Pada artikel ini, saya akan menjelaskan cara kerja layanan desktop virtual berbasis Citrix VDI dalam hal keamanan informasi. Saya akan menunjukkan kepada Anda apa yang kami lakukan untuk melindungi desktop klien dari ancaman eksternal seperti ransomware atau serangan yang ditargetkan.
Tugas keamanan apa yang kami selesaikan
Kami telah mengidentifikasi beberapa ancaman keamanan utama pada layanan. Di satu sisi, desktop virtual berisiko terinfeksi dari komputer pengguna. Di sisi lain, ada bahaya meninggalkan desktop virtual ke
- Perlindungan seluruh stand VDI dari ancaman eksternal.
- Isolasi klien satu sama lain.
- Melindungi desktop virtual itu sendiri.
- Hubungkan pengguna dengan aman dari perangkat apa pun.
FortiGate, firewall generasi baru dari Fortinet, menjadi inti perlindungan. Ini memonitor lalu lintas stand VDI, menyediakan infrastruktur terisolasi untuk setiap klien, dan melindungi dari kerentanan sisi pengguna. Kemampuannya cukup untuk menutup sebagian besar masalah keamanan informasi.
Tetapi jika perusahaan memiliki persyaratan keamanan khusus, kami menawarkan opsi tambahan:
- Kami mengatur koneksi aman untuk bekerja dari komputer rumah.
- Kami memberikan akses untuk analisis mandiri log keamanan.
- Kami menyediakan manajemen perlindungan antivirus di desktop.
- Melindungi dari kerentanan zero-day.
- Kami menyiapkan otentikasi multifaktor untuk perlindungan tambahan terhadap koneksi yang tidak sah.
Saya akan memberi tahu Anda lebih banyak tentang cara kami menyelesaikan masalah.
Bagaimana kami melindungi stand dan memastikan keamanan jaringan
Kami membagi bagian jaringan. Di stan, kami memilih segmen manajemen tertutup untuk mengelola semua sumber daya. Segmen manajemen tidak dapat diakses dari luar: jika terjadi serangan terhadap klien, penyerang tidak akan bisa sampai ke sana.
FortiGate bertanggung jawab atas perlindungan. Ini menggabungkan fungsi antivirus, firewall, sistem pencegahan intrusi (IPS).
Untuk setiap klien, kami membuat segmen jaringan yang terisolasi untuk desktop virtual. Untuk ini, FortiGate memiliki teknologi domain virtual, atau VDOM. Ini memungkinkan Anda untuk membagi firewall menjadi beberapa entitas virtual dan mengalokasikan VDOM-nya sendiri ke setiap klien, yang berperilaku seperti firewall terpisah. Untuk segmen manajemen, kami juga membuat VDOM terpisah.
Ternyata seperti ini:
Tidak ada konektivitas jaringan antar klien: masing-masing tinggal di VDOM-nya sendiri dan tidak memengaruhi yang lain. Tanpa teknologi ini, kami harus memisahkan klien dengan aturan firewall, yang berisiko karena faktor manusia. Anda dapat membandingkan aturan seperti itu dengan pintu yang harus selalu ditutup. Dalam kasus VDOM, kami tidak meninggalkan "pintu" sama sekali.
Dalam VDOM terpisah, klien memiliki pengalamatan dan peruteannya sendiri. Oleh karena itu, persilangan jarak bukanlah masalah bagi perusahaan. Klien dapat menetapkan alamat IP yang diinginkan ke desktop virtual. Ini nyaman untuk perusahaan besar yang memiliki paket IP sendiri.
Kami menyelesaikan masalah konektivitas dengan jaringan perusahaan klien.Tugas terpisah menghubungkan VDI dengan infrastruktur klien. Jika perusahaan menyimpan sistem perusahaan di pusat data kami, Anda cukup menjalankan kabel jaringan dari peralatannya ke firewall. Tetapi lebih sering kita berurusan dengan situs jarak jauh - pusat data lain atau kantor klien. Dalam hal ini, kami memikirkan pertukaran aman dengan situs dan membangun VPN site2site menggunakan VPN IPsec.
