In diesem Artikel werde ich erklären, wie unser Citrix VDI-basierter virtueller Desktop-Dienst in Bezug auf die Informationssicherheit funktioniert. Ich zeige Ihnen, was wir tun, um Client-Desktops vor externen Bedrohungen wie Ransomware oder gezielten Angriffen zu schützen.
Welche Sicherheitsaufgaben lösen wir?
Wir haben mehrere wichtige Sicherheitsbedrohungen für den Dienst identifiziert. Einerseits besteht die Gefahr, dass der virtuelle Desktop vom Computer des Benutzers infiziert wird. Andererseits besteht die Gefahr, dass der virtuelle Desktop im offenen
- Schutz des gesamten VDI vor externen Bedrohungen.
- Isolierung der Kunden voneinander.
- Schützen Sie die virtuellen Desktops selbst.
- Verbinden Sie Benutzer sicher von jedem Gerät aus.
FortiGate, eine Firewall der neuen Generation von Fortinet, wurde zum Kern des Schutzes. Es überwacht den VDI-Standverkehr, stellt für jeden Client eine isolierte Infrastruktur bereit und schützt vor benutzerseitigen Schwachstellen. Seine Funktionen reichen aus, um die meisten Probleme der Informationssicherheit zu lösen.
Wenn das Unternehmen jedoch besondere Sicherheitsanforderungen hat, bieten wir zusätzliche Optionen an:
- Wir werden eine sichere Verbindung für die Arbeit von Heimcomputern aus organisieren.
- Wir bieten Zugriff für die Selbstanalyse von Sicherheitsprotokollen.
- Wir bieten Virenschutzmanagement auf Desktops.
- Schutz vor Zero-Day-Schwachstellen.
- Wir haben die Multifaktorauthentifizierung eingerichtet, um zusätzlichen Schutz vor nicht autorisierten Verbindungen zu bieten.
Ich werde Ihnen mehr darüber erzählen, wie wir die Probleme gelöst haben.
Wie wir den Stand schützen und die Netzwerksicherheit gewährleisten
Wir segmentieren den Netzwerkteil. Am Stand wählen wir ein geschlossenes Managementsegment für die Verwaltung aller Ressourcen aus. Das Managementsegment ist von außen nicht zugänglich: Im Falle eines Angriffs auf einen Client können Angreifer nicht dorthin gelangen.
FortiGate ist für den Schutz verantwortlich. Es kombiniert die Funktionen von Antivirus, Firewall und Intrusion Prevention System (IPS).
Für jeden Client erstellen wir ein isoliertes Netzwerksegment für virtuelle Desktops. Zu diesem Zweck verfügt FortiGate über eine Virtual Domain-Technologie (VDOM). Sie können die Firewall in mehrere virtuelle Entitäten aufteilen und jedem Client ein eigenes VDOM zuweisen, das sich wie eine separate Firewall verhält. Wir erstellen auch ein separates VDOM für das Managementsegment.
Es stellt sich so heraus:
Es gibt keine Netzwerkverbindung zwischen Clients: Jeder lebt in seinem eigenen VDOM und beeinflusst den anderen nicht. Ohne diese Technologie müssten wir Clients durch Firewall-Regeln trennen, was aufgrund menschlicher Faktoren riskant ist. Sie können solche Regeln mit einer Tür vergleichen, die ständig geschlossen sein muss. Im Falle von VDOM lassen wir überhaupt keine "Türen".
In einem separaten VDOM verfügt der Client über eine eigene Adressierung und ein eigenes Routing. Das Überqueren von Reichweiten wird daher für das Unternehmen nicht zum Problem. Der Client kann den virtuellen Desktops die gewünschten IP-Adressen zuweisen. Dies ist praktisch für große Unternehmen, die ihre eigenen IP-Pläne haben.
Wir lösen Probleme mit der Konnektivität mit dem Unternehmensnetzwerk des Kunden.Eine separate Aufgabe besteht darin, VDI mit der Client-Infrastruktur zu verbinden. Wenn das Unternehmen Unternehmenssysteme in unserem Rechenzentrum unterhält, können Sie einfach ein Netzwerkkabel von seinen Geräten zur Firewall verlegen. Häufiger handelt es sich jedoch um einen Remote-Standort - ein anderes Rechenzentrum oder ein Kundenbüro. In diesem Fall überlegen wir uns einen sicheren Austausch mit der Site und erstellen ein site2site-VPN mit IPsec-VPN.
