Ni ọdun yii, ọpọlọpọ awọn ile-iṣẹ yara yipada si iṣẹ latọna jijin. Fun diẹ ninu awọn onibara a ṣeto diẹ sii ju ọgọrun awọn iṣẹ latọna jijin lọ ni ọsẹ kan. O ṣe pataki lati ṣe eyi kii ṣe yarayara, ṣugbọn tun lailewu. Imọ-ẹrọ VDI ti wa si igbala: pẹlu iranlọwọ rẹ, o rọrun lati kaakiri awọn eto imulo aabo si gbogbo awọn aaye iṣẹ ati daabobo lodi si awọn n jo data.
Ninu nkan yii Emi yoo sọ fun ọ bii iṣẹ tabili foju foju wa ti o da lori Citrix VDI ṣiṣẹ lati oju wiwo aabo alaye. Emi yoo fihan ọ ohun ti a ṣe lati daabobo awọn kọǹpútà onibara lati awọn irokeke ita gẹgẹbi ransomware tabi awọn ikọlu ti a fojusi.
Awọn iṣoro aabo wo ni a yanju?
A ti ṣe idanimọ ọpọlọpọ awọn irokeke aabo akọkọ si iṣẹ naa. Ni ọwọ kan, tabili foju n ṣiṣẹ eewu ti akoran lati kọnputa olumulo. Ní ọwọ́ kejì ẹ̀wẹ̀, ewu wà láti jáde láti orí kọ̀ǹpútà aláfojúdi sí ojú ọ̀nà tí ó ṣí sílẹ̀ fún Íńtánẹ́ẹ̀tì àti gbígba fáìlì tí ó ní àkóràn jáde. Paapa ti eyi ba ṣẹlẹ, ko yẹ ki o kan gbogbo awọn amayederun. Nitorinaa, nigba ṣiṣẹda iṣẹ naa, a yanju awọn iṣoro pupọ:
- Ṣe aabo fun gbogbo iduro VDI lati awọn irokeke ita.
- Iyapa ti ibara lati kọọkan miiran.
- Aabo awọn foju tabili ara wọn.
- Ni aabo so awọn olumulo lati eyikeyi ẹrọ.
Ohun pataki ti aabo jẹ FortiGate, ogiriina iran tuntun lati Fortinet. O ṣe abojuto ijabọ agọ VDI, pese awọn amayederun ti o ya sọtọ fun alabara kọọkan, ati aabo lodi si awọn ailagbara ni ẹgbẹ olumulo. Awọn agbara rẹ ti to lati yanju ọpọlọpọ awọn ọran aabo alaye.
Ṣugbọn ti ile-iṣẹ ba ni awọn ibeere aabo pataki, a funni ni awọn aṣayan afikun:
- A ṣeto asopọ to ni aabo fun ṣiṣẹ lati awọn kọnputa ile.
- A pese iraye si fun itupalẹ ominira ti awọn akọọlẹ aabo.
- A pese iṣakoso ti aabo antivirus lori awọn kọǹpútà alágbèéká.
- A daabobo lodi si awọn ailagbara ọjọ-odo.
- A tunto ifitonileti ifosiwewe pupọ fun aabo ni afikun lodi si awọn asopọ laigba aṣẹ.
Emi yoo sọ fun ọ ni alaye diẹ sii bi a ṣe yanju awọn iṣoro naa.
Bii o ṣe le daabobo iduro ati rii daju aabo nẹtiwọki
Jẹ ki a pin apakan nẹtiwọki. Ni imurasilẹ a ṣe afihan apakan iṣakoso pipade fun ṣiṣakoso gbogbo awọn orisun. Apakan iṣakoso ko ni iraye si lati ita: ni iṣẹlẹ ti ikọlu lori alabara, awọn ikọlu kii yoo ni anfani lati de ibẹ.
FortiGate jẹ iduro fun aabo. O daapọ awọn iṣẹ ti antivirus, ogiriina, ati eto idena ifọle (IPS).