Skema bisa berbeda, tergantung pada kompleksitas infrastruktur. Di suatu tempat cukup untuk menghubungkan satu-satunya jaringan kantor ke VDI - ada cukup perutean statis. Perusahaan besar memiliki banyak jaringan yang terus berubah; di sini klien membutuhkan perutean dinamis. Kami menggunakan protokol yang berbeda: sudah ada kasus dengan OSPF (Open Shortest Path First), GRE tunnel (Generic Routing Encapsulation) dan BGP (Border Gateway Protocol). FortiGate mendukung protokol jaringan dalam VDOM terpisah tanpa mempengaruhi klien lain.
Juga dimungkinkan untuk membangun GOST-VPN - enkripsi berdasarkan alat enkripsi yang disertifikasi oleh FSB Federasi Rusia. Misalnya, menggunakan solusi kelas KC1 di lingkungan virtual "gateway virtual S-Terra" atau PAK ViPNet, APKSH "Continent", "S-Terra".
Siapkan Kebijakan Grup.Kami setuju dengan klien tentang kebijakan grup yang berlaku di VDI. Prinsip konfigurasi di sini tidak berbeda dengan pengaturan kebijakan di kantor. Kami mengonfigurasi integrasi dengan Active Directory dan mendelegasikan pengelolaan beberapa kebijakan grup kepada klien. Administrator penyewa dapat menerapkan kebijakan ke objek Komputer, mengelola OU di Active Directory, dan membuat pengguna.
Di FortiGate, untuk setiap klien VDOM, kami menulis kebijakan keamanan jaringan, mengatur pembatasan akses, dan mengkonfigurasi pemindaian lalu lintas. Kami menggunakan beberapa modul FortiGate:
- Modul IPS memindai lalu lintas untuk mencari malware dan mencegah gangguan;
- antivirus melindungi desktop itu sendiri dari malware dan spyware;
- - ;
- .
Terkadang klien ingin mengelola akses karyawan ke situs secara mandiri. Bank sering kali datang dengan permintaan seperti itu: layanan keamanan mengharuskan kontrol akses tetap berada di pihak perusahaan. Perusahaan-perusahaan ini memantau lalu lintas sendiri dan secara teratur membuat perubahan pada kebijakan. Dalam kasus ini, kami mengubah semua lalu lintas dari FortiGate ke klien. Untuk melakukan ini, kami menggunakan antarmuka yang disesuaikan dengan infrastruktur perusahaan. Setelah itu, klien sendiri yang membuat aturan untuk mengakses jaringan perusahaan dan Internet.
Kami menonton acara di stand. Bersama dengan FortiGate, kami menggunakan FortiAnalyzer, pengumpul log dari Fortinet. Dengan bantuannya, kami melihat semua log peristiwa di VDI di satu tempat, menemukan tindakan mencurigakan, dan melacak korelasi.
Salah satu klien kami menggunakan produk Fortinet di kantornya. Baginya, kami mengonfigurasi pengunggahan log - sehingga klien dapat menganalisis semua peristiwa keamanan untuk mesin kantor dan desktop virtual.
Bagaimana kami mengamankan desktop virtual
Dari ancaman yang diketahui. Jika klien ingin mengelola perlindungan anti-virus secara mandiri, kami juga menginstal Kaspersky Security for Virtualization.
Solusi ini berfungsi dengan baik di cloud. Kita semua terbiasa dengan fakta bahwa Kaspersky Anti-Virus klasik adalah solusi yang "berat". Sebaliknya, Kaspersky Security for Virtualization tidak memuat mesin virtual. Semua database virus terletak di server, yang mengeluarkan putusan untuk semua mesin virtual di host. Hanya agen cahaya yang diinstal di desktop virtual. Ini mengirimkan file ke server untuk verifikasi.
