在本文中,我将在信息安全方面解释基于Citrix VDI的虚拟桌面服务的工作方式。我将向您展示如何保护客户桌面免受外部威胁,例如勒索软件或针对性攻击。
我们要解决什么安全任务
我们已经确定了对该服务的几种主要安全威胁。一方面,虚拟桌面有被用户计算机感染的风险。另一方面,存在将虚拟桌面置于Internet的开放
- 保护整个VDI免受外部威胁。
- 客户端彼此隔离。
- 保护虚拟桌面本身。
- 从任何设备安全地连接用户。
Fortinet的新一代防火墙FortiGate成为保护的核心。它监视VDI站的流量,为每个客户端提供隔离的基础结构,并防止用户端漏洞。它的功能足以解决大多数信息安全问题。
但是,如果公司有特殊的安全要求,我们可以提供其他选择:
- 我们组织了一个安全连接,可以通过家用计算机工作。
- 我们为安全日志的自我分析提供访问权限。
- 我们在台式机上提供防病毒保护管理。
- 防范零日漏洞。
- 我们设置了多因素身份验证,以防止未经授权的连接。
我将告诉您更多有关我们如何解决问题的信息。
我们如何保护展台并确保网络安全
我们细分网络部分。在展位上,我们会选择一个封闭的管理部门来管理所有资源。无法从外部访问管理段:如果客户端受到攻击,攻击者将无法到达那里。
FortiGate负责保护。它结合了防病毒,防火墙,入侵防御系统(IPS)的功能。
对于每个客户端,我们为虚拟桌面创建一个隔离的网段。为此,FortiGate具有虚拟域技术或VDOM。它使您可以将防火墙拆分为多个虚拟实体,并为每个客户端分配其自己的VDOM,其行为就像一个单独的防火墙。我们还为管理段创建了单独的VDOM。
原来是这样的:
客户端之间没有网络连接:每个客户端都住在自己的VDOM中,并且不影响彼此。如果没有这项技术,我们将不得不通过防火墙规则来分隔客户端,这由于人为因素会带来风险。您可以将此类规则与必须不断关闭的门进行比较。对于VDOM,我们根本不会留下“门”。
在单独的VDOM中,客户端具有自己的寻址和路由。因此,对于公司而言,穿越范围不是问题。客户端可以将所需的IP地址分配给虚拟桌面。这对于拥有自己的IP计划的大公司来说很方便。
我们解决了与客户公司网络的连接问题。一项单独的任务是使VDI与客户端基础结构对接。如果公司将公司系统保留在我们的数据中心中,则只需将网络电缆从其设备连接到防火墙即可。但是更常见的是,我们正在处理一个远程站点-另一个数据中心或客户办公室。在这种情况下,我们考虑与站点进行安全交换,并使用IPsec VPN构建site2site VPN。
方案可能会有所不同,具体取决于基础结构的复杂性。将单个办公室网络连接到VDI足够的地方-有足够的静态路由。大公司拥有许多不断变化的网络。客户端需要动态路由。我们使用不同的协议:OSPF(开放式最短路径优先),GRE隧道(通用路由封装)和BGP(边界网关协议)已经存在。 FortiGate在独立的VDOM中支持网络协议,而不会影响其他客户端。
也可以基于俄罗斯联邦FSB认证的加密工具来构建GOST-VPN-加密。例如,在虚拟环境“ S-Terra虚拟网关”或PAK ViPNet,APKSH“ Continent”,“ S-Terra”中使用KC1类解决方案。
设置组策略。我们同意客户适用于VDI的组策略。此处的配置原理与办公室中的策略设置没有什么不同。我们正在配置与Active Directory的集成,并将某些组策略的管理委派给客户端。租户管理员可以将策略应用于“计算机”对象,管理Active Directory中的OU并创建用户。
在FortiGate上,我们为每个客户端VDOM编写网络安全策略,设置访问限制并配置流量扫描。我们使用几个FortiGate模块:
- IPS模块可扫描流量以查找恶意软件并防止入侵;
- 防病毒软件可以保护台式机自身免受恶意软件和间谍软件的侵害;
- - ;
- .
