Вместо того чтобы возить с собой ноутбуки во время командировок в филиалы компании, сотрудники могут авторизоваться с помощью индивидуальной смарт-карты или путем введения имени пользователя и пароля на тонком клиенте (Thin Client, TC) и из любой точки мира получить доступ по сети к своей рабочей среде в центре обработки данных (ЦОД). Соединение осуществляется по протоколу удаленного доступа, к примеру, NX от Nomachine, который, среди прочего, автоматически обеспечивает надежное шифрование посредством протокола защищенных сокетов (Secure Sockets Layer, SSL) между клиентом и ЦОД.

Даже при небольшой пропускной способности сети алгоритмы сжатия позволяют осуществлять удаленную передачу приложений, поэтому работа с ними ничем не отличается от использования локально работающих версий. Другие способы оптимизации: сокращение количества пересылаемых сообщений (Round Trips) между клиентом и сервером, а также автоматическое кэширование во избежание повторной передачи одних и тех же пакетов данных. Скорость NX в сети даже несколько превосходит протокол независимой компьютерной архитектуры (Independent Computing Architecture), который разработала компания Citrix.

РЕШЕНИЯ USB КАК ГЛОБАЛЬНЫЙ КЛЮЧ ДОСТУПА

Рисунок 1. С помощью модуля USB сотрудники получают доступ к своему рабочему столу с любого компьютера, подключенного к Internet. С помощью специального модуля USB сотрудники могут использовать любой компьютер с выходом в Internet для получения доступа к централизованным приложениям из любой точки мира, будь то филиал компании, офис делового партнера (при отсутствии запретов со стороны владельца помещения), отель, аэропорт или Internet-кафе (см. Рисунок 1). В отличие от смартфона, модуль USB позволяет работать даже с графическими программами, такими как PowerPoint или Excel.

При подключении модуля USB к компьютеру, имеющему выход в Internet, интегрированный клиент автоматически обеспечивает соединение с находящейся в ЦОД системой, где выполняется приложение. В идеале подключаемый модуль должен обладать встроенным считывающим устройством для смарт-карт. Для авторизации в ЦОД пользователь вставляет свою карту, оснащенную микросхемой, на которой записан индивидуальный электронный ключ, и вводит в систему пароль. В случае успешной аутентификации он получает доступ к своему компьютеру и приложениям. На гостевой системе отображается рабочий стол ПК, который в зависимости от конфигурации может быть представлен в полноэкранном формате или в виде дополнительного окна. При этом все реальные процессы протекают в ЦОД. Туннелируемая передача шифруется с помощью SSL.

Производительность используемого компьютера не играет никакой роли. Как и ТК, он лишь предоставляет изображение, передаваемое из центра обработки данных. Вся работа процессора протекает в фоновом режиме на терминальных серверах или, в зависимости от приложений, на внутренних системах (Back-End). В результате производительность приложения может оказаться даже выше, чем на классических стационарных системах, так как доступ приложения с терминального сервера к внутренним системам осуществляется через высокопроизводительную сеть ЦОД, а не с рабочего места через, например, глобальную сеть.

НИКАКИХ СЛЕДОВ

Рисунок 2. Когда пользователь извлекает модуль из разъема USB, на используемом компьютере не остается никаких следов данных, с которыми велась работа. Когда пользователь извлекает модуль из разъема USB используемого компьютера, последний снова отображает свой рабочий стол. На компьютере не остается никаких следов данных (см. Рисунок 2), ведь для работы с нужными приложениями, реализованными в ЦОД, никаких программ устанавливать не надо. Вместе с изъятием модуля автоматически прекращается работа всех задействованных в сеансе приложений, либо – в зависимости от выбранных настроек системы — их выполнение может завершиться лишь через заданный промежуток времени (Time Out).

При соответствующей конфигурации сеанс можно не прерывать. Тогда приложение будет выполняться в фоновом режиме даже при отсутствии прямой авторизации пользователя. Когда спустя какое-то время он авторизуется на любом из компьютеров, сеанс продолжится с момента выхода из него. К примеру, в аэропорту сотрудник может использовать свой ноутбук для подготовки презентации, перед вылетом он, не прерывая сеанс, выходит из системы, затем в отеле садится за компьютер общего пользования, снова авторизуется и продолжает работу над документом. Экономия времени очень большая: не надо останавливать систему, повторно ее загружать, открывать нужный документ и отыскивать слайд, который до этого использовался в работе.

Для мобильных конечных уст-ройств — сотовых телефонов, КПК и смартфонов — виртуализация обеспечивает более высокую степень безопасности. Компактность портативных устройств – одновременно и преимущество, и недостаток. С одной стороны, всем удобно, что аппараты становятся и меньше, и легче. С другой стороны, их кража или потеря обнаруживаются не сразу. К примеру, в лондонских такси ежемесячно оставляют около 10 тыс. сотовых телефонов. Зачастую вместе с устройством пропадают ценные данные. Кроме того, согласно отчету Annual Security Report 2009, подготовленному компанией Cisco, количество атак существенно увеличивается в результате применения вредоносного программного обеспечения, разработанного специально для малых мобильных конечных устройств.

С помощью специальных програм-мных клиентов эти устройства могут безопасно соединяться с ЦОД через Internet и передавать данные с использованием сквозного шифрования. Тогда при утрате, к примеру, смартфона на нем самом не останется никакой информации.

Если круг задач сотрудника требует обязательной установки каких-либо приложений непосредственно на его мобильное устройство, то и их можно надежно защитить от постороннего доступа. При заказе программного обеспечения через централизованный сетевой портал система в фоновом режиме проверяет правомерность запроса и в случае положительного ответа автоматически устанавливает приложение через воздушный интерфейс. С помощью внутренних средств, таких как интегрированные криптокарты, устройство можно надежно зашифровать. Тогда для его использования необходимо пройти однозначную цифровую идентификацию и ввести соответствующий код доступа. Если смартфон утерян, то даже на расстоянии в нем можно восстановить настройки по умолчанию. Тогда данные не попадут в чужие руки, поскольку они надежно хранятся в ЦОД. При обычном режиме эксплуатации все данные, обрабатываемые на конечном устройстве, регулярно синхронизируются с централизованными серверами в ЦОД.

ЗАКЛЮЧЕНИЕ

Виртуализация настольных систем впервые обеспечивает возможность действительно безопасной мобильной работы с различными конечными устройствами — выбор зависит от предпочтений или требований. Благодаря централизованному администрированию приложений и данных директивы корпоративной безопасности оказываются действительными в любой точке мира. Где бы ни оказались сотрудники предприятия, они всегда смогут работать в привычной среде.

Оливер Браун и Томас Прахт — консультанты компании T-Systems.


© ITP Verlag


Уязвимости виртуальных сред

Виртуализация настольных систем облегчает их обслуживание и поддержание в рабочем состоянии, к тому же централизованную среду очень удобно контролировать. Между тем такие решения порождают проблемы, которые при неправильном планировании архитектуры виртуального решения и процедур его использования и обслуживания могут представлять реальную угрозу информационной безопасности.

На первый взгляд, описываемый в статье подход выглядит достаточно эффективным. Применение USB-устройств для авторизации обеспечивает безопасный доступ к бизнес-приложениям и данным. При использовании таких решений виртуализации внутри корпоративного сетевого периметра не приходится сомневаться в том, что контроль доступа пользователей и защита канала передачи данных будут реализованы на должном уровне. Но в случае попадания вредоносного кода в гостевую систему после авторизации пользователя существует вероятность его беспрепятственного проникновения внутрь защищенного канала, заражения виртуального рабочего пространства и дальнейшего распространения по всей виртуальной среде.

Сказанное справедливо даже для корпоративной среды, которая все же является более-менее контролируемой. Ситуация становится гораздо хуже, когда работа в виртуальном пространстве осуществляется из-за пределов сетевого периметра организации. В этом случае задействуются дополнительные элементы инфраструктуры — сетевые сегменты и гостевые компьютеры, состояние безопасности которых пользователем не контролируется. Кроме вышеназванных угроз, нормальная работа пользователей может быть нарушена в результате возможных отказов в обслуживании.

Таким образом, использование технологий виртуализации повышает эффективность труда и снижает накладные расходы на обслуживание и управление инфраструктурой ИТ, но при этом требует аккуратного планирования архитектуры решения, а также применения специальных средств безопасности, обеспечивающих надежную защиту как внутри виртуальной среды, так и вне ее.

Алексей Чередниченко — ведущий специалист компании McAfee.