Тонкие клиенты для гибкой информационной безопасности

В современном бизнес-ландшафте тонкие клиенты становятся важным элементом инфраструктуры благодаря своей способности обеспечивать эффективное управление ресурсами и высокую степень безопасности данных. Использование тонких клиентов способствует повышению безопасности, так как данные хранятся на сервере, а не на пользовательских устройствах, что минимизирует риски потери или краж. Редакция поинтересовалась у экспертов, как наиболее эффективно использовать такую инфраструктуру и как уберечься от типовых ошибок.

• Сергей Даниельян, руководитель отдела системной разработки GETMOBIT
• Михаил Левинский, старший менеджер продукта, “Лаборатория Касперского”
• Александр Тарасов, главный архитектор технологической платформы GETMOBIT
• Михаил Ушаков, генеральный директор ООО “Группа Компаний ТОНК”
• Василий Шубин, руководитель центра развития продукта и компетенций GETMOBIT

Топ-3 основных вызовов для заказчика, ответом на которые может быть использование инфраструктуры тонких клиентов.

Михаил Ушаков, ТОНК:

1. Надежность бизнеса. Собственная производственная линия, полный контроль качества продукции, налаженная логистика – все это позволяет нам закрывать потребности наших клиентов в период санкций без ущерба в сроках поставки.
2. Информационная безопасность. Защитить сервер (кластер) проще, исключаются утечки данных, любой пользователь информационной системы находится под строгим контролем.
3. Снижение затрат. Переход на тонкие клиенты кардинально снижает затраты на поддержку ИТ-инфраструктуры.

Михаил Левинский, Лаборатория Касперского:

Главные вызовы:

1. Низкая скорость и высокая стоимость масштабирования и технического сопровождения географически распределенных подразделений организации.
2. Высокие затраты на администрирование инфраструктуры состоящей их традиционных рабочих станций.
3. Низкий уровень обеспечения защиты корпоративных данных, расположенных на рабочих станциях пользователей.

Александр Тарасов, GETMOBIT:

1. Наличие каналов связи с ограниченной пропускной способностью между рабочими местами и датацентром, подходящих для работы протоколов удаленного доступа, но не подходящих под "толстые" обновления ОС общего назначения и ее приложений. Инфраструктура ТК позволяет гарантированно управлять РМ вне зависимости от канала подключения.
2. Безопасность рабочего места по подходу к архитектуре системы, а не по количеству наложенных средств безопасности. Дизайн ОС ТК имеет минимальную поверхность атаки, благодаря чему количество инцидентов стремится к нулю.
3. Необходимость эффективно работать с большим количеством сред VDI, решений VPN и ВКС. Усилия вендоров тонких клиентов направлены на совершенствование специализированных прошивок и систем, что позволит одновременно взаимодействовать с множеством ИТ-систем и предоставит инструмент для плавного и предсказуемого перехода с зарубежных на российские среды VDI без потери стабильности бизнес-процессов.

Как внедрение тонких клиентов влияет на общие затраты на ИТ-инфраструктуру и поддержку по сравнению с использованием персональных компьютеров?

Михаил Левинский, Лаборатория Касперского:

Использование тонких клиентов существенно сокращает стоимость владения рабочим местом пользователя за счет сокращения затрат:

• на обеспечение средств кибербезопасности конечных устройств пользователей;
• на масштабирование и администрирование тонких клиентов, особенно расположенных в географически удаленных точках;
• на техобслуживание тонких клиентов, которые реже выходят из строя, чем традиционные рабочие станции и имеют более длительный срок эксплуатации;
• на коммунальные платежи за электроэнергию;
• на услуги высококвалифицированных специалистов, способных обслуживать тонкие клиенты в отдельных бизнес-юнитах организации.

Сергей Даниельян, GETMOBIT:

Переход на инфраструктуру тонких клиентов позволяет снизить как капитальные затраты на ИТ-инфраструктуру (CAPEX), так и операционные (OPEX). Устройства для доступа к инфраструктуре требуют гораздо меньших вычислительных возможностей по сравнению с ПК, что позволяет сократить расходы на оборудование рабочих мест. Устройства ТК быстро конфигурируются и обновляются, настройка одного тонкого клиента приравнивается к настройке десятка обычных устройств по трудозатратам за счет возможности использования шаблонов. Учитывая неизменяемость и файловую систему read-only, снижаются затраты на управление парком устройств. Кроме того, количество инцидентов в техподдержке за счет безопасного дизайна ТК становится минимальным.

Михаил Ушаков, ТОНК:

Затраты на поддержку ИТ-инфраструктуры снижаются в несколько раз. Известно, что персональный компьютер утраивает свою стоимость в течение пяти лет эксплуатации. Инфраструктура, построенная на виртуализации, требует 8–10% ежегодных затрат от первоначальной стоимости внедрения. Многочисленные исследования свидетельствуют о снижении и прямых и косвенных затрат – тонкие клиенты имеют более длительный жизненный цикл и потребляют меньше электроэнергии.

Возможна ли для заказчика плавная миграция с персональных компьютеров на тонкие клиенты?

