Доклады, выступления, видео и электронные публикации

Клиентские компьютеры для работы с виртуальными и облачными инфраструктурами: новые российские разработки

Светлана Конявская, заместитель генерального директора ЗАО «ОКБ САПР»

На определенном этапе эксплуатации системы удаленного доступа, особенно виртуальной инфраструктуры, особенно — если используется не собственный ЦОД, а арендованные мощности, или тем более облачные сервисы, владелец системы неизбежно сталкивается с тем, что экономический эффект от возможности применения «зоопарка» средств вычислительной техники (СВТ) в качестве терминальных клиентов начинает снижаться. Это связано с тем, что у разнородных СВТ, возможность использования которых изначально позволяла сохранить инвестиции, постепенно заканчивается срок полезного использования, и инвестиции в новое оборудование все равно требуются, а вот негативные особенности — такие как необходимость обеспечивать совместимость с различной периферией, нюансы совместимости с подсистемой защиты информации и просто необходимость для управляющего персонала разбираться в «зоопарке» — остаются.

В этом случае на смену этапу сбора системы из того, что есть в наличии, должен прийти этап унификации.

Этим нужно обязательно воспользоваться, чтобы одновременно с унификацией рабочих мест решить еще ряд задач:

  1. повышения скорости загрузки клиентских рабочих мест,
  2. снижения влияния на состояние системы фактора поддержки периферийного оборудования операционной системой терминального клиента,
  3. повышения защищенности информации в системе за счет изоляции функциональной и интерфейсной частей терминального клиента одной от другой,
  4. повышения защищенности информации в системе за счет схемотехнической защиты от несанкционированной (в том числе, случайной) перезаписи и/или повреждения образа начальной загрузки терминальной станции,
  5. повышения эффективности организационных мер обеспечения защиты информации за счет возможностей новой аппаратной архитектуры,
  6. ощутимого снижения стоимости комплекта «аппаратный терминал + средства обеспечения его загрузки».

Получить все эти плюсы позволит реорганизация клиентских рабочих мест таким образом, чтобы стационарным устройством осталась своего рода «док-станция», к которой на время работы подключается мобильное отчуждаемое персональное устройство, выполняющее собственно функции тонкого клиента.

Рабочее место пользователя при этом будет выглядеть следующим образом. На столе будет установлено стационарное устройство небольшого размера, подключенное к электрической сети и сети Ethernet (возможно исполнение с модулем Wi-Fi, но не всегда применение Wi-Fi допускается политикой безопасности предприятия).

В это устройство (док-станцию) подключены: монитор, клавиатура, мышь, в общем, все периферийное оборудование, которое требуется на данном конкретном рабочем месте.

Док-станция не имеет никаких собственных ресурсов, поэтому использовать рабочее место пока невозможно — ни локально, ни в качестве терминального клиента.

Для того чтобы начать работу, пользователь подключает к устройству свой персональный отчуждаемый микрокомпьютер, который он приносит с собой в начале рабочего дня.

В нерабочее время, в зависимости от регламента предприятия, устройство может сдаваться под охрану (например, в пенале для ключей) или оставляться под ответственность пользователя.

После того как пользователь включает свой «собранный из двух частей» терминал, производится загрузка клиентской ОС и старт сессии работы с терминальным сервером или удаленным рабочим столом, и пользователь работает в обычном режиме, как с любым другим терминалом.

Принципиально важным является тот факт, что всю персонифицированную информацию содержит только микрокомпьютер, док-станция же не содержит никаких данных, кроме необходимых для поддержки интерфейсов взаимодействия с периферийными устройствами (мониторы, клавиатуры, мыши, принтеры (МФУ), носители ключей СКЗИ).

Это дает возможность свободно перемещать пользователя, в случае необходимости, между единообразно оборудованными рабочими местами, всю персональную информационную среду он будет приносить с собой, и такая мобильность пользователей не скажется на усложнении администрирования системы.

Предлагаемое решение — защищенный микрокомпьютер Новой гарвардской архитектуры MKT-card long, являясь разработкой ОКБ САПР, конечно, совместимо с ПАК СЗИ НСД «Аккорд TSE», устанавливаемым на терминальные сервера и фермы, в том числе виртуальные, а также с ПАК СЗИ НСД «Аккорд-В.», обеспечивающим защиту инфраструктуры виртуализации на базе VMware, ПАК Аккорд-KVM (для соответствующей платформы) и ПАК «ГиперАккорд» для инфраструктуры виртуализации на базе Hyper-V.

Концептуальной основой технологии является разделение двух составляющих классического терминала:

  • ОС терминального клиента;
  • интерфейсы подключения устройств и сетевой интерфейс

на два отдельных устройства, более простые и за счет этого более экономичные, более защищенные и обеспечивающие более комфортную рабочую среду пользователя:

  1. отчуждаемый персональный микрокомпьютер,
  2. стационарная станция с интерфейсами подключения устройств и сетевым интерфейсом.

Отчуждаемость персонифицированной части программной среды, которая обеспечивается за счет разделения вычислительных ресурсов и интерфейсов подключения (как устройств, так и сетевого подключения), а также их размещения в разных устройствах, позволяет усилить защищенность системы:

  • технологически — за счет размещения ОС в защищенной от перезаписи памяти,
  • организационно — устройство после окончания работы может запираться пользователем в сейфе, сдаваться под охрану или сохраняться под персональную ответственность иным способом.

Стационарная часть терминала предусматривает возможность подключения:

  • монитора,
  • клавиатуры,
  • мыши,
  • ключевого носителя (токена).
  • принтера,
  • USB-накопителей,
  • считывателей аппаратных идентификаторов / аппаратных идентификаторов пользователей.

При этом перечень подключаемых устройств может регулироваться на уровне ОС микрокомпьютера, так как ОС формируется по конкретному заказу для конкретной системы (то есть если надо запретить пользователям флешки, они просто не будут поддерживаться ОС терминала).

Параметры микрокомпьютера таковы:

  • Защищенный диск: 1
  • Размер диска: 8 ГБ
  • Процессор: 4-х ядерный Cortex-A9, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы FullHD.
  • Компьютерами можно управлять с помощью проводных (USB) и беспроводных (2.4 Ghz, bluetooth) мышек, клавиатур и пультов.
  • Поддерживается работа с защищенными ключевыми носителями по протоколу CCID.

Параметры док-станции:

  • Порт HDMI: 2
  • Порт USB: 8 (host) + 1 (slave)
  • Порт Ethernet: 1
  • Порт питания: 1 DC 4.0 mm
  • Питание: DC 5V, 2A.

Размер MKT-card long:

  1. в сборе — 12 (с учетом антенны WiFi — 13) х 6.4×2.6 см
  2. отчуждаемый ПК — 12×3.8×1.3 см

Вес MKT-card long:

  1. в сборе — 160 гр.
  2. отчуждаемый ПК — 49 гр.

Внедрение описанной технологии применения тонкого клиента на базе отчуждаемого персонального микрокомпьютера с «док-станцией» не требует внесения значительных изменений в архитектуру системы, а значит не увеличит нагрузку на управляющий персонал и не окажет негативного влияния на бесперебойность работы.

Автор: Конявская С. В.

Дата публикации: 01.01.2017

Библиографическая ссылка: Конявская С. В. Клиентские компьютеры для работы с виртуальными и облачными инфраструктурами: новые российские разработки // Connect!. 2017. № 4. С. 112–113.


Scientia potestas est
Кнопка связи