В этой статье автор сделал попытку описания нового подхода к организации управления и безопасности для инфраструктуры виртуальных рабочих станций.
Яков Совлук
Традиционная виртуальная инфраструктура предполагает виртуализацию серверных платформ, консолидируемых в рамках ЦОД (Центр Обработки Данных).
Относительно новым и весьма перспективным направлением в IT является концепция VDI (Virtual Desktop Infrastructure) – инфраструктура виртуальных рабочих станций (РС). Данный подход предполагает замену физических ПК массивом виртуальных РС, развернутых в ЦОД, доступ к которым осуществляется с любого подходящего для этих целей клиентского устройства (КУ). При этом в качестве терминала может использоваться обычный ПК или тонкий клиент, установленный в офисе, стационарный домашний ПК сотрудника или мобильный компьютер, который позволяет получить доступ к виртуальной РС как в офисе так и непосредственно из любой точки мира где есть доступ Интернет.
Именно здесь в полной мере проявляется смысл таинственной фразы «cloud computing». Поскольку все вычисления осуществляются в «облаке» расположенном в ЦОД, а пользовательское устройство независимо от варианта исполнения является лишь терминалом, на котором отображается картинка виртуальной РС, но никакие данные корпорации не хранятся и не обрабатываются. При этом пользователь не испытывает малейшего дискомфорта и работает со своим виртуальным рабочим столом, так как будто он физически расположен на КУ.
Традиционный ПК представляет собой неразрывную систему таких компонент как «железо», ОС, пользовательские приложения, профиль пользователя и данные. Сопровождение такой сложной системы, особенно удалённое, весьма затруднительно. Внедрение VDI как минимум позволяет сделать виртуальную РС независимой от аппаратной платформы КУ со всеми вытекающими преимуществами.
Следующим шагом в продвинутых виртуальных инфраструктурах является инкапсуляция каждой компоненты виртуальной РС в отдельный пакет, таким образом, возникает граница между ОС, отдельными приложениями, данными и настройками пользователя, «живущими» на разных уровнях VDI.
Основным элементом виртуальной РС становится её образ, содержащий пользовательскую ОС. В основу инфраструктуры закладывается базовый или мастер-образ виртуальной машины, на основе которого создаются связанные с ним образы персональных виртуальных РС. Такой подход позволяет быстро и легко создавать любое количество новых виртуальных РС, сократить расход дискового пространства и вычислительных ресурсов. Обновление базового образа обеспечит обновление всех дочерних виртуальных РС, при этом не будут подвергаться риску изолированные данные, настройки и приложения пользователей.
Изоляция приложений от ОС виртуальной машины посредством инкапсуляции в отдельные пакеты и наличие централизованной системы управления приложениями дает возможность сократить время их развертывания, гарантировать установку последних обновлений, исключить конфликты с ОС и другими приложениями, запускать разные версии приложения на одной платформе, сократить размеры образа виртуальной машины и использование дискового пространства.
Таким образом, вместо установки и настройки ОС, профиля пользователя и необходимого набора приложений на каждый из сотен и даже тысяч корпоративных ПК целесообразно внедрить VDI сопровождение которой будет на порядок эффективнее, а ТСО значительно ниже.
Одним из основных преимуществ VDI по сравнению с традиционными РС, с точки зрения IT и обеспечения непрерывности бизнеса, является централизованное хранение и администрирование инфраструктуры виртуальной РС развернутых в ЦОД. На VDI распространяются все плюсы сопровождения серверных виртуальных инфраструктур, в т.ч. возможность быстрого восстановления после сбоев, обеспечение высокой доступности динамическое распределение вычислительных ресурсов.
Эффективность централизованного резервного копирования массива виртуальных РС на уровне ЦОД не идет ни в какое сравнение с системами резервного копирования для отдельных РС. Ярким примером может послужить проблема резервного копирования и восстановления пользовательских систем на удаленных рабочих местах: в случае использования VDI вопросов вообще не возникает, а при использовании традиционного решения появляются ощутимые трудности.
