Bu yil ko'plab kompaniyalar shoshilinch ravishda masofaviy ishlashga o'tishdi. Ba'zi mijozlar uchun biz haftasiga yuzdan ortiq masofaviy ishlarni tashkil qilish. Buni nafaqat tez, balki xavfsiz ham qilish muhim edi. VDI texnologiyasi yordamga keldi: uning yordami bilan xavfsizlik siyosatini barcha ish joylariga tarqatish va ma'lumotlar sizib chiqishidan himoya qilish qulay.
Ushbu maqolada men sizga Citrix VDI-ga asoslangan virtual ish stoli xizmatimiz axborot xavfsizligi nuqtai nazaridan qanday ishlashini aytib beraman. Mijoz ish stollarini to'lov dasturi yoki maqsadli hujumlar kabi tashqi tahdidlardan himoya qilish uchun nima qilishimizni ko'rsataman.
Qanday xavfsizlik muammolarini hal qilamiz
Biz xizmat uchun bir nechta asosiy xavfsizlik tahdidlarini aniqladik. Bir tomondan, virtual ish stoli foydalanuvchi kompyuteridan zararlanish xavfini tug'diradi. Boshqa tomondan, virtual ish stolidan Internetning ochiq maydoniga chiqish va zararlangan faylni yuklab olish xavfi mavjud. Agar bu sodir bo'lsa ham, bu butun infratuzilmaga ta'sir qilmasligi kerak. Shuning uchun, xizmatni yaratishda biz bir nechta muammolarni hal qildik:
- Butun VDI stendini tashqi tahdidlardan himoya qilish.
- Mijozlarni bir-biridan izolyatsiya qilish.
- Virtual ish stollarini himoya qilish.
- Har qanday qurilmadan xavfsiz foydalanuvchi ulanishi.
Fortinetning yangi avlod xavfsizlik devori FortiGate himoyaning yadrosiga aylandi. U VDI stendining trafigini nazorat qiladi, har bir mijoz uchun alohida infratuzilmani taqdim etadi va foydalanuvchi tomonidan zaifliklardan himoya qiladi. Uning imkoniyatlari IS bilan bogβliq koβpgina masalalarni yopish uchun yetarli.
Ammo kompaniyaning maxsus xavfsizlik talablari bo'lsa, biz qo'shimcha imkoniyatlarni taklif qilamiz:
- Biz uy kompyuterlaridan ishlash uchun xavfsiz ulanishni tashkil qilamiz.
- Biz xavfsizlik jurnallarini o'z-o'zini tahlil qilish imkoniyatini beramiz.
- Biz ish stollarida virusga qarshi himoyani boshqarishni ta'minlaymiz.
- Biz nol kunlik zaifliklardan himoya qilamiz.
- Ruxsatsiz ulanishlardan qo'shimcha himoya qilish uchun ko'p faktorli autentifikatsiyani o'rnating.
Vazifalar qanday hal qilinganligi haqida ko'proq aytib beraman.
Stendni qanday himoya qilamiz va tarmoq xavfsizligini ta'minlaymiz
Biz tarmoq qismini segmentlarga ajratamiz. Stendda biz barcha resurslarni boshqarish uchun yopiq boshqaruv segmentini ajratamiz. Boshqaruv segmentiga tashqaridan kirish mumkin emas: mijozga hujum qilingan taqdirda, tajovuzkorlar u erga kira olmaydi.
FortiGate himoya uchun javobgardir. U antivirus, xavfsizlik devori, kirishni oldini olish tizimi (IPS) funktsiyalarini birlashtiradi.
Har bir mijoz uchun biz virtual ish stollari uchun ajratilgan tarmoq segmentini yaratamiz. Buning uchun FortiGate virtual domen texnologiyasiga yoki VDOMga ega. Bu sizga xavfsizlik devorini bir nechta virtual ob'ektlarga bo'lish va har bir mijozga alohida xavfsizlik devori kabi ishlaydigan o'z VDOM-ni ajratish imkonini beradi. Shuningdek, biz boshqaruv segmenti uchun alohida VDOM yaratamiz.
