今年,不少企业匆忙转向远程办公。 对于一些客户我们 每周组织一百多项远程工作。 重要的是不仅要快速而且要安全。 VDI技术来拯救我们:在它的帮助下,可以方便地将安全策略分发到所有工作场所并防止数据泄露。
在本文中,我将从信息安全的角度告诉您我们基于 Citrix VDI 的虚拟桌面服务如何工作。 我将向您展示我们如何保护客户端桌面免受勒索软件或针对性攻击等外部威胁。
我们解决什么安全问题?
我们已经确定了该服务的几个主要安全威胁。 一方面,虚拟桌面存在被用户计算机感染的风险。 另一方面,存在从虚拟桌面进入互联网开放空间并下载受感染文件的危险。 即使发生这种情况,也不应该影响整个基础设施。 因此,在创建服务时,我们解决了几个问题:
- 保护整个 VDI 展位免受外部威胁。
- 客户之间的隔离。
- 保护虚拟桌面本身。
- 从任何设备安全地连接用户。
保护的核心是 Fortinet 的新一代防火墙 FortiGate。 它监控 VDI 展位流量,为每个客户端提供隔离的基础设施,并防止用户端出现漏洞。 其能力足以解决大部分信息安全问题。
但如果公司有特殊的安全要求,我们提供其他选项:
- 我们为在家用计算机上工作提供了安全连接。
- 我们提供对安全日志进行独立分析的访问权限。
- 我们提供桌面防病毒保护的管理。
- 我们防范零日漏洞。
- 我们配置多重身份验证以进一步防止未经授权的连接。
我将更详细地告诉您我们如何解决这些问题。
如何保护展台并确保网络安全
让我们对网络部分进行分段。 在展台上,我们强调了一个用于管理所有资源的封闭管理部分。 管理段无法从外部访问:如果客户端受到攻击,攻击者将无法到达那里。
FortiGate 负责保护。 它结合了防病毒、防火墙和入侵防御系统 (IPS) 的功能。
我们为每个客户端创建一个用于虚拟桌面的隔离网段。 为此,FortiGate 采用了虚拟域技术,即 VDOM。 它允许您将防火墙拆分为多个虚拟实体,并为每个客户端分配自己的 VDOM,其行为就像一个单独的防火墙。 我们还为管理部分创建了一个单独的 VDOM。
结果就是下图所示:
客户端之间没有网络连接:每个客户端都位于自己的 VDOM 中,并且不会影响另一个客户端。 如果没有这项技术,我们将不得不使用防火墙规则来隔离客户端,这会因人为错误而存在风险。 您可以将这些规则比作一扇需要不断关闭的门。 就 VDOM 而言,我们根本不留任何“门”。
在单独的VDOM中,客户端有自己的寻址和路由。 因此,跨越范围不会成为公司的问题。 客户端可以为虚拟桌面分配必要的IP地址。 这对于有自己的IP计划的大公司来说很方便。
我们解决客户企业网络的连接问题。 另一项单独的任务是将 VDI 与客户端基础设施连接起来。 如果一家公司将公司系统保留在我们的数据中心,我们只需将网线从其设备连接到防火墙即可。 但更常见的是,我们处理的是远程站点——另一个数据中心或客户的办公室。 在这种情况下,我们想到通过与站点的安全交换,并使用IPsec VPN构建site2site VPN。
方案可能会根据基础设施的复杂程度而有所不同。 在某些地方,将单个办公网络连接到 VDI 就足够了 - 静态路由就足够了。 大公司有很多不断变化的网络; 这里客户端需要动态路由。 我们使用不同的协议:已经有 OSPF(开放最短路径优先)、GRE 隧道(通用路由封装)和 BGP(边界网关协议)的案例。 FortiGate 支持单独 VDOM 中的网络协议,而不影响其他客户端。
您还可以构建 GOST-VPN - 基于俄罗斯联邦 FSB 认证的加密保护手段的加密。 例如,在虚拟环境“S-Terra Virtual Gateway”或PAK ViPNet、APKSH“Continent”、“S-Terra”中使用KS1级解决方案。
设置组策略。 我们与客户就应用于 VDI 的组策略达成一致。 这里的制定原则与在办公室制定政策没有什么不同。 我们建立了与 Active Directory 的集成,并将一些组策略的管理委托给客户。 租户管理员可以将策略应用于计算机对象、管理 Active Directory 中的组织单位以及创建用户。
在 FortiGate 上,我们为每个客户端 VDOM 编写网络安全策略、设置访问限制并配置流量检查。 我们使用几个 FortiGate 模块:
