Năm nay, nhiều công ty vội chuyển sang làm việc từ xa. Đối với một số khách hàng, chúng tôi tổ chức hơn một trăm công việc từ xa mỗi tuần. Điều quan trọng là phải làm điều này không chỉ nhanh chóng mà còn an toàn. Công nghệ VDI đã ra tay cứu nguy: với sự trợ giúp của nó, việc phân phối các chính sách bảo mật đến tất cả nơi làm việc và bảo vệ chống rò rỉ dữ liệu trở nên thuận tiện.
Trong bài viết này, tôi sẽ cho bạn biết dịch vụ máy tính để bàn ảo dựa trên Citrix VDI của chúng tôi hoạt động như thế nào từ quan điểm bảo mật thông tin. Tôi sẽ chỉ cho bạn những gì chúng tôi làm để bảo vệ máy tính của khách hàng khỏi các mối đe dọa bên ngoài như phần mềm tống tiền hoặc các cuộc tấn công có chủ đích.
Chúng tôi giải quyết những vấn đề bảo mật nào?
Chúng tôi đã xác định được một số mối đe dọa bảo mật chính đối với dịch vụ. Một mặt, desktop ảo có nguy cơ bị lây nhiễm từ máy tính của người dùng. Mặt khác, có nguy cơ đi ra khỏi máy tính để bàn ảo vào không gian mở của Internet và tải xuống một tệp bị nhiễm virus. Ngay cả khi điều này xảy ra, nó sẽ không ảnh hưởng đến toàn bộ cơ sở hạ tầng. Vì vậy, khi tạo dịch vụ, chúng tôi đã giải quyết được một số vấn đề:
- Bảo vệ toàn bộ chân đế VDI khỏi các mối đe dọa từ bên ngoài.
- Cô lập khách hàng với nhau.
- Tự bảo vệ máy tính để bàn ảo.
- Kết nối người dùng an toàn từ mọi thiết bị.
Cốt lõi của biện pháp bảo vệ là FortiGate, tường lửa thế hệ mới của Fortinet. Nó giám sát lưu lượng gian hàng VDI, cung cấp cơ sở hạ tầng biệt lập cho từng khách hàng và bảo vệ khỏi các lỗ hổng từ phía người dùng. Khả năng của nó đủ để giải quyết hầu hết các vấn đề bảo mật thông tin.
Nhưng nếu một công ty có yêu cầu bảo mật đặc biệt, chúng tôi sẽ cung cấp các tùy chọn bổ sung:
- Chúng tôi tổ chức kết nối an toàn để làm việc từ máy tính ở nhà.
- Chúng tôi cung cấp quyền truy cập để phân tích độc lập các nhật ký bảo mật.
- Chúng tôi cung cấp khả năng quản lý bảo vệ chống vi-rút trên máy tính để bàn.
- Chúng tôi bảo vệ khỏi các lỗ hổng zero-day.
- Chúng tôi định cấu hình xác thực đa yếu tố để bảo vệ bổ sung chống lại các kết nối trái phép.
Tôi sẽ cho bạn biết chi tiết hơn về cách chúng tôi giải quyết vấn đề.
Cách bảo vệ chân đế và đảm bảo an ninh mạng
Hãy phân đoạn phần mạng. Tại gian hàng, chúng tôi nêu bật phân khúc quản lý khép kín để quản lý tất cả các nguồn lực. Phân khúc quản lý không thể truy cập được từ bên ngoài: trong trường hợp máy khách bị tấn công, kẻ tấn công sẽ không thể tiếp cận được.
FortiGate chịu trách nhiệm bảo vệ. Nó kết hợp các chức năng của hệ thống chống vi-rút, tường lửa và ngăn chặn xâm nhập (IPS).