Bu sxema chiqadi:
Mijozlar o'rtasida tarmoq ulanishi yo'q: har biri o'z VDOM-da yashaydi va boshqasiga ta'sir qilmaydi. Ushbu texnologiyasiz mijozlarni xavfsizlik devori qoidalari bilan ajratishimiz kerak edi va bu inson omili tufayli xavfli. Siz bunday qoidalarni doimo yopiq bo'lishi kerak bo'lgan eshik bilan solishtirishingiz mumkin. VDOM bo'lsa, biz "eshiklarni" umuman tark etmaymiz.
Alohida VDOMda mijoz o'z manzili va marshrutiga ega. Shuning uchun diapazonlarning kesishishi kompaniya uchun muammoga aylanmaydi. Mijoz virtual ish stollariga kerakli IP manzillarni belgilashi mumkin. Bu o'z IP rejalariga ega bo'lgan yirik kompaniyalar uchun qulay.
Biz mijozning korporativ tarmog'i bilan bog'lanish muammolarini hal qilamiz. Alohida vazifa - VDI-ni mijoz infratuzilmasi bilan ulash. Agar kompaniya bizning ma'lumotlar markazimizda korporativ tizimlarni saqlasa, siz shunchaki tarmoq kabelini uning uskunasidan xavfsizlik devoriga o'tkazishingiz mumkin. Ammo ko'pincha biz uzoq sayt - boshqa ma'lumotlar markazi yoki mijozning ofisiga murojaat qilamiz. Bunday holda, biz sayt bilan xavfsiz almashish va IPsec VPN yordamida site2site VPN qurish haqida o'ylaymiz.
Infratuzilmaning murakkabligiga qarab sxemalar har xil bo'lishi mumkin. Biror joyda bitta ofis tarmog'ini VDI ga ulash kifoya - etarli statik marshrutlash mavjud. Yirik kompaniyalar doimo o'zgarib turadigan ko'plab tarmoqlarga ega; Bu erda mijozga dinamik marshrut kerak. Biz turli xil protokollardan foydalanamiz: OSPF (Open Shortest Path First), GRE tunnellari (Generic Routing Incapsulation) va BGP (Border Gateway Protocol) bilan bog'liq holatlar allaqachon bo'lgan. FortiGate boshqa mijozlarga ta'sir qilmasdan alohida VDOMlarda tarmoq protokollarini qo'llab-quvvatlaydi.
Shuningdek, siz Rossiya Federatsiyasi FSB tomonidan sertifikatlangan kripto-himoya vositalariga asoslangan GOST-VPN - shifrlashni qurishingiz mumkin. Masalan, "S-Terra virtual shlyuzi" yoki HSS ViPNet, APKSh "Continent", "S-Terra" virtual muhitida KS1 sinfi yechimlaridan foydalanish.
Guruh siyosatlarini o'rnating. Biz VDIda qo'llaniladigan mijozlar guruhi siyosatlari bilan muvofiqlashamiz. Bu erda belgilash tamoyillari ofisda siyosatni belgilashdan farq qilmaydi. Biz Active Directory bilan integratsiyani o'rnatmoqdamiz va ba'zi guruh siyosatlarini nazorat qilishni mijozlarga topshiramiz. Ijarachi ma'murlari "Kompyuter" ob'ektiga siyosatlarni qo'llashi, Active Directorydagi tashkiliy birlikni boshqarishi va foydalanuvchilarni yaratishi mumkin.
