معرفی نکات مربوط به حفظ امنیت در مجازی سازی دسکتاپ و سرور

 

شیوع کووید ۱۹ بیشتر سازمان‌ها را مجبور کرده تا بخش عمده‌ای از فعالیت‌های تجاری خود را آنلاین کرده و به کارمندان اجازه دهند از راه دور کار کنند. به همین دلیل، مشاغل مجبور شدند زیرساخت‌های گسترش‌پذیری را برای دسترسی از راه دور به برنامه‌های کاربردی و داده‌های سازمانی آماده کنند. ایمن‌سازی دسکتاپ‌ها و سرورهای مجازی موضوع مهمی است که نباید بی‌تفاوت از کنار آن گذشت. نکته مهمی که در خصوص ایمن‌سازی شبکه‌ها، دسکتاپ‌ها و سرورهای مجازی باید به آن دقت کنید نوع معماری است که شبکه ارتباطی بر مبنای آن پیاده‌سازی خواهد شد. به‌طور مثال، NSX با ارائه طیف گسترده‌ای از قابلیت‌های مدیریتی، نظارتی و امنیتی به سازمان‌ها در پیشبرد این امور کمک می‌کند.

 

آینده‌ای مبتنی بر دورکاری

شواهد نشان می‌دهند برخی تغییرات در حوزه مشاغل ماندگار خواهند بود که دورکاری کارمندان یکی از آن‌ها است. هکرها و مجرمان سایبری نیز از این موضوع به خوبی آگاه هستند و سعی می‌کنند با هدف قرار دادن نقاط ضعف مرتبط با کارمندان متصل به منابع سازمانی از محیط خانه به شبکه‌های ارتباطی سازمان‌ها نفوذ کنند. این موارد شامل مهندسی اجتماعی، کمپین‌های فیشینگ، DDoS و بهره‌برداری از آسیب‌پذیری‌های مستتر در روترهای خانگی است. پرداختن به هر یک از این موضوعات به مقاله جداگانه‌ای نیاز دارد. در این مقاله با چگونگی ایمن‌سازی سرورها و دسکتاپ‌های مجازی آشنا می‌شوید.

مجازی سازی شبکه راهکاری برای حفاظت از محیط‌های VDI

شرکت‌هایی مثل Vmware با ارائه راه‌حل‌های نوین مجازی سازی شبکه به شرکت‌ها کمک می‌کنند بهترین مکانیزم‌های تبادل اطلاعات میان کارمندان دور کار و مراکز داده سازمانی را پدید آورند. فناوری زیرساخت دسکتاپ مجازی (VDI) به سازمان‌ها کمک می‌کند تا بهره‌وری کارمندان دورکار را بیشتر و استمرار کارها را تداوم داده و خطر افشا یا نشت داده‌های سازمانی را کاهش دهند.

نکات مربوط به حفظ امنیت دسکتاپ‌های مجازی

در این قسمت می‌خواهیم درباره نکات مربوط به تامین امنیت دسکتاپ های مجازی بپردازیم:

۱- محافظت از منابع نگه‌دارنده دسکتاپ‌های مجازی

هدف اولیه یک حمله هیچ‌گاه هدف واقعی یک هکر نیست. هنگامی که هکری دسترسی به شبکه‌ای پیدا کند از طریق برخی کارهای جانبی سعی می‌کند سطح دسترسی را افزایش داده تا در نهایت به منابع سیستمی یا حساب‌های مدیریتی دست پیدا کند. کاری که زیرساخت دسکتاپ مجازی انجام می‌دهد تجمیع دسکتاپ‌های کاربران در مرکز داده و در مکانی است که سرورها میزبان برنامه‌های مهم و داده‌ها حساس هستند. همان‌گونه که می‌دانید، نیروی انسانی نقطه ضعف زنجیره تامین امنیت هستند و هنگامی که عامل انسانی از طریق مجازی سازی دسکتاپ به مرکز داده وارد شود به یک بردار تهدید جدیدی تبدیل می‌شود که به مهاجمان اجازه می‌دهد با شناسایی آسیب‌پذیری‌ها به داده‌های حساس درون سرورها دست پیدا کنند. به همین دلیل مهم است مخازنVDI  و مزارع RDSH از سایر بخش‌های مهم مرکز داده تفکیک شده و سازمان‌دهی شوند، بدون آن‌که نیاز به بازتعریف معماری شبکه ضرورتی داشته باشد. این دقیقا همان قابلیتی است که ویژگی NSX Service-Defined Firewall ارائه می‌کند.