Đối với mỗi khách hàng, chúng tôi tạo một phân đoạn mạng riêng biệt cho máy tính để bàn ảo. Với mục đích này, FortiGate có công nghệ miền ảo hoặc VDOM. Nó cho phép bạn chia tường lửa thành nhiều thực thể ảo và phân bổ VDOM riêng cho mỗi máy khách, hoạt động giống như một tường lửa riêng biệt. Chúng tôi cũng tạo một VDOM riêng cho phân khúc quản lý.
Đây hóa ra là sơ đồ sau:
Không có kết nối mạng giữa các máy khách: mỗi máy sống trong VDOM riêng và không ảnh hưởng đến máy khác. Nếu không có công nghệ này, chúng tôi sẽ phải tách biệt các máy khách bằng các quy tắc tường lửa, điều này tiềm ẩn nhiều rủi ro do lỗi của con người. Bạn có thể so sánh những quy tắc đó với một cánh cửa phải đóng liên tục. Trong trường hợp của VDOM, chúng tôi không để lại “cánh cửa” nào cả.
Trong một VDOM riêng biệt, máy khách có địa chỉ và định tuyến riêng. Do đó, việc vượt qua các phạm vi không trở thành vấn đề đối với công ty. Máy khách có thể gán các địa chỉ IP cần thiết cho máy tính để bàn ảo. Điều này thuận tiện cho các công ty lớn có kế hoạch IP riêng.
Chúng tôi giải quyết các vấn đề kết nối với mạng công ty của khách hàng. Một nhiệm vụ riêng biệt là kết nối VDI với cơ sở hạ tầng máy khách. Nếu một công ty giữ các hệ thống của công ty trong trung tâm dữ liệu của chúng tôi, chúng tôi có thể chỉ cần chạy cáp mạng từ thiết bị của công ty đó đến tường lửa. Nhưng thông thường chúng ta đang làm việc với một địa điểm từ xa - một trung tâm dữ liệu khác hoặc văn phòng khách hàng. Trong trường hợp này, chúng tôi nghĩ đến việc trao đổi an toàn với trang web và xây dựng VPN site2site bằng IPsec VPN.
Đề án có thể khác nhau tùy thuộc vào sự phức tạp của cơ sở hạ tầng. Ở một số nơi, chỉ cần kết nối một mạng văn phòng với VDI là đủ - ở đó định tuyến tĩnh là đủ. Các công ty lớn có nhiều mạng lưới luôn thay đổi; ở đây khách hàng cần định tuyến động. Chúng tôi sử dụng các giao thức khác nhau: đã có trường hợp với OSPF (Mở đường dẫn ngắn nhất trước), đường hầm GRE (Đóng gói định tuyến chung) và BGP (Giao thức cổng biên). FortiGate hỗ trợ các giao thức mạng trong các VDOM riêng biệt mà không ảnh hưởng đến các máy khách khác.
Bạn cũng có thể xây dựng GOST-VPN - mã hóa dựa trên các phương tiện bảo vệ bằng mật mã được FSB của Liên bang Nga chứng nhận. Ví dụ: sử dụng giải pháp lớp KS1 trong môi trường ảo “S-Terra Virtual Gateway” hoặc PAK ViPNet, APKSH “Continent”, “S-Terra”.
Thiết lập chính sách nhóm Chúng tôi thống nhất với khách hàng về các chính sách nhóm được áp dụng trên VDI. Ở đây những nguyên tắc thiết lập không khác gì việc thiết lập các chính sách ở văn phòng. Chúng tôi thiết lập tích hợp với Active Directory và ủy quyền quản lý một số chính sách nhóm cho khách hàng. Quản trị viên đối tượng thuê có thể áp dụng các chính sách cho đối tượng Máy tính, quản lý đơn vị tổ chức trong Active Directory và tạo người dùng.
