امنیت با Virtual Desktop Infrastructure یا VDI چیست ؟ این سرویس شامل تکنولوژی‌ها و بهترین راهکارهایی است که برای ایمن‌سازی دسکتاپ‌های مجازی مورداستفاده قرار می‌گیرند. نحوه‌ی کار دسکتاپ‌های مجازی ارائه‌ی یک Image از دسکتاپ از یک سیستم‌عامل مثل ویندوز مایکروسافت، از طریق یک شبکه به یک دستگاه Endpoint مثل یک گوشی هوشمند، PC قدیمی و یا دستگاه Thin Client است. VDI  برای فراهم کردن و مدیریت این دسکتاپ‌های مجازی از ماشین‌های مجازی استفاده می‌کند. کاربران می‌توانند از هر جایی، هر زمانی، از هر دستگاهی به دسکتاپ‌های مجازی متصل شوند و همین امر VDI را تبدیل به یک راهکار ایده‌آل برای نیروی کاری از راه دور می‌کند.

اما با اینکه VDI تحرک‌پذیری و دسترسی از راه دور به برنامه‌های کاربردی حیاتی را بهبود می‌بخشد، نگرانی‌های امنیتی جدی را نیز افزایش می‌دهد. یک دستگاه ناامن، رمز عبور به سرقت رفته یا Session دسکتاپ کاربر که دچار نقض امنیتی شده باشد، به‌سادگی می‌تواند سازمانی را در معرض تهدیدات امنیتی زیر قرار دهد:

• باج‌افزار
• بدافزار
• تهدیدات داخلی
• Sniffing شبکه

کاربران می‌توانند از راه دور از یک لپ‌تاپ یا گوشی هوشمند به دسکتاپ‌های خود دسترسی داشته باشند، درحالی‌که داده‌های آن‌ها به‌طور ایمنی روی سرور قرار دارد و نه روی دستگاه Client نهایی. نرم‌افزار برنامه کاربردی نیز از سیستم‌عامل جداسازی می‌شود تا اگر یک برنامه کاربردی در یک VM دچار نقض امنیتی شود، فقط یک سیستم‌عامل روی آن سرور تحت تأثیر قرار گیرد. بااین‌حال، VDI با ریسک‌های امنیتی منحصربه‌فردی نیز مواجه است که نیاز به یک معماری امنیتی VDI قدرتمند دارند.

معماری امنیتی سرویس VDI چیست

معماری امنیتی سرویس VDI چیست ? برای به حداقل رساندن آسیب‌پذیری‌های امنیتی دسکتاپ که در محیط‌های مجازی متداول هستند، حیاتی است. اجزای کلیدی یک معماری امنیتی VDI عبارت‌اند از:

• پلتفرم مدیریت یکپارچه: امروز سرعت کسب‌و‌کار نیازمند این است که ادمین‌های IT در زمان نیاز منابعی مثل Storage مجازی، رایانش مجازی و شبکه‌ی مجازی را تخصیص دهند. ردیابی این دسکتاپ‌ها و برنامه‌های کاربردی Remote نیازمند یک پلتفرم مدیریت قدرتمند است. یک پلتفرم مجازی‌سازی واحد نه‌تنها آماده‌سازی دسکتاپ‌های مجازی را تسهیل می‌کند، بلکه حفاظت بهتری را از زیرساخت دیتاسنترها و بارهای کاری ارائه می‌دهد.
• مانیتورینگ تطبیق‌پذیری Real-Time: تطبیق داشتن با آیین‌نامه‌هایی مثل GDPR، HIPAA و PCI می‌تواند چالش‌برانگیز باشد. تکنولوژی مانیتورینگ تطبیق‌پذیری Real-Time می‌تواند با مانیتورینگ مداوم زیرساخت مجازی برای پیدا کردن ناهنجاری‌ها و تغییرات ناگهانی مفید واقع شود. هشدارهای خودکارسازی‌شده اطمینان حاصل می‌کنند که اقدامات اصلاحی سریع و پیشگیرانه‌ای برای حفظ یکپارچگی داده‌های و منابع دسکتاپ مجازی صورت گیرند.
• اسکن آسیب‌پذیری: نمی‌توان از ادمین‌های IT انتظار داشت که همیشه سیستم‌های خود را بررسی کنند. اسکن آسیب‌پذیری با خودکارسازی اقدامات اصلاحی زمانی که اتفاق مشکوکی می‌افتد، نیاز به دخالت دائمی انسان را حذف می‌کند. این اقدامات اصلاحی از مسدود کردن ترافیک شبکه تا قرنطینه کردن یک ماشین مجازی یا VM را در برمی‌گیرند.
• پیشگیری از دست رفتن داده: داده مانند خون در رگ‌های اکثر سازمان‌ها است. یکی از راه‌های حفاظت از آن، رمزگذاری فایل‌های ماشین مجازی، فایل‌های دیسک مجازی و فایل‌های Core Dump است. با رمزگذاری ماشین‌های مجازی، هم قدیمی و هم جدید، سازمان‌های می‌توانند حفاظت بهتری از داده‌های حساس فراهم نمایند و به استانداردهای تطبیق‌پذیری پاسخ دهند.

