VDI: быстро, удобно, но безопасно ли?

На третьем уровне располагаются сами виртуальные рабочие места пользователей, представляющие собой виртуальные машины, функционирующие в среде виртуализации. На этом уровне выделяются следующие риски ИБ: уязвимость в прикладном и системном ПО, воздействие вредоносных программ, появление не управляемых брокером групп виртуальных машин, а также несанкционированная передача критичных данных во внешние сети.

К четвертому уровню относятся конечные пользователи и их программные и аппаратные средства доставки ВРМ. На данный момент таковыми являются тонкие клиенты, персональные компьютеры, а также личные и корпоративные мобильные устройства. Этому уровню присущи следующие риски: несанкционированное копирование критичных данных на внешние носители информации, подбор идентификационных и аутентификационных данных, похищение пользовательской сессии. К нему же относятся риски кражи аппаратных средств доставки ВРМ, перехвата сетевого трафика и воздействия вредоносных программ. Опасность представляют также использование не доверенных аппаратных средств доставки ВРМ и внесение несанкционированных изменений в клиентское ПО VDI.

Есть риски? Надо оценить

Система защиты VDI – это комплекс организационных и технических мер, направленный на повышение уровня защищенности компонент VDI всех четырех уровней. Ее построение (так же, как и любой другой системы, обеспечивающей безопасность) необходимо начинать с оценки рисков, присущих каждому вышеописанному уровню. Выделив риски, актуальные для вашей компании, нужно понять, что же делать с оставшимися.

Решая вопрос защиты VDI, не стоит сразу же бежать на поиски универсальных программных и программно-аппаратных решений, способных как по мановению волшебной палочки одним своим внедрением сразу же минимизировать все риски.

Организационные меры

Внедрение организационных мер защиты следует начинать с внесения дополнений в политику безопасности вашей компании. Она должна учитывать применение технологии VDI и явно определять, какие типы критичной информации могут обрабатываться теми или иными группами пользователей. Также политика должна отражать необходимость применения организационных и технических мер защиты, основанных на оценке рисков.

Внедряя инфраструктуру VDI в компании, необходимо определить роль администратора ВРМ. В идеале это должен быть выделенный сотрудник (или сотрудники), не совмещающий в рамках своих обязанностей функции по администрированию ВРМ с управлением средой виртуализации, подсистемой хранения данных или виртуальной сетевой инфраструктурой.

Специалист, наделенный такой ролью, обеспечивает контроль над функционированием инфраструктурных элементов VDI, а также их обновление. В его обязанности входят создание, удаление и обновление эталонных виртуальных машин, на основе которых разворачиваются ВРМ, и формирование их пулов. Также он производит установку и обновление прикладного и системного ПО, содержащегося в эталонных виртуальных машинах, и обеспечивает предоставление доступа пользователям к их ВРМ. Рабочий процесс администратора ВРМ также должен быть регламентирован в части выполнения критичных операций, в связи с этим в рамках компании необходимо разработать организационно-распорядительную документацию. В ней стоит явно прописать такие процессы, как создание и удаление эталонных ВРМ, обновление системного и прикладного ПО, содержащегося в них, а также обновление пула после внесения изменений в эталонные ВРМ.

К сожалению, никто не застрахован от ошибок или несанкционированных действий административного персонала. В связи с этим отдел ИБ должен осуществлять контроль действий администраторов ВРМ.

Технические меры

С технической точки зрения комплексная защита VDI включает ряд мероприятий, покрывающих 4 выделенные нами уровня. К ним относятся учет требований безопасности на уровне архитектуры VDI и настройка компонент VDI с учетом рекомендаций по обеспечению ИБ, разрабатываемых производителями решений. В число этих мероприятий входит также обеспечение безопасности виртуальной среды, в рамках которой осуществляется развертывание пулов ВРМ, и защиты доступа конечных пользователей к ресурсам VDI.

На этапе развертывания инфраструктуры VDI важно учитывать требования к обеспечению безопасности. Это еще на самых первых стадиях позволит минимизировать риски, приведенные выше, характерные для второго уровня этой инфраструктуры.

Для минимизации рисков данного блока на этапе внедрения необходимо на уровне сети выделить демилитаризованную зону, в которой расположить не сам брокер VDI, а специализированный front-end сервер, консолидирующий на себе как управляющие, так и видеопотоки. При использовании в качестве VDI-решения VMware Horizon View этим сервером будет являться Security Server, а в случае Citrix XenDesktop – Security Gateway. Помимо консолидации информационных потоков применение данных компонент позволит реализовать балансировку нагрузки на систему, уменьшить нагрузку на сам брокер, а также запретить прямое взаимодействие ВРМ и пользовательских средств их доставки.

Средствами VDI доставка ВРМ может осуществляться пользователям, находящимся не только на территории компании, но и в любой точке мира. При этом важно быть уверенным, что подключающийся пользователь – действительно тот, за кого себя выдает. Решение данной проблемы может заключаться в использовании единой базы пользователей в рамках каталога домена и применении аутентификации по сертификатам.

В связи с тем, что ВРМ не является постоянным объектом и может создаваться при подключении пользователя либо сбрасываться до состояния эталонного ВРМ при активации recompose-процесса, необходимо избегать потери пользовательских данных. Для этого применяется технология Persistent Disk (VMware Horizon View) или Personal vDisk (Citrix XenDesktop). Следует отметить, что виртуальные диски, создаваемые в соответствии с этими механизмами, будут содержать критичные данные и должны располагаться на выделенном разделе системы хранения, отдельно от виртуальных дисков и конфигурационных файлов ВРМ.

