Тонкие клиенты для гибкой информационной безопасности
Редакция журнала "Информационная безопасность", 03/02/25
В современном бизнес-ландшафте тонкие клиенты становятся важным элементом инфраструктуры благодаря своей способности обеспечивать эффективное управление ресурсами и высокую степень безопасности данных. Использование тонких клиентов способствует повышению безопасности, так как данные хранятся на сервере, а не на пользовательских устройствах, что минимизирует риски потери или краж. Редакция поинтересовалась у экспертов, как наиболее эффективно использовать такую инфраструктуру и как уберечься от типовых ошибок.
- Сергей Даниельян, руководитель отдела системной разработки GETMOBIT
- Михаил Левинский, старший менеджер продукта, “Лаборатория Касперского”
- Александр Тарасов, главный архитектор технологической платформы GETMOBIT
- Михаил Ушаков, генеральный директор ООО “Группа Компаний ТОНК”
- Василий Шубин, руководитель центра развития продукта и компетенций GETMOBIT
Топ-3 основных вызовов для заказчика, ответом на которые может быть использование инфраструктуры тонких клиентов.
Михаил Ушаков, ТОНК:
- Надежность бизнеса. Собственная производственная линия, полный контроль качества продукции, налаженная логистика – все это позволяет нам закрывать потребности наших клиентов в период санкций без ущерба в сроках поставки.
- Информационная безопасность. Защитить сервер (кластер) проще, исключаются утечки данных, любой пользователь информационной системы находится под строгим контролем.
- Снижение затрат. Переход на тонкие клиенты кардинально снижает затраты на поддержку ИТ-инфраструктуры.
Михаил Левинский, Лаборатория Касперского:
Главные вызовы:
- Низкая скорость и высокая стоимость масштабирования и технического сопровождения географически распределенных подразделений организации.
- Высокие затраты на администрирование инфраструктуры состоящей их традиционных рабочих станций.
- Низкий уровень обеспечения защиты корпоративных данных, расположенных на рабочих станциях пользователей.
Александр Тарасов, GETMOBIT:
- Наличие каналов связи с ограниченной пропускной способностью между рабочими местами и датацентром, подходящих для работы протоколов удаленного доступа, но не подходящих под "толстые" обновления ОС общего назначения и ее приложений. Инфраструктура ТК позволяет гарантированно управлять РМ вне зависимости от канала подключения.
- Безопасность рабочего места по подходу к архитектуре системы, а не по количеству наложенных средств безопасности. Дизайн ОС ТК имеет минимальную поверхность атаки, благодаря чему количество инцидентов стремится к нулю.
- Необходимость эффективно работать с большим количеством сред VDI, решений VPN и ВКС. Усилия вендоров тонких клиентов направлены на совершенствование специализированных прошивок и систем, что позволит одновременно взаимодействовать с множеством ИТ-систем и предоставит инструмент для плавного и предсказуемого перехода с зарубежных на российские среды VDI без потери стабильности бизнес-процессов.
Как внедрение тонких клиентов влияет на общие затраты на ИТ-инфраструктуру и поддержку по сравнению с использованием персональных компьютеров?
Михаил Левинский, Лаборатория Касперского:
Использование тонких клиентов существенно сокращает стоимость владения рабочим местом пользователя за счет сокращения затрат:
- на обеспечение средств кибербезопасности конечных устройств пользователей;
- на масштабирование и администрирование тонких клиентов, особенно расположенных в географически удаленных точках;
- на техобслуживание тонких клиентов, которые реже выходят из строя, чем традиционные рабочие станции и имеют более длительный срок эксплуатации;
- на коммунальные платежи за электроэнергию;
- на услуги высококвалифицированных специалистов, способных обслуживать тонкие клиенты в отдельных бизнес-юнитах организации.
Сергей Даниельян, GETMOBIT:
Переход на инфраструктуру тонких клиентов позволяет снизить как капитальные затраты на ИТ-инфраструктуру (CAPEX), так и операционные (OPEX). Устройства для доступа к инфраструктуре требуют гораздо меньших вычислительных возможностей по сравнению с ПК, что позволяет сократить расходы на оборудование рабочих мест. Устройства ТК быстро конфигурируются и обновляются, настройка одного тонкого клиента приравнивается к настройке десятка обычных устройств по трудозатратам за счет возможности использования шаблонов. Учитывая неизменяемость и файловую систему read-only, снижаются затраты на управление парком устройств. Кроме того, количество инцидентов в техподдержке за счет безопасного дизайна ТК становится минимальным.
Михаил Ушаков, ТОНК:
Затраты на поддержку ИТ-инфраструктуры снижаются в несколько раз. Известно, что персональный компьютер утраивает свою стоимость в течение пяти лет эксплуатации. Инфраструктура, построенная на виртуализации, требует 8–10% ежегодных затрат от первоначальной стоимости внедрения. Многочисленные исследования свидетельствуют о снижении и прямых и косвенных затрат – тонкие клиенты имеют более длительный жизненный цикл и потребляют меньше электроэнергии.
Возможна ли для заказчика плавная миграция с персональных компьютеров на тонкие клиенты?
