مشینوں اور ورچوئل ڈیسک ٹاپس کے لیے سیکیورٹی کے تمام واقعات کا تجزیہ کر سکے۔

ہم ورچوئل ڈیسک ٹاپس کی حفاظت کیسے کرتے ہیں۔

معلوم دھمکیوں سے۔ اگر کلائنٹ آزادانہ طور پر اینٹی وائرس تحفظ کا انتظام کرنا چاہتا ہے، تو ہم ورچوئلائزیشن کے لیے Kaspersky سیکیورٹی بھی انسٹال کرتے ہیں۔ 

یہ حل بادل میں اچھی طرح کام کرتا ہے۔ ہم سب اس حقیقت کے عادی ہیں کہ کلاسک کاسپرسکی اینٹی وائرس ایک "بھاری" حل ہے۔ اس کے برعکس، کاسپرسکی سیکیورٹی برائے ورچوئلائزیشن ورچوئل مشینوں کو لوڈ نہیں کرتی ہے۔ تمام وائرس ڈیٹا بیس سرور پر واقع ہیں، جو تمام میزبان ورچوئل مشینوں کے لیے فیصلے جاری کرتے ہیں۔ ورچوئل ڈیسک ٹاپ پر صرف لائٹ ایجنٹ انسٹال ہوتا ہے۔ یہ فائلوں کو تصدیق کے لیے سرور کو بھیجتا ہے۔ 

یہ فن تعمیر بیک وقت فائل پروٹیکشن، انٹرنیٹ پروٹیکشن، حملوں سے تحفظ فراہم کرتا ہے اور ورچوئل مشینوں کی کارکردگی کو کم نہیں کرتا۔ اس صورت میں، کلائنٹ خود فائل کے تحفظ میں مستثنیات بنا سکتا ہے۔ ہم حل کے بنیادی سیٹ اپ میں مدد کرتے ہیں۔ ہم ایک علیحدہ مضمون میں اس کی خصوصیات کے بارے میں بات کریں گے.

نامعلوم دھمکیوں سے۔ ایسا کرنے کے لیے، ہم FortiSandbox، Fortinet کا ایک سینڈ باکس جوڑتے ہیں۔ ہم اسے فلٹر کے طور پر استعمال کرتے ہیں اگر اینٹی وائرس صفر دن کا خطرہ چھوٹ جائے۔ فائل ڈاؤن لوڈ کرنے کے بعد، ہم پہلے اسے اینٹی وائرس سے چیک کرتے ہیں، اور پھر اسے سینڈ باکس میں بھیجتے ہیں۔ FortiSandbox ایک ورچوئل مشین کی تقلید کرتا ہے، ایک فائل لانچ کرتا ہے اور اس کے رویے کی نگرانی کرتا ہے: رجسٹری میں کن چیزوں تک یہ رسائی حاصل کرتا ہے، آیا یہ بیرونی درخواستیں بھیجتا ہے، وغیرہ۔ اگر فائل مشکوک طریقے سے برتاؤ کرتی ہے تو، سینڈ باکسڈ VM کو حذف کر دیا جاتا ہے اور نقصان دہ فائل کو صارف کے VDI پر نہیں رکھا جاتا ہے۔ 

VDI سے محفوظ کنکشن کیسے ترتیب دیا جائے۔

ہم انفارمیشن سیکیورٹی کے تقاضوں کے ساتھ ڈیوائس کی تعمیل کی جانچ کرتے ہیں۔ دور دراز کے کام کے آغاز کے بعد سے، کلائنٹس درخواستوں کے ساتھ ہم سے رابطہ کر رہے ہیں: صارفین کے اپنے ذاتی کمپیوٹرز سے محفوظ آپریشن کو یقینی بنانے کے لیے۔ معلومات کے تحفظ کا کوئی بھی ماہر جانتا ہے کہ گھریلو آلات کی حفاظت کرنا مشکل ہے: آپ وہاں ضروری اینٹی وائرس انسٹال نہیں کر سکتے یا گروپ پالیسیاں لاگو نہیں کر سکتے، کیونکہ یہ دفتری آلات نہیں ہیں۔ 

