1. Ana Sayfa
  2. Virtual Apps-Desktops
  3. Citrix Ortamınızda Güvenlik Politikalarınızı İyileştirmek İçin En İyi 9 Öneri

Citrix Ortamınızda Güvenlik Politikalarınızı İyileştirmek İçin En İyi 9 Öneri

citrix_sec_2

Son yıllarda Zero Trust mimarisinin benimsemesi ile beraber projelerde iki ana madde üzerinde durulmaktadır; son derece güvenli ortamlar oluşturmak ve mevcut müşteri ortamlarının güvenlik değerlendirmelerini yürütmek. Bu görevlerin odak noktası nihayetinde bu müşterilerin halihazırda uyguladıkları Citrix çözümlerinin güvenliğini iyileştirmelerine yardımcı olmak ve bu mevcut Citrix çözümlerini ek teknoloji veya konfigürasyonla tamamlamanın güvenlik duruşlarını nasıl olumlu etkileyebileceğini keşfetmektir.

Yıllar boyunca bir Citrix ortamını tasarlayan veya yöneten herkesin onaylayabileceği gibi, bu dağıtımları sağlamlaştırmanın karmaşık yönlerinden biri, çözümün etkileşim kurduğu diğer bileşenlerin sayısıdır. Bu, uygulayabileceğimiz kontroller ve bunların nasıl uygulanacağı konusunda bize çok fazla esneklik sağlarken, aynı zamanda sistemler arasında tutarlılık ve koordinasyonun yanı sıra kuruluşunuzun zaman içinde karşılaşabileceği değişen güvenlik ve iş risklerini anlamayı gerektirir.

Her firmanın ortamı, mimarisi, farklı yerel ve resmi düzenlemeleri, uyumluluk yönergeleri ve farklı iç politikaları olsa da, yerel ayarlara veya firmalara bakılmaksızın tekrar tekrar ortaya çıkan bazı ortak temalara sahiptir. Bu makalenin amacı, bu temaların ne olduğunu ve neden önemli olduklarını anlamanıza yardımcı olmaktır.

1- Saldırı Yüzeyini Azaltın

Citrix ortamında saldırı yüzeyini azaltmaya yardımcı olacak yaygın uygulamalar şunlardır:

  • İhtiyacınız olmayan eklentileri devre dışı bırakınız
  • İhtiyacınız olmayan ICA kanalları devre dışı bırakın veya Redirection’ları kısıtlamak için policy’leri yapılandırın
  • Anahtar bileşenleri (StoreFront , Delivery Controller, SQL Server vb.) ayrı sanal makineler üzerinde kurgulayın
  • Ortama yedekli ve tek noktadan erişim sağlamak Citrix Gateway ürününü konumlandırmayı düşünün
  • Kullandığınız yazılımlar ve işletim sistemleri için düzenli Patch Management yönetimi oluşturun
  • Güçlü şifreleme ve denetleme kullanımını zorunlu kılın
  • Hesap izinlerini yönetirken belirli bir disiplin üzerinden ilerleyin
  • Varsayılan olarak oluşturulan tüm anonim hesapları devre dışı bırakın
  • Host-Based yada Network-Based güvenlik duvarları kullanının
  • Hem kullanıcı hem de bilgisayar hesapları için oturum açma haklarını uygun şekilde kısıtlayın. Örneğin, Server OS VDA’larda “Allow log on through Remote Desktop Services” ayarını işaretlemeniz gerekirken, Desktop OS VDA’larda bu ayara gerek duyulmaz.

2- Segmentasyonu Benimseyin

  • Kullanıcı topluluğunuzun kullanımına sunulan kaynakları ve hassasiyetlerini gözden geçirin.
  • Bu kaynakların işletmeniz için değişen derecelerde kritikliğe sahip olup olmadığını belirleyin. Örneğin, bazı veriler diğerlerinden daha mı duyarlıdır yoksa daha yüksek gizlilik gereksinimleri mi var?
  • Kritik belgelerinizi ve kaynaklarınızı, e-posta erişimi gibi daha yüksek riskli kullanıcı etkinliklerinden ayırmayı düşünün.
  • Açık olan güvenlik duvarı bağlantı noktalarını en aza indirin veya farklı güvenlik seviyelerine sahip Network Zone’lar arasında yönlendirmeyi tamamen devre dışı bırakın.

3- En Az Ayrıcalık İlkesini Uygulayın

Kuruluşunuz, izin ve ayrıcalık riskini azaltmaya yardımcı olmak için aşağıdaki prosedürleri izliyor mu?