Fun alabara kọọkan a ṣẹda apakan nẹtiwọọki ti o ya sọtọ fun awọn tabili itẹwe foju. Fun idi eyi, FortiGate ni imọ-ẹrọ agbegbe foju, tabi VDOM. O gba ọ laaye lati pin ogiriina si ọpọlọpọ awọn ohun elo foju ati pin alabara kọọkan VDOM tirẹ, eyiti o huwa bi ogiriina lọtọ. A tun ṣẹda VDOM lọtọ fun apakan iṣakoso.
Eyi yoo jade lati jẹ aworan atọka atẹle:
Ko si Asopọmọra nẹtiwọọki laarin awọn alabara: ọkọọkan ngbe ni VDOM tirẹ ati pe ko ni ipa lori ekeji. Laisi imọ-ẹrọ yii, a yoo ni lati ya awọn alabara lọtọ pẹlu awọn ofin ogiriina, eyiti o jẹ eewu nitori aṣiṣe eniyan. O le ṣe afiwe iru awọn ofin si ẹnu-ọna ti o gbọdọ wa ni pipade nigbagbogbo. Ninu ọran ti VDOM, a ko fi “awọn ilẹkun” silẹ rara.
Ni VDOM lọtọ, alabara ni adirẹsi tirẹ ati ipa-ọna. Nitorinaa, awọn sakani lilaja ko di iṣoro fun ile-iṣẹ naa. Onibara le fi awọn adirẹsi IP pataki si awọn tabili itẹwe foju. Eyi jẹ rọrun fun awọn ile-iṣẹ nla ti o ni awọn ero IP tiwọn.
A yanju awọn ọran Asopọmọra pẹlu nẹtiwọọki ile-iṣẹ alabara. Iṣẹ-ṣiṣe lọtọ ni sisopọ VDI pẹlu awọn amayederun alabara. Ti ile-iṣẹ ba tọju awọn eto ile-iṣẹ ni ile-iṣẹ data wa, a le jiroro ni ṣiṣe okun nẹtiwọọki kan lati ohun elo rẹ si ogiriina. Ṣugbọn diẹ sii nigbagbogbo a n ṣe ajọṣepọ pẹlu aaye latọna jijin - ile-iṣẹ data miiran tabi ọfiisi alabara. Ni idi eyi, a ro nipasẹ kan ni aabo paṣipaarọ pẹlu awọn ojula ati ki o kọ site2site VPN lilo IPsec VPN.
Awọn eto le yatọ si da lori idiju ti awọn amayederun. Ni awọn aaye kan o to lati so nẹtiwọki ọfiisi kan pọ si VDI - ipa ọna aimi ti to nibẹ. Awọn ile-iṣẹ nla ni ọpọlọpọ awọn nẹtiwọki ti n yipada nigbagbogbo; nibi onibara nilo ipa ọna agbara. A lo awọn ilana ti o yatọ: awọn ọran ti wa tẹlẹ pẹlu OSPF (Ona Ṣiṣii Kuru ju akọkọ), awọn tunnels GRE (Generic Routing Encapsulation) ati BGP (Border Gateway Protocol). FortiGate ṣe atilẹyin awọn ilana nẹtiwọọki ni awọn VDOM lọtọ, laisi ni ipa awọn alabara miiran.
O tun le kọ GOST-VPN - fifi ẹnọ kọ nkan ti o da lori aabo cryptographic ọna ti ifọwọsi nipasẹ FSB ti Russian Federation. Fun apẹẹrẹ, lilo awọn ipinnu kilasi KS1 ni agbegbe foju “S-Terra Virtual Gateway” tabi PAK ViPNet, APKSH “Continent”, “S-Terra”.
Ṣiṣeto Awọn Ilana Ẹgbẹ. A gba pẹlu alabara lori awọn eto imulo ẹgbẹ ti o lo lori VDI. Nibi awọn ilana ti eto ko yatọ si eto imulo ni ọfiisi. A ṣeto iṣọpọ pẹlu Active Directory ati iṣakoso aṣoju ti diẹ ninu awọn eto imulo ẹgbẹ si awọn alabara. Awọn alabojuto agbatọju le lo awọn eto imulo si nkan Kọmputa, ṣakoso ẹyọ ti iṣeto ni Active Directory, ati ṣẹda awọn olumulo.