FortiGate-da, har bir mijoz VDOM uchun biz tarmoq xavfsizligi siyosatini yozamiz, kirish cheklovlarini o'rnatamiz va trafik tekshiruvini o'rnatamiz. Biz bir nechta FortiGate modullaridan foydalanamiz:
- IPS moduli zararli dasturlar uchun trafikni tekshiradi va kirishni oldini oladi;
- antivirus ish stollarini zararli dasturlardan va josuslarga qarshi dasturlardan himoya qiladi;
- veb-filtrlash zararli yoki nomaqbul tarkibga ega bo'lgan ishonchsiz manbalar va saytlarga kirishni bloklaydi;
- xavfsizlik devori sozlamalari foydalanuvchilarga faqat ma'lum saytlarda Internetga kirishga ruxsat berishi mumkin.
Ba'zan mijoz xodimlarning saytlarga kirishini mustaqil ravishda boshqarishni xohlaydi. Ko'pincha banklar bunday so'rov bilan kelishadi: xavfsizlik xizmatlari kirish nazorati kompaniya tomonida bo'lishini talab qiladi. Bunday kompaniyalar trafikni o'zlari kuzatib boradilar va muntazam ravishda siyosatga o'zgartirishlar kiritadilar. Bunday holda, biz barcha trafikni FortiGate-dan mijozga aylantiramiz. Buning uchun biz kompaniya infratuzilmasi bilan tuzilgan interfeysdan foydalanamiz. Shundan so'ng, mijozning o'zi korporativ tarmoq va Internetga kirish qoidalarini sozlaydi.
Stendda voqealarni tomosha qilish. FortiGate bilan birgalikda biz Fortinet jurnalining yig'uvchisi FortiAnalyzerdan foydalanamiz. Uning yordami bilan biz VDI-dagi barcha voqealar jurnallarini bir joyda ko'rib chiqamiz, shubhali harakatlarni topamiz va korrelyatsiyalarni kuzatamiz.
Mijozlarimizdan biri o'z ofisida Fortinet mahsulotlaridan foydalanadi. Buning uchun biz jurnalni yuklashni o'rnatdik - mijoz ofis mashinalari va virtual ish stollari uchun barcha xavfsizlik hodisalarini tahlil qilishi mumkin.
Virtual ish stollarini qanday himoya qilamiz
Ma'lum tahdidlardan. Agar mijoz antivirus himoyasini mustaqil ravishda boshqarishni istasa, biz qo'shimcha ravishda Kaspersky Security for Virtualization dasturini o'rnatamiz.
Ushbu yechim bulutda yaxshi ishlaydi. Biz hammamiz klassik Kasperskiy antivirusi "og'ir" yechim ekanligiga o'rganib qolganmiz. Bundan farqli o'laroq, Kaspersky Security for Virtualization virtual mashinalarni yuklamaydi. Barcha virus ma'lumotlar bazalari serverda joylashgan bo'lib, u barcha xost virtual mashinalari uchun hukm chiqaradi. Virtual ish stolida faqat yorug'lik agenti o'rnatilgan. U fayllarni tekshirish uchun serverga yuboradi.
Ushbu arxitektura bir vaqtning o'zida fayllarni himoya qilishni, Internetni himoya qilishni, hujumlardan himoya qilishni ta'minlaydi va virtual mashinalarning ish faoliyatini kamaytirmaydi. Bunday holda, mijoz faylni himoya qilishning o'ziga istisno qilishi mumkin. Yechimni asosiy sozlashda yordam beramiz. Uning xususiyatlari haqida alohida maqolada gaplashamiz.
Noma'lum tahdidlardan. Buning uchun biz Fortinet-dan FortiSandbox-ni ulaymiz. Agar antivirus nol kunlik tahdidni o'tkazib yuborsa, biz uni filtr sifatida ishlatamiz. Faylni yuklab olgandan so'ng, avval uni antivirus bilan tekshirib ko'ramiz, so'ngra uni sandboxga yuboramiz. FortiSandbox virtual mashinaga taqlid qiladi, faylni ishga tushiradi va uning xatti-harakatlarini nazorat qiladi: registrdagi qaysi ob'ektlarga kirishi, tashqi so'rovlarni yuboradimi yoki yo'qmi va hokazo. Agar fayl shubhali harakat qilsa, sinov muhitiga kiritilgan VM o'chiriladi va zararli fayl foydalanuvchi VDI-ga joylashtirilmaydi.