- IPS模块扫描流量中是否存在恶意软件并防止入侵;
- 防病毒软件可以保护桌面本身免受恶意软件和间谍软件的侵害;
- 网络过滤阻止访问不可靠的资源和含有恶意或不当内容的网站;
- 防火墙设置可能只允许用户访问 Internet 的某些站点。
有时,客户希望独立管理员工对网站的访问。 银行通常会提出这样的要求:安全服务要求将访问控制权保留在公司一侧。 这些公司自己监控流量并定期更改策略。 在这种情况下,我们将所有流量从 FortiGate 转向客户端。 为此,我们使用与公司基础设施配置的接口。 此后,客户自己配置访问公司网络和互联网的规则。
我们在展台观看活动。 我们与 FortiGate 一起使用 Fortinet 的日志收集器 FortiAnalyzer。 借助它的帮助,我们可以在一处查看 VDI 上的所有事件日志,查找可疑操作并跟踪相关性。
我们的一位客户在他们的办公室使用 Fortinet 产品。 为此,我们配置了日志上传 - 因此客户端能够分析办公计算机和虚拟桌面的所有安全事件。
如何保护虚拟桌面
来自已知的威胁。 如果客户想要独立管理反病毒保护,我们还会为虚拟环境安装卡巴斯基安全软件。
该解决方案在云中运行良好。 我们都习惯了这样一个事实:经典的卡巴斯基防病毒软件是一个“重型”解决方案。 相比之下,Kaspersky Security for Virtualization 不加载虚拟机。 所有病毒数据库都位于服务器上,该服务器为该节点的所有虚拟机发布判决。 虚拟桌面上仅安装轻代理。 它将文件发送到服务器进行验证。
该架构同时提供文件保护、互联网保护和攻击保护,而不会影响虚拟机的性能。 在这种情况下,客户端可以独立引入文件保护的例外。 我们帮助解决方案的基本设置。 我们将在另一篇文章中讨论它的功能。
来自未知的威胁。 为此,我们连接 FortiSandbox——来自 Fortinet 的“沙箱”。 我们将其用作过滤器,以防防病毒软件错过零日威胁。 下载文件后,我们首先使用防病毒软件对其进行扫描,然后将其发送到沙箱。 FortiSandbox 模拟虚拟机,运行文件并观察其行为:访问注册表中的哪些对象,是否发送外部请求等。 如果文件行为可疑,沙盒虚拟机将被删除,并且恶意文件不会最终出现在用户 VDI 上。
如何建立与 VDI 的安全连接
我们检查设备是否符合信息安全要求。 自从远程工作开始以来,客户就向我们提出了要求:确保用户通过个人计算机安全操作。 任何信息安全专家都知道,保护家庭设备很困难:您无法安装必要的防病毒软件或应用组策略,因为这不是办公设备。
默认情况下,VDI 成为个人设备和公司网络之间的安全“层”。 为了保护 VDI 免受来自用户计算机的攻击,我们禁用剪贴板并禁止 USB 转发。 但这并不能使用户的设备本身安全。
我们使用 FortiClient 解决问题。 这是一个端点保护工具。 该公司的用户在家用计算机上安装 FortiClient 并使用它连接到虚拟桌面。 FortiClient 一次解决 3 个问题:
- 成为用户访问的“单一窗口”;
- 检查您的个人计算机是否有防病毒软件和最新的操作系统更新;
- 构建VPN隧道以实现安全访问。
员工只有通过验证才能获得访问权限。 同时,虚拟桌面本身无法通过互联网访问,这意味着它们可以更好地免受攻击。
如果公司想要自行管理端点保护,我们可以提供 FortiClient EMS(端点管理服务器)。 客户端可以配置桌面扫描和入侵防御,并创建地址白名单。
添加身份验证因素。 默认情况下,用户通过 Citrix netscaler 进行身份验证。 在这里,我们也可以使用基于 SafeNet 产品的多因素身份验证来增强安全性。 这个话题值得特别关注;我们也将在另一篇文章中讨论这个话题。
在过去一年的工作中,我们通过不同的解决方案积累了这样的经验。 VDI服务是为每个客户端单独配置的,因此我们选择了最灵活的工具。 也许在不久的将来我们会添加其他东西并分享我们的经验。
7 月 17.00 日 XNUMX 点,我的同事将在“VDI 必要吗?或者如何组织远程工作?”网络研讨会上讨论虚拟桌面。
,如果你想讨论什么时候VDI技术适合一个公司,什么时候使用其他方法更好。
来源: habr.com