  • Hesaplar oluşturulmadan ve izinler verilmeden önce bir gerekçe ve onay süreci oluşturun.
  • Anlık sorunları giderme amaçlarıyla verilen geçici izinlerin kaldırılmasını zorunlu kılarak sıkı değişiklik kontrolü uygulayın.
  • Hesap parolalarının doğrudan yöneticiler tarafından bilinmemesi için bir parola koruma aracı kullanın.
  • Mümkünse hizmet hesapları için Interactive oturum açma hakkına izin vermeyin.
  • Hesap izinlerini periyodik olarak denetleyin.
  • Yönetici ve kullanıcı işletim sistemini, paylaşım ve NTFS izinlerini denetleyin.
  • Bağlamsal erişim politikalarını ve iki faktörlü kimlik doğrulamayı zorunlu kılın.

Bu aşamada şu soruları kendinize sorabilirsiniz:

  • Hizmet hesapları aynı anda birkaç amaç için kullanılıyor mu? (daha kötüsü, birkaç kişi parolayı biliyor mu ve Interactive oturum açma haklarına sahip mi?)
  • Hizmet hesaplarına ihtiyaç duymadıkları veya duymayacakları izinler veriliyor mu?
  • Rol tabanlı erişim kontrolü düzgün ve tutarlı bir şekilde uygulanıyor mu?

4- Citrix Politikalarını Ayarlayın

Citrix Policy ayarlarınızı, (özellikle ICA/File Redirection altındakileri), amaçladığınız güvenlik duruşunuzla uyumlu olarak yapılandırıldıklarını doğrulamak için gözden geçirdiğinizden emin olun. Aşağıdaki ek ayarlar da uygun olduğunuzda incelenmeli ve ihtiyacınız yok ise kısıtlanmalıdır:

  • Client clipboard redirection
  • Auto client reconnect
  • Content redirection
  • Browser content redirection
  • Port redirection (COM, LPT)
  • Printing flow and permissions
  • Minimum encryption level
  • Session limits/timeouts
  • USB devices

5- Kullanıcı Kimlik Bilgilerini Koruyun

Genellikle yapacağınız birkaç ayar veya izlediğiniz birkaç yol Hash-pass saldırılarının azaltılmasında önemli rol oynar. Gözden geçirilmesi gereken başlıca hususlardan bazıları şunlardır:

  • Üçüncü madde de anlatılan En az ayrıcalık ilkesine bağlı kalmak
  • Credential Guard gibi araçlardan yararlanma
  • Sağlanan sistemlerin aynı yerel yönetici parolalarına sahip olmasını engelleyen LAPS gibi çözümleri kullanma
  • Kimlik doğrulamayı iki faktörlü kimlik doğrulamaya zorlayan Citrix ağ cihazlarıyla kısıtlama
  • Mümkün olduğunda zamanlanmış görevler veya komut dosyaları için ayrıcalıklı hesapların kullanımından kaçınma
  • Golden Image’lar üzerinde yerel kullanıcı hesapları oluşturmaktan kaçınma
  • LM ve NTLM yanıtlarını devre dışı bırakma ve “Send NTLMv2 response only. Refuse LM & NTLM” ayarı seçmek
  • Domain Function Level’ı arttırmak,  Restricted Admin mode for Remote Desktop Connection, LSA Protection, Protected Users Security Group veya oturum açma sırasında süresi dolan NTLM dizilerinin atlanması gibi gelişmiş güvenlik özelliklerini kullanılabilir hale getirebilir .

6- Tüm Hassas Trafik Akışlarını Şifreleyin

Sırları korumak ve trafik akışlarının gizlice dinlenmesini veya değiştirilmesini önlemek için tüm trafik akışları yeterli şekilde şifrelenmelidir.

  • Aşağıdaki iletişim akışlarının TLS ile güvence altına alındığından ve yönetici konsollarına erişimin ağ düzeyinde mümkün olduğu ölçüde kısıtlandığından emin olun:
    • Citrix ile ilgili tüm konsolları ( Director , ADC / NetScaler , ADM / MAS, SD-WAN , Lisans sunucusu , App Layering yönetim konsolu )
    • StoreFront ile Delivery Controller arasındaki XML iletişimleri
    • Citrix sunucularıyla tüm kullanıcı iletişimini uçtan uca TLS’ye sahip olmak için SSL VDA kullanımı
  • Netscaler/ADC cihazlarına SSH ile bağlanırken Public Key Authentication’ın aktif edilmesi
  • Storefront’ta Hardening işlemlerinin yapılması
  • LDAP yerine LDAPS’ın kullanılması

7 – Oturum Risklerini Önleyin

  • Dosya sistemi – Çoğu uygulamanın “Farklı kaydet” gibi basit işlevleri vardır ve bu, birinin dosya yapısında gezinerek bir uygulamayı başlatmasına izin verebilir. Dosya sistemi ve erişilebilir ağ paylaşımları, aktörün yetkisiz erişimini (en az ayrıcalık) önlemek için yeterince sağlamlaştırılmalıdır.
  • Yardım menüleri – Benzer bir konsepte dayalı olarak, bu menüler genellikle oyuncuya bir web sayfasını görüntülemek gibi “başka bir şey” yapması için erişim sağlar. Bu iş akışlarına uyduğunuzdan ve potansiyel sonuçları gerektiği gibi kısıtladığınızdan emin olun.
  • Yönetici araçları – CMD, Run, Regedit ve Control Panel gibi bu araçların çoğuna erişim, basit GPO aracılığıyla engellenebilir.
  • Güvenilmeyen yazılımların external web traffic’lerini kontrol etmek için web proxy kullanın.
  • Uygulama kısıtlamaları – Bunlar en etkili ve son savunma hattı olma eğilimindedir. AppLocker veya WEM Application Security gibi araçlarla uygulanabilir .

8- External Erişimi Yeniden Tanımlayın

Dış erişim, şirketinizi daha az güvenilen bir ağ olan İnternet’e bağlar. Bu nedenle, sürekli olarak gayretli olmalı ve bu sorular hakkında dikkatlice düşünmeliyiz,

Multi-factor kimlik doğrulama gibi kontroller sürekli olarak uygulanıyor mu?
Exclusion’lar gerekçelendiriliyor ve belgeleniyor mu? ve Kalan riskler başka bir kontrol yoluyla iş için tolere edilebilecek bir seviyeye denkleştiriliyor mu?
Sınırlar, trafiği kontrol etmek ve korumak için güvenlik duvarları ve proxy sunucularla korunuyor mu?
Açık bağlantı noktaları ve zayıf algoritmalar için external sistemleri tarıyor musunuz?
IP’lerin, ağların ve ülkelerin erişimini engelleme yeteneğiniz var mı?
Harici erişim en düşük güven ağına bağlı mı?
Geliştirme veya üretim öncesi ortamlar hala harici olarak kullanılabilir mi?
Mevcut güvenlik duvarları ne kadar kısıtlayıcı veya yetenekli?

9- Operasyonel İşlemler ve Bakım Süreci

Gözlemlenen yaygın operasyonel boşluklar aşağıdakileri içerir. Bunlar, operasyonel prosedürlerinizin gelişmiş bir güvenlik duruşunu daha da kolaylaştırıp kolaylaştıramayacağını belirlerken iyi bir başlangıç ​​noktasıdır:

  • Son kullanıcıları ve yöneticileri eğitmek
  • İlişkili denetim ile kapsamlı değişiklik kontrol süreçlerine giriş
  • Günlük kaydı ve adli bilgileri SIEM sisteminizde merkezi olarak toplama
  • Kötü amaçlı yazılımdan koruma hizmetleri sağlamak için güvenlik araçlarından yararlanma
  • Yönetim işlevlerini izlemek ve kapsamlı denetim günlüğü ve hesap verebilirliği kolaylaştırmaya yardımcı olmak için yapılandırma günlüğünü ve oturum kaydını etkinleştirmek
  • İzinlerin, konfigürasyonların, temellerin, politikaların vb. Düzenli olarak denetlenmesi.
  • Düzenli sızma testleri ve değerlendirmeleri yapmak
  • Tespit, uyarı ve müdahale prosedürlerini uygulama
  • Tüm değişiklik kontrol işlemlerinde bir risk yönetimi mevcudiyeti oluşturmak
  • Olay müdahalesini uygulama ve olağanüstü durum kurtarma ve yedek geri yüklemeyi test etme
  • Yeterli izole edilmiş bir laboratuvar ortamı ile test etme
  • Tüm hizmet hesaplarını ve ilgili şifreleri belgelemek ve yönetmek
  • Güvenli uygulama güncelleme süreçlerini ve testlerini uygulamak.
  • Daha tutarlı dağıtımlar ve ayarlar sağlayabildiğinden ve ek kurtarma yeteneklerini etkinleştirebildiğinden, mümkün olduğunda otomatikleştirme

Bir Citrix ortamını tam olarak güçlendirmek için yukarıdaki yapılandırma ve prosedür listeleri kapsamlı olmasa da, en azından bir başlangıç ​​noktası sağlamasını umuyorum. Bu başlangıç noktası ile beraber ortamınızın güvenlik duruşunu iyileştirmek için hızlı bir şekilde aksiyon alabilirsiniz.

Yorum Yap

Yorum Yap