کارشناسان شبکه می‌توانند با تعریف گروه‌هایی که مبحث امنیت در آن‌ها در وضعیت پویا قرار دارد، بر مبنای سنجه‌هایی مانند نام ماشین مجازی، سگمنت شبکه یا برچسب امنیتی به گروه‌بندی دسکتاپ‌ها و اعمال خط‌مشی‌های مختص هر گروه بپردازند تا دسکتاپ‌ها از سایر بخش‌های مرکز داده تفکیک شوند. انعطاف‌پذیری این معماری به اندازه‌ای زیاد است که اگر در نظر داشته باشید تعداد دسکتاپ‌های از راه دور را به دلیل تعدد کارمندان دورکار افزایش دهید، این دسکتاپ‌های جدید به گروه‌های موجود اضافه می‌شوند و به محض بالا آمدن دسکتاپ، بدون نیاز به ایجاد هرگونه خط‌مشی‌ جدید امکان تقسیم‌بندی بر مبنای خط‌مشی فعلی وجود دارد، بدون آن‌که به معماری جدید شبکه یا اضافه کردن تجهیزات فیزیکی جدید مثل دیوارآتش نیازی باشد.

رویکرد فوق در نقطه مقابل مدل سنتی قرار دارد که در آن ترافیک به/از مخازن دسک‌تاپ از طریق یک دیوارآتش فیزیکی عبور می‌کند که دارای خط‌مشی مبتنی بر آدرس آی‌پی و زیر شبکه است، محدودیت زیادی در گسترش‌پذیری دارد و هنگامی که تعداد دسکتاپ‌ها افزایش پیدا می‌کنند باید آدرس‌های آی‌پی در مخازن VDI را به شکل دستی تنظیم کرد. رویکرد فوق زمان‌بر و مستعد بروز خطا است، عملکرد فرآیندهای کاری را آهسته می‌کند و خطر‌پذیری زیرساخت‌ها را بیشتر می‌کند. شکل زیر معماری مبتنی بر گروه‌بندی پویای دسکتاپ‌ها را نشان می‌دهد.

 

۲- کنترل دسترسی کاربر-محور را فعال کنید.

بیشتر سازمان‌ها از رویکرد مخازن دسکتاپی متمایز برای تفکیک پیمانکاران و کارمندان استفاده می‌کنند. فناوری‌هایی نظیر NSX اجازه می‌دهند خط‌مشی‌های دسترسی متفاوتی را برای هر یک از این گروه‌ها مشخص کنید، به طوری که تنها کاربرانی که از گروه مربوط به کارمندان به شبکه وارد شده‌اند به برنامه‌های داخلی دسترسی داشته باشند. در این حالت به یک برنامه راهبردی دقیق نیاز دارید. به‌طور مثال، تنها کارمندان مخزن حسابداری بتوانند به سوابق مالی کارمندان دسترسی داشته باشند، اما کارمندان واحد بازاریابی به آن دسترسی نداشته باشند.

۳- استقرار دیوارهای آتش نرم‌افزاری

چگونگی تعریف، به‌کارگیری و پیاده‌سازی دیوارهای آتش به نوع معماری شبکه‌ای که پیاده‌سازی کرده‌اید بستگی دارد. به‌طور مثال ویژگی NSX Service-Defined Firewall دسترسی به دیوارآتش کاربر-محور یا هویت‌محور (IDFW) را امکان‌پذیر می‌کند. با استفاده از IDFW، سازمان‌ها می‌توانند خط‌مشی‌های دیوارآتش را بر اساس گروه‌های فعال کاربری ایجاد کنند تا هر کاربر به مجموعه برنامه‌های مشخصی دسترسی داشته باشد.