Die Schemata können je nach Komplexität der Infrastruktur unterschiedlich sein. Irgendwo reicht es aus, ein einzelnes Büronetzwerk mit VDI zu verbinden - es gibt genügend statisches Routing. Große Unternehmen haben viele Netzwerke, die sich ständig ändern. Hier benötigt der Client ein dynamisches Routing. Wir verwenden verschiedene Protokolle: Es gab bereits Fälle mit OSPF (Open Shortest Path First), GRE-Tunneln (Generic Routing Encapsulation) und BGP (Border Gateway Protocol). FortiGate unterstützt Netzwerkprotokolle in separaten VDOMs, ohne andere Clients zu beeinträchtigen.
Es ist auch möglich, GOST-VPN zu erstellen - Verschlüsselung basierend auf Verschlüsselungstools, die vom FSB der Russischen Föderation zertifiziert wurden. Verwenden Sie beispielsweise Lösungen der KC1-Klasse in der virtuellen Umgebung "S-Terra Virtual Gateway" oder PAK ViPNet, APKSH "Continent", "S-Terra".
Richten Sie Gruppenrichtlinien ein.Wir stimmen mit dem Kunden über die Gruppenrichtlinien überein, die für den VDI gelten. Die Konfigurationsprinzipien unterscheiden sich hier nicht von den Richtlinieneinstellungen im Büro. Wir konfigurieren die Integration mit Active Directory und delegieren die Verwaltung einiger Gruppenrichtlinien an Clients. Mandantenadministratoren können Richtlinien auf das Computerobjekt anwenden, eine Organisationseinheit in Active Directory verwalten und Benutzer erstellen.
In FortiGate schreiben wir für jedes Client-VDOM eine Netzwerksicherheitsrichtlinie, legen Zugriffsbeschränkungen fest und konfigurieren das Scannen des Datenverkehrs. Wir verwenden mehrere FortiGate-Module:
- Das IPS-Modul durchsucht den Datenverkehr nach Malware und verhindert das Eindringen.
- Antivirus schützt die Desktops selbst vor Malware und Spyware.
- - ;
- .
Manchmal möchte ein Kunde den Zugriff der Mitarbeiter auf Websites unabhängig verwalten. Banken kommen häufig mit einer solchen Anfrage: Sicherheitsdienste verlangen, dass die Zugangskontrolle auf der Seite des Unternehmens bleibt. Diese Unternehmen überwachen den Datenverkehr selbst und nehmen regelmäßig Änderungen an den Richtlinien vor. In diesem Fall leiten wir den gesamten Datenverkehr von FortiGate an den Kunden weiter. Zu diesem Zweck verwenden wir eine angepasste Schnittstelle zur Infrastruktur des Unternehmens. Danach legt der Kunde selbst die Regeln für den Zugriff auf das Unternehmensnetzwerk und das Internet fest.
Wir beobachten die Ereignisse am Stand. Zusammen mit FortiGate verwenden wir FortiAnalyzer - einen Holzsammler von Fortinet. Mit seiner Hilfe betrachten wir alle Ereignisprotokolle auf VDI an einem Ort, finden verdächtige Aktionen und verfolgen Korrelationen.
Einer unserer Kunden verwendet Fortinet-Produkte in seinem Büro. Für ihn haben wir das Hochladen von Protokollen konfiguriert, sodass der Client alle Sicherheitsereignisse für Büromaschinen und virtuelle Desktops analysieren konnte.
Wie wir virtuelle Desktops sichern
Von bekannten Bedrohungen. Wenn ein Client den Virenschutz unabhängig verwalten möchte, installieren wir zusätzlich Kaspersky Security for Virtualization.
Diese Lösung funktioniert gut in der Cloud. Wir sind alle daran gewöhnt, dass das klassische Kaspersky Anti-Virus eine "schwere" Lösung ist. Im Gegensatz dazu lädt Kaspersky Security for Virtualization keine virtuellen Maschinen. Alle Virendatenbanken befinden sich auf dem Server, der Urteile für alle virtuellen Maschinen auf dem Host abgibt. Auf dem virtuellen Desktop ist nur der Light Agent installiert. Es sendet Dateien zur Überprüfung an den Server.
