Neste artigo, explicarei como nosso serviço de desktop virtual baseado em Citrix VDI funciona em termos de segurança da informação. Vou mostrar o que estamos fazendo para proteger os desktops dos clientes de ameaças externas, como ransomware ou ataques direcionados.
Que tarefas de segurança resolvemos
Identificamos várias ameaças de segurança principais ao serviço. Por um lado, o desktop virtual corre o risco de ser infectado pelo computador do usuário. Por outro lado, existe o perigo de deixar a área de trabalho virtual em um
- Proteção de todo o suporte VDI contra ameaças externas.
- Isolamento de clientes uns dos outros.
- Protegendo os próprios desktops virtuais.
- Conecte usuários com segurança a partir de qualquer dispositivo.
FortiGate, um firewall de nova geração da Fortinet, tornou-se o núcleo de proteção. Ele monitora o tráfego do stand VDI, fornece uma infraestrutura isolada para cada cliente e protege contra vulnerabilidades do lado do usuário. Seus recursos são suficientes para resolver a maioria dos problemas de segurança da informação.
Mas se a empresa tiver requisitos especiais de segurança, oferecemos opções adicionais:
- Organizamos uma conexão segura para trabalhar em computadores domésticos.
- Damos acesso para auto-análise de logs de segurança.
- Oferecemos gerenciamento de proteção antivírus em desktops.
- Protegendo contra vulnerabilidades de dia zero.
- Configuramos autenticação multifator para proteção adicional contra conexões não autorizadas.
Contarei mais sobre como resolvemos os problemas.
Como protegemos o estande e garantimos a segurança da rede
Segmentamos a parte da rede. No estande, destacamos um segmento fechado de gestão para a gestão de todos os recursos. O segmento de gerenciamento é inacessível do lado de fora: no caso de um ataque a um cliente, os invasores não conseguirão chegar lá.
FortiGate é responsável pela proteção. Combina as funções de antivírus, firewall, sistema de prevenção de intrusão (IPS).
Para cada cliente, criamos um segmento de rede isolado para desktops virtuais. Para isso, FortiGate possui uma tecnologia de domínio virtual, ou VDOM. Ele permite que você divida o firewall em várias entidades virtuais e aloque seu próprio VDOM para cada cliente, que se comporta como um firewall separado. Para o segmento de gerenciamento, também criamos um VDOM separado.
Acontece assim:
Não há conectividade de rede entre os clientes: cada um vive em seu próprio VDOM e não influencia o outro. Sem essa tecnologia, teríamos que separar os clientes por regras de firewall, o que é arriscado devido a fatores humanos. Você pode comparar essas regras a uma porta que deve estar constantemente fechada. No caso do VDOM, não deixamos "portas" de forma alguma.
Em um VDOM separado, o cliente tem seu próprio endereçamento e roteamento. Portanto, cruzar faixas não se torna um problema para a empresa. O cliente pode atribuir os endereços IP desejados aos desktops virtuais. Isso é conveniente para grandes empresas que têm seus próprios planos de IP.
Resolvemos problemas de conectividade com a rede corporativa do cliente.Uma tarefa separada é encaixar o VDI com a infraestrutura do cliente. Se a empresa mantém sistemas corporativos em nosso data center, você pode simplesmente conectar um cabo de rede de seu equipamento ao firewall. Porém, com mais frequência, lidamos com um site remoto - outro data center ou o escritório de um cliente. Neste caso, pensamos em uma troca segura com o site e construímos uma VPN site2site usando VPN IPsec.
Os esquemas podem ser diferentes, dependendo da complexidade da infraestrutura. Em algum lugar, basta conectar uma única rede de escritório ao VDI - há roteamento estático suficiente. As grandes empresas possuem muitas redes em constante mudança; aqui, o cliente precisa de roteamento dinâmico. Utilizamos protocolos diferentes: já houve casos com OSPF (Open Shortest Path First), túneis GRE (Generic Routing Encapsulation) e BGP (Border Gateway Protocol). FortiGate oferece suporte a protocolos de rede em VDOMs separados sem afetar outros clientes.
Também é possível construir GOST-VPN - criptografia baseada em ferramentas de proteção criptográfica certificadas pelo FSB da Federação Russa. Por exemplo, usando soluções de classe KC1 no ambiente virtual "S-Terra gateway virtual" ou PAK ViPNet, APKSH "Continente", "S-Terra".
Configure as políticas de grupo.Nós concordamos com o cliente sobre as políticas de grupo que se aplicam ao VDI. Os princípios de configuração aqui não são diferentes das configurações de política no escritório. Estamos configurando a integração com o Active Directory e delegando o gerenciamento de algumas políticas de grupo aos clientes. Os administradores de locatários podem aplicar políticas ao objeto Computador, gerenciar uma UO no Active Directory e criar usuários.
No FortiGate, para cada VDOM cliente, escrevemos uma política de segurança de rede, definimos restrições de acesso e configuramos a verificação de tráfego. Usamos vários módulos FortiGate:
- O módulo IPS verifica o tráfego em busca de malware e evita invasões;
- antivírus protege os próprios desktops contra malware e spyware;
- - ;
- .
Às vezes, um cliente deseja gerenciar de forma independente o acesso dos funcionários aos sites. Os bancos geralmente vêm com essa solicitação: os serviços de segurança exigem que o controle de acesso permaneça do lado da empresa. Essas empresas monitoram o tráfego e fazem alterações regulares nas políticas. Neste caso, direcionamos todo o tráfego do FortiGate para o cliente. Para isso, utilizamos uma interface customizada com a infraestrutura da empresa. Depois disso, o próprio cliente define as regras de acesso à rede corporativa e à Internet.
Assistimos aos eventos no estande. Junto com o FortiGate, usamos o FortiAnalyzer, um coletor de logs da Fortinet. Com sua ajuda, examinamos todos os logs de eventos no VDI em um só lugar, encontramos ações suspeitas e rastreamos correlações.
Um de nossos clientes usa produtos Fortinet em seu escritório. Para ele, configuramos downloads de log - para que o cliente pudesse analisar todos os eventos de segurança para máquinas de escritório e desktops virtuais.
Como protegemos desktops virtuais
De ameaças conhecidas. Se um cliente deseja gerenciar de forma independente a proteção antivírus, instalamos adicionalmente o Kaspersky Security for Virtualization.
Esta solução funciona bem na nuvem. Estamos todos acostumados com o fato de que o Kaspersky Anti-Virus clássico é uma solução "pesada". Em contraste, o Kaspersky Security for Virtualization não carrega máquinas virtuais. Todos os bancos de dados de vírus estão localizados no servidor, o que emite veredictos para todas as máquinas virtuais no host. Apenas o agente de luz é instalado na área de trabalho virtual. Ele envia arquivos para o servidor para verificação.
Essa arquitetura fornece simultaneamente proteção de arquivo, proteção de Internet, proteção de ataque e não prejudica o desempenho das máquinas virtuais. Nesse caso, o próprio cliente pode fazer exceções à proteção de arquivos. Ajudamos na configuração básica da solução. Vamos falar sobre seus recursos em um artigo separado.
De ameaças desconhecidas.Para fazer isso, conectamos o FortiSandbox, um "sandbox" da Fortinet. Nós o usamos como um filtro no caso de o antivírus perder uma ameaça de dia zero. Depois de baixar o arquivo, primeiro verificamos com um antivírus e depois o enviamos para a "sandbox". O FortiSandbox emula uma máquina virtual, inicia um arquivo e monitora seu comportamento: quais objetos no registro ele acessa, se envia solicitações externas e assim por diante. Se o arquivo se comportar de forma suspeita, a máquina virtual da sandbox é excluída e o arquivo malicioso não termina no VDI do usuário.
Como configurar uma conexão segura com VDI
Verificamos a conformidade do dispositivo com os requisitos IS. Desde o início do controle remoto, os clientes nos contatam com solicitações: para garantir o trabalho seguro dos usuários de seus computadores pessoais. Qualquer especialista em segurança da informação sabe que proteger os dispositivos domésticos é difícil: você não pode instalar o antivírus necessário ou aplicar políticas de grupo, pois não se trata de um equipamento de escritório.
Por padrão, o VDI se torna uma camada segura entre o dispositivo pessoal e a rede corporativa. Para proteger o VDI de ataques da máquina do usuário, desabilitamos a área de transferência e proibimos o encaminhamento de USB. Mas isso não torna o dispositivo do usuário seguro.
Resolvemos o problema usando FortiClient. É uma ferramenta para segurança de endpoint. Os usuários da empresa instalam o FortiClient em seus computadores domésticos e o usam para se conectar a um desktop virtual. O FortiClient resolve 3 tarefas de uma vez:
- torna-se uma "janela única" de acesso para o usuário;
- verifica se o computador pessoal possui antivírus e as últimas atualizações do sistema operacional;
- constrói um túnel VPN para acesso seguro.
Um funcionário obtém acesso apenas se for aprovado na verificação. Ao mesmo tempo, os próprios desktops virtuais não são acessíveis pela Internet, o que significa que estão mais protegidos contra ataques.
Se uma empresa deseja gerenciar a proteção de endpoint por conta própria, oferecemos o FortiClient EMS (Endpoint Management Server). O cliente pode configurar a varredura da área de trabalho e prevenção de intrusão por si mesmo, criar uma lista de permissões de endereços.
Adicione fatores de autenticação. Por padrão, os usuários são autenticados por meio do Citrix netscaler. Aqui, também, podemos fortalecer a segurança com autenticação multifator baseada em produtos SafeNet. Este tópico merece atenção especial, também falaremos sobre isso em um artigo à parte.
Nós acumulamos essa experiência de trabalhar com diferentes soluções ao longo do último ano de trabalho. O serviço VDI é configurado separadamente para cada cliente, por isso escolhemos as ferramentas mais flexíveis. Talvez no futuro próximo possamos acrescentar algo mais e compartilhar nossa experiência.
No dia 7 de outubro, às 17h, meus colegas falarão sobre desktops virtuais no webinar "Preciso de VDI ou como organizar trabalho remoto?"
Registre- se se quiser discutir quando a tecnologia VDI é adequada para uma empresa e quando é melhor usar outros métodos.