Клиентские компьютеры для работы с виртуальными и облачными инфраструктурами: новые российские разработки

Светлана Конявская, заместитель генерального директора, ЗАО «ОКБ САПР», к. ф. н.

На определенном этапе эксплуатации системы удаленного доступа, прежде всего виртуальной инфраструктуры, особенно если используется не собственный ЦОД, а арендованные мощности или облачные сервисы, владелец системы сталкивается с тем, что экономический эффект от применения зоопарка средств вычислительной техники (СВТ) в качестве терминальных клиентов начинает снижаться. Это связано с тем, что у разнородных СВТ, «вторая жизнь» которых изначально позволяла сохранить инвестиции, постепенно заканчивается срок полезного использования, и инвестиции в новое оборудование неизбежны, а вот негативные моменты, такие как потребность обеспечивать совместимость с различной периферией, нюансы совместимости с подсистемой защиты информации и просто необходимость для управляющего персонала разбираться в зоопарке, остаются.

В подобном случае на смену этапу сбора системы из того, что есть в наличии, должен прийти этап унификации. Этим нужно обязательно воспользоваться, чтобы одновременно с унификацией рабочих мест решить еще ряд задач:

  • повышение скорости загрузки клиентских рабочих мест;
  • снижение влияния на состояние системы фактора поддержки периферийного оборудования операционной системой терминального клиента;
  • повышение защищенности информации в системе путем изоляции функциональной и интерфейсной частей терминального клиента, а также за счет схемотехнической защиты от несанкционированной (в том числе случайной) перезаписи и/или повреждения образа начальной загрузки терминальной станции;
  • увеличение эффективности организационных мер обеспечения защиты информации вследствие реализации возможностей новой аппаратной архитектуры;
  • уменьшение стоимости комплекта «аппаратный терминал + средства обеспечения его загрузки».

Получить все эти плюсы позволит реорганизация клиентских рабочих мест таким образом, чтобы стационарным устройствам осталась своего рода док-станция, к которой на время работы подключается мобильное отчуждаемое персональное устройство, выполняющее функции тонкого клиента.

Рабочее место пользователя при этом будет выглядеть следующим образом. На столе устанавливается стационарное устройство небольшого размера, которое подключается к электрической сети и сети Ethernet (возможно исполнение с модулем Wi-Fi, но не всегда применение Wi-Fi допускается политикой безопасности предприятия). В это устройство (док-станцию) подключаются: монитор, клавиатура, мышь, в общем, все периферийное оборудование, которое требуется на конкретном рабочем месте.

Док-станция не имеет собственных ресурсов, поэтому использовать рабочее место пока невозможно – ни локально, ни в качестве терминального клиента.

Для того чтобы начать работу, пользователь подключает к устройству свой персональный отчуждаемый микрокомпьютер.

В нерабочее время, в зависимости от регламента предприятия, устройство может сдаваться под охрану (например, в пенале для ключей) или оставляться под ответственность пользователя.

После того как пользователь включит свой «собранный из двух частей» терминал, производится загрузка клиентской ОС и осуществляется старт сессии работы с терминальным сервером или удаленным рабочим столом, и пользователь работает в обычном режиме, как с любым другим терминалом.

Принципиально важным является тот факт, что вся персонифицированная информация находится только в микрокомпьютере. Док-станция не содержит никаких данных, кроме необходимых для поддержки интерфейсов взаимодействия с периферийными устройствами (мониторы, клавиатуры, мыши, принтеры (МФУ), носители ключей СКЗИ). Это дает возможность свободно перемещать пользователя между единообразно оборудованными рабочими местами, всю персональную информационную среду он будет приносить с собой, и такая мобильность пользователей не скажется на администрировании системы.

Предлагаемое решение – защищенный микрокомпьютер Новой гарвардской архитектуры MKT-card long, разработка ОКБ САПР – конечно, совместимо с ПАК СЗИ НСД «Аккорд TSE», устанавливаемым на терминальные серверы и фермы, в том числе виртуальные, а также с ПАК СЗИ НСД «Аккорд-В», обеспечивающим защиту инфраструктуры виртуализации на базе VMware, ПАК «Аккорд-KVM» (для соответствующей платформы) и ПАК «ГиперАккорд» для инфраструктуры виртуализации на базе Hyper-V.

Концептуальной основой технологии является разделение двух составляющих классического терминала – ОС терминального клиента и интерфейсы (подключения устройств и сетевой) – на два отдельных устройства, более простых и за счет этого более экономичных и защищенных, а также обеспечивающие комфортную рабочую среду пользователя: отчуждаемый персональный микрокомпьютер и стационарная станция с интерфейсами подключения устройств и сетевым.

Отчуждаемость персонифицированной части программной среды, которая обеспечивается благодаря разделению вычислительных ресурсов и интерфейсов подключения (и устройств, и сетевого подключения), а также их размещению в разных устройствах, позволяет усилить защищенность системы:

  • технологически – за счет размещения ОС в защищенной от перезаписи памяти;
  • организационно – устройство после окончания работы может запираться пользователем в сейфе, сдаваться под охрану или сохраняться под персональную ответственность иным способом.

Стационарная часть терминала предусматривает возможность подключения: монитора, клавиатуры, мыши, ключевого носителя (токена), принтера, USB-накопителей, считывателей аппаратных идентификаторов/аппаратных идентификаторов пользователей.

Перечень подключаемых устройств может регулироваться на уровне ОС микрокомпьютера, так как ОС формируется по конкретному заказу для конкретной системы (т. е. если есть необходимость запретить использование флешек, они просто не будут поддерживаться ОС терминала).

Параметры микрокомпьютера:

  • защищенный диск – один;
  • размер диска – 8 ГБ;
  • процессор: четырехъядерный Cortex-A9, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы FullHD;
  • компьютерами можно управлять с помощью проводных (USB) и беспроводных (2,4 Ghz, bluetooth) мышек, клавиатур и пультов;
  • поддерживается работа с защищенными ключевыми носителями по протоколу CCID.

Параметры док-станции:

  • порт HDMI – два;
  • порт USB: восемь (host) + один (slave);
  • порт Ethernet – один;
  • порт питания – 1 DC 4.0 mm;
  • питание: DC 5 V, 2 A.

Размер MKT-card long:

1) в сборе – 12 (с учетом антенны Wi-Fi – 13) × 6,4 × 2,6 см;

2) отчуждаемый ПК – 12 × 3,8 × 1,3 см.

 

Вес MKT-card long:

1) в сборе – 160 г;

2) отчуждаемый ПК – 49 г.

 

Внедрение представленной технологии применения «тонкого клиента» на базе отчуждаемого персонального микрокомпьютера с док-станцией не требует внесения значительных изменений в архитектуру системы, а значит, не увеличивает нагрузку на управляющий персонал и не оказывает негативного влияния на бесперебойность работы.

 

Поделиться:
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее

Подпишитесь
на нашу рассылку