Citrix Systems — крупная международная компания с большим количеством офисов в разных странах, поэтому и нагрузка на сотрудников ее подразделения ИТ-поддержки очень велика. Во всех этих офисах разное количество сотрудников, и не везде есть своя ИТ-служба, поэтому многие работники Citrix в случае серьезных проблем с их корпоративным компьютером выбирали один из двух вариантов: переустановить ОС (вручную, автоматически или с помощью «перезаливки» имеющегося образа) или использовать на время устранения неисправности резервный компьютер. К специалистам ИТ-поддержки обращались только в случае блокировки учетной записи, необходимости сброса пароля в домене или в конкретном приложении. Вновь приходящие сотрудники уже начали приносить собственные ноутбуки, с которыми им было привычнее и удобнее работать, чем с корпоративными, хотя далеко не всегда на личном ноутбуке была установлена ОС Windows. С точки зрения бизнеса в этом не было ничего страшного — внутри компании внедрены и используются собственные технологии, начиная от расширения терминальных сервисов Майкрософт — Citrix XenApp, потоковых приложений и заканчивая виртуальными десктопами XenDesktop и клиентским гипервизором XenClient. Поэтому единственное, что нужно было сделать новому сотруднику, — это установить на свой компьютер программу-клиент (Citrix Receiver) и получить доступ ко всем необходимым ресурсам, размещенным в ЦОД компании. Требовалось только официальное оформление такой возможности работы. В 2008 году в компании были разработаны внутренние правила, позволившие сотруднику выбирать, что ему более интересно — получить от компании корпоративное устройство или же получить деньги на покупку того устройства, которое ему нужно. При этом нет жестких ограничений на марки и модели компьютеров, а также тип операционной системы, более того, если у сотрудника уже есть персональный компьютер, то выделяемые деньги могут быть направлены на что угодно. В чем же выгоды такого подхода для компании и ее сотрудников?
С точки зрения сотрудников, все просто — зачем иметь для работы несколько компьютеров? Сегодня во многих семьях уже заведомо больше одного компьютера, и если сотруднику выдать еще один, то это может вызвать сложности в смешении «личного» и «рабочего», когда при работе дома с корпоративным ноутбуком сотрудник все равно будет его использовать и для выполнения личных задач. А вот если выданное устройство будет случайно забыто на работе, то что остановит сотрудника от использования домашнего компьютера? Теперь можно было официально работать из любого места с любого устройства, что, собственно, и проповедует компания. Однако работник, выбравший программу BYOD, потерял возможность обращаться в службу внутренней поддержки с вопросами по работоспособности своего устройства, и теперь граница ответственности компании заканчивается на уровне корпоративного ЦОД. Но в правилах специально оговаривается пункт, согласно которому приобретаемое оборудование должно иметь контракт на поддержку от продавца на три года — именно столько действует программа BYOD для конкретного сотрудника.
Не все сотрудники воспользовались программой BYOD. У разных работников различные требования к компьютеру — например, системным инженерам и консультантам компания предоставляет более мощные компьютеры, чем те, которые можно купить на выделяемую сумму, другие сотрудники не попадают в рамки действия такой программы, в основном это работники, не взаимодействующие напрямую с клиентами. Хотя никто не запрещает техническому специалисту воспользоваться преимуществами программы BYOD.
Что от BYOD получила компания? Во-первых, экономию средств на обслуживание клиентских рабочих мест. Во-вторых, повышение эффективности работы сотрудников, которые теперь используют знакомые и привычные им инструменты ведения бизнеса. В-третьих, возможность наглядной демонстрации функционала предлагаемых рынку решений — ведь гораздо больше доверия менеджеру по продаже, если он сам использует продукты, которые продает. Так, специалист по продажам, приходя к клиенту, может провести демонстрацию решений, взяв, например, iPad, где установлен клиент Citrix Receiver, — подключиться к виртуальным десктопам Citrix XenDesktop и запустить в рамках виртуальной машины приложения, доставляемые в нее с помощью Citrix XenApp. Другим примером может быть системный инженер, которого заказчик просит подтвердить возможность подключения к описанной инфраструктуре с разных клиентских операционных систем, что легко продемонстрировать с помощью Citrix XenClient, одновременно запустив несколько виртуальных машин — Windows XP, Windows 7 и Ubunta. При этом, так как все ресурсы размещены на значительном удалении от места демонстрации (европейский ЦОД размещен в Амстердаме, а другие — в США), одновременно снимаются вопросы работы по каналам связи с разной пропускной способностью и разного качества.
За счет чего сформировалась экономия и как рассчитывалась сумма, выделяемая сотруднику? На основе анализа затрат на закупаемое для сотрудников оборудование плюс затраты на обслуживание и сопровождение одного компьютера. Выделяемая работнику сумма оказалась меньше расходов компании, которые раньше относились к жизненному циклу персонального компьютера в трехлетний период.
В 2011 году в Citrix провели среди сотрудников опрос с целью определения количества электронных устройств, используемых для работы в среднем в течение дня (см. рисунок). Оказалось, что BYOD фактически трансформировалась в BYO-3, где 3 — среднее количество устройств, используемых работниками.
.png) |
| Количество устройств, используемых в течение дня |
Таким образом, вокруг каждого сотрудника формируется свое «персональное облако», состоящее из его компьютеров и мобильных устройств и содержащее его информационные ресурсы, бизнес-инструменты и персональные программы. Сотруднику надо обеспечить доступность необходимых ему документов и файлов на всех используемых устройствах: смартфоне, планшете, домашнем ПК и корпоративном ноутбуке. Программа BYOD помогла немного уменьшить количество устройств (в частности, объединить личный ноутбук с корпоративным и, возможно, с домашним ПК), однако дальнейшее развитие консьюмеризации приносит сюда все больше новых устройств различных классов. Для выхода из сложившейся ситуации сотрудники применяют средства по обмену файлами Dropbox или yousendit и такие облачные решения по совместной работе, как yammer. Поэтому дальнейшие действия Citrix Systems были направлены на поддержку этого тренда. Так, после приобретения компаний ShareFile и Podio всем сотрудникам были предоставлены ресурсы для обмена файлами и совместной корпоративной работы. Это было необходимо для «наполнения» и более комфортного использования персональных облаков, для обмена информацией и рабочим пространством между различными персональными устройствами, а также сотрудниками компании, работающими как внутри корпоративной сети, так и вне ее. Теперь вместо того, чтобы отправлять своим заказчикам документы как вложение в Outlook, достаточно указать ссылку на этот файл на ShareFile. Этот ресурс также используется для доступа к текущей версии документа, который может быть отредактирован на разных устройствах — например, на ноутбуке и планшете. Синхронизация выбранных папок осуществляется в автоматическом режиме. Используя сервисы Podio по совместной работе, очень просто создать «виртуальные рабочие группы» из сотрудников разных департаментов для работы над одним проектом и заодно отслеживать выполнение отдельных стадий проекта.
Как в рамках подхода BYOD решаются вопросы безопасности? Для облегчения бесшовной смены устройств пользователю рекомендуется хранить все данные в ЦОД компании или использовать инструментарий разделения файлов. Вся информация, размещенная в соответствии с этими рекомендациями, регулярно архивируется и проверяется на отсутствие вирусов. При этом уже сейчас осуществлена интеграция клиента Citrix Receiver, применяемого для подключения к виртуальным десктопам (Citrix XenDesktop) и приложениям (Citrix XenApp), с платформой хранения и обмена информацией — ShareFile. Это сделано посредством технологии плагинов, заложенных в модульную архитектуру Citrix Receiver. В результате сотрудник в одном рабочем пространстве видит доступные приложения и данные, которые обрабатываются удаленными приложениями. В случае кражи устройства, администраторы компании могут удаленно очистить хранилище рабочего пространства на утерянном устройстве. Эта возможность обеспечивается за счет создания специальной области дисковой памяти, в которой могут быть сохранены файлы для их совместного использования в рамках опубликованных приложений. Содержимое этой области контролируется администраторами, и в случае необходимости эта область может быть удаленно очищена. Для обеспечения безопасного входа используется двухфакторная аутентификация. С помощью решений компании Citrix Access Gateway можно осуществлять анализ клиентского оборудования и в зависимости от полученных результатов накладывать ограничения на возможность локальной обработки информации, ее копирования на внешние носители, печать на локальные принтеры и даже на использование локального буфера обмена. Для этого пользователь должен подключаться к ресурсам компании через Citrix Access Gateway или Citrix NetScaler, куда Access Gateway входит как один из модулей. При старте подключения пользователю предлагают запустить модуль проверки, который анализирует состояние рабочего места пользователя на соответствие правилам, определенным администратором. Если по результатам проверки отклонений от заданных условий не обнаружено, то пользователь получит доступ со всеми возможными для него привилегиями и функционалом. В противном случае, в зависимости от «уровня несоответствия», к подключению будут применены различные ограничивающие политики. Таким образом доступ на основании учетных данных предоставляется не по принципу 100% или 0%, а с нужной степенью гранулярности. Более того, проверку можно осуществлять и после подключения, обрывая его, например, в случае выключения файервола или антивирусного монитора.
Программа BYOD требует также решения вопроса оптимизации работы через каналы WAN, и в Citrix для обращения к удаленным ресурсам применяется протокол ICA/HDX, позволяющий оптимально использовать ограниченные ресурсы канала передачи данных, в том числе и нестабильных.
