Tierney - stock.adobe.com
Trois bases pour sécuriser son environnement VDI
Les postes de travail virtualisés apportent leurs propres questions de sécurité. Trois étapes simples permettent de jeter les premières bases de la sécurisation de l’environnement.
Trois mesures rapides peuvent être prises par les administrateurs d’environnements VDI pour mieux sécuriser ces derniers : bloquer l’utilisation des clés USB locales, segmenter les réseaux et maintenir des images de base propres.
Les postes de travail virtuels peuvent aider à fournir rapidement et efficacement des postes de travail aux utilisateurs. Mais un déploiement trop rapide peut également engendrer des risques de sécurité. Il est important d'assurer la sécurité de l’environnement VDI dès le départ afin d'éviter des atteintes coûteuses à la protection des données. Et d’accélérer la remédiation en cas d’incident.
Désactiver les ports USB locaux
Les périphériques USB locaux peuvent présenter des risques de sécurité importants. Les collaborateurs de la plupart des organisations sont susceptibles d’accéder à des données sensibles, pour des besoins métiers. Mais si un employé peut utiliser des périphériques USB locaux, il peut éventuellement copier des données, ou même involontairement injecter un maliciel.
Les logiciels de gestion des périphériques permettent de forcer le chiffrement des données. De quoi réduire les risques associés à une perte de USB contenant des données sensibles. Mais cette approche n'arrête pas forcément un employé malveillant. La meilleure façon de prévenir le vol de données est de désactiver l’utilisation de périphériques USB locaux.
Les administrateurs peuvent également choisir de désactiver le presse-papier pour empêcher les utilisateurs de copier/coller des données à partir d’un poste de travail virtuel. Cette mesure peut réduire la productivité des utilisateurs, mais le compromis peut être judicieux pour ceux qui ont accès à des données sensibles.
Segmenter les réseaux
Maintenir l'infrastructure d’administration séparée de l’environnement VDI permet de réduire le risque qu'un seul invité cause des problèmes à l'infrastructure serveur. Les réseaux locaux virtuels (VLAN) et un pare-feu de sécurité approprié sont des éléments essentiels d'un environnement VDI sécurisé. Et il convient de bloquer les ports correspondant à des protocoles non nécessaires aux utilisateurs.
Il est en outre possible d’utiliser des stratégies et des groupes pour contrôler de manière granulaire l’accès à certains protocoles. Par exemple, les développeurs peuvent avoir besoin d’utiliser à WebDAV, FTP ou SSH, mais pas les autres collaborateurs.
Il est également important de limiter les ressources auxquelles les postes de travail virtuels peuvent accéder. Si un utilisateur peut se connecter à un fournisseur de messagerie externe, d'autres mesures visant à limiter le risque de vol de données – comme le blocage des ports USB locaux – ne servent pas forcément à grand chose.
D’ailleurs, il convient d’adopter, dans la mesure du possible, une stratégie de liste blanche pour les services externes. L'établissement d'une telle liste complète peut prendre un certain temps, mais cette approche est beaucoup plus sûre que celle consistant à établir une liste noire.
Surveiller de près l’image de base
Une image de base bien conçue et durcie est essentielle à la création d'un environnement VDI sécurisé. Il convient pour cela de désactiver les services inutiles, tels que le service de recherche de Windows et les services de spooler d'imprimante. Les besoins de chaque utilisateur varient, mais il existe de nombreux services dont les utilisateurs n'ont pas besoin, et les laisser activés étend la surface d’exposition. En outre, ces services consomment inutilement de la mémoire, une ressource précieuse.
Il convient également de résister à la tentation de regrouper toutes les applications dans l'image de base. Il est plus efficace et pertinent de créer une image de base propre et de gérer les applications via des profils et des groupes.
Enfin, partout où c’est possible, il est préférable d’utiliser des postes de travail non persistants. Avec des outils de gestion de profils appropriés, il est en fait très simple de fournir aux utilisateurs de nouveaux postes de travail à chaque ouverture de session. Si c'est fait correctement, l'utilisateur ne verra pas la différence. Et avec cette approche, les administrateurs n'ont qu'à s'assurer que l'image maître est à jour. A l’inverse, les postes de travail virtuels persistants nécessitent l’application fréquente de correctifs.