Михаил Ушаков, ТОНК:
Именно так и происходит в реальности! Заказчик или уже имеет избыточные серверные ресурсы, на которых разворачиваются виртуальные АРМ и приложения для безопасного доступа, или вводит новые, позволяющие масштабировать инфраструктуру предприятия. Сегментарно часть ПК превращаются в тонкие клиенты и по мере вывода их из эксплуатации заменяются на тонкие клиенты. Часто новые филиалы (подразделения) сразу оснащаются тонкими клиентами.
Михаил Левинский, Лаборатория Касперского:
Да, миграция возможна. Как правило она происходит плавно и без ущерба основному бизнесу организации. В этом случае традиционные рабочие станции, которые устаревают, выходят из строя или требуют дополнительных капитальных вложений, заменяются на тонкие клиенты.
Василий Шубин, GETMOBIT:
Этот вопрос стоит разбить на две части.
Во-первых, переход на инфраструктуру VDI (или публикация приложений на терминальных серверах), во-вторых, перевод АРМ в архитектуру тонких клиентов.
Первая задача давно и успешно решается благодаря продуктам разработчиков систем VDI. Вторая задача часто пугала заказчиков, так как представлялась как необходимость сиюминутной замены всего парка АРМ с одного типа устройств на другое.
С решением GETMOBIT плавная миграция с инфраструктуры классических АРМ становится возможной за счет автоматизированной и централизованной конвертации существующих устройств в управляемые тонкие клиенты без существенных трудозатрат.
Топ-3 ошибок заказчика, которые снизят эффективность использования инфраструктуры тонких клиентов и ваши рекомендации, как их избежать.
Александр Тарасов, GETMOBIT:
- Установка на ТК операционной системы общего назначения, увеличивающей затраты на внедрение и сопровождение. Как избежать: выбирать решения со специализированным для ТК системным ПО, управляемой с системой (сервером), которые учитывают все особенности эксплуатации таких систем.
- Выбор неподходящей под задачи заказчика среды VDI и протокола доступа. Ошибка с выбором может создать ограничения для продуктивной работы пользователей (скорость работы, отзывчивость интерфейса приложений, поддержка механизмов идентификации, аутентификации пользователей с применением смарт-карт и аппаратных токенов, корректность работы периферийных устройств, возможность использовать современные средства унифицированных коммуникаций и т.д.). Как избежать: тщательно анализировать возможности VDI, используемые ими протоколы, требования прикладного ПО. Проводить проектирование, пилотирование и внедрение выбранного решения с опытным квалифицированным партнером в тесном взаимодействии с вендорами ТК и VDI.
- Слепое копирование требований ИБ с классической архитектуры ПК.
Как избежать: трезво и взвешенно анализировать требования регулятора в контексте конкретного ИТ-ландшафта и бизнеса заказчика, реализовывать возможности, предоставляемые технологией защиты среды виртуализации, оценивать влияние средств наложенной безопасности на работу протоколов удаленного доступа.
Михаил Левинский, Лаборатория Касперского:
Иногда заказчики рассматривают тонкие клиенты как традиционные персональные компьютеры и пытаются полностью или частично перенести пользовательское ПО из удаленной среды на сторону тонкого клиента. Причины этому могут быть самые разные. В большинстве случаев это решается путем правильного построения VDI-инфраструктуры и выбора пользовательского ПО, которое подходит для такого класса решений.
Михаил Ушаков, ТОНК:
Эти ошибки характеризуются следующими утверждениями: "Он ценный сотрудник, и мы ему доверяем, поэтому для него мы сделаем исключение. Мы так делали последние десять лет, и ничего не случилось." Все, что нарушает единую стратегию цифровой трансформации, стандарты ИБ и подходы к обработке критически важной информации, разрушает бизнес. В офисе рядовой сотрудник использует стационарный тонкий клиент. Дайте топ-менеджеру тонкий клиент в форм-факторе ноутбука, и если он даже его потеряет, это не приведет к катастрофе.
Какие мировые и российские тренды в развитии технологии тонких клиентов вы наблюдаете?
Михаил Ушаков, ТОНК:
Мобильность, внедрение новых технологий, отказ от обязательной работы в офисе – вот, что определяет современные тренды виртуализации рабочих мест. Citrix и VMware претерпевают трансформацию, Microsoft RDS сохраняет господствующие позиции. Вендоры идут по пути создания собственных комплексных решений (пример – HP Anywhere), больше возникает "носимых тонких клиентов". В России формируются и укрепляются отечественные решения, которые уже готовы стать альтернативой ушедшим иностранным.
Михаил Левинский, Лаборатория Касперского:
Если раньше тонкие клиенты использовались в основном для сотрудников, которые работают с текстовыми данными, то сейчас запрос на тонкие клиенты расширился в сторону потребления мультимедиа и сложной 3D-графики. Это, в свою очередь, определило высокие требования к протоколам доставки удаленного контента и компонентам аппаратной платформы тонких клиентов.
Сергей Даниельян, GETMOBIT:
- BYOD – превращение практически любого устройства в ТК.
- Развитая экосистема VDI: поддержка широкого круга VDI (в том числе российских: например Термидеск, Space, Базис и др.), легкая и быстрая интеграция новых решений.
- Наличие возможности безопасного изолированного выполнения локальных приложений на ТК (например клиенты ВКС).
- Переход на программные средства ВКС. Увеличение количества работы с медиапотоками в среде VDI.
- Уход от концепции нулевого или аппаратного тонкого клиента из-за их ограниченного по архитектуре функционала.
Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_3_2024/