Проводя настройку компонент VDI, следует учитывать рекомендации производителя. Для решения VMware Horizon View таковые приведены в следующих документах: «VMware View Security Hardening Guide», «VMware View Security Server Hardening Guide» и «VMware Horizon Mobile Secure Workplace – Validated Design Guide».

Для решения Citrix XenDesktop с рекомендациями по безопасности можно ознакомиться в документе «Citrix XenApp 6.5 and XenDesktop 5.6 Security Standards and Deployment Scenarios».

Технология VDI неразрывно связана с виртуализацией, она использует последнюю как среду для размещения пулов ВРМ пользователей. Общий уровень защищенности системы определяется наименее защищенной ее частью, и инфраструктура VDI не является исключением. Хотелось бы отметить то, что в подобной среде классические агентские средства защиты не только являются неэффективными, но и порой попросту неприменимы. В связи со спецификой работы VDI перечень классических средств защиты значительно сокращается, т.к. для их функционирования в VDI необходима корректная работа средства после клонирования виртуальной машины и проведения процесса recompose. Данная проблема связана с тем, что часть средств защиты после клонирования либо полностью отказывается работать, либо не добавляет себя на сервер централизованного администрирования.

В связи с этим для обеспечения безопасности среды виртуализации, в рамках которой функционирует VDI, можно использовать сервисный подход к ее защите с применением безагентских технологий.

В рамках сервисного подхода для VDI необходимо определить отдельные зоны безопасности для каждого пула виртуальных машин и обеспечить для каждой из них сервисы ИБ в соответствии с типом обрабатываемой информации.

В вопросе защиты устройств доставки ВРМ следует отметить необходимость дифференцированного подхода к защите устройств, установленных вне контролируемой зоны, и устройств, находящихся в пределах компании. Необходимость данного разделения обусловлена как экономической целесообразностью, так и различием в степени рисков. В обоих случаях защита устройств доставки ВРМ состоит из следующих мер: обеспечения защиты канала передачи данных, контроля уровня защищенности конечного устройства и подключения периферийных устройств.

Сервисный подход к защите виртуальных сред
Виртуальная среда разделяется на зоны безопасности, представляющие собой набор преднастроенных базовых сервисов защиты: антивирусная защита, защита от сетевых атак, контроль целостности и т.д. При создании виртуальной машины достаточно, например, определить ее принадлежность к той или иной группе ресурсов либо задать ее ценность на основе той информации, которая будет в ней обрабатываться. Система защиты же строится таким образом, чтобы после погружения виртуальной машины в продуктивную среду автоматически обеспечить функционирование сервисов по обеспечению ее ИБ без установки дополнительных агентов на конечный защищаемый узел.

Защита каналов связи при обеспечении безопасности конечных устройств, установленных вне контролируемой зоны, может осуществляться путем установки VPN-туннеля от устройства до терминирующего пограничного сетевого оборудования компании. Для упрощения доступа пользователей к ресурсам VDI могут применяться решения класса SSL VPN, не требующие установки агентского ПО.

Если устройства доставки ВРМ расположены в пределах коррелируемой зоны, оценивая риски и выбирая средства защиты, следует учитывать, что имеющиеся в данный момент на рынке VDI-решения уже имеют встроенную криптографическую защиту как управляющих каналов, так и каналов передачи данных. Так, к примеру, протокол PCoIP, разработанный компанией Teradici и используемый в решении VMware Horizon View, по умолчанию обеспечивает шифрование данных в соответствии с алгоритмом AES-128.

При расположении конечных устройств вне контролируемой зоны перед предоставлением доступа пользователям к ВРМ важно убедиться, что устройство не содержит вредоносных программ, а файлы клиентского программного обеспечения для доставки ВРМ не были модифицированы злоумышленником. Для выполнения таких проверок следует использовать решения, позволяющие проводить инвентаризацию ПО конечного устройства и предоставлять доступ к ресурсам после проведения «инспекции» пользовательской среды на соответствие политикам доступа. При организации доступа к VDI с персональных компьютеров, а также тонких клиентов под управлением Windows Embedded данный функционал может быть обеспечен средствами VPN-клиента. В случае доступа к ресурсам VDI с мобильных устройств он может быть реализован средствами решений класса Mobile Device Management (MDM).

Если же вы размещаете конечные устройства не просто в недоверенной, но в агрессивной среде, где доступ к устройству имеет нерегламентированный круг лиц, и риски, связанные с деструктивными действиями пользователей, достаточно высоки, необходимо применять средства доверенной загрузки. Размещая конечные устройства в пределах компании, также важно контролировать уровень их защищенности. Обеспечить это можно средствами сканеров безопасности, реализующих функционал поиска уязвимостей, инвентаризации программного обеспечения и контроля целостности. Шагая в ногу со временем и реализуя концепцию BYOD, также следует внедрить решения класса MDM для обеспечения контроля мобильных устройств, с которых реализуется доступ к ресурсам VDI.

Немаловажной защитной мерой является и контроль внешних подключаемых устройств. Подобные гаджеты, проброшенные в ВРМ, могут являться каналом утечки информации. В связи с этим при размещении конечных устройств доставки ВРМ вне контролируемой зоны, по возможности, следует запретить данный вид подключения и обеспечить документооборот только на внутренних серверах компании, организовав внешнюю пересылку документов через почту или файловые хранилища, контролируемые средствами DLP-решений.

В случае невозможности полного запрета использования внешних устройств или при размещении конечных устройств доставки ВРМ на территории компании следует установить агенты DLP-систем в эталонный образ ВРМ. Тем самым снижаются риски утечки информации – она копируется на внешние носители.