Михаил Ушаков, ТОНК:

Именно так и происходит в реальности! Заказчик или уже имеет избыточные серверные ресурсы, на которых разворачиваются виртуальные АРМ и приложения для безопасного доступа, или вводит новые, позволяющие масштабировать инфраструктуру предприятия. Сегментарно часть ПК превращаются в тонкие клиенты и по мере вывода их из эксплуатации заменяются на тонкие клиенты. Часто новые филиалы (подразделения) сразу оснащаются тонкими клиентами.

Михаил Левинский, Лаборатория Касперского:

Да, миграция возможна. Как правило она происходит плавно и без ущерба основному бизнесу организации. В этом случае традиционные рабочие станции, которые устаревают, выходят из строя или требуют дополнительных капитальных вложений, заменяются на тонкие клиенты.

Василий Шубин, GETMOBIT:

Этот вопрос стоит разбить на две части.

Во-первых, переход на инфраструктуру VDI (или публикация приложений на терминальных серверах), во-вторых, перевод АРМ в архитектуру тонких клиентов.

Первая задача давно и успешно решается благодаря продуктам разработчиков систем VDI. Вторая задача часто пугала заказчиков, так как представлялась как необходимость сиюминутной замены всего парка АРМ с одного типа устройств на другое.

С решением GETMOBIT плавная миграция с инфраструктуры классических АРМ становится возможной за счет автоматизированной и централизованной конвертации существующих устройств в управляемые тонкие клиенты без существенных трудозатрат.

Топ-3 ошибок заказчика, которые снизят эффективность использования инфраструктуры тонких клиентов и ваши рекомендации, как их избежать.

Александр Тарасов, GETMOBIT:

1. Установка на ТК операционной системы общего назначения, увеличивающей затраты на внедрение и сопровождение. Как избежать: выбирать решения со специализированным для ТК системным ПО, управляемой с системой (сервером), которые учитывают все особенности эксплуатации таких систем.
2. Выбор неподходящей под задачи заказчика среды VDI и протокола доступа. Ошибка с выбором может создать ограничения для продуктивной работы пользователей (скорость работы, отзывчивость интерфейса приложений, поддержка механизмов идентификации, аутентификации пользователей с применением смарт-карт и аппаратных токенов, корректность работы периферийных устройств, возможность использовать современные средства унифицированных коммуникаций и т.д.). Как избежать: тщательно анализировать возможности VDI, используемые ими протоколы, требования прикладного ПО. Проводить проектирование, пилотирование и внедрение выбранного решения с опытным квалифицированным партнером в тесном взаимодействии с вендорами ТК и VDI.
3. Слепое копирование требований ИБ с классической архитектуры ПК.

Как избежать: трезво и взвешенно анализировать требования регулятора в контексте конкретного ИТ-ландшафта и бизнеса заказчика, реализовывать возможности, предоставляемые технологией защиты среды виртуализации, оценивать влияние средств наложенной безопасности на работу протоколов удаленного доступа.

Михаил Левинский, Лаборатория Касперского:

Иногда заказчики рассматривают тонкие клиенты как традиционные персональные компьютеры и пытаются полностью или частично перенести пользовательское ПО из удаленной среды на сторону тонкого клиента. Причины этому могут быть самые разные. В большинстве случаев это решается путем правильного построения VDI-инфраструктуры и выбора пользовательского ПО, которое подходит для такого класса решений.

Михаил Ушаков, ТОНК:

Эти ошибки характеризуются следующими утверждениями: "Он ценный сотрудник, и мы ему доверяем, поэтому для него мы сделаем исключение. Мы так делали последние десять лет, и ничего не случилось." Все, что нарушает единую стратегию цифровой трансформации, стандарты ИБ и подходы к обработке критически важной информации, разрушает бизнес. В офисе рядовой сотрудник использует стационарный тонкий клиент. Дайте топ-менеджеру тонкий клиент в форм-факторе ноутбука, и если он даже его потеряет, это не приведет к катастрофе.

Какие мировые и российские тренды в развитии технологии тонких клиентов вы наблюдаете?

Михаил Ушаков, ТОНК:

Мобильность, внедрение новых технологий, отказ от обязательной работы в офисе – вот, что определяет современные тренды виртуализации рабочих мест. Citrix и VMware претерпевают трансформацию, Microsoft RDS сохраняет господствующие позиции. Вендоры идут по пути создания собственных комплексных решений (пример – HP Anywhere), больше возникает "носимых тонких клиентов". В России формируются и укрепляются отечественные решения, которые уже готовы стать альтернативой ушедшим иностранным.

Михаил Левинский, Лаборатория Касперского:

Если раньше тонкие клиенты использовались в основном для сотрудников, которые работают с текстовыми данными, то сейчас запрос на тонкие клиенты расширился в сторону потребления мультимедиа и сложной 3D-графики. Это, в свою очередь, определило высокие требования к протоколам доставки удаленного контента и компонентам аппаратной платформы тонких клиентов.

Сергей Даниельян, GETMOBIT:

1. BYOD – превращение практически любого устройства в ТК.
2. Развитая экосистема VDI: поддержка широкого круга VDI (в том числе российских: например Термидеск, Space, Базис и др.), легкая и быстрая интеграция новых решений.
3. Наличие возможности безопасного изолированного выполнения локальных приложений на ТК (например клиенты ВКС).
4. Переход на программные средства ВКС. Увеличение количества работы с медиапотоками в среде VDI.
5. Уход от концепции нулевого или аппаратного тонкого клиента из-за их ограниченного по архитектуре функционала.

Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_3_2024/