Diese Architektur bietet gleichzeitig Dateischutz, Internetschutz und Angriffsschutz und beeinträchtigt die Leistung virtueller Maschinen nicht. In diesem Fall kann der Client selbst Ausnahmen vom Dateischutz machen. Wir helfen bei der Grundkonfiguration der Lösung. Wir werden Sie in einem separaten Artikel über seine Funktionen informieren.
Von unbekannten Bedrohungen.Dazu verbinden wir FortiSandbox, eine "Sandbox" von Fortinet. Wir verwenden es als Filter für den Fall, dass das Antivirus eine Zero-Day-Bedrohung übersieht. Nach dem Herunterladen der Datei überprüfen wir sie zunächst mit einem Antivirenprogramm und senden sie dann an die "Sandbox". FortiSandbox emuliert eine virtuelle Maschine, startet eine Datei und überwacht deren Verhalten: Auf welche Objekte in der Registrierung, auf die zugegriffen wird, ob externe Anforderungen gesendet werden usw. Wenn sich die Datei verdächtig verhält, wird die virtuelle Sandbox-Maschine gelöscht und die schädliche Datei landet nicht auf der VDI des Benutzers.
So richten Sie eine sichere Verbindung zu VDI ein
Wir überprüfen die Übereinstimmung des Geräts mit den IS-Anforderungen. Seit Beginn der Fernsteuerung haben sich Kunden mit Anfragen an uns gewandt, um die sichere Arbeit der Benutzer von ihren PCs aus zu gewährleisten. Jeder Informationssicherheitsspezialist weiß, dass es schwierig ist, Heimgeräte zu schützen: Sie können dort nicht das erforderliche Virenschutzprogramm installieren oder Gruppenrichtlinien anwenden, da es sich nicht um Bürogeräte handelt.
Standardmäßig wird VDI zu einer sicheren Schicht zwischen dem persönlichen Gerät und dem Unternehmensnetzwerk. Um VDI vor Angriffen des Benutzers zu schützen, deaktivieren wir die Zwischenablage und verbieten die USB-Weiterleitung. Dies macht das Benutzergerät selbst jedoch nicht sicher.
Wir lösen das Problem mit FortiClient. Es ist ein Tool für die Endpunktsicherheit. Die Benutzer des Unternehmens installieren FortiClient auf ihren Heimcomputern und stellen damit eine Verbindung zu einem virtuellen Desktop her. FortiClient löst 3 Aufgaben gleichzeitig:
- wird ein "einzelnes Fenster" des Zugriffs für den Benutzer;
- prüft, ob der PC über Antivirenprogramme und die neuesten Betriebssystemupdates verfügt;
- Erstellt einen VPN-Tunnel für den sicheren Zugriff.
Ein Mitarbeiter erhält nur dann Zugriff, wenn er den Scheck besteht. Gleichzeitig sind die virtuellen Desktops selbst nicht über das Internet zugänglich, was bedeutet, dass sie besser vor Angriffen geschützt sind.
Wenn ein Unternehmen den Endpunktschutz selbst verwalten möchte, bieten wir FortiClient EMS (Endpoint Management Server) an. Der Client kann das Scannen des Desktops und die Verhinderung von Eindringlingen selbst konfigurieren und eine Whitelist mit Adressen erstellen.
Authentifizierungsfaktoren hinzufügen. Standardmäßig werden Benutzer über Citrix Netscaler authentifiziert. Auch hier können wir die Sicherheit durch Multi-Faktor-Authentifizierung auf Basis von SafeNet-Produkten stärken. Dieses Thema verdient besondere Aufmerksamkeit, wir werden dies auch in einem separaten Artikel diskutieren.
Wir haben im letzten Arbeitsjahr solche Erfahrungen mit der Arbeit mit verschiedenen Lösungen gesammelt. Der VDI-Dienst wird für jeden Client separat konfiguriert, daher haben wir die flexibelsten Tools ausgewählt. Vielleicht werden wir in naher Zukunft noch etwas hinzufügen und unsere Erfahrungen teilen.
Am 7. Oktober um 17 Uhr werden meine Kollegen im Webinar über virtuelle Desktops sprechen. "Benötige ich VDI oder wie organisiere ich Remote-Arbeit?"
Registrieren Sie sich, wenn Sie besprechen möchten, wann die VDI-Technologie für ein Unternehmen geeignet ist und wann es besser ist, andere Methoden zu verwenden.