Контакты
Подписка
МЕНЮ
Контакты
Подписка

С каких клиентов подключаться к VDI: вопрос, на который уже есть ответ

С каких клиентов подключаться к VDI: вопрос, на который уже есть ответ

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

С каких клиентов подключаться к VDI: вопрос, на который уже есть ответ

Надежда Мозолина
Инженер ЗАО ОКБ САПР

Плюсы

Среди достоинств применения технологии VDI ее низкая стоимость часто является одним из решающих факторов выбора этого инструмента. Возможность использовать в качестве терминальных клиентов уже существующие СВТ (средства вычислительной техники) заманчива. Прекрасно, если к моменту построения VDI-системы все клиентские рабочие места оснащены должным комплексом средств защиты информации. Конечно, в идеальном мире, где применение каждой технологии, каждой новой единицы техники сначала тщательно планируется, а лишь потом претворяется в жизнь, невозможно обратное. Невозможно, но так часто происходит в реальности.

И когда одним из плюсов внедрения VDI-систем называют возможность применения старых рабочих станций в новой инфраструктуре, о таком важном факторе, как необходимость их должной защиты, часто не говорят. Возможно, потому, что действительно считают, что все СВТ защищены. Но, как бы то ни было, в погоне за экономической выгодой про защиту клиентских мест забывают. Она остается на прежнем уровне, который может быть недостаточным в новых условиях. И более того, мог быть недостаточным и в прежних.

Защита клиентских мест

Есть два решения: первое – защитить уже существующие СВТ, второе – все-таки отказаться от использования старых рабочих станций в качестве клиентских рабочих мест и выбрать новые, защищенные в своем исполнении. И, конечно, можно комбинировать оба эти подхода.

Про защиту СВТ сказано немало. Известно, что необходимо обеспечить их доверенную загрузку, установить средство разграничения доступа и антивирус, возможно, средства электронной подписи и криптографической защиты – зависит от нужд системы. И все это необходимо даже в том случае, если СВТ используются только как тонкий клиент, то есть непосредственно на них не происходит обработки информации. Без доверенной загрузки СВТ нельзя доверять и тому удаленному столу, к которому мы подключаемся. Кто знает, к чему именно производит подключение недоверенный клиент? Без применения средств защиты от вредоносного кода нельзя быть уверенным, что после очередного сеанса работы система, хоть и загруженная доверенно, не изменилась и следующий раз вообще загрузится. И таких примеров можно привести немало. Использование СВТ в качестве тонкого клиента не освобождает нас от необходимости использовать средства защиты информации (СЗИ), которые при этом еще должны быть совместимы с нашими старыми СВТ.

Предоставление доступа к удаленным рабочим столам – технология VDI (Virtual Desktop Infrastructure) – за годы своего применения перестало быть интересной новинкой и перешло в категорию известных и изученных инструментов в руках ИТ-отдела. А вот вопрос безопасности применения данной технологии до сих пор вызывает бурные обсуждения и дискуссии. Прекратить их – значит перестать совершенствовать методы и средства защиты VDI-систем и проиграть борьбу за нашу информацию. Один из важных вопросов – обеспечение безопасности клиентского СВТ для подключения к удаленным рабочим столам. Защищенные микрокомпьютеры семейства MKT – один из ответов.

Использование защищенных компьютеров для подключения к VDI позволяет избежать трудностей и затрат, связанных с проектированием системы защиты для клиентских мест, закупкой и внедрением СЗИ, и при этом обеспечить безопасность рабочих станций.

Разработанные ОКБ САПР микрокомпьютеры семейства MKT гарантируют доверенную загрузку и "вирусный иммунитет". Достигаются эти свойства использованием Новой Гарвардской архитектуры. В случае необходимости разграничения доступа может быть установлен "Аккорд X", совместимый со всеми видами данных микрокомпьютеров. Низкая стоимость микрокомпьютеров этого семейства и отсутствие необходимости их дооснащения средствами защиты обеспечивают ощутимый экономический эффект – заменить старые СВТ на новые защищенные микрокомпьютеры с прекрасными вычислительными характеристиками дешевле, чем защитить эти старые СВТ.

Отличительной особенностью Новой Гарвардской архитектуры является доступный только для чтения (RO) банк памяти, в котором хранится операционная система. Перевод банка памяти в RO-режим осуществляется физически, а не программно, то есть никакие программные действия не смогут изменить операционную систему, нарушить ее целостность. Тем самым достигается доверенность программной среды.

Это же свойство – доступность банка памяти лишь для чтения и запрет на запись – обеспечивает стойкость к вирусам. После выключения или перезагрузки микрокомпьютера семейства MKT все программы, в том числе и вредоносные, из оперативной памяти стираются. В долговременной памяти сохраняется лишь доверенная операционная система, записанная при производстве микрокомпьютера.

Конечно, при использовании такого подхода необходимо заранее знать, какое программное обеспечение необходимо для работы микрокомпьютера в качестве терминального клиента. Но ведь VDI-система изначально предполагает, что вся обработка информации происходит на удаленном рабочем столе пользователя, а значит любой клиент может быть типовым устройством, к которому предъявляется лишь требование обеспечивать доступ к этим столам и состав программного обеспечения которого может быть подготовлен заранее, для всех клиентских рабочих станций.

Использовать старые СВТ и обеспечивать их надлежащими СЗИ, или использовать защищенные MKT, или комбинировать эти решения – ответ зависит от множества факторов и в каждом конкретном случае может быть свой. Важно не забыть задать себе вопрос об обеспечении безопасности клиентских машин.

ОКБ САПР
115114, Москва,
2-й Кожевнический пер., 12
Тел.: (495) 994-7262
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
http://www.okbsapr.ru/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2017
Посещений: 2044


  Автор
Надежда Мозолина

Надежда Мозолина

Преподаватель кафедры “Защита информации" ФРТК МФТИ

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций