В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Яков Совлук, главный специалист по информационной безопасности крупного федерального банка
Традиционная виртуальная инфраструктура предполагает виртуализацию серверных платформ, консолидируемых в рамках центра обработки данных (ЦОД).
Относительно новым и весьма перспективным направлением в IT является концепция VDI (Virtual Desktop Infrastructure) - инфраструктура виртуальных рабочих станций (РС). Данный подход предполагает замену физических ПК массивом виртуальных РС, развернутых в ЦОД, доступ к которым осуществляется с любого подходящего для этих целей клиентского устройства (КУ). При этом в качестве терминала может использоваться обычный ПК или тонкий клиент, установленный в офисе, стационарный домашний ПК сотрудника или мобильный компьютер, который позволяет получить доступ к виртуальной РС как в офисе, так и непосредственно из любой точки мира, где есть доступ в Интернет.
Именно здесь в полной мере проявляется смысл таинственной фразы Cloud Computing. Поскольку все вычисления осуществляются в "облаке", расположенном в ЦОД, а пользовательское устройство независимо от варианта исполнения является лишь терминалом, на котором отображается картинка виртуальной РС, то никакие данные корпорации не хранятся и не обрабатываются. При этом пользователь не испытывает ни малейшего дискомфорта и работает со своим виртуальным рабочим столом так, как будто он физически расположен на КУ.
Традиционный ПК представляет собой неразрывную систему таких компонентов, как "железо", ОС, пользовательские приложения, профиль пользователя и данные. Сопровождение такой сложной системы, особенно удаленное, весьма затруднительно. Внедрение VDI как минимум позволяет сделать виртуальную РС независимой от аппаратной платформы КУ со всеми вытекающими преимуществами.
Следующим шагом в продвинутых виртуальных инфраструктурах является инкапсуляция каждого компонента виртуальной РС в отдельный пакет. Таким образом возникает граница между ОС, отдельными приложениями, данными и настройками пользователя, "живущими" на разных уровнях VDI.
Основным элементом виртуальной РС становится ее образ, содержащий пользовательскую ОС. В основу инфраструктуры закладывается базовый или мастер-образ виртуальной машины, на основе которого создаются связанные с ним образы персональных виртуальных РС. Такой подход позволяет быстро и легко создавать любое количество новых виртуальных РС, сократить расход дискового пространства и вычислительных ресурсов. Обновление базового образа обеспечит обновление всех дочерних виртуальных РС, при этом не будут подвергаться риску изолированные данные, настройки и приложения пользователей.
Изоляция приложений от ОС виртуальной машины посредством инкапсуляции в отдельные пакеты и наличие централизованной системы управления приложениями дает возможность сократить время их развертывания, гарантировать установку последних обновлений, исключить конфликты с ОС и другими приложениями, запускать разные версии приложения на одной платформе, сократить размеры образа виртуальной машины и использование дискового пространства.
Таким образом, вместо установки и настройки ОС, профиля пользователя и необходимого набора приложений на каждый из сотен и даже тысяч корпоративных ПК целесообразно внедрить VDI, сопровождение которой будет на порядок эффективнее, а ТСО - значительно ниже.
Одним из основных преимуществ VDI по сравнению с традиционными РС с точки зрения IT и обеспечения непрерывности бизнеса является централизованное хранение и администрирование инфраструктуры виртуальной РС, развернутых в ЦОД. На VDI распространяются все плюсы сопровождения серверных виртуальных инфраструктур, в том числе возможность быстрого восстановления после сбоев, обеспечение высокой доступности, динамическое распределение вычислительных ресурсов.
Эффективность централизованного резервного копирования массива виртуальных РС на уровне ЦОД не идет ни в какое сравнение с системами резервного копирования для отдельных РС. Ярким примером может послужить проблема резервного копирования и восстановления пользовательских систем на удаленных рабочих местах: в случае использования VDI вопросов вообще не возникает, а при использовании традиционного решения появляются ощутимые трудности.
Немаловажными факторами являются централизованное обеспечение безопасности VDI и сам факт централизованного хранения критичной для бизнеса информации в ЦОД, физическая безопасность которого априори организуется на высшем уровне.
Доступ к виртуальной РС осуществляется посредством специального клиентского ПО, устанавливаемого на КУ либо непосредственно через Web-браузер, что является очень гибким, но менее безопасным решением.
Для предоставления доступа пользователей к виртуальным машинам каждый разработчик VDI-решения предлагает свой протокол, функционирующий поверх TCP/IP и являющийся, по его заявлениям, самым быстрым, надежным и безопасным. Защита трафика осуществляется, как правило, посредством протокола SSL, встраиваемого в протокол передачи виртуальных рабочих столов, что является надежным и хорошо зарекомендовавшим себя решением.
Системы разграничения доступа к VDI, как правило, поддерживают двухфакторную аутентификацию, которая является необходимым требованием при подключении к виртуальным РС из-за пределов периметра корпоративной сети.
Независимость виртуальной РС от КУ, с которого будет осуществляться работа, дает следующие преимущества:
Несмотря на то что физически виртуальная РС находится в дата-центре, клиентское ПО VDI позволяет виртуальной машине напрямую взаимодействовать с периферийными устройствами (принтер, сканер) и съемными носителями информации (USB-ди-ски, CD/DVD, карты памяти), подключенными к КУ. Кроме того, возможен файловый обмен информацией между виртуальной машиной и клиентской системой.
Безусловно, это очень удобно для конечного пользователя, однако очень рискованно с точки зрения безопасности, поскольку может послужить причиной утечки конфиденциальной информации. Кроме того, возникает риск заражения виртуальной машины и всей инфраструктуры вредоносным ПО. Поэтому открывать пользователю возможность обмена данными с клиентской платформой следует очень осторожно и только в случае крайней необходимости.
Идеальным вариантом является закрытие любых вариантов обмена данными между виртуальной РС и КУ. В этом случае конфиденциальная информация будет надежно защищена, поскольку не покидает пределов дата-центра.
Удаленный доступ к VDI из-за пределов периметра сети организации порождает массу рисков для конкретной виртуальной РС и всей инфраструктуры. SSL-шифрование трафика и строгая двухфакторная аутентификация не защитят от угроз, связанных с доступом из неконтролируемой среды, которой может являться клиентская система. Покупка и сопровождение пула мобильных устройств, удовлетворяющих требованиям безопасности (антивирус, обновления, локальная политика безопасности, контроль портов и т.д.), для обеспечения удаленного доступа к VDI станут слишком дорогим и громоздким выходом из сложившейся ситуации.
Значительно более гибким, экономически выгодным решением является доступ к VDI с так называемых неадминистрируемых ПК, которыми могут выступать домашний ПК, личный ноутбук или корпоративное мобильное устройство, выданное для самостоятельного использования и сопровождения. Такой подход требует формирования безопасной вычислительной среды, изолированной от программного окружения КУ, из которой будет осуществляться доступ к виртуальному ПК в ЦОД. Развертывание на КУ отдельной локальной виртуальной машины для подключения к VDI, изолированной от пользовательской среды, удовлетворяет указанному требованию, однако станет слишком громоздким решением.
Идеальным решением поставленной задачи станет разработка USB-модуля, который будет совмещать в себе токен для осуществления двухфакторной аутентификации и защищенное хранилище клиента VDI - изолированной виртуальной среды, предназначенной для подключения и работы с виртуальными РС. Для удобства конечного пользователя USB-модуль следует выполнить в компактном формате обычной флешки и обеспечить возможность его работы без прав администратора и установки дополнительного ПО на КУ.
Такое решение позволит обеспечить безопасный доступ к VDI из любой потенциально опасной клиентской среды.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2010