有时,客户希望独立管理员工对网站的访问。银行通常会提出这样的要求:安全服务要求访问控制权仍在公司一边。这些公司自己监控流量,并定期更改策略。在这种情况下,我们将所有流量从FortiGate转到客户端。为此,我们使用与公司基础架构的自定义界面。此后,客户自己设置访问公司网络和Internet的规则。
我们在展位上观看活动。与FortiGate一起,我们使用FortiAnalyzer-Fortinet的日志收集器。借助它的帮助,我们可以在一处查看VDI上的所有事件日志,找到可疑的动作并跟踪相关性。
我们的一位客户在他的办公室中使用Fortinet产品。对于他来说,我们配置了日志下载-客户端可以分析办公机和虚拟桌面的所有安全事件。
我们如何保护虚拟桌面
来自已知的威胁。如果客户端要独立管理防病毒保护,则我们还会安装Kaspersky Security for Virtualization。
该解决方案在云中运行良好。我们都习惯了经典的卡巴斯基反病毒软件是一个“繁重的”解决方案。相反,Kaspersky Security for Virtualization不会加载虚拟机。所有病毒数据库都位于服务器上,该服务器为主机中的所有虚拟机发布判定。虚拟桌面上仅安装了灯光代理。它将文件发送到服务器进行验证。
此体系结构同时提供文件保护,Internet保护,攻击保护,并且不会降低虚拟机的性能。在这种情况下,客户端可以自己将文件保护设置为例外。我们帮助解决方案的基本设置。我们将在另一篇文章中介绍其功能。
来自未知威胁。为此,我们连接了FortiSandbox,这是Fortinet的“沙盒”。我们将其用作过滤器,以防防病毒错过零日威胁。下载文件后,我们首先使用防病毒软件对其进行检查,然后将其发送到“沙箱”。FortiSandbox模拟虚拟机,启动文件并监视其行为:它访问注册表中的哪些对象,是否发送外部请求等。如果文件行为可疑,则会删除沙盒虚拟机,并且恶意文件不会最终出现在用户的VDI上。
如何建立与VDI的安全连接
我们检查设备是否符合IS要求。从开始使用远程控制开始,客户就与我们联系,要求:确保用户使用其个人计算机的安全工作。任何信息安全专家都知道保护家用设备很困难:您不能在其中安装必要的防病毒软件或应用组策略,因为这不是办公设备。
默认情况下,VDI成为个人设备和公司网络之间的安全层。为了保护VDI免受来自用户计算机的攻击,我们禁用了剪贴板,禁止USB转发。但这并不能确保用户设备本身的安全。
我们使用FortiClient解决了这个问题。它是用于端点安全的工具。该公司的用户在其家用计算机上安装了FortiClient,并使用它连接到虚拟桌面。FortiClient可一次解决3个任务:
- 成为用户访问的“单个窗口”;
- 检查个人计算机是否具有防病毒功能和最新的操作系统更新;
- 构建用于安全访问的VPN隧道。
员工只有通过支票才能获得访问权限。同时,无法从Internet访问虚拟桌面本身,这意味着可以更好地保护虚拟桌面免受攻击。
如果公司想自己管理端点保护,我们可以提供FortiClient EMS(端点管理服务器)。客户端可以自己配置桌面扫描和入侵防御,创建地址白名单。
添加身份验证因素。默认情况下,通过Citrix netscaler对用户进行身份验证。在这里,我们也可以通过基于SafeNet产品的多因素身份验证来增强安全性。这个主题值得特别注意,我们还将在另一篇文章中对此进行讨论。
在过去的一年中,我们获得了使用不同解决方案的丰富经验。为每个客户端单独配置了VDI服务,因此我们选择了最灵活的工具。也许在不久的将来,我们将添加其他内容并分享我们的经验。
10月7日下午5点,我的同事将在网络研讨会上讨论虚拟桌面“我需要VDI,还是如何组织远程工作?”
注册,如果你想讨论何时VDI技术是适用于公司,当它是更好地使用其他方法。