クライアント仮想デスクトップをウイルス、スパイウェア、攻撃から保護する方法

今年、多くの企業が急いで遠隔通勤に切り替えています。一部のクライアントが1週間で100を超えるリモートワークプレースを整理するのを支援しました。これを迅速に行うだけでなく、安全に行うことが重要でした。VDIテクノロジーが助けになりました。その助けを借りて、セキュリティポリシーをすべての職場に配布し、データ漏洩から保護するのに便利です。 



この記事では、情報セキュリティの観点から、CitrixVDIベースの仮想デスクトップサービスがどのように機能するかを説明します。ランサムウェアや標的型攻撃などの外部の脅威からクライアントデスクトップを保護するために私たちが行っていることを紹介します。 

どのようなセキュリティタスクを解決しますか 

サービスに対するいくつかの主なセキュリティ上の脅威を特定しました。一方では、仮想デスクトップはユーザーのコンピューターから感染するリスクがあります。一方、仮想デスクトップをインターネットのオープンスペースに残して、感染したファイルをダウンロードする危険性があります。これが発生した場合でも、インフラストラクチャ全体に影響を与えることはありません。したがって、サービスを作成するときに、いくつかの問題を解決しました。 

• VDIスタンド全体を外部の脅威から保護します。
  
  
• クライアントを相互に分離します。
  
  
• 仮想デスクトップ自体を保護します。 
  
  
• どのデバイスからでもユーザーを安全に接続します。
  
  

Fortinetの新世代ファイアウォールであるFortiGateが保護の中核になりました。VDIスタンドのトラフィックを監視し、クライアントごとに分離されたインフラストラクチャを提供し、ユーザー側の脆弱性から保護します。その機能は、情報セキュリティの問題のほとんどを解決するのに十分です。 



ただし、会社に特別なセキュリティ要件がある場合は、追加のオプションを提供します。 

• 自宅のコンピューターから作業するための安全な接続を組織します。
  
  
• セキュリティログの自己分析へのアクセスを提供します。
  
  
• デスクトップでアンチウイルス保護管理を提供します。
  
  
• ゼロ日の脆弱性からの保護。 
  
  
• 不正接続に対する保護を強化するために、多要素認証を設定しました。

問題をどのように解決したかについて詳しく説明します。 

スタンドを保護し、ネットワークセキュリティを確保する方法

ネットワーク部分をセグメント化します。スタンドでは、すべてのリソースを管理するためのクローズド管理セグメントを選び出します。管理セグメントには外部からアクセスできません。クライアントへの攻撃が発生した場合、攻撃者はそこにアクセスできなくなります。 



FortiGateは保護に責任があります。アンチウイルス、ファイアウォール、侵入防止システム（IPS）の機能を組み合わせています。 



クライアントごとに、仮想デスクトップ用の分離されたネットワークセグメントを作成します。このため、FortiGateには仮想ドメインテクノロジー（VDOM）があります。これにより、ファイアウォールを複数の仮想エンティティに分割し、個別のファイアウォールのように動作する各クライアントに独自のVDOMを割り当てることができます。管理セグメントについては、個別のVDOMも作成します。



次のようになります。





クライアント間にネットワーク接続はありません。それぞれが独自のVDOMに存在し、他のクライアントに影響を与えません。このテクノロジーがなければ、ファイアウォールルールによってクライアントを分離する必要がありますが、これは人的要因により危険です。このようなルールを、常に閉じなければならないドアと比較することができます。 VDOMの場合、「ドア」をまったく残しません。 



別のVDOMでは、クライアントには独自のアドレス指定とルーティングがあります。したがって、範囲を越えることは会社にとって問題ではありません。クライアントは、必要なIPアドレスを仮想デスクトップに割り当てることができます。これは、独自のIPプランを持つ大企業にとって便利です。 



クライアントの企業ネットワークとの接続の問題を解決します。別のタスクは、VDIをクライアントインフラストラクチャに接続することです。会社が企業システムをデータセンターに置いている場合は、機器からファイアウォールまでネットワークケーブルを接続するだけです。しかし、多くの場合、別のデータセンターやクライアントのオフィスなどのリモートサイトを扱っています。この場合、サイトとの安全な交換を検討し、IPsecVPNを使用してsite2siteVPNを構築します。 



スキームは、インフラストラクチャの複雑さに応じて異なる場合があります。どこかで、単一のオフィスネットワークをVDIに接続するのに十分です-十分な静的ルーティングがあります。大企業には、絶えず変化する多くのネットワークがあります。ここで、クライアントには動的ルーティングが必要です。さまざまなプロトコルを使用しています。OSPF（Open Shortest Path First）、GREトンネル（Generic Routing Encapsulation）、BGP（Border Gateway Protocol）のケースはすでにあります。 FortiGateは、他のクライアントに影響を与えることなく、個別のVDOMでネットワークプロトコルをサポートします。 



ロシア連邦のFSBによって認定された暗号化保護ツールに基づく暗号化であるGOST-VPNを構築することも可能です。たとえば、仮想環境「S-Terra仮想ゲートウェイ」またはPAK ViPNet、APKSH「Continent」、「S-Terra」でKC1クラスのソリューションを使用します。



グループポリシーを設定します。VDIに適用されるグループポリシーについてクライアントに同意します。ここでの構成の原則は、オフィスのポリシー設定と同じです。Active Directoryとの統合を構成し、一部のグループポリシーの管理をクライアントに委任しています。テナント管理者は、Computerオブジェクトにポリシーを適用し、Active DirectoryでOUを管理し、ユーザーを作成できます。 



FortiGateでは、クライアントVDOMごとに、ネットワークセキュリティポリシーを記述し、アクセス制限を設定し、トラフィックスキャンを構成します。いくつかのFortiGateモジュールを使用します。 

• IPSモジュールはトラフィックをスキャンしてマルウェアを検出し、侵入を防ぎます。
• アンチウイルスは、デスクトップ自体をマルウェアやスパイウェアから保護します。
• - ;
• . 