Lori FortiGate, fun alabara kọọkan VDOM a kọ eto imulo aabo nẹtiwọọki kan, ṣeto awọn ihamọ iwọle ati tunto ayewo ijabọ. A lo ọpọlọpọ awọn modulu FortiGate:
- IPS module ṣayẹwo ijabọ fun malware ati idilọwọ awọn ifọle;
- antivirus ṣe aabo awọn kọnputa funrararẹ lati malware ati spyware;
- Sisẹ wẹẹbu ṣe idiwọ iraye si awọn orisun ti ko ni igbẹkẹle ati awọn aaye pẹlu irira tabi akoonu ti ko yẹ;
- Eto ogiriina le gba awọn olumulo laaye lati wọle si Intanẹẹti si awọn aaye kan nikan.
Nigba miiran alabara kan fẹ lati ṣakoso ni ominira ti iraye si oṣiṣẹ si awọn oju opo wẹẹbu. Ni igbagbogbo ju bẹẹkọ, awọn banki wa pẹlu ibeere yii: awọn iṣẹ aabo nilo pe iṣakoso iwọle wa ni ẹgbẹ ile-iṣẹ naa. Iru awọn ile-iṣẹ tikararẹ ṣe atẹle ijabọ ati ṣe awọn ayipada nigbagbogbo si awọn eto imulo. Ni idi eyi, a yi gbogbo ijabọ lati FortiGate si ọna alabara. Lati ṣe eyi, a lo wiwo atunto pẹlu awọn amayederun ile-iṣẹ naa. Lẹhin eyi, alabara funrararẹ tunto awọn ofin fun iraye si nẹtiwọọki ile-iṣẹ ati Intanẹẹti.
A wo awọn iṣẹlẹ ni imurasilẹ. Paapọ pẹlu FortiGate a lo FortiAnalyzer, agbẹru log lati Fortinet. Pẹlu iranlọwọ rẹ, a wo gbogbo awọn akọọlẹ iṣẹlẹ lori VDI ni aye kan, wa awọn iṣe ifura ati awọn ibamu orin.
Ọkan ninu awọn alabara wa lo awọn ọja Fortinet ni ọfiisi wọn. Fun rẹ, a tunto ikojọpọ log - nitorinaa alabara ni anfani lati ṣe itupalẹ gbogbo awọn iṣẹlẹ aabo fun awọn ẹrọ ọfiisi ati awọn tabili itẹwe foju.
Bii o ṣe le daabobo awọn kọǹpútà foju
Lati awọn irokeke ti a mọ. Ti alabara ba fẹ lati ṣakoso ni ominira lati ṣakoso aabo ọlọjẹ, a tun fi Aabo Kaspersky sori ẹrọ fun awọn agbegbe foju.
Ojutu yii ṣiṣẹ daradara ninu awọsanma. Gbogbo wa jẹ deede si otitọ pe ọlọjẹ Kaspersky Ayebaye jẹ ojutu “eru” kan. Ni idakeji, Aabo Kaspersky fun Imudara ko ni fifuye awọn ẹrọ foju. Gbogbo awọn apoti isura infomesonu ọlọjẹ wa lori olupin naa, eyiti o funni ni idajọ fun gbogbo awọn ẹrọ foju ti ipade naa. Aṣoju ina nikan ni a fi sori ẹrọ lori tabili foju. O fi awọn faili ranṣẹ si olupin fun ijẹrisi.
Ile faaji yii nigbakanna n pese aabo faili, aabo Intanẹẹti, ati aabo ikọlu laisi ibajẹ iṣẹ ti awọn ẹrọ foju. Ni ọran yii, alabara le ṣe agbekalẹ awọn imukuro ni ominira si aabo faili. A ṣe iranlọwọ pẹlu iṣeto ipilẹ ti ojutu. A yoo sọrọ nipa awọn ẹya ara ẹrọ rẹ ni nkan lọtọ.
