Интегративный подход GETMOBIT к работе с тонкими клиентами и пользовательскому опыту в сложной корпоративной инфраструктуре заказчика
GETMOBIT, 04/09/24
Существует распространенное мнение, что тонкий клиент – это маленькая коробочка с любой, в том числе стандартной, операционной системой, работающей в режиме киоска и запускающей тот или иной клиент удаленного доступа. Верно ли это? Разберемся, какие бывают тонкие клиенты, что же делает устройство тонким клиентом и какая инфраструктура обеспечивает эффективность, стабильность и удобство работы с парком таких устройств.
Авторы:
Василий Шубин, руководитель центра развития продукта и компетенций GETMOBIT
Александр Тарасов, главный архитектор технологической платформы GETMOBIT
GETMOBIT – сравнительно молодая российская технологическая компания, совершившая революцию на рынке тонких клиентов.
Компания представляет интегральную аппаратно-независимую платформу для системной организации и администрирования многофункциональных рабочих пространств с повышенными требованиями безопасности удаленного доступа сотрудников к корпоративным информационным ресурсам. В ее составе оригинальная док-станция, встроенное системное программное обеспечение и система управления клиентскими устройствами корпоративного уровня, а также специализированные программные компоненты.
Тонкий клиент или ПК?
Говоря о том, что такое тонкий клиент, необходимо учитывать различные смыслы этого понятия.
Тонкий клиент:
- аппаратная часть, так называемое "легкое железо", – отдельный тип и форм-фактор оборудования. Физически тонкий клиент – это облегченный компактный и бесшумный компьютер без жесткого диска (и без вентиляторов);
- дистрибутив, который устанавливается на оборудовании. Загрузка основной операционной системы тонкого клиента происходит на сервере. Все пользовательские приложения выполняются на терминальном сервере (сервере приложений), но для пользователя это совершенно прозрачно. Вся вычислительная нагрузка ложится на сервер, поэтому тонкий клиент обладает минимальной аппаратной конфигурацией без какого-либо ущерба производительности.
Обеспечивает базовый функционал работы клиента: начальную загрузку, корректную работу видеоадаптера, аудио, работу периферийных устройств подключенных непосредственно к терминальному клиенту (мышь, клавиатура, локальные принтеры, USB-флеш-накопители). Операционная система тонкого клиента может содержать в своем составе интернет-браузер, который может работать автономно (без терминального сервера). При переходе в терминальный режим клиент начинает работать с серверной операционной системой, индивидуальный сеанс которой запускается на терминальном сервере. С этого момента терминал становится просто средством отображения и ввода информации. Переход к инфраструктуре виртуальных рабочих столов (VDI) позволяет перенести корпоративные данные, образы операционных систем и запускать приложения на серверах компании. Таким образом, пользователи, подключаясь удаленно к среде VDI, получают полноценный доступ к своему рабочему окружению из любого места и с любого устройства.
Наличие такой инфраструктуры дает бизнесу возможность избавиться от необходимости обслуживать парк персональных компьютеров с размещенными на них данными и приложениями и перейти на легкую и гибкую инфраструктуру "тонких клиентов".
Тонкий клиент или телефон?
Тонкий клиент GM-Box G1, разработанный GETMOBIT, отличается ото всех тонких клиентов, что вы видели ранее. Внешне и по содержанию.
GM-Box G1 – оригинальная многофункциональная док-станция, заменяющая тонкий клиент и видеотелефон, с защищенным доступом к инфраструктуре виртуальных рабочих мест, веб-сервисам и IP-телефонии, с возможностью аутентификации пользователя с помощью смартфона, смарт-карт, токенов.
Средства защиты информации встроены в аппаратное решение. Вместе с программными инструментами управления и интеграции образуют единую среду для создания и экономной эксплуатации корпоративных рабочих мест как в офисах, так и удаленно.
Док-станция GM-Box обладает достаточным количеством интерфейсов для подключения периферии (принтеров, внешних носителей информации и других устройств, использующих USB-интерфейс).
Устройство задает единый унифицированный стандарт рабочего места по принципу all-in-one, позволяющий реализовать множество специальных режимов работы сотрудников организации с помощью универсального набора технических средств и ПО.
Один тонкий клиент GETMOBIT вместо нескольких ПК
Часто встречается ситуация, когда пользователь должен с одного рабочего места работать в двух независимых информационных системах, условно "открытой" и "защищенной". Традиционно таким пользователям выдают два ПК или ТК с дублирующим набором устройств (иногда на разных столах, чтобы пользователь не запутался, где он работает). GETMOBIT предлагает иной подход.
Универсальная док-станция GM-Box выпускается в двух модификациях: GM-Box BASE – c одной системной платой (одним вычислительным модулем) и GM-Box DUO – с двумя физически независимыми системными платами (двумя вычислительными модулями) в одном корпусе.
Для обеспечения использования одного комплекта устройств ввода/отображения информации в GM-Box DUO встроен аппаратный программно-управляемый КVМ-переключатель, обеспечивающий одновременный безопасный доступ сотрудника к двум изолированным информационным контурам с одного рабочего места – GM-Box Duo.
ПАК GM SMART KVM имеет Сертификат ФСТЭК № 4800. Чтобы обеспечить безопасность, используется механизм однонаправленного переключения, который позволяет передавать информацию только на другой вычислительный модуль, но не обратно. Таким образом, нарушитель не сможет переключить устройства ввода и отображения информации на свой модуль из-за особенностей схемотехники KVM-переключателя.
Лицензия ФСТЭК России подтверждает, что GM SMART KVM соответствует "Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" по 4-му уровню доверия, а также техническим условиям на программно-аппаратный комплекс. Простыми словами: ПАК соответствует повышенным требованиям к обеспечению безопасности данных в организациях, где используются два информационных контура.
Тонкий клиент. Что остается за кадром?
Аппаратная часть важна, но конечное устройство – "вишенка на торте". Главная особенность тонкого клиента – способность уверенно работать не только на маломощном оборудовании, но и на слабых каналах. Под работой подразумевается не только доставка виртуального рабочего места по протоколам удаленного доступа, но и вопросы обновления, настройки и безопасной работы устройства с учетом удаленности его месторасположения.
Устройство становится полноценным тонким клиентом, только когда на нем есть специализированная прошивка (Firmware), учитывающая все особенности эксплуатации данного класса устройств. Она (прошивка) выполняет роль операционной системы и может базироваться на разных ОС общего назначения, именно она обладает теми свойствами, которые отличают ПК от ТК.
При плохом канале задачи управления обновления операционной системы и приложений становятся практически невыполнимыми для персональных компьютеров с ОС общего назначения. Читатель прекрасно знает, обновления какого объема приходят для Windows. Обновления Linux, хотя и меньше, но тоже достаточно значительные. А стоит пропустить очередную версию – и прилетят уже сотни мегабайт.
Например, на устройство, находящееся за спутниковым каналом, в реальной жизни такие масштабные обновления никогда "не накатятся", в противном случае возникнет существенный риск получения не соответствующей корпоративным требованиям конфигурации ПО. Получится фрагментация версий ПО, высокая сложность поддержки парка устройств, риски и проблемы с информационной безопасностью, поскольку обновления почти всегда несут в себе устранение уязвимостей.
Прошивка для тонкого клиента проектируется с учетом максимального уменьшения поверхности атаки. Там, где у обычного ПК останется возможность взлома, у тонкого клиента окажется стена – отсутствие интерфейсов, через которые можно попытаться провести атаку.
Уменьшение размера образа и минимизация поверхности атаки стали возможны за счет установки прошивки нового поколения GETMOBIT, базирующейся на сборке Linux, переработанной разработчиками GETMOBIT (находится в реестре Минцифры России по классу встроенного и системного ПО).
Система управления – мозг инфраструктуры тонких клиентов
Степень готовности тонкого клиента к выполнению своих задач гораздо выше, чем у обычного ПК, что достигается благодаря максимальному отказу от локального управления устройствами конечных пользователей. GETMOBIT уделяет большое внимание возможностям централизованного управления и интеграции для обеспечения сквозной эффективности в единой цифровой среде.
