Защищенная работа с виртуальными рабочими столами

 

Сегодня виртуализация относится к самым активно обсуждаемым темам в ИТ‑сообществе. Одна из новейших тенденций в этой сфере – переход к виртуализации клиентских рабочих столов и развитию группы технологий для поддержки такой инфраструктуры под общим названием VDI (Virtual Desktop Infrastructure).

VDI обладает рядом существенных преимуществ перед традиционной инфраструктурой: кроме значительной гибкости это подход позволяет добиться более высокого уровня информационной безопасности и обеспечить комплексную систему восстановления в случае сбоев (disaster recovery), так как все компоненты десктопа хранятся на сервере, а на устройство передается только графическая информация. Еще один плюс VDI — снижение требований к производительности клиентских устройств, поэтому для работы с виртуальными рабочими столами достаточно возможностей «тонких клиентов» (thin clients) и «нулевых клиентов» (zero clients, установлена только прошивка для соединения с сервером). Если эти устройства выйдут из строя или будут утеряны, вероятность компрометации данных оказывается в разы ниже, чем при использовании традиционных компьютеров, ибо сами устройства не содержат никакой ценной информации.

Но при использовании VDI возникают и некоторые проблемы. Например, если злоумышленник заразит ПО «тонкого клиента» вредоносным кодом, то может пострадать вся виртуальная инфраструктура. Кроме того, «тонкие клиенты» нуждаются в администрировании, и при увеличении парка таких устройств затраты на их администрирование растут по экспоненте. Для решения данной проблемы компания «АльтЭль» – российский разработчик средств защиты информации – реализовала новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, стандарта NIST и концепций Trusted Computing Group. Ее разработка ALTELL TRUST позволяет обеспечить защищенную работу «тонких» и «нулевых клиентов» на принципиально новом уровне, одновременно значительно облегчая процесс администрирования и поддержки VDI с помощью функций централизованного удаленного управления и сбора статистики, а также многофакторной аутентификации на LDAP/AD-серверах.

Возможности ALTELL TRUST

Возможности ALTELL TRUST можно разделить на четыре большие группы.

Доверенная загрузка:

  • контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
  • двухфакторная аутентификации и мандатный контроль доступа до загрузки виртуального рабочего стола и ОС;
  • поддержка USB-идентификаторов и смарт-карт RuToken и eToken;
  • поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов;
  • поддержка сертификатов 509.

Удаленное управление:

  • удаленное управление пользователями, конфигурациями, группами «тонких клиентов», загрузкой обновлений программного обеспечения;
  • централизованное управление процессом обновления установленного ПО;
  • поддержка Intel Active Management Technology (AMT).

Контроль и безопасность соединений:

  • обеспечение безопасности соединений (TLS);
  • журналирование действий пользователей и всех этапов работы BIOS;
  • разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (ИТ-департамент).

«Тонкий клиент»:

  • поддержка работы в режиме «нулевого клиента» (zero client);
  • поддержка полного стека сетевых протоколов, в том числе Microsoft Remote Desktop Protocol (RDP) и Remote FX;
  • возможность дополнительного встраивания защищенного гипервизора.

Некоторые из указанных возможностей являются уникальными не только для российского, но и мирового ИТ-рынка. Например, возможность удаленного управления функциями и обновлениями включенного/выключенного устройства отсутствует в предложениях даже таких известных игроков, как Citrix и VMWare (см. табл.).

Использование ALTELL TRUST для защиты VDI

Приведем схему использования ALTELL TRUST в VDI на основе технологий компании Microsoft (см. рис.). При таком сценарии все рабочие места могут быть заменены однотипными «тонкими клиентами» с ALTELL TRUST в качестве единственного программного обеспечения. Образы виртуальных рабочих столов хранятся на серверах и управляются централизованно, что позволяет осуществлять их быстрое клонирование, восстанавливать образы из резервного хранилища, сохранять или возвращать состояние такого образа в любой момент времени. Установка и обновление программного обеспечения могут выполняться на одном базовом виртуальном образе, а получившийся образ – копироваться необходимое количество раз. При этом такие действия не затрагивают клиентскую машину и не отвлекают пользователя от выполнения его задач. Кроме того, при необходимости пользователь может работать с виртуальным рабочим столом с любого устройства, будь то «тонкий клиент», ноутбук или смартфон (главное – поддержка соответствующих протоколов).

