В этом году многие компании спешно переходили на удаленку. Некоторым клиентам мы помогали организовывать больше сотни удаленных рабочих мест за неделю. Было важно сделать это не только быстро, но и безопасно. На помощь пришла технология VDI: с ее помощью удобно распространять политики безопасности на все рабочие места и защищаться от утечек данных.
В этой статье я расскажу, как устроен наш сервис виртуальных рабочих столов на базе Citrix VDI с точки зрения информационной безопасности. Покажу, что мы делаем, чтобы защитить клиентские рабочие столы от внешних угроз типа шифровальщиков или направленных атак.
Мы выделили несколько основных угроз безопасности для сервиса. С одной стороны, виртуальный рабочий стол рискует заразиться с компьютера пользователя. С другой, есть опасность выйти с виртуального рабочего стола в открытыйкосмос интернет и скачать зараженный файл. Даже если такое произойдет, это не должно повлиять на всю инфраструктуру. Поэтому при создании сервиса мы решали несколько задач:
Ядром защиты стал FortiGate – межсетевой экран нового поколения от Fortinet. Он контролирует трафик стенда VDI, обеспечивает изолированную инфраструктуру для каждого клиента и защищает от уязвимостей на стороне пользователя. Его возможностей хватает, чтобы закрыть большую часть вопросов ИБ.
Но если у компании есть специальные требования к безопасности, мы предлагаем дополнительные возможности:
Расскажу подробнее, как решили задачи.
Сегментируем сетевую часть. На стенде мы выделяем закрытый менеджмент-сегмент для управления всеми ресурсами. Менеджмент-сегмент недоступен извне: в случае атаки на клиента злоумышленники не смогут туда попасть.
За защиту отвечает FortiGate. Он совмещает функции антивируса, межсетевого экрана, системы предотвращения вторжений (intrusion prevention system, IPS).
Под каждого клиента создаем изолированный сетевой сегмент для виртуальных рабочих столов. Для этого в FortiGate есть технология виртуальных доменов, или VDOM. Она позволяет разбивать межсетевой экран на несколько виртуальных сущностей и выделять каждому клиенту свой VDOM, который ведет себя как отдельный файрволл. Для менеджмент-сегмента тоже создаем отдельный VDOM.
Получается вот такая схема:
Между клиентами нет сетевой связности: каждый живет в своем VDOM’е и не оказывает влияние на другого. Без этой технологии нам пришлось бы разделять клиентов правилами межсетевого экрана, а это рискованно из-за человеческого фактора. Можно сравнить такие правила с дверью, которую нужно постоянно закрывать. В случае с VDOM’ом мы вообще не оставляем «дверей».
В отдельном VDOM’е у клиента своя адресация и маршрутизация. Поэтому пересечение диапазонов не становится проблемой для компании. Клиент может закрепить за виртуальными рабочими столами нужные IP-адреса. Это удобно для крупных компаний, у которых есть свои IP-планы.
Решаем вопросы связности с корпоративной сетью клиента. Отдельная задача – стыковка VDI с клиентской инфраструктурой. Если компания держит корпоративные системы в нашем ЦОДе, можно просто протянуть сетевой кабель от его оборудования к межсетевому экрану. Но чаще мы имеем дело с удаленной площадкой – другим ЦОДом или офисом клиента. В этом случае мы продумываем безопасный обмен с площадкой и строим site2site VPN с помощью IPsec VPN.
Схемы могут быть разными, в зависимости от сложности инфраструктуры. Где-то достаточно подключить к VDI единственную офисную сеть – там хватает статической маршрутизации. В крупных компаниях много сетей, которые постоянно меняются; здесь клиенту нужна динамическая маршрутизация. Мы используем разные протоколы: уже были кейсы с OSPF (Open Shortest Path First), GRE-туннелями (Generic Routing Encapsulation) и BGP (Border Gateway Protocol). FortiGate поддерживает сетевые протоколы в отдельных VDOM’ах, без влияния на других клиентов.