クライアントは、サイトへの従業員のアクセスを個別に管理したい場合があります。銀行はより頻繁にそのような要求を受け取ります：セキュリティサービスはアクセス制御が会社の側にあることを要求します。これらの企業はトラフィックを自ら監視し、定期的にポリシーを変更しています。この場合、FortiGateからのすべてのトラフィックをクライアントに向けます。これを行うために、会社のインフラストラクチャとのカスタマイズされたインターフェイスを使用します。その後、クライアント自身が企業ネットワークとインターネットへのアクセスに関するルールを設定します。 



スタンドでイベントを見ています。 FortiGateと一緒に、FortinetのログコレクターであるFortiAnalyzerを使用します。その助けを借りて、VDIのすべてのイベントログを1か所で調べ、疑わしいアクションを見つけ、相関関係を追跡します。 



クライアントの1人が彼のオフィスでFortinet製品を使用しています。彼のために、ログのアップロードを構成しました。これにより、クライアントはオフィスマシンと仮想デスクトップのすべてのセキュリティイベントを分析できました。

仮想デスクトップを保護する方法

既知の脅威から。クライアントがアンチウイルス保護を独立して管理したい場合は、Kaspersky Security forVirtualizationを追加でインストールします。 



このソリューションはクラウドでうまく機能します。私たちは皆、古典的なKasperskyAnti-Virusが「重い」ソリューションであるという事実に慣れています。対照的に、Kaspersky Security forVirtualizationは仮想マシンをロードしません。すべてのウイルスデータベースはサーバー上にあり、ホスト内のすべての仮想マシンに対して判定を発行します。ライトエージェントのみが仮想デスクトップにインストールされます。検証のためにファイルをサーバーに送信します。 



このアーキテクチャは、ファイル保護、インターネット保護、攻撃保護を同時に提供し、仮想マシンのパフォーマンスを低下させません。この場合、クライアント自身がファイル保護の例外を作成できます。ソリューションの基本的なセットアップを支援します。その機能については、別の記事で説明します。



未知の脅威から。これを行うには、Fortinetの「サンドボックス」であるFortiSandboxを接続します。アンチウイルスがゼロ日の脅威を見逃した場合のフィルターとして使用します。ファイルをダウンロードした後、まずアンチウイルスでチェックしてからサンドボックスに送信します。FortiSandboxは、仮想マシンをエミュレートし、ファイルを起動して、その動作（アクセスするレジストリ内のオブジェクト、外部要求を送信するかどうかなど）を監視します。ファイルの動作が疑わしい場合、サンドボックス仮想マシンは削除され、悪意のあるファイルはユーザーのVDIに表示されません。 

VDIへの安全な接続を設定する方法

デバイスがIS要件に準拠しているかどうかを確認します。リモートコントロールの最初から、クライアントは私たちにリクエストを連絡してきました：彼らのパーソナルコンピュータからのユーザーの安全な仕事を確実にするために。情報セキュリティの専門家なら誰でも、家庭用デバイスを保護するのは難しいことを知っています。これはオフィス機器ではないため、必要なアンチウイルスをインストールしたり、グループポリシーを適用したりすることはできません。 



デフォルトでは、VDIは個人用デバイスと企業ネットワークの間の安全なレイヤーになります。ユーザーマシンからの攻撃からVDIを保護するために、クリップボードを無効にし、USB転送を禁止します。ただし、これによってユーザーデバイス自体が安全になるわけではありません。 



FortiClientを使用して問題を解決します。これは、エンドポイントセキュリティのためのツールです。同社のユーザーは、自宅のコンピューターにFortiClientをインストールし、それを使用して仮想デスクトップに接続します。FortiClientは、3つのタスクを一度に解決します。 

• ユーザーのアクセスの「単一ウィンドウ」になります。
  
  
• パーソナルコンピュータにアンチウイルスと最新のOSアップデートがあるかどうかをチェックします。 
  
  
• 安全なアクセスのためのVPNトンネルを構築します。 

従業員は、チェックに合格した場合にのみアクセスできます。同時に、仮想デスクトップ自体はインターネットからアクセスできないため、攻撃からの保護が強化されます。 



企業がエンドポイント保護自体を管理したい場合は、FortiClient EMS（エンドポイント管理サーバー）を提供します。クライアントは、デスクトップスキャンと侵入防止を自分で構成し、アドレスのホワイトリストを作成できます。 



認証係数を追加します。デフォルトでは、ユーザーはCitrixネットスケーラーを介して認証されます。ここでも、SafeNet製品に基づく多要素認証でセキュリティを強化できます。このトピックは特別な注意を払う価値があります。これについては別の記事でも説明します。 



昨年の作業で、さまざまなソリューションを使用したこのような経験を蓄積してきました。VDIサービスはクライアントごとに個別に構成されているため、最も柔軟なツールを選択しました。おそらく近い将来、私たちは何か他のものを追加し、私たちの経験を共有するでしょう。



10月7日午後5時に、同僚がウェビナーで仮想デスクトップについて話します。「VDIが必要ですか、それともリモート作業を整理する方法ですか？」VDIテクノロジーが企業に適している場合、および他の方法を使用する方がよい場合について話し合いたい場合は、

登録してください。