Перед подключением к виртуальному рабочему столу через «тонкого клиента» осуществляется многофакторная авторизация пользователей с использованием USB-токена и смарт-карты. Сама аутентификация осуществляется на AD- или LDAP-сервере, что освобождает от необходимости заводить одних и тех же пользователей, поскольку все учетные записи хранятся централизованно. Благодаря функциям обеспечения контроля целостности программной среды и аппаратной конфигурации ALTELL TRUST позволяет исключить заражение «тонкого клиента» вредоносными программами, т. е. загрузка является доверенной.

Рисунок. Схема использования ALTELL TRUST в VDI на основе технологий компании Microsoft

Удаленное управление ALTELL TRUST осуществляется с помощью Microsoft System Centre Configuration Manager (MS SCCM) и технологии Intel AMT. MS SCCM предоставляет возможность доступа к ALTELL TRUST в режиме удаленного рабочего стола и настраивать как группы устройств, так и каждое защищаемое устройство в отдельности. Intel AMT, в свою очередь, позволяет управлять функциями и конфигурацией защищаемых устройств даже при отключенном питании. В совокупности эти технологии значительно снижают затраты на администрирование и расширение существующей инфраструктуры. Кроме того, плагин MS SCCM позволяет собрать журналы безопасности со всех «тонких клиентов» и импортировать их в другую систему, например в СУБД Microsoft SQL Server.

Еще одна важная особенность организации работы через ALTELL TRUST с точки зрения информационной безопасности – возможность переключаться между несколькими виртуальными машинами позволяет одновременно работать с информацией разного уровня секретности. Например, в одной виртуальной машине пользователь может работать с данными ограниченного доступа, а в другой – с Интернетом через открытые каналы связи. Кроме того, возможна  реализация такой схемы работы, при которой загрузка того или иного виртуального рабочего стола осуществляется в зависимости от данных, предоставленных пользователем при аутентификации. Эта функция делает работу потенциальных пользователей «тонкого клиента» полностью независимой друг от друга (разные данные, ОС, уровни доступа и т. д.), что также повышает уровень информационной безопасности.

Несмотря на то что ALTELL TRUST только появился на рынке, эта разработка уже задействована в проекте по защите VDI в нескольких крупных коммерческих и государственных организациях, в том числе в исполнительных органах государственной власти Санкт-Петербурга. Параллельно осуществляется сертификация ALTELL TRUST на соответствие требованиям по уровню 3 контроля отсутствия недекларированных возможностей, а также на возможность использования для создания автоматизированных систем класса защищенности до 1В. Ожидаемый срок получения сертификатов – I квартал 2014 г.

Таблица. Сравнение различных решений для организации VDI

Показатель ALTELL TRUST VMWare Sun Oracle MSFT Citrix Red Hat
Способ реализации Прошивка для любого UEFI-совместимого устройства Специализированное устройство Специализированное устройство ПО для Windows ПО для Windows ПО для Windows
Подходящие устройства Любое UEFI-совместимое устройство Teradici SunRay Любое Любое Любое
Развертывание Перепрошивка защищаемого устройства Активация «тонкого клиента» Активация «тонкого клиента» Установка ПО Установка ПО Установка ПО
Управление MS SСCM Management Console PCoIP Management Console Oracle VM Manager MS SCCM Management Console Flex Cast Management Architecture или MS SCCM Red Hat Enterprise Virtualization Manager
VDI-технология Remote FX PCOIP ALP Remote FX Xen Desktop SPICE
HD- и 3D-контент + + + + + +
Многофакторная аутентификация + + + + +
Независимость от локальной ОС + + +
Удаленное управление функциями и обновлениями включенного/выключенного устройства +

 

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку