Хорошо забытые тонкие клиенты
7 августа 2009 ConnectConnect
#9, сентябрь, 2009 г.
Виталий ТОМИЛКО, технический руководитель направления отдела сетей, Открытые Технологии.
По мере повышения требований бизнеса к мобильности сотрудников, применению унифицированных коммуникаций, доступности ресурсов задача обеспечения информационной безопасности ИБ на предприятии все более усложняется.
Требования к идеальному комплексу ИБ современного территориально распределенного предприятия следующие:
- контроль доступа пользователя в помещение, к рабочей станции, сети и информационным ресурсам при помощи уникального пользовательского идентификатора, расположенного на одном носителе (USB-token с меткой RFID или Smart Card);
- доступ пользователей к корпоративным ресурсам посредством разных способов подключения -через локальную сеть центрального офиса или филиала, удаленный доступ через Интернет;
- возможность работы мобильных пользователей с корпоративной IP-телефонией и видеоконференцсвязью;
- независимо от места подключения к сети пользователь должен быть идентифицирован, назначен в определенный сегмент VLAN с присущими данному сегменту правилами доступа к корпоративным ресурсам;
- проверка состояния программного обеспечения при подключении рабочей станции к сети, в случае несоответствия корпоративным правилам - автоматическое обновление;
- контроль работы с корпоративными ресурсами для предотвращения утечки конфиденциальной информации (контроль доступа к съемным носителям, запрет копирования из приложения в приложение, шифрование и пр.).
На сегодняшний день наиболее близки к идеальному комплексу мер решения на основе 802.1х и NAC (Network Admission Control). В таблице даны общие характеристики данных решений.
Исходя из данных таблицы, целостного решения с оптимальным балансом затрат и эффекта нет. В случае крупных территориально распределенных организаций задача усложняется многократно.
Тонкие клиенты
Применение терминальных технологий и тонких клиентов, точнее, виртуализация рабочих станций, когда ОС станций размещается на виртуальных машинах, запускаемых на высокопроизводительных серверах, позволяет обеспечить соответствие практически всем требованиям к идеальному комплексу ИБ:
- идентификация и авторизация пользователя по сертификату х.509;
- контроль доступа к съемным носителям;
- контроль состояния ПО рабочих станций;
- централизованное хранение и резервирование образов виртуальных рабочих станций.
А как же мобильные пользователи и унифицированные коммуникации? Это не проблема - существуют «тонкие» клиенты под управлением Windows XPe, встраиваемые на аппаратном уровне в ноутбук. Например, ноутбук HP Mobile Thin Client на платформе Intel Celeron M снабжен флэш-памятью на 1 Гбайт, беспроводным адаптером 802.11a/b/g, тремя портами USB, разъемами PC Card и приводом DVD-ROM. Находясь в командировке, сотрудники могут одновременно работать с терминальным сервером и с корпоративной IP-телефонией.
| Решения на основе 802.1x | Network Admission Controll | |
| Идентификация и авторизация пользователя | Да | Да |
| Контроль состояния ПО рабочей станции | Нет (возможно при использовании специального агента) | Да |
| Автоматическое приведение ПО рабочей станции в соответствие с корпоративными значениями | Нет | Да |
| Защита от доступа к съемным носителям | Нет (возможно при использовании специального агента либо Windows Vista) | Нет (возможно при использовании специального агента либо Windows Vista) |
| Защита от взлома или подмены системы контроля пользовательского доступа | Нет | Нет (возможно при использовании специального агента) |
| Возможность использования машинной идентификации на основе сертификатов х.509 или MAC-адреса | Да | Да (на основе MAC-фильтров) |
| Возможность применения сертификатов х.509 пользователей | Да | Да |
| Контроль подключения к сетевым ресурсам вплоть до уровня приложений | Нет | Да |
| Независимость от типа операционных систем на рабочих станциях | Нет | Да |
Достижение требуемой скорости работы с приложениями, особенно для предприятий, где количество сотрудников может достигать нескольких тысяч, при правильном дизайне терминального доступа тоже не представляет особой сложности.