Trên FortiGate, đối với mỗi máy khách VDOM, chúng tôi viết chính sách bảo mật mạng, đặt giới hạn truy cập và định cấu hình kiểm tra lưu lượng. Chúng tôi sử dụng một số mô-đun FortiGate:
- Mô-đun IPS quét lưu lượng truy cập để tìm phần mềm độc hại và ngăn chặn sự xâm nhập;
- phần mềm chống vi-rút tự bảo vệ máy tính để bàn khỏi phần mềm độc hại và phần mềm gián điệp;
- lọc web chặn quyền truy cập vào các tài nguyên và trang web không đáng tin cậy có nội dung độc hại hoặc không phù hợp;
- Cài đặt tường lửa có thể cho phép người dùng chỉ truy cập Internet vào một số trang web nhất định.
Đôi khi khách hàng muốn quản lý độc lập quyền truy cập của nhân viên vào các trang web. Thông thường, các ngân hàng đưa ra yêu cầu này: các dịch vụ bảo mật yêu cầu quyền kiểm soát truy cập vẫn thuộc về phía công ty. Những công ty như vậy tự giám sát lưu lượng truy cập và thường xuyên thực hiện các thay đổi về chính sách. Trong trường hợp này, chúng tôi chuyển tất cả lưu lượng truy cập từ FortiGate sang máy khách. Để thực hiện việc này, chúng tôi sử dụng giao diện được định cấu hình với cơ sở hạ tầng của công ty. Sau đó, khách hàng sẽ tự cấu hình các quy tắc truy cập vào mạng công ty và Internet.
Chúng tôi theo dõi các sự kiện tại khán đài. Cùng với FortiGate, chúng tôi sử dụng FortiAnalyzer, một công cụ thu thập nhật ký của Fortinet. Với sự trợ giúp của nó, chúng tôi xem xét tất cả nhật ký sự kiện trên VDI ở một nơi, tìm các hành động đáng ngờ và theo dõi mối tương quan.
Một trong những khách hàng của chúng tôi sử dụng các sản phẩm Fortinet trong văn phòng của họ. Đối với nó, chúng tôi đã định cấu hình tải lên nhật ký - để khách hàng có thể phân tích tất cả các sự kiện bảo mật cho máy văn phòng và máy tính để bàn ảo.
Cách bảo vệ máy tính để bàn ảo
Từ các mối đe dọa đã biết. Nếu khách hàng muốn quản lý độc lập tính năng bảo vệ chống vi-rút, chúng tôi sẽ cài đặt thêm Kaspersky Security cho môi trường ảo.
Giải pháp này hoạt động tốt trên đám mây. Tất cả chúng ta đều quen với thực tế rằng phần mềm diệt virus cổ điển của Kaspersky là một giải pháp “nặng”. Ngược lại, Kaspersky Security for Virtualization không tải máy ảo. Tất cả cơ sở dữ liệu vi-rút đều được đặt trên máy chủ, nơi đưa ra phán quyết cho tất cả các máy ảo của nút. Chỉ có tác nhân nhẹ được cài đặt trên màn hình ảo. Nó gửi tập tin đến máy chủ để xác minh.
Kiến trúc này đồng thời cung cấp khả năng bảo vệ tệp, bảo vệ Internet và chống tấn công mà không ảnh hưởng đến hiệu suất của máy ảo. Trong trường hợp này, khách hàng có thể đưa ra các ngoại lệ một cách độc lập để bảo vệ tệp. Chúng tôi giúp thiết lập cơ bản của giải pháp. Chúng ta sẽ nói về các tính năng của nó trong một bài viết riêng.
Từ những mối đe dọa chưa biết. Để làm điều này, chúng tôi kết nối FortiSandbox – một “hộp cát” của Fortinet. Chúng tôi sử dụng nó làm bộ lọc trong trường hợp phần mềm chống vi-rút bỏ sót mối đe dọa zero-day. Sau khi tải xuống tệp, trước tiên chúng tôi quét tệp bằng phần mềm chống vi-rút và sau đó gửi tệp vào hộp cát. FortiSandbox mô phỏng một máy ảo, chạy tệp và quan sát hành vi của nó: đối tượng nào trong sổ đăng ký được truy cập, liệu nó có gửi yêu cầu bên ngoài hay không, v.v. Nếu một tệp hoạt động đáng ngờ, máy ảo được đóng hộp cát sẽ bị xóa và tệp độc hại sẽ không xuất hiện trên VDI của người dùng.