در این شیوه، دیوارآتش به جای آن‌که بر مبنای الگوی آدرس آی‌پی کار کند از الگوی نظارت بر استریم‌های جریانی استفاده می‌کند، رویکرد فوق باعث می‌شود تا دیوارآتش را بتوان در ارتباط با کاربرانی که از دسکتا‌پ VDI خاص خود به برنامه‌ها دسترسی پیدا می‌کنند و کاربرانی که دسترسی آن‌ها به دسکتاپ یا برنامه‌ها از طریق میزبان RDS انجام می‌شود به کار گرفت. با استفاده از NSX-T، قواعد مبتنی بر IDFW می‌توانند از پروفایل‌های زمینه‌ای لایه ۷ و یا FQDN برای کنترل دقیق‌تر کاربر استفاده کرد.

امنیت مجازی‌شده می‌تواند عملکرد تجهیزات سخت‌افزاری امنیتی سنتی (مانند دیوارهای‌آتش و ضدویروس‌ها) را شبیه‌سازی کرده و در قالب راه‌حل‌های نرم‌افزار در اختیار سازمان‌ها قرار دهد. علاوه بر این، امنیت مجازی‌شده می‌تواند قابلیت‌های امنیتی اضافی بیشتری ارائه کند که تنها به دلیل مجازی سازی عملکردها در دسترس قرار دارند و برای رفع نیازهای امنیتی خاص یک محیط مجازی طراحی شده‌اند. به‌طور مثال، یک شرکت می‌تواند کنترل‌های امنیتی (مانند رمزگذاری) را بین لایه کاربرد و زیرساخت‌ها قرار دهد یا از استراتژی‌هایی مانند تقسیم‌بندی-خرد (micro segmentation) برای کاهش سطح حمله‌های رایج استفاده کند.

امنیت مجازی‌شده را می‌توان در قالب یک برنامه کاربردی به شکل مستقیم روی یک هایپروایزر نوع اول که به‌نام فلز-لخت می‌‌گویند (یک گذرگاه اصلی که اجازه می‌دهد به شکل دقیقی عملکرد برنامه‌های کاربردی را زیر نظر گرفت) استفاده کرد یا به عنوان یک سرویس میزبانی شده روی یک ماشین مجازی مستقر کرد. رویکرد فوق مزیت بسیار بزرگی دارد که زمان استقرار را کاهش داده و بیشترین عملکرد را ارائه می‌کند در حالی که مکانیزم‌های امنیت فیزیکی به یک دستگاه خاص نیاز دارند و فرآیند مدیریت و استقرار آن‌ها زمان‌بر است.

سازمان‌ها می‌توانند برای ایمن‌سازی سرورهای مجازی از مکانیزم‌های امنیتی شبکه، برنامه‌های کاربردی و ابر استفاده کنند. برخی از فناوری‌های امنیتی مجازی نسخه‌های به‌روز شده و مجازی شده نمونه‌های سنتی (مانند دیوارهای آتش نسل بعدی) هستند، در حالی که برخی دیگر فناوری‌های خلاقانه‌ای هستند که در ساختار شبکه مجازی سازی تعبیه شده‌اند. از ۱۰ مورد از مهم‌ترین نکات امنیتی که برای ایمن‌سازی سرورهای مجازی باید به آن‌ها دقت کنید به موارد زیر باید اشاره کرد:

۱- تقسیم‌بندی

تقسیم‌بندی به معنای طبقه‌بندی منابع خاص است، به‌طوری که تنها برنامه‌ها و کاربران خاص به آن دسترسی داشته باشند. رویکرد فوق به شکل کنترل ترافیک بخش‌های مختلف شبکه یا لایه‌ها انجام می‌شود.

۲- تقسیم‌بندی-خرد

به خط‌مشی‌های امنیتی خاص در سطح بارهای‌کاری اشاره دارد که مناطق ایمن محدوده‌ای را تعریف می‌کند تا هر زمان هکری موفق شد به شبکه سازمانی نفوذ کند قدرت مانور محدودی داشته باشد و نتواند به سطوح بالاتر دسترسی پیدا کند. در رویکرد فوق یک مرکز داده به لحاظ منطقی به بخش‌های مختلف تقسیم می‌شود تا تیم‌های فناوری اطلاعات بتوانند کنترل‌های امنیتی را برای هر بخش به صورت جداگانه تعریف کنند.

۳- تفکیک کردن

به معنای جداسازی بارهای کاری و برنامه‌های مستقل در یک شبکه است. رویکرد فوق به ویژه در محیط‌های مبتنی بر ابر عمومی مهم است و می‌تواند برای جداسازی شبکه‌های مجازی از زیرساخت‌های فیزیکی زیربنایی استفاده شود تا زیرساخت‌ها در برابر حمله مصون باشند.

۴- نصب به‌روزرسانی‌ها

سرورها باید جدید‌ترین به‌روزرسانی‌های منتشر شده را دریافت کنند تا شانس هکرها برای بهره‌برداری از آسیب‌پذیری‌های شناخته شده به حداقل برسد. مهم نیست سرور از سیستم‌عامل ویندوز یا لینوکس استفاده کند، در هر دو حالت باید فرآیند به‌روزرسانی را انجام دهید، به ویژه اگر تولیدکنندگان هیچ گزارشی در ارتباط با بروز مشکل پس از نصب به‌روزرسانی منتشر نکرده‌اند. به‌روزرسانی سیستم‌عامل شامل وصله‌هایی برای برطرف کردن نقص‌های امنیتی است که ممکن است از وجود آن‌ها بی اطلاع باشید. اگر این‌کار را انجام ندهید یک سرور مجازی آسیب‌پذیر خواهید داشت که در صورت بروز حمله، ارائه‌دهنده سیستم‌عامل یا خدمات هیچ مسئولیتی در قبال شما نخواهد داشت. نصب ساده به‌روزرسانی‌های جدید کافی نیست، علاوه بر این باید اطمینان حاصل کنید که همه وصله‌های امنیتی پیشنهاد شده توسط تولیدکننده سیستم‌عامل را نصب کرده‌اید. اگر تنها وصله‌های مربوط به قابلیت‌های کارکردی سیستم‌عامل را به‌روز کنید، اما وصله‌های امنیتی را نصب نکنید در امنیت کامل قرار نخواهید داشت.

۵- نصب ضد بدافزاری قدرتمند

ارائه‌دهندگان خدمات IaaS به عنوان بخشی از توافق‌نامه سطح خدمات (SLA) یک راه‌حل جامع برای حفاظت از نقاط پایانی متصل به سرور میزبان ارائه می‌دهند، اما کافی نیست، زیرا مهم است که از ماشین‌های مجازی که روی سرور میزبان اجرا می‌شوند در برابر حمله‌های هکری محافظت کنید.

بدافزارهایی وجود دارد که به‌طور خاص برای هدف قرار دادن ماشین‌های مجازی طراحی شده‌اند تا ماشین‌های میزبان قادر به شناسایی آن‌ها نباشند. بنابراین باید از یک راه‌حل ضد بدافزاری اکتیو که قادر به شناسایی این حمله‌ها باشد استفاده کنید. اگر خط‌مشی محافظتی شما به این‌گونه باشد که منتظر بمانید تا بدافزاری ماشین مجازی را آلوده کند و  در ادامه به سراغ شناسایی آن بروید، صدمات جبران‌ناپذیری دریافت می‌کنید. این موضوع به ویژه در مورد حملاتی که به هکرها اجازه می‌دهد از طریق سرور مجازی به شبکه نفوذ کنند، صادق است، زیرا به هکرها اجازه می‌دهد به هر ماشین مجازی از طریق سرور میزبان دسترسی پیدا کنند.

۶- از دیوارهای آتش برای محافظت از سرورهای مجازی استفاده کنید.

متاسفانه برخی کارشناسان شبکه تصور می‌کنند هنگامی که از یک سرور مجازی استفاده می‌کنند، دیگر هیچ‌گونه ارتباطی با شبکه درون سازمانی برقرار نمی‌شود، در حالی که این‌گونه نیست. بدون تردید، سرور میزبان به یک دیوارآتش مجهز شده که تبادل بسته‌ها با ماشین فیزیکی را کنترل می‌کند، اما هنوز هم مهم است که نظارت دقیقی بر عملکرد سرور مجازی اعمال کنید. دیوارآتش‌های برای متعادل‌سازی بار و اطمینان از این موضوع که ترافیک میان دو ماشین مجازی ایمن است و تضمین این نکته که ترافیک از ماشین مجازی به خارج از شبکه سازمانی بدون رعایت خط‌مشی‌های امنیتی امکان‌پذیر نیست استفاده می‌شوند. علاوه بر این، دیوارآتش با ارائه گزارش کاری می‌تواند به شما کمک کند اطلاعاتی درباره نقص‌های داده‌ای در سرورهای مجازی به دست آورید. دیوارآتش ترافیک میان ماشین‌های مجازی، میان سرور میزبان و سرور مجازی و سرور مجازی و اینترنت را ثبت و نظارت می‌کند. اگر با وجود تمام تمهیدات، حمله‌ای اتفاق افتد، این نظارت کمک می‌کند علت بروز مشکل را به سرعت شناسایی کنید و در کوتاه‌ترین زمان برنامه پس از فاجعه را پیاده‌سازی کنید.

۷- دسترسی‌ها و برنامه‌های کاربردی غیر ضروری را محدود کنید.

سرور مجازی شبیه به سایر ابزارهای دیجیتال دارای رمزعبور است و شما می‌توانید دسترسی به سرور مجازی را با دیگران به اشتراک بگذارید. همان‌گونه که با ایمیل شخصی خود این‌کار را می‌کنید، مهم است که رمز ورود به سرور مجازی دائما تغییر دهید و دسترسی به دستگاه را محدود کنید. برای پیاده‌سازی مکانیزم‌های امنیتی مضاعف، رمزعبور پیش‌فرض را تغییر دهید، حساب کارمندان اخراج شده را حذف کرده و پروفایل افرادی که می‌توانند به سرور مجازی دسترسی پیدا کنند را بر مبنای سطح دسترسی آن‌ها در فهرست یا گروه‌هایی که ایجاد کرده‌اید قرار دهید.

۸- سرعت و پهنای باند را مانیتور کنید.

اگر ناگهان متوجه افزایش ترافیک شدید یا سرعت دسترسی به سرور یا ماشین‌های مجازی کاهش محسوسی داشت، نشان دهنده یک مشکل جدی است. یک چنین مواردی بیان‌گر وقوع یک حمله انکار سرویس (DOS) هستند. یک حمله انکار سرویس برای شرکتی که خدمات تمام وقت به مشتریان ارائه می‌کند فاجعه‌بار است، زیرا حملات DOS و انکار سرویس توزیع شده (DDoS) دسترسی به خدمات را غیرفعال می‌کنند و مانع از آن می‌شوند تا ماشین‌های مجازی یا شبکه به شکل درستی کار کنند. تشخیص زودهنگام یکی از کارآمدترین راه‌حل‌ها برای متوقف کردن هرچه سریع‌تر حملات DOS و DDoS قبل از بزرگ‌تر شدن آن‌ها است. اگر نظارت دقیقی بر ورای محیط مجازی اعمال کنید این شانس را دارید تا بردارهای مختلف حمله را شناسایی کنید، قبل از آن‌که زیرساخت‌ها آسیب جدی ببینند.

۹- پشتیبان‌گیری از داده‌ها و اسنپ‌شات‌های سرور را فراموش نکنید.