Немаловажным фактором является централизованное обеспечение безопасности VDI и сам факт централизованного хранения критичной для бизнеса информации в ЦОД, физическая безопасность которого априори организуется на высшем уровне.
Доступ к виртуальной РС осуществляется посредством специального клиентского ПО, устанавливаемого на КУ, либо непосредственно через web-браузер, что является очень гибким, но менее безопасным решением.
Для предоставления доступа пользователей к виртуальным машинам каждый разработчик VDI-решения предлагает свой протокол, функционирующий поверх TCP/IP, и являющийся по его заявлениям самым быстрым, надежным и безопасным. Защита трафика осуществляется как правило посредством протокола SSL, встраиваемого в протокол передачи виртуальных рабочих столов, что является надежным и хорошо зарекомендовавшим себя решением.
Системы разграничения доступа к VDI как правило поддерживают двухфакторную аутентификацию, которая является необходимым требованием при подключении к виртуальным РС из-за пределов периметра корпоративной сети.
Независимость виртуальной РС от КУ с которого будет осуществляться работа дает следующие преимущества:
Несмотря на то, что физически виртуальная РС находится в дата-центре, клиентское ПО VDI позволяет виртуальной машине напрямую взаимодействовать с периферийными устройствами (принтер, сканер) и съемными носителями информации (USB-диски, CD/DVD, карты памяти), подключенными к КУ. Кроме того, возможен файловый обмен информацией между виртуальной машиной и клиентской системой.
Безусловно, это очень удобно для конечного пользователя, однако очень рискованно с точки зрения безопасности, поскольку может послужить причиной утечки конфиденциальной информации. Кроме того, возникает риск заражения виртуальной машины и всей инфраструктуры вредоносным ПО. Поэтому открывать пользователю возможность обмена данными с клиентской платформой следует очень осторожно и только в случае крайней необходимости.
Идеальным вариантом является закрытие любых вариантов обмена данными между виртуальной РС и КУ. В этом случае конфиденциальная информация будет надежно защищена, поскольку не покидает пределов дата-центра.
Удаленный доступ к VDI из-за пределов периметра сети организации порождает массу рисков для конкретной виртуальной РС и всей инфраструктуры. SSL-шифрование трафика и строгая двухфакторная аутентификация не защитят от угроз связанных с доступом из неконтролируемой среды, которой может являться клиентская система. Покупка и сопровождение пула мобильных устройств, удовлетворяющих требованиям безопасности (антивирус, обновления, локальная политика безопасности, контроль портов и т.д.), для обеспечения удаленного доступа к VDI станут слишком дорогим и громоздким выходом из сложившейся ситуации.
Значительно более гибким, экономически выгодным решением является доступ к VDI с так называемых неадминистрируемых ПК, которыми могут выступать домашний ПК, личный ноутбук или корпоративное мобильное устройство выданное для самостоятельного использования и сопровождения. Такой подход требует формирование безопасной вычислительной среды, изолированной от программного окружения КУ, из которой будет осуществляться доступ к виртуальному ПК в ЦОД. Развертывание на КУ отдельной локальной виртуальной машины для подключения к VDI, изолированной от пользовательской среды, удовлетворяет указанному требованию, однако станет слишком громоздким решением.
Идеальным решением поставленной задачи станет разработка USB-модуля, который будет совмещать в себе токен для осуществления двухфакторной аутентификации и защищенное хранилище клиента VDI – изолированной виртуальной среды предназначенной для подключения и работы с виртуальными РС. Для удобства конечного пользователя USB-модуль следует выполнить в компактном формате обычной флэшки и обеспечить возможность его работы без прав администратора и установки дополнительного ПО на КУ.
Такое решение позволит обеспечить безопасный доступ к VDI из любой потенциально опасной клиентской среды.