En este artículo, explicaré cómo funciona nuestro servicio de escritorio virtual basado en Citrix VDI en términos de seguridad de la información. Le mostraré lo que estamos haciendo para proteger los escritorios de los clientes de amenazas externas como ransomware o ataques dirigidos.
Que tareas de seguridad resolvemos
Hemos identificado varias amenazas de seguridad principales para el servicio. Por un lado, el escritorio virtual corre el riesgo de infectarse desde la computadora del usuario. Por otro lado, existe el peligro de dejar el escritorio virtual en el
- Protección de todo el soporte VDI de amenazas externas.
- Aislamiento de clientes entre sí.
- Protegiendo los propios escritorios virtuales.
- Conecte a los usuarios de forma segura desde cualquier dispositivo.
FortiGate, un firewall de nueva generación de Fortinet, se convirtió en el núcleo de la protección. Supervisa el tráfico del stand de VDI, proporciona una infraestructura aislada para cada cliente y protege contra las vulnerabilidades del lado del usuario. Sus capacidades son suficientes para solucionar la mayoría de los problemas de seguridad de la información.
Pero si la empresa tiene requisitos de seguridad especiales, ofrecemos opciones adicionales:
- Organizamos una conexión segura para trabajar desde los ordenadores de casa.
- Damos acceso para autoanálisis de registros de seguridad.
- Brindamos administración de protección antivirus en computadoras de escritorio.
- Protección contra vulnerabilidades de día cero.
- Configuramos la autenticación multifactor para una protección adicional contra conexiones no autorizadas.
Te contaré más sobre cómo resolvimos los problemas.
Cómo protegemos el stand y garantizamos la seguridad de la red
Segmentamos la parte de la red. En el stand destacamos un segmento de gestión cerrado para la gestión de todos los recursos. El segmento de gestión es inaccesible desde el exterior: en caso de un ataque a un cliente, los atacantes no podrán llegar allí.
FortiGate es responsable de la protección. Combina las funciones de antivirus, firewall, sistema de prevención de intrusiones (IPS).
Para cada cliente, creamos un segmento de red aislado para escritorios virtuales. Para ello, FortiGate cuenta con una tecnología de dominio virtual, o VDOM. Le permite dividir el firewall en varias entidades virtuales y asignar su propio VDOM a cada cliente, que se comporta como un firewall independiente. También creamos un VDOM separado para el segmento de gestión.
Resulta así:
No hay conectividad de red entre clientes: cada uno vive en su propio VDOM y no influye en el otro. Sin esta tecnología, tendríamos que separar a los clientes mediante reglas de firewall, lo cual es riesgoso debido a factores humanos. Puede comparar tales reglas con una puerta que debe estar constantemente cerrada. En el caso de VDOM, no dejamos "puertas" en absoluto.
En un VDOM separado, el cliente tiene su propio direccionamiento y enrutamiento. Por tanto, cruzar rangos no es un problema para la empresa. El cliente puede asignar las direcciones IP deseadas a los escritorios virtuales. Esto es conveniente para las grandes empresas que tienen sus propios planes de propiedad intelectual.
Resolvemos problemas de conectividad con la red corporativa del cliente.Una tarea separada es conectar VDI con la infraestructura del cliente. Si la empresa mantiene sistemas corporativos en nuestro centro de datos, simplemente puede ejecutar un cable de red desde su equipo hasta el firewall. Pero la mayoría de las veces estamos tratando con un sitio remoto: otro centro de datos o la oficina de un cliente. En este caso, pensamos en un intercambio seguro con el sitio y construimos una VPN site2site usando IPsec VPN.
Los esquemas pueden ser diferentes, dependiendo de la complejidad de la infraestructura. En algún lugar, basta con conectar una sola red de oficina a VDI: hay suficiente enrutamiento estático. Las grandes empresas tienen muchas redes que cambian constantemente; aquí el cliente necesita un enrutamiento dinámico. Usamos diferentes protocolos: ya ha habido casos con OSPF (Open Shortest Path First), túneles GRE (Generic Routing Encapsulation) y BGP (Border Gateway Protocol). FortiGate admite protocolos de red en VDOM separados sin afectar a otros clientes.
También es posible construir GOST-VPN: cifrado basado en herramientas de protección criptográfica certificadas por el FSB de la Federación de Rusia. Por ejemplo, utilizando soluciones de clase KC1 en el entorno virtual "S-Terra virtual gateway" o PAK ViPNet, APKSH "Continent", "S-Terra".
Configure las políticas de grupo.Acordamos con el cliente las políticas de grupo que se aplican en el VDI. Los principios de configuración aquí no son diferentes de la configuración de políticas en la oficina. Estamos configurando la integración con Active Directory y delegando la gestión de algunas políticas de grupo a los clientes. Los administradores de inquilinos pueden aplicar políticas al objeto Equipo, administrar una OU en Active Directory y crear usuarios.
En FortiGate, para cada VDOM de cliente, escribimos una política de seguridad de red, establecemos restricciones de acceso y configuramos el escaneo de tráfico. Usamos varios módulos de FortiGate:
- El módulo IPS analiza el tráfico en busca de malware y evita intrusiones;
- el antivirus protege los propios equipos de escritorio del malware y el software espía;
- - ;
- .
A veces, un cliente desea administrar de forma independiente el acceso de los empleados a los sitios. Los bancos suelen presentar una solicitud de este tipo: los servicios de seguridad requieren que el control de acceso permanezca del lado de la empresa. Estas empresas controlan el tráfico por sí mismas y realizan cambios regulares en las políticas. En este caso, dirigimos todo el tráfico de FortiGate hacia el cliente. Para ello, utilizamos una interfaz personalizada con la infraestructura de la empresa. Después de eso, el propio cliente establece las reglas para acceder a la red corporativa e Internet.
Observamos los eventos en el stand. Junto con FortiGate, usamos FortiAnalyzer, un recolector de registros de Fortinet. Con su ayuda, observamos todos los registros de eventos en VDI en un solo lugar, buscamos acciones sospechosas y seguimos las correlaciones.
Uno de nuestros clientes utiliza productos Fortinet en su oficina. Para él, configuramos las descargas de registros, por lo que el cliente pudo analizar todos los eventos de seguridad para las máquinas de oficina y los escritorios virtuales.
Cómo protegemos los escritorios virtuales
De amenazas conocidas. Si un cliente desea administrar de forma independiente la protección antivirus, también instalamos Kaspersky Security for Virtualization.
Esta solución funciona bien en la nube. Todos estamos acostumbrados al hecho de que el clásico Kaspersky Anti-Virus es una solución "pesada". Por el contrario, Kaspersky Security for Virtualization no carga máquinas virtuales. Todas las bases de datos de virus se encuentran en el servidor, que emite veredictos para todas las máquinas virtuales en el host. Solo el agente ligero está instalado en el escritorio virtual. Envía archivos al servidor para su verificación.
Esta arquitectura proporciona simultáneamente protección de archivos, protección de Internet, protección contra ataques y no degrada el rendimiento de las máquinas virtuales. En este caso, el cliente mismo puede hacer excepciones a la protección de archivos. Ayudamos con la configuración básica de la solución. Te contamos sus características en un artículo aparte.
De amenazas desconocidas.Para ello, conectamos FortiSandbox, un "sandbox" de Fortinet. Lo usamos como filtro en caso de que el antivirus pierda una amenaza de día cero. Después de descargar el archivo, primero lo verificamos con un antivirus y luego lo enviamos a la "caja de arena". FortiSandbox emula una máquina virtual, lanza un archivo y monitorea su comportamiento: a qué objetos del registro accede, si envía solicitudes externas, etc. Si el archivo se comporta de manera sospechosa, la máquina virtual de la zona de pruebas se elimina y el archivo malicioso no termina en la VDI del usuario.
Cómo configurar una conexión segura a VDI
Verificamos la conformidad del dispositivo con los requisitos de IS. Desde el inicio del control remoto, los clientes nos han contactado con peticiones: para garantizar el trabajo seguro de los usuarios desde sus ordenadores personales. Cualquier especialista en seguridad de la información sabe que es difícil proteger los dispositivos domésticos: no se puede instalar allí el antivirus necesario ni aplicar políticas de grupo, ya que este no es un equipo de oficina.
De forma predeterminada, VDI se convierte en una capa segura entre el dispositivo personal y la red corporativa. Para proteger VDI de los ataques de la máquina del usuario, deshabilitamos el portapapeles, prohibimos el reenvío USB. Pero esto no hace que el dispositivo del usuario sea seguro.
Resolvemos el problema usando FortiClient. Es una herramienta para la seguridad de terminales. Los usuarios de la compañía instalan FortiClient en sus computadoras personales y lo usan para conectarse a un escritorio virtual. FortiClient resuelve 3 tareas a la vez:
- se convierte en una "ventana única" de acceso para el usuario;
- comprueba si la computadora personal tiene antivirus y las últimas actualizaciones del sistema operativo;
- construye un túnel VPN para un acceso seguro.
Un empleado tiene acceso solo si pasa el cheque. Al mismo tiempo, los propios escritorios virtuales no son accesibles desde Internet, lo que significa que están mejor protegidos contra ataques.
Si una empresa desea administrar la protección de endpoints por sí misma, ofrecemos FortiClient EMS (Endpoint Management Server). El cliente puede configurar el escaneo de escritorio y la prevención de intrusiones por sí mismo, crear una lista blanca de direcciones.
Agregue factores de autenticación. De forma predeterminada, los usuarios se autentican a través de Citrix netscaler. Aquí también podemos fortalecer la seguridad con autenticación multifactor basada en productos SafeNet. Este tema merece una atención especial, también lo discutiremos en un artículo separado.
Hemos acumulado tal experiencia de trabajar con diferentes soluciones durante el último año de trabajo. El servicio VDI se configura por separado para cada cliente, por lo que elegimos las herramientas más flexibles. Quizás en un futuro próximo agreguemos algo más y compartamos nuestra experiencia.
El 7 de octubre a las 5 pm, mis colegas hablarán sobre los escritorios virtuales en el seminario web "¿Necesito VDI o cómo organizar el trabajo remoto?"
Regístrese si desea discutir cuándo la tecnología VDI es adecuada para una empresa y cuándo es mejor utilizar otros métodos.