Отдельно в спектре технологий, применяемых в компании Citrix Systems в рамках программы BYOD, стоит клиентский гипервизор Citrix XenClient, который, конечно, накладывает определенные ограничения на тип используемого оборудования, но зато предоставляет широкие возможности по одновременной работе на одном устройстве с личным рабочим пространством и рабочей средой в полностью изолированном режиме. Одновременно можно запустить и работать с девятью виртуальными машинами, лишь бы хватило ресурсов хост-компьютера. Корпоративные виртуальные машины могут доставляться из ЦОД в уже настроенном состоянии, в то время как личные виртуальные машины устанавливаются локально. Такой подход вместе с антивирусными мониторами и сканерами позволяет полностью защитить мобильное устройство сотрудника от нежелательных программ. С помощью этой технологии можно также отделить разные приложения друг от друга, при этом позволяя «публиковать» их из одной виртуальной машины в другую. Простейший пример использования выглядит так: одна виртуальная машина — корпоративная, вторая для досуга (Web, социальные сети и т. д.), а в третьей находятся приложения, требующие ввода конфиденциальной информации (номера счетов, пароли на вход к системам онлайн-банкинга, номера банковских карт). Можно обеспечить запуск таких приложений в любых других виртуальных машинах, причем, как только курсор будет попадать в окно такого приложения, гипервизор переключает фокус ввода в виртуальную машину с финансовыми приложениями, не оставляя шансов программам логирования ввода с клавиатуры, которые могли быть установлены (случайно или намеренно) в виртуальной машине.
Общаясь с представителями различных компаний, можно отметить, что многие руководители, администраторы и инженеры приходят на встречу с электронным планшетом, в котором сразу отмечают необходимые вопросы, соотнося со своей инфраструктурой полученную информацию. Очень часто такие люди становятся проводниками идей BYOD в своей организации, причем, как правило, это топ-менеджмент, который в силу своей мобильности кровно заинтересован в подобных технологиях и подходах. Таким образом, можно с уверенностью сказать, что программы BYOD в России уже идут, и поздно говорить, что компания не готова, не может использовать такой подход или не достигла необходимого уровня зрелости. Могут быть не готовы сотрудники или отдельные менеджеры, так как программа BYOD часто связана с предоставлением сотруднику большей свободы, в том числе и в отношении рабочего времени и места. Вопрос — как он этой свободой распорядится? Если сотрудник не отличается внутренней дисциплиной и мотивацией, то в случае перехода на программу BYOD ситуация не улучшится, а может быть, даже, наоборот, станет еще более сложной. Со стороны руководителя могут быть возражения, связанные с тем, что менеджер зачастую боится предоставить своим подчиненным больше свободы и хочет максимально их контролировать. В этом случае переход на BYOD также будет очень болезненным. И все же многие организации смогут получить дополнительный выигрыш от более гибкого рабочего графика своих сотрудников. За последние годы во многих компаниях, в том числе и российских, были внедрены решения по виртуализации, по удаленному доступу, которые окончательно сломали жесткую связку между компьютером, установленными на нем программами и обрабатывавшимися здесь же данными. Теперь все эти компоненты изолированы друг от друга и могут быть использованы независимо от программно-аппаратной платформы, находящейся в руках у пользователя.
Вместе с тем имеются и препятствия на пути консьюмеризации в отечественных компаниях. Во-первых, необходимо четко понимать, что если не готова инфраструктурная составляющая, то говорить об успехе BYOD нельзя. Сначала должны быть реализованы проекты по виртуализации рабочих мест и приложений, и только потом стоит начинать разговор о внедрении BYOD. Во-вторых, серьезной проблемой может стать соответствие требованиям российского законодательства в области ИТ — например, аттестация такого рабочего места в соответствии с ФЗ-152 о защите персональных данных. К сожалению, изменения в этой сфере часто не поспевают за темпами развития информационных технологий. В-третьих, служба информационной безопасности компании может задерживать запуск и внедрение проектов до тех пор, пока предлагаемые решения не пройдут внутреннее согласование и анализ с точки зрения защиты информации. Наконец, проблемы, связанные с национальными особенностями характера и поведения, также могут играть против консьюмеризации. Иногда сотруднику подразделения ИТ проще сказать, что это сделать нельзя, чем приложить немного усилий и решить поставленные задачи, а пользователю легче переложить вину за не сданную в срок работу на неработающий компьютер, чем согласиться, что все можно было сделать удаленно из дома, подключившись с помощью домашнего компьютера.
Сергей Халяпин (sergeykh@citrix.com) — руководитель системных инженеров представительства компании Citrix Systems (Москва).
