4min

Tags in dit artikel

,

Onze werkomgeving is de laatste tijd enorm veranderd. We werken steeds meer thuis en organisaties gebruiken steeds vaker hybrid Cloud omgevingen. Deze ontwikkelingen leveren niet alleen veel voordelen op, maar zorgen ook voor een wildgroei aan IT-omgevingen waardoor het voor beheerders enorm moeilijk is geworden om de beheersbaarheid, security en infrastructuur draaiende te houden.

IT-beheerders maken daarom vaak gebruik van een Virtual Desktop Infrastructure oplossing (VDI). VDI stelt gebruikers in staat om te werken op desktops en applicaties die draaien op virtuele machines (VM’s), ofwel gehost op fysieke servers of in de Cloud. VDI zorgt ervoor dat medewerkers altijd en overal op elk apparaat toegang hebben tot virtuele desktops, applicaties en hun bestanden. Bovendien kunnen ze nog steeds exact dezelfde handelingen en taken uitvoeren alsof ze een traditionele pc gebruiken. De oplossing zorgt dan ook voor een betere mobiliteit en maakt veilig werken vanuit huis eenvoudiger.

De veiligheid van VDI

VDI biedt veel voordelen op het gebied van security. Met name het gecentraliseerde karakter van VDI biedt de nodige security voordelen. Zo kunnen beheerder bijvoorbeeld bij alle virtuele desktops, door het gecentraliseerde configuratiebeheer, tegelijkertijd softwarepatches of andere maatregelen nemen op alle virtuele desktops bij een dreiging.

Hetzelfde geldt voor configuratiewijzigingen. Als er een cyberaanval is kunnen beheerders de configuratie centraal wijzigen om het risico voor alle virtuele workloads te verkleinen. Bovendien kunnen sessies ook met één klik worden afgebroken, zodat er vervolgens een nieuwe, niet besmette, virtuele desktop kan worden aangemaakt. Een ander voordeel is dat de data nooit het datacenter verlaat. Werknemers worden hierdoor minder snel het slachtoffer van dataverlies, vanwege verloren of gestolen apparaten. Doordat virtualisatie data op locatie of in de Cloud gecentraliseerd is, in plaats dat de data zich bevindt op endpoint apparaten, kunnen organisaties beter voldoen aan bepaalde data governance eisen.

VDI biedt tevens een alternatief voor Virtual Private Network (VPN), waarmee gebruikers op afstand een beveiligde verbinding kunnen opzetten tussen een VM-desktop en andere diensten binnen het externe bedrijfsnetwerk. VDI is veiliger dan VPN via het thuisnetwerk omdat er geen data verstuurd wordt van en naar devices buiten het netwerk. In plaats daarvan biedt het een veilige bedrijfsomgeving die beschikbaar is via één browserwindow. Daarnaast zijn er geen zware specificaties vereist voor de devices die worden gebruikt om op te werken. Ieder apparaat met een browser en internetverbinding geeft veilig toegang tot de bedrijfsapplicaties en data. Houd er wel rekening mee dat cybercriminelen nog wel misbruik kunnen maken van exploits en kwetsbaarheden in het remote desktop protocol.

Security uitdagingen VDI

Ondank de security voordelen zijn er ook enkele uitdagingen op het gebied van beveiliging bij VDI. Iedereen die toegang heeft tot de gebruikersnaam en het wachtwoord kan inloggen op ieder willekeurig apparaat en zo toegang krijgen tot bedrijfsdata. Het is daarom verstandig om gebruik te maken van multi-factor authentication (MFA). Op deze manier moeten gebruikers, naast een gebruikersnaam en wachtwoord, ook nog een extra code invoeren die zich per loginsessie aanpast. Vergeet daarnaast niet om een sterk wachtwoord te gebruiken. De beste wachtwoorden zijn lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Een praktische oplossing is een password manager. Dit is een programma dat sterke wachtwoorden voor je accounts verzint en inloggegevens kan versleutelen, om deze vervolgens in een digitale kluis te bewaren.

Een ander risico is de hypervisor van de VDI omgeving. Een hypervisor is een datacentercomponent, die ervoor zorgt dat meerdere besturingssystemen tegelijkertijd op een hostcomputer kunnen draaien. Cybercriminelen passen meestal hyperjacking tactieken toe om de controle over de hypervisor over te nemen. Hyperjacking is een methode waarbij een ‘nep’ hypervisor onder de bestaande legitieme infrastructuur (hypervisor of besturingssysteem) wordt geïnstalleerd. Deze moeilijk te detecteren aanvallen geven cybercriminelen toegang tot alles wat met de server is verbonden, van toegangsrechten tot opslagbronnen. Om dit te voorkomen is het belangrijk om beveiligingsprotocollen in te stellen met controles op basis van tijdsintervallen. Hierdoor kan een apparaat automatisch worden uitgeschakeld als een apparaat niet binnen een vooraf bepaald tijdsinterval is gesynchroniseerd. Zorg ook voor een gedegen monitoringstool die het netwerk continu in de gaten kan houden. Daarnaast is het verstandig om een endpoint oplossing te installeren die centraal te beheren is. Dit verhoogt het beveiligingsniveau en de kwaliteit van het autorisatiebeheer.

VDI omgevingen lopen ook risico omdat ze gebruik maken van fysieke bronnen. Als er een beveiligingsinbreuk zich voortdoet, brengt het onmiddellijk alle routers en links van andere virtuele netwerken in gevaar. Het is daarom belangrijk om indringers onmiddellijk in quarantaine te plaatsen, middels microsegmentatie, zodat ze zich niet over het netwerk kunnen verspreiden.

Echter vormt de mens, net als bij andere netwerkomgevingen, vaak nog de meest grote dreiging. Werknemers kunnen opzettelijk of onopzettelijk inbreken in een serverruimte en rechtstreeks een server in gevaar brengen. Om menselijke fouten te voorkomen is het belangrijk om te werken aan een sterke beveiligingscultuur. Een security awareness training is hier ideaal voor. Iedere medewerker moet bewust zijn van de risico’s en zijn gedrag willen aanpassen ten behoeve van de cyberveiligheid.

Geef niet de sleutel van je virtuele voordeur

Kortom, net als ieder andere oplossingen is VDI niet 100% bestand tegen moderne cybercriminelen. Er zullen immers altijd criminelen zijn, net als in de echte wereld. Daarentegen zorgt VDI wel voor een gecentraliseerd beheer van netwerkbronnen voor een veiligere toegang en effectieve communicatie bij op afstand werken. Hierdoor kunnen relatief eenvoudig compliance en dataprivacy kwesties worden opgelost. Hoewel de meeste VDI leveranciers goede security opties bieden, is het verstandig om alle security uitdagingen goed te bekijken voordat het VDI-netwerk wordt geïmplementeerd. Op deze manier krijgen cybercriminelen niet de ‘sleutel’ van je virtuele kantoor en geen gelegenheid om toe te slaan.

Dit is een ingezonden bijdrage van Prashant Ketkar, CTO bij Corel. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.