اگر شخصی بتواند بدون محدودیت به سروری دسترسی پیدا کند، دیگر فرصتی نیست که مانع انجام عملیات خرابکارانه توسط این فرد شوید. با این‌حال، می‌توانید خسارت را به حداقل برسانید. بهترین راه‌حل در این زمینه پشتیبان‌گیری منظم از داده‌ها و تهیه اسنپ‌شات‌های فوری از سرور است که این امکان را می‌دهد تا سیستم را به شرایط قبل از وقوع حمله، تنظیم کنید.

۱۰- آنتی ویروس مناسب VDI

شرکت‌های ارائه‌دهنده خدمات امنیتی سنتی در زمینه راه‌حل‌های امنیتی مجازی نیز محصولات قدرتمندی ارائه کرده‌اند. با این‌حال، برخی از آن‌ها عملکرد بهتری در مقایسه با نمونه‌های دیگر دارند. Trend Micro Depp Security، McAfee Move، Symantec Data Center Securtiy، ESET Internet Security، Avast، Avira، BullGuard، Bitdefender GravityZone و Vipre Antivirus از ضدویروس‌های خوبی هستند که طیف گسترد‌ه‌ای از قابلیت‌های امنیتی را ارائه می‌کنند. البته اگر از ‌راه‌حل‌های مجازی‌سازی شرکت Vmware استفاده می‌کنید، vShield مجموعه کاملی از قابلیت‌های امنیتی و نظارت بر شبکه را ارائه می‌کند.

Thin Application چیست؟

Thin Application برنامه‌ای است که روی یک مولفه سخت‌افزاری یا سرور خارج از سازمان قرار می‌گیرد تا قابلیت‌های بیشتری در ارتباط با تعمیر و نگه‌داری در اختیار مدیران شبکه قرار دهد. ایده thin app بر مبنای سخت‌افزارهای تین کلاینت ایجاد شده که مبتنی بر معماری کلاینت/سرور در محیط‌های ابرمحور یا سرورمحور استفاده می‌شوند.

درست است که thin apps همزمان با روند توسعه سرورها در دنیای فناوری اطلاعات در دسترس بودند، با این‌حال این برنامه‌ها عمدتا در ارتباط با سامانه‌های مجازی و ابری استفاده می‌شوند. thin app در حوزه مجازی‌سازی و محیط‌های ابرمحور به سرپرستان شبکه اجازه می‌دهد سامانه‌هایی را پیاده‌سازی کنند که داده‌ها و منابع پر کاربرد در آن‌ها ذخیره‌سازی شده و از طریق وب در اختیار مشتریان یا کاربران قرار بگیرد. بر مبنای این رویکرد، منطقی است که بسیاری از قابلیت‌های کاربردی در سمت سرور به جای سمت کلاینت ذخیره‌سازی کنیم.

در حالت کلی بیشتر سرویس‌های ابری از یک برنامه thin app استفاده می‌کنند، به‌طوری که کاربر نهایی بتواند با سهولت با فناوری‌های زیرساختی مثل بانک‌های اطلاعاتی تعامل داشته باشد. ThinApp با جداسازی برنامه‌ها از سیستم‌عامل‌ها، فرآیند تحویل، استقرار، مدیریت و انتقال برنامه‌ها را ساده کرده و مشکل ناسازگاری برنامه‌ها را برطرف می‌کند. Thin App به سرپرستان شبکه اجازه می‌دهد برنامه‌های کاربردی و داده‌های پیکربندی کاربران را به شکل ایمن و مبتنی بر رویکرد جعبه شن در سرور یکسانی ذخیره‌سازی کرد.

دومین مزیت بزرگ تین اپ‌ها در برطرف کردن مشکل ناسازگاری برنامه‌ها با یکدیگر است، به‌طوری که اجازه می‌دهد برنامه‌ها در نقاط پایانی نصب شوند. علاوه بر این Thin App به میزان قابل توجهی امنیت زیرساخت‌های مجازی را بهبود می‌بخشند.