Доклады, выступления, видео и электронные публикации

С каких клиентов подключаться к VDI: вопрос, на который уже есть ответ

Мозолина Н. В., ЗАО ОКБ САПР

Предоставление доступа к удалённым рабочим столам, технология VDI (Virtual Desktop Infrastructure), за годы своего применения перестало быть интересной новинкой и перешло в категорию известных и изученных инструментов в руках IT отдела. А вот вопрос безопасности применения данной технологии до сих пор вызывает бурные обсуждения и дискуссии. Прекратить их – значит перестать совершенствовать методы и средства защиты VDI систем и проиграть борьбу за нашу информацию. Один из важных вопросов – обеспечение безопасности клиентского СВТ для подключения к удалённым рабочим столам. Защищённые микрокомпьютеры семейства MKT – один из ответов.

Среди достоинств применения технологии VDI её низкая стоимость часто является одним из решающих факторов выбора этого инструмента. Возможность использовать в качестве терминальных клиентов уже существующие СВТ (средства вычислительной техники) заманчива. Прекрасно, если к моменту построения VDI системы все клиентские рабочие места оснащены должным комплексом средств защиты информации. Конечно, в идеальном мире, где применение каждой технологии, каждой новой единицы техники сначала тщательно планируется, а лишь потом претворяется в жизнь, невозможно обратное. Невозможно в идеальном мире, но так часто встречается в реальном.

И когда одним из плюсов внедрения VDI систем называют возможность применения старых рабочих станций в новой инфраструктуре, о таком важном факторе, как необходимость их должной защиты часто не говорят. Возможно, потому, что действительно считают, что все СВТ защищены. Но, как бы то ни было, в погоне за экономической выгодой про защиту клиентских мест забывают. Она остаётся на прежнем уровне, который может быть недостаточным в новых условиях. И более того, мог быть недостаточным и в прежних.

Каким же образом обеспечить защиту клиентских мест?

Есть два решения: первое – защитить уже существующие СВТ, второе – всё-таки отказаться от использования старых рабочих станций в качестве клиентских рабочих мест и выбрать новые, защищённые в своём исполнении. И конечно, можно комбинировать оба эти подхода.

Про защиту СВТ сказано не мало. Известно, что необходимо обеспечить его доверенную загрузку, установить средство разграничения доступа и «антивирус», возможно, средства электронной подписи и криптографической защиты, – зависит от нужд пользователя. И все это необходимо даже в том случае, если СВТ используется только как тонкий клиент, то есть непосредственно на нём не происходит обработки информации. Без доверенной загрузки СВТ нельзя доверять и тому удалённому столу, к которому мы подключаемся. Кто знает, к чему именно производит подключение недоверенный клиент? Без применения средств защиты от вредоносного кода нельзя быть уверенным, что после очередного сеанса работы система, хоть и загруженная доверенно, не изменилась и следующий раз вообще загрузится. И таких примеров можно привести немало. Использование СВТ в качестве тонкого клиента не освобождает нас от необходимости использовать средства защиты информации (СЗИ), которые при этом еще должны быть совместимы с нашими старыми СВТ.

Использование защищённых компьютеров для подключения к удалённым рабочим столам позволяет избежать трудностей и затрат, связанных с проектированием системы защиты для клиентских мест, закупкой и внедрением СЗИ, и при этом обеспечить безопасность рабочих станций.

Разработанные «ОКБ САПР» микрокомпьютеры семейства MKT гарантируют доверенную загрузку и «вирусный иммунитет». Достигаются эти свойства использованием Новой Гарвардской архитектуры. В случае необходимости разграничения доступа может быть установлен «Аккорд X», совместимый со всеми видами данных микрокомпьютеров. Низкая стоимость микрокомпьютеров этого семейства и отсутствие необходимости их дооснащения средствами защиты обеспечивают ощутимый экономический эффект – заменить старые СВТ на новые защищенные микрокомпьютеры с прекрасными вычислительными характеристиками – дешевле, чем защитить эти старые СВТ.

Отличительной особенностью Новой Гарвардской архитектуры является доступный только на чтение (RO) банк памяти, в которой хранится операционная система. Перевод банка памяти из RW-режима (чтения и записи) в RO-режим возможен лишь с помощью физического переключателя, спрятанного внутри корпуса микрокомпьютера, то есть никакие программные действия не смогут изменить операционную систему, нарушить её целостность. Тем самым достигается доверенность программной среды.

Это же свойство, доступность банка памяти лишь на чтение и запрет на запись, обеспечивает стойкость к вирусам. После выключения или перезагрузки микрокомпьютера семейства MKT все программы, в том числе и вредоносные, из оперативной памяти стираются. В долговременной памяти сохраняется лишь доверенная операционная система, записанная при производстве микрокомпьютера.

Конечно, при использовании такого подхода необходимо заранее знать, какое программное обеспечение необходимо для работы микрокомпьютера в качестве терминального клиента. Но ведь VDI система изначально предполагает, что вся обработка информации происходит на удалённом рабочем столе пользователя, а значит любой клиент может быть типовым устройством, к которому предъявляется лишь требование обеспечивать доступ к этим столам и состав программного обеспечения которого может быть подготовлен заранее, для всех клиентских рабочих станций.

Использовать старые СВТ и обеспечивать их надлежащими СЗИ, или использовать защищённые MKT, или комбинировать эти решения – ответ зависит от множества факторов и в каждом конкретном случае может быть свой. Наиболее важно не забыть ответить на вопрос обеспечения безопасности клиентских машин.

Автор: Мозолина Н. В.

Дата публикации: 01.01.2017

Библиографическая ссылка: Мозолина Н. В. С каких клиентов подключаться к VDI: вопрос, на который уже есть ответ // Information Security/Информационная безопасность. М., 2017. № 3. С. 39.


Scientia potestas est
Кнопка связи