Хорошо забытые тонкие клиенты

7 Августа 2009 Connect
Connect
#9, сентябрь, 2009 г.
Виталий ТОМИЛКО, технический руководитель направления отдела сетей, Открытые Технологии.

По мере повышения требований бизнеса к мобильности сотрудников, применению унифицированных коммуникаций, доступности ресурсов задача обеспечения информационной безопасности ИБ на предприятии все более усложняется.

Требования к идеальному комплексу ИБ современного территориально распределенного предприятия следующие:

  • контроль доступа пользователя в помещение, к рабочей станции, сети и информационным ресурсам при помощи уникального пользовательского идентификатора, расположенного на одном носителе (USB-token с меткой RFID или Smart Card);
  • доступ пользователей к корпоративным ресурсам посредством разных способов подключения -через локальную сеть центрального офиса или филиала, удаленный доступ через Интернет;
  • возможность работы мобильных пользователей с корпоративной IP-телефонией и видеоконференцсвязью;
  • независимо от места подключения к сети пользователь должен быть идентифицирован, назначен в определенный сегмент VLAN с присущими данному сегменту правилами доступа к корпоративным ресурсам;
  • проверка состояния программного обеспечения при подключении рабочей станции к сети, в случае несоответствия корпоративным правилам - автоматическое обновление;
  • контроль работы с корпоративными ресурсами для предотвращения утечки конфиденциальной информации (контроль доступа к съемным носителям, запрет копирования из приложения в приложение, шифрование и пр.).

На сегодняшний день наиболее близки к идеальному комплексу мер решения на основе 802.1х и NAC (Network Admission Control). В таблице даны общие характеристики данных решений.

Исходя из данных таблицы, целостного решения с оптимальным балансом затрат и эффекта нет. В случае крупных территориально распределенных организаций задача усложняется многократно.


Тонкие клиенты

Применение терминальных технологий и тонких клиентов, точнее, виртуализация рабочих станций, когда ОС станций размещается на виртуальных машинах, запускаемых на высокопроизводительных серверах, позволяет обеспечить соответствие практически всем требованиям к идеальному комплексу ИБ:

  • идентификация и авторизация пользователя по сертификату х.509;
  • контроль доступа к съемным носителям;
  • контроль состояния ПО рабочих станций;
  • централизованное хранение и резервирование образов виртуальных рабочих станций.

А как же мобильные пользователи и унифицированные коммуникации? Это не проблема - существуют «тонкие» клиенты под управлением Windows XPe, встраиваемые на аппаратном уровне в ноутбук. Например, ноутбук HP Mobile Thin Client на платформе Intel Celeron M снабжен флэш-памятью на 1 Гбайт, беспроводным адаптером 802.11a/b/g, тремя портами USB, разъемами PC Card и приводом DVD-ROM. Находясь в командировке, сотрудники могут одновременно работать с терминальным сервером и с корпоративной IP-телефонией.


  Решения на основе 802.1x Network Admission Controll
Идентификация и авторизация пользователя Да Да
Контроль состояния ПО рабочей станции Нет (возможно при использовании специального агента) Да
Автоматическое приведение ПО рабочей станции в соответствие с корпоративными значениями Нет Да
Защита от доступа к съемным носителям Нет (возможно при использовании специального агента либо Windows Vista) Нет (возможно при использовании специального агента либо Windows Vista)
Защита от взлома или подмены системы контроля пользовательского доступа Нет Нет (возможно при использовании специального агента)
Возможность использования машинной идентификации на основе сертификатов х.509 или MAC-адреса Да Да (на основе MAC-фильтров)
Возможность применения сертификатов х.509 пользователей Да Да
Контроль подключения к сетевым ресурсам вплоть до уровня приложений Нет Да
Независимость от типа операционных систем на рабочих станциях Нет Да


Достижение требуемой скорости работы с приложениями, особенно для предприятий, где количество сотрудников может достигать нескольких тысяч, при правильном дизайне терминального доступа тоже не представляет особой сложности.

За последнее время улучшились скорости в магистральных каналах, технологии виртуализации серверов и балансировки терминальных сессий. При этом участились случаи вирусных атак и распространения сетевых червей. И многие компании делают выбор в пользу "тонких" клиентов в расчете на повышение информационной безопасности на предприятии и оптимизации затрат на обслуживание ИТ-инфраструкту-ры. Согласно исследованиям META Group Study, ИТ-инфраструктура, построенная на базе тонких клиентов, обеспечивает:

  • уменьшение капитальных затрат на ИT на 25%;
  • снижение ТСО в целом на 80%;
  • сокращение затрат на обслуживание на 34%;
  • повышение продуктивности инфраструктуры на 25%.

Развитие технологий виртуализации серверов и приложений логично приводит к распространению технологий виртуализации рабочих станций. К примеру, VMware Infrastructure (с осени 2009 г.- vSphere) позволяет организовать изолированную среду для каждой виртуальной рабочей станции со всеми заявленными характеристиками VMware: балансировкой виртуальных рабочих станций в зависимости от загрузки, "переездом" в случае отказа физического сервера, наличием средств резервного копирования. Наибольший интерес к технологиям виртуализации рабочих станций могут проявлять организации, для которых характерны:

  • отсутствие высококвалифицированных системных администраторов в региональных подразделениях;
  • отсутствие систем резервного копирования или их неработоспособность в филиалах;
  • большие накладные расходы на поддержку и модернизацию парка оборудования в филиалах;
  • необходимость аттестации сегментов, где осуществляется обработка конфиденциальной информации;
  • необходимость применения шифрования (ГОСТ или IPSec) при построении VPN-взаимодействия.

Аттестация сегментов, где обрабатывается конфиденциальная информация, является достаточно дорогостоящей задачей. Использование технологий терминальных клиентов позволяет существенно уменьшить расходы на аттестацию подразделений уровня областей и районов. Аттестовать можно либо автоматизированную систему, либо автономную рабочую станцию. В автоматизированной системе все составляющие ее компоненты должны быть сертифицированы на соответствие руководящим документам. При малейшем изменении в аппаратной (ремонт либо замена системного блока) или программной (обновление ПО) части аттестат аннулируется. В автономной рабочей станции (тонком клиенте) аттестуемый периметр заканчивается на виртуальном IP-интерфейсе физического Ethernet-контроллера тонкого клиента. Разумеется, тонкий клиент должен быть сертифицирован как средство вычислительной техники и содержать необходимые компоненты (сертифицированные операционную систему, межсетевой экран, VPN-агент с криптоалгоритмом по ГОСТу). На 100 подразделений заказывается, к примеру, 400 тонких клиентов, на каждого из которых выдаются аттестат и унифицированный пакет документов (типовые инструкции, настройки, схемы расположения и подключения). По результатам ввода системы в эксплуатацию автономная рабочая станция взаимодействует с автоматизированной системой (подразделение уровня субъекта РФ) через встроенный сертифицированный межсетевой экран по криптографически (ГОСТ) защищенному каналу связи.

Подобный дизайн сети учитывает потребности организации в IP-телефонии, мобильности пользователей и защите информационных ресурсов. Миграция на технологию виртуализации рабочих станций проходит, как правило, в несколько этапов. Особый интерес вызывает возможность применения технологии 802.1x, поддерживаемой на тонких клиентах и обычных рабочих станциях. В этом случае помимо защиты доступа к сети можно существенно оптимизировать балансировку трафика тонких клиентов путем распределения пользователей по VLAN-сегментам. Правильный дизайн сети терминального доступа оказывает влияние на такой существенный критерий, как удовлетворенность пользователей скоростью и удобством работы с корпоративными ресурсами.




Предыдущая новость:
Унификация транспорта ЦОД
Следующая новость:
Как сэкономить за счет IТ-аутсорсинга?