Тонкие клиенты с точки зрения безопасности

2020 год с его пандемией и вынужденной самоизоляцией создал ряд принципиально новых проблем. Кому раньше приходилось рассчитывать амортизацию, которую создают сотрудники, используя личные кресла, мониторы и домашние столы? А сейчас это вполне актуальный вопрос. Но наибольшая нагрузка легла все-таки на IT-службу и на службу безопасности. Первым пришлось оперативно обеспечивать персонал удаленными рабочими местами, а вторым — спешно искать новые стратегии информационной защиты в режиме «периметр теперь везде».

Коллапса IT-инфраструктуры, который предсказывали пессимисты, не случилось — большинство компаний смогли перестроиться в сжатые сроки. Хотя и эффективность перехода была разной. Повезло компаниям, в которых и до пандемии основным инструментом работы был ноутбук. Большое преимущество получили организации, в которых уже применялась политика BYOD. По итогу некоторые компании из числа мировых лидеров решили вообще массово перевести сотрудников на удаленку, чтобы снизить затраты. А несколько IT-гигантов, включая Oracle, Rimini Street и Okta, заявили, что частичный отказ от офисных площадей позитивно сказывается на их бизнесе.

А вот с обеспечением безопасности дело обстояло сложнее. Появились новые обстоятельства, к которым многие отделы ИБ не были готовы. Во-первых, сотрудники начали работать из локальных домашних сетей, используя собственное сетевое оборудование, не контролируемое, не администрируемое и даже не обновляемое службами компании. Во-вторых, вся семья работника начала пользоваться устройствами для разных задач. Например, одни и те же ноутбуки периодически использовали как родители для работы, так и дети для учебы. Более того, иногда одна и та же машина могла подключаться к сетям двух компаний, создавая достаточно неприятную ситуацию для безопасников обеих организаций.

А знаете, у кого возникло минимальное количество проблем и с точки зрения IT, и с точки зрения безопасности? У компаний, активно использующих технологии виртуализации, а точнее, инфраструктуры виртуальных рабочих столов (VDI).

Что такое виртуальные рабочие столы?

По большому счету, виртуализация рабочих столов — это попытка разделить «рабочее пространство» сотрудника и физическое устройство, с которого он работает. Компания организует в своей инфраструктуре вычислительный кластер (или арендует мощности), разворачивает платформу виртуализации и поднимает виртуальные машины для каждого сотрудника. В образе виртуальной машины имеется весь необходимый сотруднику софт.

Специалисты могут подключаться к своим виртуальным рабочим столам (и доступным им корпоративным ресурсам) с любых устройств — стационарных компьютеров, тонких клиентов, ноутбуков, планшетов. В принципе, можно использовать даже телефон — если удастся подключить к нему клавиатуру, мышь и монитор (некоторые энтузиасты реально работают в такой конфигурации). И речь даже не всегда идет об удаленной работе и подключении через Интернет — в некоторых компаниях виртуальные рабочие столы используют и в офисе. Потому что эта технология дает достаточно много бизнес-преимуществ.

• Простота обслуживания: на СХД хранятся заранее сконфигурированные образы виртуальных машин для каждого сотрудника или для рабочих групп со схожими обязанностями. Управляется все это централизованно, снижая нагрузку на IT-службу.
• Масштабируемость: если сотруднику внезапно потребовались вычислительные мощности или увеличение объема оперативной памяти, то ему не придется менять оборудование — администратор «отгрузит» нужные ресурсы.
• Отказоустойчивость: если устройство, с которого сотрудник подключается к виртуальной машине, выйдет из строя, то он просто подключится с другого, не потеряв ни данные, ни время.
• Безопасность. Особенно в случае использования технологии удаленных рабочих столов в паре с тонкими клиентами. Как вы понимаете, с точки зрения «Лаборатории Касперского» это главное преимущество. Поэтому его мы рассмотрим подробнее.

Виртуальные рабочие столы, тонкие клиенты и безопасность

С точки зрения безопасности виртуальные рабочие столы хороши хотя бы тем, что обеспечивают неприкосновенность используемого сотрудником программного обеспечения. Разумеется, пользователь может изменять рабочие файлы и настройки интерфейса. Но они хранятся отдельно от виртуальной машины. Все изменения в ПО и вредоносный код, который может попасть на виртуальную машину, автоматически исчезнут после перезагрузки. Это не значит, что виртуальные машины можно не защищать, но шансы APT-группировок, которые пытаются затаиться на рабочих компьютерах, это изрядно уменьшает.

Но максимальные преимущества для безопасности, как уже было сказано выше, дает подключение к виртуальным рабочим столам с тонких клиентов — устройств, работающих в терминальном режиме. Зачастую на них нет даже жесткого диска — это просто коробочка, обеспечивающая подключение к серверу и позволяющая подсоединить монитор и периферийные устройства (их набор может быть разным в зависимости от конкретной модели). На тонком клиенте не обрабатываются и не хранятся рабочие данные.

Конечно, для нормальной удаленной работы с такого устройства требуется хороший канал связи. Но в последние годы это не такая уж и проблема. Связь тонкого клиента с сервером, как правило, обеспечивает надежный шифрованный протокол — это решает проблему с ненадежным сетевым окружением. Да, с точки зрения пользователя это гораздо менее универсальное устройство, чем, скажем, ноутбук. Играть в компьютерные игры или подключаться к посторонним информационным системам с него не получится. Но ведь сотрудник и не должен заниматься этим на рабочем месте. Заодно решается потенциальная проблема с кражей железа — это не приведет к утечке данных.

Судя по растущему интересу компаний к обеспечению информационной безопасности удаленной работы, решения для создания инфраструктуры удаленных рабочих столов «под ключ» будут только набирать популярность. Скорее всего, наиболее удобной схемой станет использование публичных облачных сервисов — так можно обойтись без лишних модификаций физической инфраструктуры компании. Так что нас, похоже, ждет этап активного перехода крупных компаний на VDI. В том числе поэтому «Лаборатория Касперского» активно развивает экспертные навыки в этой сфере и разрабатывает решения для тонких клиентов на основе собственной операционной системы.