Можно построить и ГОСТ-VPN – шифрование на базе сертифицированных ФСБ РФ средств криптозащиты. Например, с помощью решений класса КС1 в виртуальной среде «С-Терра виртуальный шлюз» или ПАК ViPNet, АПКШ «Континент», «С-Терра».
Настраиваем Group Policies. Мы согласовываем с клиентом групповые политики, которые применяются на VDI. Здесь принципы настройки ничем не отличаются от настроек политик в офисе. Мы настраиваем интеграцию с Active Directory и делегируем клиентам управление некоторыми групповыми политиками. Администраторы клиента могут применять политики на объект Computer, управлять организационной единицей в Active Directory и создавать пользователей.
На FortiGate для каждого клиентского VDOM’a мы пишем сетевую политику безопасности, задаем ограничения доступа и настраиваем проверку трафика. Используем несколько модулей FortiGate:
Иногда клиент хочет самостоятельно управлять доступом сотрудников к сайтам. Чаще с таким запросом приходят банки: службы безопасности требуют, чтобы контроль доступа оставался на стороне компании. Такие компании сами мониторят трафик и регулярно вносят изменения в политики. В этом случае весь трафик с FortiGate мы разворачиваем в сторону клиента. Для этого используем настроенный стык с инфраструктурой компании. После этого клиент сам настраивает правила доступа в корпоративную сеть и интернет.
Наблюдаем за событиями на стенде. Вместе с FortiGate мы используем FortiAnalyzer – коллектор логов от Fortinet. С его помощью смотрим все журналы событий на VDI в одном месте, находим подозрительные действия и отслеживаем корреляции.
Один из наших клиентов использует продукты Fortinet в своем офисе. Для него мы настроили выгрузку журналов – так клиент смог анализировать все события безопасности для офисных машин и виртуальных рабочих столов.
От известных угроз. Если клиент хочет самостоятельно управлять антивирусной защитой, мы дополнительно ставим Kaspersky Security для виртуальных сред.
Это решение хорошо работает в облаке. Все мы привыкли, что классический антивирус Касперского – это «тяжелое» решение. В отличие от него, Kaspersky Security для виртуальных сред не нагружает виртуальные машины. Все вирусные базы находятся на сервере, который выдает вердикты для всех виртуальных машин узла. На виртуальном рабочем столе установлен только легкий агент. Он отправляет файлы для проверки на сервер.
Такая архитектура одновременно обеспечивает файловую защиту, интернет-защиту, защиту от атак и не снижает производительность виртуальных машин. При этом клиент может сам вносить исключения в файловую защиту. Мы помогаем с базовой настройкой решения. О ее особенностях расскажем в отдельной статье.
От неизвестных угроз. Для этого подключаем FortiSandbox – «песочницу» от Fortinet. Мы используем ее как фильтр на случай, если антивирус пропустит угрозу «нулевого дня». После скачивания файла сначала проверяем его антивирусом, а затем отправляем в «песочницу». FortiSandbox эмулирует виртуальную машину, запускает файл и наблюдает за его поведением: к каким объектам в реестре обращается, отправляет ли внешние запросы и так далее. Если файл ведет себя подозрительно, виртуалка в песочнице удаляется, и вредоносный файл не попадает на пользовательскую VDI.
Проверяем соответствие устройства требованиям ИБ. С начала удаленки клиенты обращались к нам с запросами: обеспечить безопасную работу пользователей с их личных компьютеров. Любой специалист по ИБ знает, что защитить домашние устройства сложно: нельзя установить туда нужный антивирус или применить групповые политики, так как это не офисное оборудование.
По умолчанию VDI становится безопасной «прослойкой» между личным устройством и корпоративной сетью. Для защиты VDI от атак с пользовательской машины мы отключаем буфер обмена, запрещаем проброс USB. Но это не делает само пользовательское устройство безопасным.
Проблему решаем с помощью FortiClient. Это средство для защиты конечных точек (endpoint-защиты). Пользователи компании ставят FortiClient на свои домашние компьютеры и с его помощью подключаются к виртуальному рабочему столу. FortiClient решает сразу 3 задачи:
Сотрудник получает доступ, только если проходит проверку. При этом сами виртуальные рабочие столы недоступны из интернета, а значит, лучше защищены от атак.
Если компания хочет сама управлять endpoint-защитой, мы предлагаем FortiClient EMS (Endpoint Management Server). Клиент может сам настраивать сканирование рабочих столов и предотвращение вторжений, формировать белый список адресов.
Добавляем факторы аутентификации. По умолчанию пользователи аутентифицируются через Citrix netscaler. Здесь мы тоже можем усилить безопасность с помощью мультифакторной аутентификации на базе продуктов SafeNet. Эта тема заслуживает отдельного внимания, про это тоже расскажем в отдельной статье.
Такой опыт работы с разными решениями у нас накопился за последний год работы. Сервис VDI настраивается отдельно под каждого клиента, поэтому мы выбирали максимально гибкие инструменты. Возможно, в скором будущем добавим что-то еще и поделимся опытом.
7 октября в 17.00 мои коллеги расскажут о виртуальных рабочих столах на вебинаре «Нужен ли VDI, или как организовать удаленную работу?»
Регистрируйтесь, если хотите обсудить, когда компании подойдет технология VDI, а когда лучше использовать другие способы.
В этой статье я расскажу, как устроен наш сервис виртуальных рабочих столов на базе Citrix VDI с точки зрения информационной безопасности. Покажу, что мы делаем, чтобы защитить клиентские рабочие столы от внешних угроз типа шифровальщиков или направленных атак.
Какие задачи безопасности мы решаем
Мы выделили несколько основных угроз безопасности для сервиса. С одной стороны, виртуальный рабочий стол рискует заразиться с компьютера пользователя. С другой, есть опасность выйти с виртуального рабочего стола в открытый
- Защита всего стенда VDI от внешних угроз.
- Изоляция клиентов друг от друга.
- Защита самих виртуальных рабочих столов.
- Безопасное подключение пользователей с любых устройств.
Ядром защиты стал FortiGate – межсетевой экран нового поколения от Fortinet. Он контролирует трафик стенда VDI, обеспечивает изолированную инфраструктуру для каждого клиента и защищает от уязвимостей на стороне пользователя. Его возможностей хватает, чтобы закрыть большую часть вопросов ИБ.
Но если у компании есть специальные требования к безопасности, мы предлагаем дополнительные возможности:
- Организуем защищенное соединение для работы с домашних компьютеров.
- Даем доступ для самостоятельного анализа журналов безопасности.
- Предоставляем управление антивирусной защитой на рабочих столах.
- Защищаем от уязвимостей «нулевого дня».
- Настраиваем мультифакторную аутентификацию для дополнительной защиты от несанкционированного подключения.
Расскажу подробнее, как решили задачи.
Как защищаем стенд и обеспечиваем сетевую безопасность
Сегментируем сетевую часть. На стенде мы выделяем закрытый менеджмент-сегмент для управления всеми ресурсами. Менеджмент-сегмент недоступен извне: в случае атаки на клиента злоумышленники не смогут туда попасть.
За защиту отвечает FortiGate. Он совмещает функции антивируса, межсетевого экрана, системы предотвращения вторжений (intrusion prevention system, IPS).
Под каждого клиента создаем изолированный сетевой сегмент для виртуальных рабочих столов. Для этого в FortiGate есть технология виртуальных доменов, или VDOM. Она позволяет разбивать межсетевой экран на несколько виртуальных сущностей и выделять каждому клиенту свой VDOM, который ведет себя как отдельный файрволл. Для менеджмент-сегмента тоже создаем отдельный VDOM.
Получается вот такая схема:
Между клиентами нет сетевой связности: каждый живет в своем VDOM’е и не оказывает влияние на другого. Без этой технологии нам пришлось бы разделять клиентов правилами межсетевого экрана, а это рискованно из-за человеческого фактора. Можно сравнить такие правила с дверью, которую нужно постоянно закрывать. В случае с VDOM’ом мы вообще не оставляем «дверей».
В отдельном VDOM’е у клиента своя адресация и маршрутизация. Поэтому пересечение диапазонов не становится проблемой для компании. Клиент может закрепить за виртуальными рабочими столами нужные IP-адреса. Это удобно для крупных компаний, у которых есть свои IP-планы.
Решаем вопросы связности с корпоративной сетью клиента. Отдельная задача – стыковка VDI с клиентской инфраструктурой. Если компания держит корпоративные системы в нашем ЦОДе, можно просто протянуть сетевой кабель от его оборудования к межсетевому экрану. Но чаще мы имеем дело с удаленной площадкой – другим ЦОДом или офисом клиента. В этом случае мы продумываем безопасный обмен с площадкой и строим site2site VPN с помощью IPsec VPN.
Схемы могут быть разными, в зависимости от сложности инфраструктуры. Где-то достаточно подключить к VDI единственную офисную сеть – там хватает статической маршрутизации. В крупных компаниях много сетей, которые постоянно меняются; здесь клиенту нужна динамическая маршрутизация. Мы используем разные протоколы: уже были кейсы с OSPF (Open Shortest Path First), GRE-туннелями (Generic Routing Encapsulation) и BGP (Border Gateway Protocol). FortiGate поддерживает сетевые протоколы в отдельных VDOM’ах, без влияния на других клиентов.
Можно построить и ГОСТ-VPN – шифрование на базе сертифицированных ФСБ РФ средств криптозащиты. Например, с помощью решений класса КС1 в виртуальной среде «С-Терра виртуальный шлюз» или ПАК ViPNet, АПКШ «Континент», «С-Терра».
Настраиваем Group Policies. Мы согласовываем с клиентом групповые политики, которые применяются на VDI. Здесь принципы настройки ничем не отличаются от настроек политик в офисе. Мы настраиваем интеграцию с Active Directory и делегируем клиентам управление некоторыми групповыми политиками. Администраторы клиента могут применять политики на объект Computer, управлять организационной единицей в Active Directory и создавать пользователей.
На FortiGate для каждого клиентского VDOM’a мы пишем сетевую политику безопасности, задаем ограничения доступа и настраиваем проверку трафика. Используем несколько модулей FortiGate:
- модуль IPS проверяет трафик на зловреды и предотвращает вторжения;
- антивирус защищает сами рабочие столы от вредоносного и шпионского ПО;
- веб-фильтеринг блокирует доступ к неблагонадежным ресурсам и сайтам с вредоносным или неприемлемым содержимым;
- настройки межсетевого экрана могут разрешить выходить пользователям в интернет только на определенные сайты.
Иногда клиент хочет самостоятельно управлять доступом сотрудников к сайтам. Чаще с таким запросом приходят банки: службы безопасности требуют, чтобы контроль доступа оставался на стороне компании. Такие компании сами мониторят трафик и регулярно вносят изменения в политики. В этом случае весь трафик с FortiGate мы разворачиваем в сторону клиента. Для этого используем настроенный стык с инфраструктурой компании. После этого клиент сам настраивает правила доступа в корпоративную сеть и интернет.
Наблюдаем за событиями на стенде. Вместе с FortiGate мы используем FortiAnalyzer – коллектор логов от Fortinet. С его помощью смотрим все журналы событий на VDI в одном месте, находим подозрительные действия и отслеживаем корреляции.
Один из наших клиентов использует продукты Fortinet в своем офисе. Для него мы настроили выгрузку журналов – так клиент смог анализировать все события безопасности для офисных машин и виртуальных рабочих столов.
Как защищаем виртуальные рабочие столы
От известных угроз. Если клиент хочет самостоятельно управлять антивирусной защитой, мы дополнительно ставим Kaspersky Security для виртуальных сред.
Это решение хорошо работает в облаке. Все мы привыкли, что классический антивирус Касперского – это «тяжелое» решение. В отличие от него, Kaspersky Security для виртуальных сред не нагружает виртуальные машины. Все вирусные базы находятся на сервере, который выдает вердикты для всех виртуальных машин узла. На виртуальном рабочем столе установлен только легкий агент. Он отправляет файлы для проверки на сервер.
Такая архитектура одновременно обеспечивает файловую защиту, интернет-защиту, защиту от атак и не снижает производительность виртуальных машин. При этом клиент может сам вносить исключения в файловую защиту. Мы помогаем с базовой настройкой решения. О ее особенностях расскажем в отдельной статье.
От неизвестных угроз. Для этого подключаем FortiSandbox – «песочницу» от Fortinet. Мы используем ее как фильтр на случай, если антивирус пропустит угрозу «нулевого дня». После скачивания файла сначала проверяем его антивирусом, а затем отправляем в «песочницу». FortiSandbox эмулирует виртуальную машину, запускает файл и наблюдает за его поведением: к каким объектам в реестре обращается, отправляет ли внешние запросы и так далее. Если файл ведет себя подозрительно, виртуалка в песочнице удаляется, и вредоносный файл не попадает на пользовательскую VDI.
Как настраиваем безопасное подключение к VDI
Проверяем соответствие устройства требованиям ИБ. С начала удаленки клиенты обращались к нам с запросами: обеспечить безопасную работу пользователей с их личных компьютеров. Любой специалист по ИБ знает, что защитить домашние устройства сложно: нельзя установить туда нужный антивирус или применить групповые политики, так как это не офисное оборудование.
По умолчанию VDI становится безопасной «прослойкой» между личным устройством и корпоративной сетью. Для защиты VDI от атак с пользовательской машины мы отключаем буфер обмена, запрещаем проброс USB. Но это не делает само пользовательское устройство безопасным.
Проблему решаем с помощью FortiClient. Это средство для защиты конечных точек (endpoint-защиты). Пользователи компании ставят FortiClient на свои домашние компьютеры и с его помощью подключаются к виртуальному рабочему столу. FortiClient решает сразу 3 задачи:
- становится «единым окном» доступа для пользователя;
- проверяет, есть ли на личном компьютере антивирус и последние обновления ОС;
- строит VPN-тоннель для защищенного доступа.
Сотрудник получает доступ, только если проходит проверку. При этом сами виртуальные рабочие столы недоступны из интернета, а значит, лучше защищены от атак.
Если компания хочет сама управлять endpoint-защитой, мы предлагаем FortiClient EMS (Endpoint Management Server). Клиент может сам настраивать сканирование рабочих столов и предотвращение вторжений, формировать белый список адресов.
Добавляем факторы аутентификации. По умолчанию пользователи аутентифицируются через Citrix netscaler. Здесь мы тоже можем усилить безопасность с помощью мультифакторной аутентификации на базе продуктов SafeNet. Эта тема заслуживает отдельного внимания, про это тоже расскажем в отдельной статье.
Такой опыт работы с разными решениями у нас накопился за последний год работы. Сервис VDI настраивается отдельно под каждого клиента, поэтому мы выбирали максимально гибкие инструменты. Возможно, в скором будущем добавим что-то еще и поделимся опытом.
7 октября в 17.00 мои коллеги расскажут о виртуальных рабочих столах на вебинаре «Нужен ли VDI, или как организовать удаленную работу?»
Регистрируйтесь, если хотите обсудить, когда компании подойдет технология VDI, а когда лучше использовать другие способы.