今年,不少企業匆忙轉向遠距辦公。 對於一些客戶我們 每週組織一百多項遠距工作。 重要的是不僅要快速而且要安全。 VDI技術來拯救我們:在它的幫助下,可以方便地將安全策略分發到所有工作場所並防止資料外洩。
在本文中,我將從資訊安全的角度告訴您我們基於 Citrix VDI 的虛擬桌面服務如何運作。 我將向您展示我們如何保護客戶端桌面免受勒索軟體或針對性攻擊等外部威脅。
我們解決什麼安全問題?
我們已經確定了該服務的幾個主要安全威脅。 一方面,虛擬桌面有被使用者電腦感染的風險。 另一方面,有從虛擬桌面進入網路開放空間並下載受感染檔案的危險。 即使發生這種情況,也不應該影響整個基礎設施。 因此,在創建服務時,我們解決了幾個問題:
- 保護整個 VDI 展位免受外部威脅。
- 客戶之間的隔離。
- 保護虛擬桌面本身。
- 從任何裝置安全地連接使用者。
保護的核心是 Fortinet 的新一代防火牆 FortiGate。 它監控 VDI 展位流量,為每個用戶端提供隔離的基礎設施,並防止用戶端出現漏洞。 其能力足以解決大部分資訊安全問題。
但如果公司有特殊的安全要求,我們提供其他選項:
- 我們為在家用電腦上工作提供了安全連接。
- 我們提供對安全日誌進行獨立分析的存取權限。
- 我們提供桌面防毒保護的管理。
- 我們防範零日漏洞。
- 我們配置多重身份驗證以進一步防止未經授權的連線。
我將更詳細地告訴您我們如何解決這些問題。
如何保護展台並確保網路安全
讓我們對網路部分進行分段。 在展台上,我們強調了一個用於管理所有資源的封閉管理部分。 管理段無法從外部存取:如果客戶端受到攻擊,攻擊者將無法到達那裡。
FortiGate 負責保護。 它結合了防毒、防火牆和入侵防禦系統 (IPS) 的功能。
我們為每個客戶端建立一個用於虛擬桌面的隔離網段。 為此,FortiGate 採用了虛擬域技術,即 VDOM。 它允許您將防火牆拆分為多個虛擬實體,並為每個客戶端分配自己的 VDOM,其行為就像一個單獨的防火牆。 我們也為管理部分建立了一個單獨的 VDOM。
結果就是下圖所示:
客戶端之間沒有網路連線:每個客戶端都位於自己的 VDOM 中,並且不會影響另一個客戶端。 如果沒有這項技術,我們將不得不使用防火牆規則來隔離客戶端,這將因人為錯誤而有風險。 您可以將這些規則比喻為一扇必須經常關閉的門。 就 VDOM 而言,我們根本不留任何「門」。
在單獨的VDOM中,客戶端有自己的尋址和路由。 因此,跨越範圍不會成為公司的問題。 客戶端可以為虛擬桌面分配必要的IP位址。 這對於有自己的IP計劃的大公司來說很方便。
我們解決客戶企業網路的連線問題。 另一項單獨的任務是將 VDI 與客戶端基礎架構連接起來。 如果一家公司將公司係統保留在我們的資料中心,我們只需將網路線從其設備連接到防火牆即可。 但更常見的是,我們處理的是遠端站點——另一個資料中心或客戶的辦公室。 在這種情況下,我們想到透過與網站的安全性交換,並使用IPsec VPN建置site2site VPN。
方案可能會根據基礎設施的複雜程度而有所不同。 在某些地方,將單一辦公室網路連接到 VDI 就足夠了 - 靜態路由就足夠了。 大公司有很多不斷變化的網路; 這裡客戶端需要動態路由。 我們使用不同的協定:已經有 OSPF(開放最短路徑優先)、GRE 隧道(通用路由封裝)和 BGP(邊界網關協定)的案例。 FortiGate 支援單獨 VDOM 中的網路協議,而不影響其他用戶端。
您也可以建立 GOST-VPN - 基於俄羅斯聯邦 FSB 認證的加密保護手段的加密。 例如,在虛擬環境「S-Terra Virtual Gateway」或PAK ViPNet、APKSH「Continent」、「S-Terra」中使用KS1級解決方案。
設定群組原則。 我們與客戶就應用於 VDI 的群組策略達成協議。 這裡的製定原則與在辦公室制定政策沒有什麼不同。 我們建立了與 Active Directory 的集成,並將一些群組原則的管理委託給客戶。 租用戶管理員可以將政策套用至電腦物件、管理 Active Directory 中的組織單位以及建立使用者。
在 FortiGate 上,我們為每個客戶端 VDOM 編寫網路安全性原則、設定存取限制並設定流量檢查。 我們使用幾個 FortiGate 模組:
- IPS模組掃描流量中是否有惡意軟體並防止入侵;
- 防毒軟體可以保護桌面本身免受惡意軟體和間諜軟體的侵害;
- 網路過濾阻止存取不可靠的資源和含有惡意或不當內容的網站;
- 防火牆設定可能只允許使用者存取 Internet 的某些網站。
有時,客戶希望獨立管理員工對網站的存取。 銀行通常會提出這樣的要求:安全服務要求將存取控制權保留在公司一側。 這些公司自己監控流量並定期更改策略。 在這種情況下,我們將所有流量從 FortiGate 轉向客戶端。 為此,我們使用與公司基礎設施配置的介面。 此後,客戶自己配置存取公司網路和互聯網的規則。
我們在展位觀看活動。 我們與 FortiGate 一起使用 Fortinet 的日誌收集器 FortiAnalyzer。 借助它的幫助,我們可以在一個地方查看 VDI 上的所有事件日誌,尋找可疑操作並追蹤相關性。
我們的一位客戶在他們的辦公室使用 Fortinet 產品。 為此,我們配置了日誌上傳 - 因此客戶端能夠分析辦公室電腦和虛擬桌面的所有安全事件。
如何保護虛擬桌面
來自已知的威脅。 如果客戶想要獨立管理防毒保護,我們也會為虛擬環境安裝卡巴斯基安全軟體。
該解決方案在雲端中運行良好。 我們都習慣了這樣一個事實:經典的卡巴斯基防毒軟體是一個「重型」解決方案。 相較之下,Kaspersky Security for Virtualization 不會載入虛擬機器。 所有病毒資料庫都位於伺服器上,該伺服器為該節點的所有虛擬機器發布判決。 虛擬桌面上僅安裝輕代理程式。 它將文件發送到伺服器進行驗證。
該架構同時提供檔案保護、網際網路保護和攻擊保護,而不會影響虛擬機器的效能。 在這種情況下,客戶端可以獨立引入文件保護的例外。 我們幫助解決方案的基本設定。 我們將在另一篇文章中討論它的功能。
來自未知的威脅。 為此,我們連接 FortiSandbox——來自 Fortinet 的「沙箱」。 我們將其用作過濾器,以防防毒軟體錯過零日威脅。 下載檔案後,我們首先使用防毒軟體對其進行掃描,然後將其發送到沙箱。 FortiSandbox 模擬虛擬機,運行檔案並觀察其行為:存取註冊表中的哪些對象,是否發送外部請求等。 如果檔案行為可疑,沙盒虛擬機器將被刪除,且惡意檔案不會最終出現在使用者 VDI 上。
如何建立與 VDI 的安全連接
我們檢查設備是否符合資訊安全要求。 自從遠距工作開始以來,客戶就向我們提出了要求:確保使用者通過個人電腦安全操作。 任何資訊安全專家都知道,保護家庭設備很困難:您無法安裝必要的防毒軟體或應用群組策略,因為這不是辦公室設備。
預設情況下,VDI 成為個人設備和公司網路之間的安全「層」。 為了保護 VDI 免受來自使用者電腦的攻擊,我們停用剪貼簿並禁止 USB 轉送。 但這並不能使用戶的設備本身安全。
我們使用 FortiClient 解決問題。 這是一個端點保護工具。 該公司的用戶在家用電腦上安裝 FortiClient 並使用它連接到虛擬桌面。 FortiClient 一次解決 3 個問題:
- 成為使用者存取的「單一視窗」;
- 檢查您的個人電腦是否有防毒軟體和最新的作業系統更新;
- 建置VPN隧道以實現安全存取。
員工只有通過驗證才能獲得存取權限。 同時,虛擬桌面本身無法透過網路訪問,這意味著它們可以更好地免受攻擊。
如果公司想要自行管理端點保護,我們可以提供 FortiClient EMS(端點管理伺服器)。 客戶端可以設定桌面掃描和入侵防禦,並建立位址白名單。
新增身份驗證因素。 預設情況下,使用者透過 Citrix netscaler 進行身份驗證。 在這裡,我們也可以使用基於 SafeNet 產品的多因素身份驗證來增強安全性。 這個主題值得特別關注;我們也將在另一篇文章中討論這個主題。
在過去一年的工作中,我們透過不同的解決方案累積了這樣的經驗。 VDI服務是為每個客戶端單獨配置的,因此我們選擇了最靈活的工具。 也許在不久的將來我們會添加其他內容並分享我們的經驗。
7 月 17.00 日 XNUMX 點,我的同事將在「VDI 必要嗎?或如何組織遠距工作?」網路研討會上討論虛擬桌面。
,如果你想討論什麼時候VDI技術適合一家公司,什麼時候使用其他方法比較好。
來源: www.habr.com