Betere beveiliging VDI-werkplek gemeente Putten

Om beter bestand te zijn tegen ransomware, malware en virussen heeft gemeente Putten besloten extra lagen van beveiliging toe te voegen aan hun ICT-omgeving. Naast de reeds aanwezige security appliances, zoals de bestaande firewalls, virusscanner en spamfilter, heeft de gemeente besloten het gebruik van RES ONE Workspace breder te gaan inzetten. GTS-Online heeft extra beveiligingsmaatregelen toegepast en heeft aanpassingen gedaan waardoor de verspreiding van ongewenste software en shadow-IT verder wordt beperkt.

Heldere inrichting omgeving

Gelaagde inrichting en beveiligingEen van de problemen die ontstaan is door de inzet van verschillende beheerpartijen de afgelopen jaren, is het missen van structuur en documentatie over de wijze waarop de omgeving was ingericht. Dit is een logisch gevolg en zorgt ervoor dat een aanpassing een groter risico is dan wanneer dit inzichtelijk is. Een nadrukkelijke wens vanuit de gemeente was om de huidige omgeving en de inrichting daarvan gedegen tegen het licht te houden. Er is een logische structuur ontworpen waardoor de configuratie van de context van de gebruiker in RES ONE Workspace (Ivanti Workspace Control)  zijn ondergebracht en zoveel als mogelijk gekoppeld aan de applicatie. Instellingen op systeemniveau zijn in RES ONE Automation opgenomen of in een Group Policy. Dit is afhankelijk van het dynamische- of statische karakter van de betreffende instelling.

Toepassingen geautoriseerd

De functie ‘beheerde applicaties’, ofwel Managed Applications in RES ONE Workspace, zorgt ervoor dat alleen die toepassing gestart kan worden die geautoriseerd is. Sommige applicaties zijn globaal geautoriseerd, wat betekent dat deze zonder een snelkoppeling aangeboden worden vanuit RES ONE Workspace. Het gros van de toepassingen die gestart moeten kunnen worden zijn gekoppeld aan de aangeboden snelkoppeling. Snelkoppelingen die alleen beschikbaar zijn voor gebruikers die lid zijn van een gekoppelde Active Directory beveiligingsgroep. Registerinstellingen of Group Policy-instellingen en  die specifiek nodig zijn voor een bepaalde applicatie zijn verplaatst naar deze snelkoppeling.

RES ONE Workspace - Beheerde applicaties

Shadow-IT tegengegaan

Doordat alleen geautoriseerde toepassingen gestart konden worden, hebben er diverse incidenten voorgedaan in de vorm van Shadow IT. (Shadow IT omvat alle IT binnen organisaties die niet officieel is goedgekeurd.) Sommige software werd al geruime tijd niet meer gestart vanaf de beheerde locatie, bijvoorbeeld door het gebruik van Click-Once applicaties. Het toepassen van de extra beveiligingslaag zorgde voor nieuwe incidenten. De software is vervolgens opnieuw opgenomen in beheer. Tijdens de inventarisatie is bepaald of de software nuttig is en of deze geautoriseerd moet worden.

Door de wijze waarop er tegen de omgeving is aangekeken zijn een aantal softwarepakketten uitgefaseerd. Deze bleek niet meer te worden gebruikt.

Alleen gewenste gebruikersinstellingen opslaan

Voorheen werd gebruik gemaakt van Roaming Profiles om gebruikersintellingen op te slaan en in te laden op een volgende werkplek. Door van iedere toepassing vast te leggen (de functie Gebruikersinstellingen in RES ONE Workspace) welke gebruikersinstellingen onthouden moeten worden, wordt het zich verplaatsen van ongewenste software tegengegaan. Een gebruiker krijgt bij het inloggen op een VDI-werkplek een schoon lokaal profiel en alleen de opgeslagen gebruikersinstellingen worden (waar mogelijk per applicatie) geladen vanaf een centrale netwerklocatie.

RES ONE Workspace Gebruikersinstellingen

Gefaseerde migratie

Vanwege het grote aantal wijzigingen in de omgeving hebben we besloten een nieuwe omgeving, seperaat aan de bestaande omgeving op te bouwen. Met behulp van slimme technologie zoals building blocks, is er flink wat tijd bespaart. Door deze blocks te exporteren en zoveel als nodig te importeren zijn de snelkoppelingen, printers, netwerkverbindingen, enz. snel beschikbaar gesteld. Door de building blocks voor de import e voorzien van de juiste instellingen is er nog eens extra configuratiewerk bespaard.

Alle snelkoppelingen zijn toegewezen aan een functioneel beheerder of een key-user. Deze hebben vervolgens individueel getest, zodat de grootste pijnpunten eruit werden gehaald. Vervolgens zijn deze personen gevraagd om de omgeving integraal te testen. Door de extra geactiveerde beveiliging zijn hier flink wat incidenten uit naar voren gekomen. In de volgende fase resulteerde dit in een geslaagde migratie voor de rest van de medewerkers.



Wilt u graag een afspraak maken? Dat kan!

Wij ontvangen u met plezier of komen graag bij u op locatie.

Heeft u een vraag?

Vul onderstaand formulier in en wij nemen zo snel mogelijk contact op!



X