Lati awọn irokeke aimọ. Lati ṣe eyi, a so FortiSandbox - "apoti iyanrin" kan lati Fortinet. A lo bi àlẹmọ ti o ba jẹ pe antivirus padanu irokeke ọjọ-odo kan. Lẹhin igbasilẹ faili naa, a kọkọ ṣayẹwo rẹ pẹlu ọlọjẹ kan lẹhinna firanṣẹ si apoti iyanrin. FortiSandbox ṣe apẹẹrẹ ẹrọ foju kan, ṣiṣe faili naa ati ṣe akiyesi ihuwasi rẹ: kini awọn nkan ti o wa ninu iforukọsilẹ ti wọle, boya o firanṣẹ awọn ibeere ita, ati bẹbẹ lọ. Ti faili kan ba huwa ni ifura, ẹrọ foju ti sandboxed ti paarẹ ati pe faili irira ko pari lori olumulo VDI.
Bii o ṣe le ṣeto asopọ to ni aabo si VDI
A ṣayẹwo ibamu ẹrọ pẹlu awọn ibeere aabo alaye. Lati ibẹrẹ ti iṣẹ latọna jijin, awọn alabara ti sunmọ wa pẹlu awọn ibeere: lati rii daju iṣẹ ailewu ti awọn olumulo lati awọn kọnputa ti ara ẹni. Eyikeyi alamọja aabo alaye mọ pe aabo awọn ẹrọ ile nira: o ko le fi antivirus pataki sii tabi lo awọn eto imulo ẹgbẹ, nitori eyi kii ṣe ohun elo ọfiisi.
Nipa aiyipada, VDI di "Layer" ti o ni aabo laarin ẹrọ ti ara ẹni ati nẹtiwọki ile-iṣẹ. Lati daabobo VDI lati awọn ikọlu lati ẹrọ olumulo, a mu agekuru agekuru kuro ati ṣe idiwọ ifiranšẹ USB. Ṣugbọn eyi ko jẹ ki ẹrọ olumulo funrararẹ ni aabo.
A yanju iṣoro naa nipa lilo FortiClient. Eyi jẹ ohun elo aabo opin. Awọn olumulo ile-iṣẹ fi FortiClient sori awọn kọnputa ile wọn ati lo lati sopọ si tabili tabili foju kan. FortiClient yanju awọn iṣoro 3 ni ẹẹkan:
- di “windows ẹyọkan” ti iwọle fun olumulo;
- ṣayẹwo boya kọnputa ti ara ẹni ni o ni ọlọjẹ ati awọn imudojuiwọn OS tuntun;
- kọ oju eefin VPN fun iraye si aabo.
Oṣiṣẹ nikan ni iwọle si ti wọn ba kọja ijẹrisi. Ni akoko kanna, awọn kọǹpútà alágbèéká ara wọn ko ni iraye si Intanẹẹti, eyiti o tumọ si pe wọn ni aabo to dara julọ lati awọn ikọlu.
Ti ile-iṣẹ kan ba fẹ lati ṣakoso aabo aaye ipari funrararẹ, a nfun FortiClient EMS (Olupin Iṣakoso Ipari). Onibara le tunto ibojuwo iboju ati idena ifọle, ati ṣẹda atokọ funfun ti awọn adirẹsi.
Fifi ìfàṣẹsí ifosiwewe. Nipa aiyipada, awọn olumulo jẹ ifọwọsi nipasẹ Citrix netscaler. Nibi, paapaa, a le mu aabo pọ si nipa lilo ijẹrisi multifactor ti o da lori awọn ọja SafeNet. Koko yii yẹ akiyesi pataki; a yoo tun sọrọ nipa eyi ni nkan lọtọ.
A ti ṣajọpọ iru iriri bẹ ni ṣiṣẹ pẹlu awọn solusan oriṣiriṣi ni ọdun ti o kọja ti iṣẹ. Iṣẹ VDI ni tunto lọtọ fun alabara kọọkan, nitorinaa a yan awọn irinṣẹ to rọ julọ. Boya ni ọjọ iwaju nitosi a yoo ṣafikun nkan miiran ki o pin iriri wa.
Ni Oṣu Kẹwa Ọjọ 7 ni 17.00 awọn ẹlẹgbẹ mi yoo sọrọ nipa awọn kọǹpútà alágbèéká foju ni webinar “Ṣe VDI jẹ pataki, tabi bii o ṣe le ṣeto iṣẹ latọna jijin?”
, ti o ba fẹ lati jiroro nigbati imọ-ẹrọ VDI dara fun ile-iṣẹ kan ati nigbati o dara lati lo awọn ọna miiran.
orisun: www.habr.com