Используя эту особенность, интеллектуальная система управления GM Smart System позволяет масштабировать инфраструктуру тонких клиентов, подстраиваясь под разные задачи заказчиков.
В состав платформы входит универсальный сервер управления GM Workspace Factory, который учитывает установленные тонкие клиенты с подходящей прошивкой и автоматически обнаруживает новые. При этом не требуется ручная настройка устройств – все индивидуальные и групповые настройки отправляются централизованно. Конфигурация прошивки позволяет работать с широким спектром как иностранных VDI-инфраструктур (VMware, Citrix, Microsoft), так и российских (Termidesk, Space, Basis WorkPlace, Горизонт-ВС).
Платформа позволяет тонкому клиенту работать и в режиме веб-клиента, для этих целей в прошивке имеется встроенный браузер.
Практически любой компьютер с архитектурой Intel или AMD, можно превратить в тонкий клиент, управляемый GM Smart System.
Почему тонкие клиенты – это безопасно?
Идея работы любых тонких клиентов заключается в том, чтобы обеспечить информационную безопасность за счет централизованной обработки данных.
В информационной системе, построенной по архитектуре "клиент-сервер" с применением VDI/RDP, обработка защищаемой информации осуществляется в VDI-среде сервера информационной системы. Такой способ разрешен приказом ФСТЭК России № 17 от 11.02.2013 г., а также приказом ФСТЭК России № 239 от 25.12.2017 г. Централизованное управление настройками устройств пользователей позволяет еще больше сократить возможную поверхность атак и вместе с этим при использовании большого парка устройств позволяет свести к минимуму локальное администрирование конечных устройств, что не только повышает издержки на администрирование, но и создает дополнительные риски. Особенно это актуально для территориально распределенных инфраструктур, где оперативный доступ к устройствам пользователей не всегда просто обеспечить.
Эксперты GETMOBIT используют нетривиальные инструменты, минимизирующие поверхность атаки в GM Smart System. Защита предусмотрена на трех уровнях инфраструктуры: аппаратная часть, прошивка и системное ПО.
В самих устройствах GM-Box реализованы различные методы идентификации и аутентификации пользователей, которые в совокупности с мерами по управлению доступом обеспечивают однозначную идентификацию и аутентификацию субъекта доступа, а также разграничение прав доступа субъектов доступа. Кроме того, в случае установки в док-станцию GM-Box G1 сертифицированного средства доверенной загрузки (аппаратно-программного модуля доверенной загрузки), например ПАК "Соболь", как правило, осуществляется дополнительная идентификация и аутентификация пользователя.
Доступ в настройки BIOS GM-Box и других тонких клиентов закрыт, настройки не позволяют загружаться с USB-устройств или из сети. Прошивка тонких клиентов работает в режиме read-only, на диск устройства ничего не может быть записано, кроме как через сервер управления. Это исключает возможность пользователю или вредоносному ПО записать в долговременную память устройства произвольное, в том числе и вредоносное ПО. Установка на тонкий клиент дополнительных средств защиты не требуется, так как обработка защищаемой информации на тонком клиенте не производится. Возможности удаленного подключения, существующие в обычных операционных системах, например SSH, отключены по умолчанию. Оставлен минимальный набор открытых сетевых портов.
В состав прошивки включены сертифицированные средства защиты – Крипто Про и VipNET, обеспечивающие шифрование трафика по требованиям ГОСТ.
Система управления поддерживает политики разрешения и запрета работы с разными типами устройств (флеш-накопителями, веб-камерами и т.п.). Плагины, обеспечивающие подключение к средам VDI, или другие компоненты прошивки, могут доставляться только с сервера управления, а также собраны в проприетарном формате. Локальная установка каких-либо программных пакетов невозможна. Кроме того, в GM Smart System встроены развитые функции логирования и мониторинга. Сбор этой информации происходит централизованно на сервере управления, затем события могут быть отправлены в SIEM для анализа и выявления инцидентов.