VDI ga xavfsiz ulanishni qanday o'rnatish kerak
Qurilmaning axborot xavfsizligi talablariga muvofiqligini tekshiramiz. Masofaviy ish boshlanganidan beri mijozlar bizga so'rovlar bilan murojaat qilishdi: foydalanuvchilarning shaxsiy kompyuterlaridan xavfsiz ishlashini ta'minlash. Axborot xavfsizligi bo'yicha har qanday mutaxassis uy jihozlarini himoya qilish qiyinligini biladi: siz u erda kerakli antivirusni o'rnatolmaysiz yoki guruh siyosatini qo'llay olmaysiz, chunki ular ofis jihozlari emas.
Odatiy bo'lib, VDI shaxsiy qurilma va korporativ tarmoq o'rtasida xavfsiz "qatlam" bo'ladi. VDI-ni foydalanuvchi mashinasidan hujumlardan himoya qilish uchun biz clipboardni o'chirib qo'yamiz, USB orqali yuborishni o'chirib qo'yamiz. Lekin bu foydalanuvchi qurilmasining o'zini xavfsiz qilmaydi.
Muammoni FortiClient yordamida hal qilamiz. Bu so'nggi nuqtalarni himoya qilish uchun vositadir (oxirgi nuqtani himoya qilish). Kompaniya foydalanuvchilari FortiClient-ni uy kompyuterlariga o'rnatadilar va undan virtual ish stoliga ulanish uchun foydalanadilar. FortiClient bir vaqtning o'zida 3 ta vazifani hal qiladi:
- foydalanuvchi uchun kirishning "yagona oynasi"ga aylanadi;
- shaxsiy kompyuterda antivirus va oxirgi OS yangilanishlari mavjudligini tekshiradi;
- xavfsiz kirish uchun VPN tunnelini quradi.
Xodim faqat tekshiruvdan o'tgan taqdirdagina kirish huquqiga ega bo'ladi. Shu bilan birga, virtual ish stollarining o'zlari Internetdan kirish imkoni yo'q, ya'ni ular hujumlardan yaxshiroq himoyalangan.
Agar kompaniya so'nggi nuqta himoyasini o'zi boshqarishni istasa, biz FortiClient EMS (Endpoint Management Server) ni taklif qilamiz. Mijoz ish stolini skanerlash va hujumning oldini olishni sozlashi, manzillarning oq ro'yxatini yaratishi mumkin.
Autentifikatsiya omillarini qo'shing. Odatiy bo'lib, foydalanuvchilar Citrix netscaler orqali autentifikatsiya qilinadi. Bu erda ham biz SafeNet mahsulotlariga asoslangan ko'p faktorli autentifikatsiya yordamida xavfsizlikni kuchaytirishimiz mumkin. Ushbu mavzu alohida e'tiborga loyiqdir, biz bu haqda alohida maqolada gaplashamiz.
Biz so'nggi ish yilida turli xil echimlar bilan ishlash bo'yicha bunday tajribani to'pladik. VDI xizmati har bir mijoz uchun alohida sozlangan, shuning uchun biz eng moslashuvchan vositalarni tanladik. Ehtimol, yaqin kelajakda biz yana bir narsa qo'shamiz va tajribamiz bilan o'rtoqlashamiz.
7 oktyabr kuni soat 17.00da hamkasblarim virtual ish stollari haqida "Menga VDI kerakmi yoki masofaviy ishni qanday tashkil qilish kerak?"
, agar siz VDI texnologiyasi kompaniya uchun qachon mos kelishini va qachon boshqa usullardan foydalanish yaxshiroq ekanligini muhokama qilmoqchi bo'lsangiz.
Manba: www.habr.com