Arsitektur ini secara bersamaan memberikan proteksi file, proteksi Internet, proteksi serangan dan tidak menurunkan kinerja mesin virtual. Dalam kasus ini, klien sendiri dapat membuat pengecualian untuk perlindungan file. Kami membantu pengaturan dasar solusi. Kami akan memberi tahu Anda tentang fitur-fiturnya di artikel terpisah.
Dari ancaman yang tidak diketahui.Untuk melakukan ini, kami menghubungkan FortiSandbox, sebuah "kotak pasir" dari Fortinet. Kami menggunakannya sebagai filter jika antivirus melewatkan ancaman zero-day. Setelah mengunduh file, pertama-tama kami memeriksanya dengan antivirus dan kemudian mengirimkannya ke kotak pasir. FortiSandbox mengemulasi mesin virtual, meluncurkan file dan memantau perilakunya: objek apa di registri yang diaksesnya, apakah mengirimkan permintaan eksternal, dan seterusnya. Jika file berperilaku mencurigakan, mesin virtual kotak pasir dihapus dan file berbahaya tidak berakhir di VDI pengguna.
Cara mengatur koneksi aman ke VDI
Kami memeriksa kepatuhan perangkat dengan persyaratan IS. Sejak awal remote control, klien telah menghubungi kami dengan permintaan: untuk memastikan keamanan kerja pengguna dari komputer pribadi mereka. Setiap spesialis keamanan informasi tahu bahwa melindungi perangkat rumah itu sulit: Anda tidak dapat menginstal antivirus yang diperlukan di sana atau menerapkan kebijakan grup, karena ini bukan peralatan kantor.
Secara default, VDI menjadi lapisan aman antara perangkat pribadi dan jaringan perusahaan. Untuk melindungi VDI dari serangan dari mesin pengguna, kami menonaktifkan papan klip, melarang penerusan USB. Tapi ini tidak membuat perangkat pengguna itu sendiri aman.
Kami menyelesaikan masalah menggunakan FortiClient. Ini adalah alat untuk keamanan titik akhir. Pengguna perusahaan menginstal FortiClient di komputer rumah mereka dan menggunakannya untuk terhubung ke desktop virtual. FortiClient menyelesaikan 3 tugas sekaligus:
- menjadi akses "satu jendela" bagi pengguna;
- memeriksa apakah komputer pribadi memiliki antivirus dan pembaruan OS terbaru;
- membangun terowongan VPN untuk akses aman.
Seorang karyawan mendapat akses hanya jika lulus pemeriksaan. Pada saat yang sama, desktop virtual itu sendiri tidak dapat diakses dari Internet, yang berarti mereka lebih terlindungi dari serangan.
Jika sebuah perusahaan ingin mengelola perlindungan titik akhir itu sendiri, kami menawarkan FortiClient EMS (Server Manajemen Titik Akhir). Klien dapat mengkonfigurasi pemindaian desktop dan pencegahan intrusi sendiri, membuat daftar putih alamat.
Tambahkan faktor otentikasi. Secara default, pengguna diautentikasi melalui Citrix netscaler. Di sini, kami juga dapat memperkuat keamanan dengan otentikasi multi-faktor berdasarkan produk SafeNet. Topik ini patut mendapat perhatian khusus, kami juga akan membahasnya di artikel terpisah.
Kami telah memperoleh pengalaman bekerja dengan solusi yang berbeda selama tahun kerja terakhir. Layanan VDI dikonfigurasi secara terpisah untuk setiap klien, jadi kami memilih alat yang paling fleksibel. Mungkin dalam waktu dekat kami akan menambahkan sesuatu yang lain dan membagikan pengalaman kami.
Pada tanggal 7 Oktober jam 5 sore, kolega saya akan berbicara tentang desktop virtual di webinar "Apakah saya memerlukan VDI, atau bagaimana mengatur pekerjaan jarak jauh?"
Daftarkan jika Anda ingin mendiskusikan kapan teknologi VDI cocok untuk perusahaan, dan kapan lebih baik menggunakan metode lain.