С точки зрения архитектуры всей АИС должна быть обеспечена защита среды виртуализации, включая серверные и гостевые ОС, а также прикладные системы. В частности, должны быть обеспечены наличие и запуск на серверах информационных систем только разрешенного ПО.
Для передачи информации между серверами информационных систем и тонкими клиентами используются алгоритмы шифрования. Если применение сертифицированных СКЗИ предусмотрено законодательными и иными нормативными правовыми актами Российской Федерации, то могут быть применены дополнительные программно-аппаратные средства криптографической защиты, сертифицированные ФСБ России.
"Транзитные" технологии GETMOBIT
Таким образом, становится возможным построение системы транзитных архитектур для доступа конечных пользователей к разнородной инфраструктуре сервисов виртуальных рабочих мест на базе российских и зарубежных платформ VDI через единую витрину инфраструктурных сервисов, эксплуатируемых в организации. В платформе GM Smart System – буквально витрина для доступа конечных пользователей к инфраструктурным сервисам, определяемая на уровне шаблонов в соответствии с функциональными задачами пользователя в организации.
За счет поддержки совместимости с широко распространенными на российском рынке зарубежными решениями VDI (VMWare Horizon, Citrix XenDesktop, Microsoft VDI, HUAWEI FUSION, Cisco, Avaya, Siemens и др.), а также с технологиями российских производителей VDI-платформ (Space, Горизонт-ВС, Базис, VDI VeIL, Термидеск, Ovirt, РУСТЭК, СКАЛА-Р и др.), IP-телефонии и ВКС (CommuniGate Pro, IVA, РТУ, Элтекс, TrueConf, VideoMost и др.), а также информационной безопасности (АПМДЗ "Соболь", ПАК "Соболь", сертифицированная ОС Альт 8 СП, СКЗИ "КриптоПро CSP", VipNet Client 4U for Linux), технологии GETMOBIT выступают своеобразным "трансфером" данных к конечному пользователю практически вне зависимости от того, какими инструментами пользуется организация.
Централизованное управление существующего парка сторонних ПК / ТК / ноутбуков
Распространена ситуация, когда заказчик накопил большой парк унаследованных устройств, от использования которого отказываться экономически нецелесообразно. При этом сотрудники, поддерживающие инфраструктуру, сталкиваются с рядом вызовов:
- трудоемкость процесса технической поддержки;
- невозможность миграции на российские VDI;
- многообразие инструментов управления (ручная работа, SCCM, HPDM),
- невозможность оперативно реагировать на требования регуляторов и бизнеса;
- ограничения по развитию и обновлению парка пользовательского оборудования.
У GETMOBIT есть ответ для конвертации унаследованных устройств в "свои", и встраивание их в единую управляемую инфраструктуру.
Старт конвертации настраивается с помощью "родных" средств управления, под которыми ранее работали тонкие клиенты иностранных вендоров. Конвертация одного устройства происходит примерно в течение шести минут – из сети берется прошивка GM 3rd Party Kit, и устройство перепрошивается.
То есть через шесть минут, без вмешательства пользователя в устройстве начинает работать прошивка GM Smart System. Она автоматически обнаружит сервер управления, получит настройки, которые содержат возможность работы с иностранным или с российским VDI, и все – пользователь может работать.
В подавляющем большинстве случаев на конечном рабочем месте не требуется вмешательство ни пользователя, ни администратора – все делается автоматически.
Таким образом, решается сразу несколько актуальных задач: продление срока эксплуатации текущего парка СВТ и возможность использования различных сред VDI отечественных разработчиков.
Кроме того, реализовано удаленное подключение к экрану конечного устройства для службы HelpDesk, чтобы она могла решить вопросы поддержки в реальном времени.
А как работать компаниям, чьи филиалы географически распределены?
На этом можно было бы остановиться, но разработчики GETMOBIT решили еще одну важную задачу. Дело в том, что большинство заказчиков, использующих инфраструктуру терминального доступа или VDI, имеют географически распределенную структуру с большим количеством филиалов в отдаленных регионах страны и ограничены в количестве ИТ-специалистов. При этом бизнесу требуются ускоренное развертывание и маневренный контроль.