За последнее время улучшились скорости в магистральных каналах, технологии виртуализации серверов и балансировки терминальных сессий. При этом участились случаи вирусных атак и распространения сетевых червей. И многие компании делают выбор в пользу "тонких" клиентов в расчете на повышение информационной безопасности на предприятии и оптимизации затрат на обслуживание ИТ-инфраструкту-ры. Согласно исследованиям META Group Study, ИТ-инфраструктура, построенная на базе тонких клиентов, обеспечивает:
- уменьшение капитальных затрат на ИT на 25%;
- снижение ТСО в целом на 80%;
- сокращение затрат на обслуживание на 34%;
- повышение продуктивности инфраструктуры на 25%.
Развитие технологий виртуализации серверов и приложений логично приводит к распространению технологий виртуализации рабочих станций. К примеру, VMware Infrastructure (с осени 2009 г.- vSphere) позволяет организовать изолированную среду для каждой виртуальной рабочей станции со всеми заявленными характеристиками VMware: балансировкой виртуальных рабочих станций в зависимости от загрузки, "переездом" в случае отказа физического сервера, наличием средств резервного копирования. Наибольший интерес к технологиям виртуализации рабочих станций могут проявлять организации, для которых характерны:
- отсутствие высококвалифицированных системных администраторов в региональных подразделениях;
- отсутствие систем резервного копирования или их неработоспособность в филиалах;
- большие накладные расходы на поддержку и модернизацию парка оборудования в филиалах;
- необходимость аттестации сегментов, где осуществляется обработка конфиденциальной информации;
- необходимость применения шифрования (ГОСТ или IPSec) при построении VPN-взаимодействия.
Аттестация сегментов, где обрабатывается конфиденциальная информация, является достаточно дорогостоящей задачей. Использование технологий терминальных клиентов позволяет существенно уменьшить расходы на аттестацию подразделений уровня областей и районов. Аттестовать можно либо автоматизированную систему, либо автономную рабочую станцию. В автоматизированной системе все составляющие ее компоненты должны быть сертифицированы на соответствие руководящим документам. При малейшем изменении в аппаратной (ремонт либо замена системного блока) или программной (обновление ПО) части аттестат аннулируется. В автономной рабочей станции (тонком клиенте) аттестуемый периметр заканчивается на виртуальном IP-интерфейсе физического Ethernet-контроллера тонкого клиента. Разумеется, тонкий клиент должен быть сертифицирован как средство вычислительной техники и содержать необходимые компоненты (сертифицированные операционную систему, межсетевой экран, VPN-агент с криптоалгоритмом по ГОСТу). На 100 подразделений заказывается, к примеру, 400 тонких клиентов, на каждого из которых выдаются аттестат и унифицированный пакет документов (типовые инструкции, настройки, схемы расположения и подключения). По результатам ввода системы в эксплуатацию автономная рабочая станция взаимодействует с автоматизированной системой (подразделение уровня субъекта РФ) через встроенный сертифицированный межсетевой экран по криптографически (ГОСТ) защищенному каналу связи.
Подобный дизайн сети учитывает потребности организации в IP-телефонии, мобильности пользователей и защите информационных ресурсов. Миграция на технологию виртуализации рабочих станций проходит, как правило, в несколько этапов. Особый интерес вызывает возможность применения технологии 802.1x, поддерживаемой на тонких клиентах и обычных рабочих станциях. В этом случае помимо защиты доступа к сети можно существенно оптимизировать балансировку трафика тонких клиентов путем распределения пользователей по VLAN-сегментам. Правильный дизайн сети терминального доступа оказывает влияние на такой существенный критерий, как удовлетворенность пользователей скоростью и удобством работы с корпоративными ресурсами.
Предыдущая новость:
Унификация транспорта ЦОД
Следующая новость:
Как сэкономить за счет IТ-аутсорсинга?
