CERT България има информация за зачестили инциденти, свързани с решения за виртуална десктоп инфраструктура (VDI). Това представлява техника за виртуализация, позволяваща достъп до виртуални десктопи, които се хостват на централизиран сървър и ги предоставя на крайни потребители. Такива решения се предоставят от Microsoft Azure, Hysolate, Citrix VDI, V2 Cloud, SolarWinds Virtualization Manager и др.
Едно от големите предизвикателства при използването на VDI е нейната сигурност. Не е лесно да смекчите и управлявате заплахи, като същевременно поддържате функционалност и подобрявате производителността във VDI. Поддържането на параметрите сигурни и укрепването на сървърите е от първостепенно значение.
Припомняме Ви, че съгласно чл. 21, ал. 1 от ЗКС, административните органи осигуряват и отговарят за сигурността на използваните от тях мрежи и информационни системи, като основните задължения и изисквания към тях по отношение на мрежовата и информационна сигурност се съдържат и в Наредбата за минималните изисквания за мрежова и информационна сигурност, а съгласно чл. 3, ал.1, т.1 от същата наредба, административният орган, съответно ръководителя на субекта, носи пряка отговорност за информационната сигурност в обхвата на наредбата, дори и когато дейността е възложена за изпълнение на трети страни.
Добри практики при сигурността на при достъп до виртуална десктоп инфраструктура (VDI):
1. Използвайте канали за достъп с висока степен на защита като VPN.
Използването на услуги за отдалечен достъп като RDP, е допустимо само чрез VPN и одобрени от ръководството потребители, които ще ползват услугите, заедно с целите, за които ще бъдат ползвани. Такъв достъп не трябва да става свободно чрез Интернет, а само чрез сигурен и защитен канал на комуникация. Допустимо е използване и на безплатни VPN решения, напр. OpenVPN или Wireguard.
2. Използвайте многофакторна аутентификация при достъп до VDI.
Освен потребителско име и парола използвайте и напр.:
· SMS – получаване на допълнителен код за достъп чрез SMS;
· е-mail – получаване на допълнителен код за достъп чрез e-mail;
· Приложение за генериране на временни кодове;
· Физически ключ (token) – хардуерно устройство, което гарантира дигиталната самоличност;
· SSO (single sign-on) софтуер.
3. Всички операционни системи, бази данни, приложения, защитни стени, софтуер и прилежаща инфраструктура трябва да бъдат редовно обновявани с последните налични актуализаци от съответните производители. Не използвайте версии, които производителя вече не поддържа актуализации и са в период на EoL (End of Life).
4. Антивирусният софтуер и софтуера за защита трябва дa бъде актуализиран и с актуални дефиниции, за да гарантира високи нива на защита на съхраняваната информация.
5. Ограничете предоставяните услуги през VDI
Във VDI средата трябва да предоставят единствено и само софтуерни продукти, от които потребителите имат нужда за извършване на поставените им задачи.
- Забранете достъп до локални преносими/оптични устройства;
- Забранете прехвърляне на файлове между виртуалната и локална среда;
- Ограничете достъпа до нежелани уебсайтове през браузъра във VDI.
6. Използвайте инструменти за сигурност във VDI Data Center
Трябва да конфигурирате защитни стени, системи за защита/откриване на проникване (IPS/IDS) и работещ софтуер за защита на крайни точки на всяка виртуална машина. Съвременната защита на крайната точка съдържа антивирусна защита, „бели“ списъци на приложения и съдържание и поведенчески анализ за откриване на подозрително поведение на крайната точка.
При защита на крайна точка във виртуална среда, за предпочитане е да се използва софтуер без агенти, за да подобри производителността и да намали нуждата от ИТ поддръжка. Необходимо е инструментът за защита на крайната точка да поддържа всички слоеве на VDI, включително bare-metal hypervisor, работещ директно на сървър и операционните системи на виртуални машини.
CERT-BG препоръчва да се инсталират инструменти за наблюдение на виртуалната среда и да се активира предупреждение в реално време. Инструментът за наблюдение трябва да може да открива подозрителен достъп до ресурси, данни и мрежи.
7. Защитете устройствата за достъп до VDI с endpoint защита
Aко потребителите се свързват към VDI сървърите, използвайки защитени работни станции или лаптопи, винаги съществува риск да се компрометира крайната точка, което ще осигури достъп на атакуващия до чувствителни данни и ресурси.
На машините за достъп до VDI трябва да има инсталирани антивирусен софтуер, EDR софтуер (Endpoint Detection and Response) и Ad-blocker за инсталираните локално браузъри.
Ако е възможно не разрешавайте на потребителите да използват собствени устройства (BYOD) за достъп до VDI инфраструктура. Тяхната политика за сигурност не отговаря на корпоративната и са възможен вектор на атака.