В платформе GM Smart System модуль, конвертирующий устройства, получил роль прокси для доставки новых "прошивок" и обновлений для VDI-клиентов. Теперь не надо гнать по магистральному каналу потоки обновлений для сотен и тысяч устройств. Достаточно доставить обновления до прокси, который распределит их оптимальным образом по близким к нему устройствам.
Так заказчик получает возможность простого поэтапного перехода к единому стандарту информационной среды пользователя во всех подразделениях и филиалах, с единообразием и контролируемой версионностью программных компонентов, что, как мы помним, слабо или практически нереализуемо для "классических" ОС и систем управления ими.
Выводы о тонких клиентах
В нескольких предложениях. Рабочие места в инфраструктуре тонких клиентов – это не просто суперпозиция какого-то "железа" и какого-то ПО. Это, в первую очередь, решение задач бизнеса и производственных процессов: безопасное, предсказуемое, эффективное и с опережением. При условии комплексной увязки возможностей системного и прикладного ПО с преимуществами современных и доступных аппаратных архитектур.
Тонкий клиент – это когда:
- конечное устройство не привязано к пользователю и не содержит пользовательских или корпоративных данных. У любого пользователя есть возможность войти в систему с любого тонкого клиента в организации и получить удаленный доступ к своим данным и приложениям, практически не ощущая разницы по сравнению с работой на "обычном" ПК. Это облегчает реализацию концепции современных "гибких" офисных пространств;
- радикально сокращается время подготовки новых рабочих мест сотрудников. Пользовательское окружение настраивается на стороне VDI и системы управления тонкими клиентами. Пользователю выдается устройство в состоянии "как есть", с минимальным участием ИТ-специалистов для предварительной настройки.
Это повышает готовность компаний к оперативному найму новых сотрудников.
А для организаций с региональной филиальной структурой, значительно упрощает и ускоряет процесс запуска новых отделений и филиалов в регионах;
- многократно повышается производительность труда сотрудников группы ИТ по поддержке рабочих мест. Система управления тонкими клиентами позволяет осуществлять мониторинг и вносить изменения в настройки устройств в режиме реального времени. Это дает возможность централизованно управлять десятками тысяч тонких клиентов, географически распределенных по всей стране, в том числе при ограничениях пропускной способности каналов связи;
- практически исключается время простоев из-за неисправностей пользовательских устройств. В случае поломки тонкого клиента достаточно его заменить на аналогичный. Как правило, это не требует участия ИТ-специалиста, и пользователь возвращается к работе за считанные минуты. Не происходит потери выполненной работы в приложениях, так как они размещены на серверах компании, а не на конечном устройстве;
- становится значительно проще обеспечивать безопасность пользовательских устройств. Тонкие клиенты по своей архитектуре менее подвержены угрозам по сравнению с ПК, работающими под управлением операционных систем общего назначения, и позволяют гибко применять политики и ограничения. Это помогает выполнять требования регуляторов и упрощает решение ряда задач бизнеса, например перевод сотрудников на "гибридный" режим работы;
- выбор форм-фактора и конфигурации пользовательских устройств остается за заказчиком, что освобождает от привязки к конкретному бренду оборудования. Система управления тонкими клиентами дает возможность единого управления разными аппаратными платформами, включая существующий парк компьютеров разных моделей и тонкие клиенты сторонних производителей. При этом обеспечивается минимизация требований к производительности конечных устройств.
Все эти возможности должны быть реализованы с учетом возрастающей сложности и разнородности современных ИТ-инфраструктур, а также растущих потребностей к многозадачной работе пользователей и критичности обеспечения позитивного пользовательского опыта. Ожидания рынка направлены на предоставление описанных выше возможностей гибкого управления, а также интеграцию с изменяющимся ландшафтом ИТ-систем, где параллельно могут функционировать как зарубежные, так и отечественные VDI-среды.
Реклама ООО "ГЕТМОБИТ". ИНН 5010052511. ERID 2SDnjcUQUvE