اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

پنج عامل موثر در انتخاب آنتی ویروس دسکتاپ مجازی

پنج عامل موثر در انتخاب آنتی ویروس دسکتاپ مجازی

در سال‌های اخیر پیاده‌سازی‌ساختار دسکتاپ مجازی یا Virtual Desktop Infrastructure یا به عبارتی دیگر VDI، بیش از هر زمان دیگر متداول شده‌اند. البته آن گونه که برخی از افراد پیش‌بینی می‌کردند، VDI نتوانسته است به طور کامل جایگزین بازار دسکتاپ شود اما به سبب مزیای عملیاتی محیط‌های VDI، روزبه‌روز سازمان‌های بیشتری از آن بهره می‌گیرند. بنا به گفته‌ی کمپانی گارتنر، سازمان‌های بزرگی به میزان زیاد از VDI بهره می‌برند و تنها 15 درصد از سازمان‌ها هستند که قصد سرمایه‌گذاری روی تکنولوژی‌ VDI را ندارند.

استفاده از دسکتاپ مجازی در دنیا

پنج عامل موثر در انتخاب آنتی ویروس دسکتاپ مجازی

این نتایج از یک پژوهش که توسط گارتنر در ماه ژوئن تا جولای سال 2016 انجام شد، برگرفته شده‌اند و به سازمان‌هایی با بیش از 50 کارمند IT محدود است. در بین انواع سازمان‌های بزرگ چندین مورد در استفاده از VDI، از بقیه قابل‌توجه‌تر می‌باشند. صنعت پزشکی و سلامت، به دلیل ماهیت کارهای کلینیکی که ایستا نیستند و همچنین نیاز به ثبت سوابق پزشکی به صورت الکتریکی دارند، یکی از این موارد می‌باشد. مثالی دیگر، بخش خدمات مالی است است که سابقه‌ی زیادی در استفاده‌ی از VDI دارد.

بخش آموزش و بخش دولتی نیز تقاضای بالایی را از خود نشان داده‌اند. مدارس علاقه‌مند هستند برای آزمایشگاه‌های دانش‌آموزان از VDI استفاده کنند، اما مانع اصلی برای بهره بردن بیشتر از VDI برای بخش آموزش، هزینه‌های اولیه آن می باشد.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

نیاز به امن‌سازی VDI

ریسک‌های متداولی که روی داده تاثیرگذار هستند، در محیط‌های VDI نیز وجود دارند، ریسک‌هایی مثل باج‌افزارها، مهندسی اجتماعی، دانلودهای ناخواسته، Sniffing شبکه، سوءاستفاده ازآسیب‌پذیری، تهدیدات داخلی، ارتقای سطح دسترسی و بدافزار. برخی از افراد مدعی هستند که VDI گزینه‌ی ایمن‌تری است و دلیل اصلی‌اش هم این است که می‌توان پس از اتمام کار، Instance‌های VDI را حذف نمود، اما وضعیت امنیتی کلی را ضعیف‌ترین لینک تعیین می‌کند؛ به عبارتی در صورت عدم پیاده سازی صحیح و رعایت نکات ایمنی VDI، ممکن است به دلایل زیر آسیب پذیر باشد.

  1. چرخه‌های Patching نیازمند بروزرسانی Image اصلی هستند که در موراد زیادی این کار به سرعت انجام نمی‌شود.
  2. پیاده‌سازی‌های VDI معمولا سعی می‌کنند تا حد امکان از منابع اندکی استفاده کنند، تا مدیران بتوانند تلاش کنند که مقدار نرم‌افزار‌های پیاده‌سازی‌شده را کاهش دهند، اما در مواردی هزینه‌ی این کار به کاهش حفاظت می‌انجامد.
  3. عامل انسانی: کاربران در هنگام کار با VDI معمولا توجه کمتری به پیامد‌های امنیتی دارند، زیرا معمولا صاحب سیستم نیستند و برای Sessionهای موقتی از آن استفاده می‌نمایند.

 رویکردهای VDI

در دنیای زیرساخت دسکتاپ مجازی، دو رویکرد کلی وجود دارد: ماندگار و غیرماندگار.

VDI ماندگار یا Persistent VDI

VDI ماندگار به معنی یک Session مجازی است، اما کاربران دارای دسکتاپی هستند که در آن می‌توانند به صورت دلخواه فایل‌ها را ذخیره کنند، پیکربندی‌ها را تغییر دهند و به اصطلاح دسکتاپ خود را سفارشی‌ کنند. در پس‌زمینه، هر دسکتاپ از یک Image دیسک مجزا اجرا می‌گردد. این نوع دسکتاپ‌ها شخصی‌سازی را ممکن می‌نمایند، اما در مقایسه با دسکتاپ‌های غیرماندگار، نیازمند Storage و پشتیبان‌گیری بیشتری هستند. کاربرانی که هر روز در دستکاپ لاگین می‌نمایند، این رویکرد را ترجیح می‌دهند، اما این رویکرد برخی از مزایای VDI، مثل صرفه‌جویی در هزینه‌های Storage، راحتی Patching و قابلیت دید منابع را کاهش می‌دهد.

VDI غیرماندگار یا Non-Persistent VDI

بسیاری از طرفداران VDI مدعی هستند که دسکتاپ‌های غیرماندگار شیوه‌ی موردنیاز برای آینده هستند زیرا مدیریت‌شان از VDI ماندگار آسان‌تر است. در VDI غیرماندگار، یک Image دیسک واحد در بین بسیاری از کاربران به اشتراک گذاشته می‌شود. وقتی هر کاربری لاگین می‌کند، یک نسخه کپی از دسکتاپ اشتراکی اصلی (Master) دریافت می‌نماید و سپس آن را بر حسب با مجازی‌سازی برنامه‌ی کاربردی  (Microsoft App-V و VMware ThinApp و غیره) یا با مجازی‌سازی محیط کاربر (AppSense و RES و غیره) سفارشی‌سازی می‌کند.

این رویکرد مزایای بسیاری دارد، برای مثال اطمینان حاصل کردن از موفقیت صددرصدی فرآیند Patch کردن؛ اما عدم ماندگاری ممکن است روی کاربران تاثیر منفی بگذارد، زیرا نخواهند توانست فایل‌ها را به‌صورت Local ذخیره کرده و یا کارهای دیگری مثل تغییر پس‌زمینه‌ی دسکتاپ و یا نصب برنامه‌های کاربردی جدید را انجام دهند، هر چند این کار را نیز با ویژگی هایی مثل App Volume می توان در اختیار کابران قرار داد.

Desktop-as-a-Service

شیوه‌ای دیگر که محبوبیتش رو به افزایش است، DaaS یا همان Desktop-as-a-Service می‌باشد و در این روش Sessionها در Cloud قرار می‌گیرند. سپس Backend زیرساخت دسکتاپ مجازی توسط یک Third-Party، میزبانی می‌گردد. امروز می‌توان افزایش علاقه‌ی Vendorهای عظیم مثل Microsoft Azure و Amazon WorkSpace به ارائه‌ی DaaS را مشاهده نمود. رویکردهای قدیمی On-Premise VDI شامل Citrix با محصولات XenDesktop/XenApp و VMware با محصولات HorizonView می‌باشد.

پنج عامل موثر در انتخاب آنتی ویروس مناسب برای دسکتاپ مجازی

برای پاسخ به نیازها‌ی امنیتی، مدیریت‌پذیری و عملکرد، نرم‌افزار امنیتی باید پیش از پیاده‌سازی VDI معیارهای زیر را رعایت نماید. فارق از نوع پیاده‌سازی انتخابی، موراد زیر باید تحت پوشش قرار گیرند:

1. عدم اتکای صرف به بروزرسانی‌ها

همانطور که اشاره شد، برخی از سناریوهای VDI، مثل سناریوی غیرماندگار، هر Session مجزا را حذف می‌کنند و همیشه از Image پایه شروع به کار می‌نمایند. محصولاتی که به بروزرسانی‌ها اتکا می‌نمایند هربار که کاربری لاگین نماید، طوفانی از آپدیت‌ها به پا می‌کنند، زیرا بروزرسانی‌هایشان اجباری است. محصولاتی که برای نیازهای امنیتی به بروزرسانی‌ها تکیه می‌کنند باید پاسخگوی چالش‌های شروع دوباره‌ی Sessionهای جدید و سپس بروزرسانی آن‌ها باشند. وقتی Sessionی قطع شود، این چرخه تکرار خواهد شد و پهنای باند و منابع را مصرف کرده و روی کارآمدی تاثیر خواهد گذاشت. به همین دلایل، پیاده‌سازی محصولات امنیتی در محیط‌های VDI، از گذشته کار پردردسری بوده است.

2. نیاز به سادگی در مدیریت

سادگی مدیریت نیز عاملی حیاتی است. در محیط‌های VDI، نمی‌توان از اجرای قواعد معمول نام‌گذاری دستگاه اطمینان حاصل نموده یا استانداردی برای این کار تعیین کرد. اکثر Vendorهای VDI اجازه‌ی تنظیم قواعد نام‌گذاری را می‌دهند، اما معمولا نام‌ها با Sessionهای جدید تکرار می‌شوند. در نتیجه، محصولات آنتی ویروس که برای شناسایی پارامترهای کنسول و کاربردها از نام‌های دستگاه استفاده می‌کنند، با تضادهایی روبه‌رو می‌شوند که هم موجب مشکلات عملیاتی غیرضروری می‌گردد و هم روی تجربه‌ی کاربر نهایی تاثیر می‌گذارد. یکی دیگر از معیارهای مهم، قابلیت‌های De-Commission خودکارسازی‌شده می‌باشد. یک محصول آنتی ویروس که بدون کنار گذاشتن Sessionهای بسته شده، VDI را مدیریت می‌نماید به ایجاد چندین دستگاه شبح (Phantom Devices) منجر می‌گردد و این باعث ارائه‌ی یک نمای عملیاتی تحریف‌شده و ناتوانی در مدیریت منابع به طور کارآمد و به میزان کافی می‌شود.

3. اسکن Imageهای پایه

در هنگام پیاده‌سازی یک سیستم VDI، وارد کردن بدافزار در تمام Instanceها، امری است که هیچ‌کس نمی‌خواهد رخ بدهد. اگر اطمینان حاصل نگردد، که Image اصلی بی‌نقص است، ریسک بزرگی اتفاق می‌افتد. محصولاتی که تنها روی دیدن از بین رفتن بدافزار از دیسک و یا فقط بررسی در هنگام اجرای فایل حساب می‌کنند، برای این نوع از حملات کارآمد نیستند و محیط VDI کاربر را تحت آسیب‌پذیری ریسک‌ها قرار می‌دهند.

4. نیاز به حفاظت و عملکرد معادل یکدیگر

برخی Vendorها Agentهایی اختصاصی را برای VDI فراهم می‌نمایند، اما با عملکردی محدود. این امر محیط‌های VDI را تبدیل به محیط مناسبی برای حمله می‌کند. داشتن حفاظت از ساختار VDI اما به‌صورت ناقص، به غیر از راحتی برای  Vendorهای آنتی ویروس هیچ فایده‌ی دیگری ندارد. سازمان‌ها باید به دنبال Vendorهایی بگردند که چیزی را کم نمی‌گذارند و می‌توانند حفاظت، قابلیت دید و پاسخگویی را به صورت کامل فراهم کنند. Endpointهای VDI نیز باید خدماتی باشند که در آن‌ها تحلیلگران SOC می‌توانند به دنبال تهدیدات بگردند، زیرا اگر فعالیت‌های مشکوکی شناسایی گردد، باید بتوان به ریشه‌ی آن راه پیدا کرد تا رد آلودگی واقعی پیدا شود.

5. میزان منابع مورد نیاز آنتی ویروس

یکی از مزیت‌های VDI، کاهش هزینه‌های سخت‌افزاری و عملیاتی است. اگر سازمانی از یک راهکار آنتی ویروس استفاده کند که مثل دستگاه‌های فیزیکی، نیازمند تخصیص منابع باشد ارزش اصلی استفاده از VDI را از دست داده است. یکی از جنبه‌های دیگری که روی عملکرد VDI تاثیر می‌گذارد، تعداد برنامه‌های کاربردی است که برای نصب روی Image پایه موردنیاز است. بهتر است به دنبال راهکارهای حفاظت Endpointی گشت که سبک‌وزن و قدرتمند هستند تا برای اجرای آنتی ویروس، تجربه یا کارآمدی کاربر نهایی تحت تاثیر قرار نگیرد. بهتر است از راهکارهای دارای چندین Agent اجتناب شود، زیرا آن‌ها به معنی مصرف بیشتر منابع هستند.