Cách thiết lập kết nối an toàn với VDI
Chúng tôi kiểm tra việc tuân thủ các yêu cầu bảo mật thông tin của thiết bị. Kể từ khi bắt đầu làm việc từ xa, khách hàng đã liên hệ với chúng tôi với các yêu cầu: đảm bảo hoạt động an toàn của người dùng từ máy tính cá nhân của họ. Bất kỳ chuyên gia bảo mật thông tin nào cũng biết rằng việc bảo vệ các thiết bị gia đình là rất khó: bạn không thể cài đặt phần mềm chống vi-rút cần thiết hoặc áp dụng các chính sách nhóm vì đây không phải là thiết bị văn phòng.
Theo mặc định, VDI trở thành một “lớp” bảo mật giữa thiết bị cá nhân và mạng công ty. Để bảo vệ VDI khỏi các cuộc tấn công từ máy người dùng, chúng tôi vô hiệu hóa bảng tạm và cấm chuyển tiếp USB. Nhưng điều này không làm cho thiết bị của người dùng trở nên an toàn.
Chúng tôi giải quyết vấn đề bằng FortiClient. Đây là một công cụ bảo vệ điểm cuối. Người dùng của công ty cài đặt FortiClient trên máy tính ở nhà của họ và sử dụng nó để kết nối với máy tính để bàn ảo. FortiClient giải quyết cùng lúc 3 vấn đề:
- trở thành một “cửa sổ duy nhất” truy cập cho người dùng;
- kiểm tra xem máy tính cá nhân của bạn có phần mềm chống vi-rút và các bản cập nhật hệ điều hành mới nhất hay không;
- xây dựng đường hầm VPN để truy cập an toàn.
Nhân viên chỉ có được quyền truy cập nếu họ vượt qua quá trình xác minh. Đồng thời, bản thân các máy tính để bàn ảo không thể truy cập được từ Internet, điều đó có nghĩa là chúng được bảo vệ tốt hơn khỏi các cuộc tấn công.
Nếu một công ty muốn tự quản lý việc bảo vệ điểm cuối, chúng tôi cung cấp FortiClient EMS (Máy chủ quản lý điểm cuối). Máy khách có thể định cấu hình chức năng quét máy tính để bàn và ngăn chặn xâm nhập, đồng thời tạo danh sách địa chỉ trắng.
Thêm các yếu tố xác thực. Theo mặc định, người dùng được xác thực thông qua Citrix netscaler. Ở đây, chúng tôi cũng có thể tăng cường bảo mật bằng cách sử dụng xác thực đa yếu tố dựa trên các sản phẩm SafeNet. Chủ đề này đáng được quan tâm đặc biệt, chúng tôi cũng sẽ nói về vấn đề này trong một bài viết riêng.
Chúng tôi đã tích lũy được kinh nghiệm như vậy khi làm việc với các giải pháp khác nhau trong năm làm việc vừa qua. Dịch vụ VDI được cấu hình riêng cho từng khách hàng nên chúng tôi đã chọn những công cụ linh hoạt nhất. Có lẽ trong thời gian tới chúng tôi sẽ bổ sung thêm điều gì đó khác và chia sẻ kinh nghiệm của mình.
Vào lúc 7 giờ ngày 17.00 tháng XNUMX, các đồng nghiệp của tôi sẽ nói về máy tính để bàn ảo tại hội thảo trực tuyến “VDI có cần thiết hay cách tổ chức công việc từ xa?”
, nếu bạn muốn thảo luận khi nào công nghệ VDI phù hợp với một công ty và khi nào nên sử dụng các phương pháp khác thì tốt hơn.
Nguồn: www.habr.com