• بهترین راهکارهای امنیت VDI

  ایمن‌سازی یک محیط مجازی‌سازی‌شده نیازمند چیزی بیشتر از ابزار روز است. بهترین راهکارها می‌توانند تأثیر زیادی روی ایمن‌سازی سیستم‌های حیاتی و داده‌های محرمانه داشته باشند. این راهکارها عبارت‌اند از:

  • تنظیم کنترل‌ها برای غیرفعال کردن یک دستگاه در حالت Local اگر در یک بازه‌ی زمانی از پیش تعیین‌شده همزمان‌سازی نشده باشد. این امر باعث می‌شود که شرکت‌ها بتوانند جلوتر از هکرهایی حرکت کنند که دنبال راهکارهای جدیدی برای فریب پروتکل‌های امنیتی هستند.
  • پیشگیری از دسترسی غیرمجاز از طریق ایجاد کنترل‌های دسترسی سخت‌گیرانه‌ی مبتنی بر Policy برای دسکتاپ‌ها و برنامه‌های کاربردی روی دستگاه‌های شرکتی و متعلق به کارمندان.
  • حفاظت از داده با بهره‌گیری از قابلیت‌های رمزگذاری Built-In، رمزگذاری Data at Rest و پشتیبانی فایروال توزیع‌شده.
  • سرمایه‌گذاری در آموزش کارمندان برای به حداقل رساندن افشای داده از دستگاه‌های گم شده یا به سرقت رفته.
  • اطمینان حاصل کردن از حفاظت Endpoint با اعمال آخرین Patchهای امنیتی به سیستم‌عامل‌ها، به‌روزرسانی مداوم نرم‌افزارهای ضدبدافزار و بهره‌گیری از قابلیت‌های امنیت سخت‌افزاری Built-In یک دستگاه Endpoint.

  • ریسک‌های امنیتی سرویس VDI چیست

    با اینکه VDI به قابلیت‌های امنیتی ذاتی خود معرف است، می‌تواند ریسک‌های امنیتی منحصربه‌فردی نیز داشته باشد. در ادامه آسیب‌پذیری‌هایی کلیدی مطرح می‌شود:

    Hypervisor: عاملانی که قصد سوء داشته باشند می‌توانند با استفاده از بدافزار، به لایه زیرین یک سیستم‌عامل بروند و کنترل Hypervisor را بر عهده بگیرند. این حمله که Hyperjacking نام دارد و شناسایی آن دشوار است به یک هکر دسترسی به هر چیزی که به سرور متصل است را می‌دهد، از سطح دسترسی گرفته تا منابع Storage.

    شبکه: با اینکه تمام شبکه‌ها نسبت به حمله آسیب‌پذیر هستند، محیط‌های شبکه مجازی به دلیل استفاده‌ی مشترک از منابع فیزیکی، به‌طور خاص در معرض ریسک قرار دارند. مثلاً اگر یک شبکه قربانی یک نقض امنیتی شود، بلافاصله تمام روترها و لینک‌ها از شبکه‌های مجازی دیگر در معرض ریسک قرار می‌گیرند.

  • کارمند: کارمندان که معمولاً به‌ آن‌ها به چشم یک تهدید فوری نگاه نمی‌شود می‌توانند عمداً یا سهواً وارد یک اتاق سرور شوند و مستقیماً سروری را دچار نقض امنیتی کنند.

    VMهای Patchنشده: Patch کردن، حفظ و نگهداری و ایمن‌سازی ماشین‌های مجازی زمان می‌برد، زیرا هرکدام سیستم‌عامل و پیکربندی منحصربه‌فرد خود را دارند. بدون خودکارسازی این فرایند، ادمین‌های IT دچار این ریسک می‌شوند که در مدیریت Patch در سطح سازمانی عقب بیفتند و آسیب‌پذیری نسبت به نقض‌های امنیتی آن‌ها افزایش پیدا کند.

  • مزایا امنیتی سرویس VDI

    با اینکه بسیاری از راهکارهای امنیتی نیازمند سرمایه‌گذاری بیشتر روی افزونه‌های امنیتی هستند، سرویس VDI می‌تواند به‌خودی‌خود وضعیت امنیتی یک سازمان را بهبود بخشد. به‌عنوان‌مثال می‌توان به موارد زیر اشاره کرد:

    Disaster Recovery: ازآنجایی‌که دسکتاپ‌های مجازی را می‌توان در هر دیتاسنتر سازمانی Host کرد، اگر Host کنونی یک ماشین مجازی دچار یک خرابی سخت‌افزاری شد، تیم‌های IT می‌توانند به‌سرعت آن را به یک Host سالم ببرند.

    امنیت داده: ازآنجایی‌که مجازی‌سازی داده را به‌جای دستگاه‌های Endpoint، به‌صورت On-Premises یا روی Cloud متمرکز می‌کند، احتمال اینکه کارمندان قربانی سرقت داده شوند، کمتر است.

    کنترل IT: تیم‌های IT می‌توانند با توجه به متغیرهای مختلفی مثل نقش، دستگاه و حتی آدرس IP، به‌صورت خودکار ویژگی‌هایی کلیدی، مثل دسترسی USB، قابلیت‌های پرینت و Cut-and-Paste را فعال یا غیرفعال کنند تا کنترل دسترسی مبتنی بر پالیسی باثبات بدست آید.