پہلے سے طے شدہ طور پر، VDI ذاتی ڈیوائس اور کارپوریٹ نیٹ ورک کے درمیان ایک محفوظ "پرت" بن جاتا ہے۔ VDI کو صارف کی مشین کے حملوں سے بچانے کے لیے، ہم کلپ بورڈ کو غیر فعال کرتے ہیں، USB فارورڈنگ کو غیر فعال کرتے ہیں۔ لیکن یہ صارف کا آلہ خود کو محفوظ نہیں بناتا ہے۔ 

ہم FortiClient کی مدد سے مسئلہ حل کرتے ہیں۔ یہ اینڈ پوائنٹ (اینڈ پوائنٹ پروٹیکشن) کی حفاظت کے لیے ایک ٹول ہے۔ کمپنی کے صارفین اپنے گھریلو کمپیوٹرز پر FortiClient انسٹال کرتے ہیں اور اسے ورچوئل ڈیسک ٹاپ سے منسلک کرنے کے لیے استعمال کرتے ہیں۔ FortiClient ایک ساتھ 3 کاموں کو حل کرتا ہے: 

  • صارف کے لیے رسائی کی ایک "سنگل ونڈو" بن جاتی ہے۔
  • چیک کرتا ہے کہ آیا پرسنل کمپیوٹر میں اینٹی وائرس ہے اور تازہ ترین OS اپ ڈیٹس؛ 
  • محفوظ رسائی کے لیے ایک VPN ٹنل بناتا ہے۔ 

ملازم کو صرف اس صورت میں رسائی حاصل ہوتی ہے جب وہ تصدیق پاس کرتا ہے۔ اسی وقت، ورچوئل ڈیسک ٹاپس خود انٹرنیٹ سے قابل رسائی نہیں ہیں، جس کا مطلب ہے کہ وہ حملوں سے بہتر طور پر محفوظ ہیں۔ 

اگر کوئی کمپنی اینڈ پوائنٹ پروٹیکشن کا انتظام خود کرنا چاہتی ہے تو ہم FortiClient EMS (اینڈ پوائنٹ مینجمنٹ سرور) پیش کرتے ہیں۔ کلائنٹ ڈیسک ٹاپ اسکیننگ اور مداخلت کی روک تھام کو ترتیب دے سکتا ہے، پتوں کی سفید فہرست بنا سکتا ہے۔ 

تصدیق کے عوامل شامل کریں۔ پہلے سے طے شدہ طور پر، صارفین کو Citrix netscaler کے ذریعے تصدیق کی جاتی ہے۔ یہاں بھی، ہم SafeNet پروڈکٹس کی بنیاد پر ملٹی فیکٹر تصدیق کے ساتھ سیکیورٹی کو بڑھا سکتے ہیں۔ یہ موضوع خصوصی توجہ کا مستحق ہے، ہم اس پر ایک الگ مضمون میں بھی بات کریں گے۔ 

ہم نے کام کے آخری سال کے دوران مختلف حلوں کے ساتھ کام کرنے کا ایسا تجربہ جمع کیا ہے۔ VDI سروس ہر کلائنٹ کے لیے الگ سے ترتیب دی گئی ہے، اس لیے ہم نے انتہائی لچکدار ٹولز کا انتخاب کیا۔ شاید مستقبل قریب میں ہم کچھ اور شامل کریں گے اور اپنا تجربہ شیئر کریں گے۔

7 اکتوبر کو 17.00 بجے میرے ساتھی ویبینار میں ورچوئل ڈیسک ٹاپس کے بارے میں بات کریں گے "کیا مجھے VDI کی ضرورت ہے، یا دور دراز کے کام کو کیسے منظم کرنا ہے؟"
ابھی رجسٹر کریں، اگر آپ اس بات پر بات کرنا چاہتے ہیں کہ VDI ٹیکنالوجی کمپنی کے لیے کب موزوں ہے، اور کب دوسرے طریقے استعمال کرنا بہتر ہے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں