Dans cet article, j'expliquerai comment notre service de bureau virtuel basé sur Citrix VDI fonctionne en termes de sécurité de l'information. Je vais vous montrer ce que nous faisons pour protéger les postes de travail clients contre les menaces externes telles que les ransomwares ou les attaques ciblées.
Quelles tâches de sécurité résolvons-nous
Nous avons identifié plusieurs menaces de sécurité principales pour le service. D'une part, le bureau virtuel risque d'être infecté à partir de l'ordinateur de l'utilisateur. D'un autre côté, il existe un risque de laisser le bureau virtuel dans l'
- Protection de l'ensemble du support VDI contre les menaces externes.
- Isolement des clients les uns des autres.
- Protéger les bureaux virtuels eux-mêmes.
- Connectez les utilisateurs en toute sécurité depuis n'importe quel appareil.
FortiGate, un pare-feu de nouvelle génération de Fortinet, est devenu le cœur de la protection. Il surveille le trafic du stand VDI, fournit une infrastructure isolée pour chaque client et protège contre les vulnérabilités côté utilisateur. Ses capacités sont suffisantes pour résoudre la plupart des problèmes de sécurité de l'information.
Mais si l'entreprise a des exigences de sécurité particulières, nous proposons des options supplémentaires:
- Nous organiserons une connexion sécurisée pour le travail depuis les ordinateurs personnels.
- Nous donnons accès à l'auto-analyse des journaux de sécurité.
- Nous assurons la gestion de la protection antivirus sur les ordinateurs de bureau.
- Protection contre les vulnérabilités du jour zéro.
- Nous avons mis en place une authentification multifactorielle pour une protection supplémentaire contre les connexions non autorisées.
Je vais vous en dire plus sur la façon dont nous avons résolu les problèmes.
Comment nous protégeons le stand et assurons la sécurité du réseau
Nous segmentons la partie réseau. Sur le stand, nous distinguons un segment de gestion fermé pour gérer toutes les ressources. Le segment de gestion est inaccessible de l'extérieur: en cas d'attaque sur un client, les attaquants ne pourront pas y accéder.
FortiGate est responsable de la protection. Il combine les fonctions d'antivirus, de pare-feu, de système de prévention des intrusions (IPS).
Pour chaque client, nous créons un segment de réseau isolé pour les bureaux virtuels. Pour cela, FortiGate dispose d'une technologie de domaine virtuel, ou VDOM. Il vous permet de diviser le pare-feu en plusieurs entités virtuelles et d'allouer son propre VDOM à chaque client, qui se comporte comme un pare-feu séparé. Pour le segment de gestion, nous créons également un VDOM distinct.
Il s'avère que ceci:
Il n'y a pas de connectivité réseau entre les clients: chacun vit dans son propre VDOM et n'influence pas l'autre. Sans cette technologie, nous devrions séparer les clients par des règles de pare-feu, ce qui est risqué en raison de facteurs humains. Vous pouvez comparer ces règles à une porte qui doit être constamment fermée. Dans le cas du VDOM, nous ne laissons pas du tout de «portes».
Dans un VDOM distinct, le client a son propre adressage et son propre routage. Par conséquent, le franchissement des plages n'est pas un problème pour l'entreprise. Le client peut attribuer les adresses IP souhaitées aux bureaux virtuels. Ceci est pratique pour les grandes entreprises qui ont leurs propres plans IP.
Nous résolvons les problèmes de connectivité avec le réseau d'entreprise du client.Une tâche distincte consiste à ancrer VDI avec l'infrastructure client. Si l'entreprise conserve des systèmes d'entreprise dans notre centre de données, vous pouvez simplement faire passer un câble réseau de son équipement au pare-feu. Mais le plus souvent, nous avons affaire à un site distant - un autre centre de données ou le bureau d'un client. Dans ce cas, nous réfléchissons à un échange sécurisé avec le site et construisons un VPN site2site en utilisant le VPN IPsec.
Les schémas peuvent être différents, en fonction de la complexité de l'infrastructure. Quelque part, il suffit de connecter le seul réseau de bureau à VDI - il y a suffisamment de routage statique. Les grandes entreprises ont de nombreux réseaux en constante évolution; ici, le client a besoin d'un routage dynamique. Nous utilisons différents protocoles: il y a déjà eu des cas avec OSPF (Open Shortest Path First), les tunnels GRE (Generic Routing Encapsulation) et BGP (Border Gateway Protocol). FortiGate prend en charge les protocoles réseau dans des VDOM séparés sans affecter les autres clients.
Il est également possible de construire GOST-VPN - un cryptage basé sur des outils de protection cryptographique certifiés par le FSB de la Fédération de Russie. Par exemple, en utilisant des solutions de classe KC1 dans l'environnement virtuel "S-Terra virtual gateway" ou PAK ViPNet, APKSH "Continent", "S-Terra".
Configurez les stratégies de groupe.Nous sommes d'accord avec le client sur les stratégies de groupe qui s'appliquent au VDI. Les principes de configuration ici ne sont pas différents des paramètres de stratégie du bureau. Nous configurons l'intégration avec Active Directory et déléguons la gestion de certaines stratégies de groupe aux clients. Les administrateurs de locataire peuvent appliquer des stratégies à l'objet Ordinateur, gérer une unité d'organisation dans Active Directory et créer des utilisateurs.
Sur FortiGate, pour chaque VDOM client, nous écrivons une politique de sécurité réseau, définissons des restrictions d'accès et configurons l'analyse du trafic. Nous utilisons plusieurs modules FortiGate:
- Le module IPS analyse le trafic pour les logiciels malveillants et empêche les intrusions;
- l'antivirus protège les bureaux eux-mêmes contre les logiciels malveillants et les logiciels espions;
- - ;
- .
Parfois, un client souhaite gérer indépendamment l'accès des employés aux sites. Les banques viennent souvent avec une telle demande: les services de sécurité exigent que le contrôle d'accès reste du côté de l'entreprise. Ces entreprises surveillent elles-mêmes le trafic et modifient régulièrement leurs politiques. Dans ce cas, nous transférons tout le trafic de FortiGate vers le client. Pour ce faire, nous utilisons une interface personnalisée avec l'infrastructure de l'entreprise. Après cela, le client définit lui-même les règles d'accès au réseau d'entreprise et à Internet.
Nous regardons les événements sur le stand. Avec FortiGate, nous utilisons FortiAnalyzer, un collecteur de journaux de Fortinet. Avec son aide, nous examinons tous les journaux d'événements sur VDI en un seul endroit, trouvons les actions suspectes et suivons les corrélations.
Un de nos clients utilise les produits Fortinet dans son bureau. Pour lui, nous avons configuré le téléchargement des journaux, de sorte que le client a pu analyser tous les événements de sécurité pour les machines de bureau et les bureaux virtuels.
Comment nous sécurisons les bureaux virtuels
Des menaces connues. Si un client souhaite gérer indépendamment la protection antivirus, nous installons en plus Kaspersky Security for Virtualization.
Cette solution fonctionne bien dans le cloud. Nous sommes tous habitués au fait que le classique Kaspersky Anti-Virus est une solution «lourde». En revanche, Kaspersky Security for Virtualization ne charge pas les machines virtuelles. Toutes les bases de données virales se trouvent sur le serveur, qui émet des verdicts pour toutes les machines virtuelles de l'hôte. Seul l'agent léger est installé sur le bureau virtuel. Il envoie des fichiers au serveur pour vérification.
Cette architecture assure simultanément la protection des fichiers, la protection Internet, la protection contre les attaques et ne dégrade pas les performances des machines virtuelles. Dans ce cas, le client peut lui-même faire des exceptions à la protection des fichiers. Nous aidons à la configuration de base de la solution. Nous vous parlerons de ses fonctionnalités dans un article séparé.
De menaces inconnues.Pour ce faire, nous connectons FortiSandbox, un "sandbox" de Fortinet. Nous l'utilisons comme filtre au cas où l'antivirus manquerait une menace zero-day. Après avoir téléchargé le fichier, nous le vérifions d'abord avec un antivirus puis l'envoyons dans le "sandbox". FortiSandbox émule une machine virtuelle, lance un fichier et surveille son comportement: à quels objets du registre il accède, s'il envoie des requêtes externes, etc. Si le fichier se comporte de manière suspecte, la machine virtuelle sandbox est supprimée et le fichier malveillant ne se retrouve pas sur le VDI de l'utilisateur.
Comment configurer une connexion sécurisée à VDI
Nous vérifions la conformité de l'appareil aux exigences SI. Depuis le début du contrôle à distance, les clients nous ont contactés avec des demandes: pour assurer la sécurité du travail des utilisateurs depuis leur ordinateur personnel. Tout spécialiste de la sécurité de l'information sait qu'il est difficile de protéger les appareils domestiques: vous ne pouvez pas y installer l'antivirus nécessaire ni appliquer des stratégies de groupe, car il ne s'agit pas d'un équipement de bureau.
Par défaut, VDI devient une couche sécurisée entre l'appareil personnel et le réseau d'entreprise. Pour protéger VDI des attaques de la machine de l'utilisateur, nous désactivons le presse-papiers, interdisons le transfert USB. Mais cela ne sécurise pas l'appareil utilisateur lui-même.
Nous résolvons le problème en utilisant FortiClient. C'est un outil pour la sécurité des terminaux. Les utilisateurs de l'entreprise installent FortiClient sur leurs ordinateurs personnels et l'utilisent pour se connecter à un bureau virtuel. FortiClient résout 3 tâches à la fois:
- devient une "fenêtre unique" d'accès pour l'utilisateur;
- vérifie si l'ordinateur personnel dispose d'un antivirus et des dernières mises à jour du système d'exploitation;
- construit un tunnel VPN pour un accès sécurisé.
Un employé n'a accès que s'il réussit le contrôle. Dans le même temps, les bureaux virtuels eux-mêmes ne sont pas accessibles depuis Internet, ce qui signifie qu'ils sont mieux protégés contre les attaques.
Si une entreprise souhaite gérer elle-même la protection des terminaux, nous proposons FortiClient EMS (Endpoint Management Server). Le client peut configurer lui-même l'analyse du bureau et la prévention des intrusions, créer une liste blanche d'adresses.
Ajoutez des facteurs d'authentification. Par défaut, les utilisateurs sont authentifiés via Citrix netscaler. Ici aussi, nous pouvons renforcer la sécurité avec une authentification multifacteur basée sur les produits SafeNet. Ce sujet mérite une attention particulière, nous en discuterons également dans un article séparé.
Nous avons accumulé une telle expérience de travail avec différentes solutions au cours de la dernière année de travail. Le service VDI est configuré séparément pour chaque client, nous avons donc choisi les outils les plus flexibles. Peut-être que dans un proche avenir, nous ajouterons autre chose et partagerons notre expérience.
Le 7 octobre à 17 h, mes collègues parleront des bureaux virtuels lors du webinaire "Ai-je besoin de VDI ou comment organiser le travail à distance?"
Inscrivez -vous si vous souhaitez discuter du moment où la technologie VDI convient à une entreprise et du moment où il est préférable d'utiliser d'autres méthodes.