Trois bases pour sécuriser son environnement VDI

Désactiver les ports USB locaux

Les périphériques USB locaux peuvent présenter des risques de sécurité importants. Les collaborateurs de la plupart des organisations sont susceptibles d’accéder à des données sensibles, pour des besoins métiers. Mais si un employé peut utiliser des périphériques USB locaux, il peut éventuellement copier des données, ou même involontairement injecter un maliciel.

Les logiciels de gestion des périphériques permettent de forcer le chiffrement des données. De quoi réduire les risques associés à une perte de USB contenant des données sensibles. Mais cette approche n'arrête pas forcément un employé malveillant. La meilleure façon de prévenir le vol de données est de désactiver l’utilisation de périphériques USB locaux.

Les administrateurs peuvent également choisir de désactiver le presse-papier pour empêcher les utilisateurs de copier/coller des données à partir d’un poste de travail virtuel. Cette mesure peut réduire la productivité des utilisateurs, mais le compromis peut être judicieux pour ceux qui ont accès à des données sensibles.

Segmenter les réseaux

Maintenir l'infrastructure d’administration séparée de l’environnement VDI permet de réduire le risque qu'un seul invité cause des problèmes à l'infrastructure serveur. Les réseaux locaux virtuels (VLAN) et un pare-feu de sécurité approprié sont des éléments essentiels d'un environnement VDI sécurisé. Et il convient de bloquer les ports correspondant à des protocoles non nécessaires aux utilisateurs.

Il est en outre possible d’utiliser des stratégies et des groupes pour contrôler de manière granulaire l’accès à certains protocoles. Par exemple, les développeurs peuvent avoir besoin d’utiliser à WebDAV, FTP ou SSH, mais pas les autres collaborateurs.

Il est également important de limiter les ressources auxquelles les postes de travail virtuels peuvent accéder. Si un utilisateur peut se connecter à un fournisseur de messagerie externe, d'autres mesures visant à limiter le risque de vol de données – comme le blocage des ports USB locaux – ne servent pas forcément à grand chose.

D’ailleurs, il convient d’adopter, dans la mesure du possible, une stratégie de liste blanche pour les services externes. L'établissement d'une telle liste complète peut prendre un certain temps, mais cette approche est beaucoup plus sûre que celle consistant à établir une liste noire.

Surveiller de près l’image de base

Une image de base bien conçue et durcie est essentielle à la création d'un environnement VDI sécurisé. Il convient pour cela de désactiver les services inutiles, tels que le service de recherche de Windows et les services de spooler d'imprimante. Les besoins de chaque utilisateur varient, mais il existe de nombreux services dont les utilisateurs n'ont pas besoin, et les laisser activés étend la surface d’exposition. En outre, ces services consomment inutilement de la mémoire, une ressource précieuse.

Il convient également de résister à la tentation de regrouper toutes les applications dans l'image de base. Il est plus efficace et pertinent de créer une image de base propre et de gérer les applications via des profils et des groupes.

Enfin, partout où c’est possible, il est préférable d’utiliser des postes de travail non persistants. Avec des outils de gestion de profils appropriés, il est en fait très simple de fournir aux utilisateurs de nouveaux postes de travail à chaque ouverture de session. Si c'est fait correctement, l'utilisateur ne verra pas la différence. Et avec cette approche, les administrateurs n'ont qu'à s'assurer que l'image maître est à jour. A l’inverse, les postes de travail virtuels persistants nécessitent l’application fréquente de correctifs.