Введенный во многих регионах режим самоизоляции из-за эпидемии COVID-19 потребовал срочного перевода сотрудников на удаленную работу. Для крупных организаций со многими тысячами и десятками тысяч пользователей эта задача стала настоящим вызовом, ведь если решать ее традиционными методами, требуются весьма нешуточные инвестиции и месяцы напряженной работы.
Например, чтобы создать инфраструктуру VDI для организации виртуальных рабочих мест, придется приобрести серверную ферму. Подготовка контракта и поставка может растянуться на срок от двух до четырех месяцев, и обойдется ферма для VDI в сотни тысяч, а то и миллионы долларов.
Российская компания «ТИОНИКС», дочернее подразделение «Ростелекома», входящее в группу компаний «РТК-ЦОД», предложила изящное и уникально выгодное решение проблемы — быстрое в реализации, недорогое и вполне безопасное. При его использовании сроки создания инфраструктуры для удаленного доступа сотрудников сжимаются до считанных недель, масштабные инвестиции не требуются (решение опирается на имеющийся ИТ-ландшафт), при этом обеспечивается по-настоящему безопасный доступ пользователя к корпоративным ИТ-ресурсам со «стерильного», проверенного и централизованно управляемого рабочего места.
Опора — на ранее сделанные инвестиции
Уходящие на «удалёнку» сотрудники оставляют в офисах свои рабочие ПК — именно они служат основой для работы TIONIX VDI Connect. Решение обеспечивает сотрудникам организации удаленный доступ к их компьютерам.
Антон Петров: «Решение нашей компании обеспечивает по-настоящему безопасный удаленный доступ пользователя к корпоративным системам» |
«Чтобы сотрудник смог из дома подключиться к корпоративным ИТ-ресурсам, ему вручают токен, содержащий, помимо реквизитов для доступа к системам и сертификатов для установления VPN-соединения, загрузочный образ операционной среды, реализующей клиентский терминал, — рассказывает Антон Петров, генеральный директор компании «ТИОНИКС». — Сотрудник загружает с этого токена свой домашний ПК или ноутбук, и после завершения идентификации и аутентификации терминальная операционная среда устанавливает через VPN-канал защищенное соединение со вторым ключевым компонентом решения — размещенным в организации сервером безопасности TIONIX. Проведя необходимые проверки, он обеспечивает создание защищенной сессии и после авторизации сотрудник получает доступ к своему ПК в пустующем офисе своей организации».
Для развертывания сервера безопасности TIONIX достаточно двух виртуальных машин в корпоративном ЦОДе. Среда виртуализации при этом может быть любая — VMware, Hyper-V, платформа виртуализации TIONIX Cloud Platform или какая-то иная. Если организация настаивает на создании отказоустойчивой конфигурации, ей следует выделить не менее двух физических серверов.
Как видим, архитектура компании «ТИОНИКС» не требует масштабных инвестиций в инфраструктуру, поскольку опирается на ИТ-ландшафт закупленных в прежние годы ПК и ноутбуков сотрудников.
Безопасность гарантируется
Обычные схемы предоставления удаленного доступа предполагают, что подключение будет производиться с домашнего компьютера, который никак (за редким исключением) не контролируется системными администраторами организации. Сотрудники и члены их семей, как правило, используют свои домашние ПК не только для доступа к корпоративным ИТ-ресурсам, но также для игр, развлечений и просмотра всевозможных сайтов, что создает реальный риск заражения компьютеров вредоносными программами. Вполне реальной в этом случае является и угроза утечек информации — как преднамеренных, так и случайных (например, если до корпоративных данных доберется вредоносная программа).
«Решение нашей компании обеспечивает по-настоящему безопасный удаленный доступ пользователя к корпоративным системам, расширяя периметр безопасности организации на домашние компьютеры сотрудников, — уверен Антон Петров. — Подключение к ее ИТ-ресурсам производится из «стерильной» в плане информационной безопасности терминальной операционной среды, которой управляют специалисты организации, отвечающие за ИБ. Работающая в соответствии с принятыми в компании политиками безопасности терминальная среда не дает пользователю возможности самовольно скачивать данные на свои носители или подключать внешние устройства, потенциально зараженные вредоносными программами».
Через защищенный VPN-канал и криптошлюз терминальная среда подключается к серверу безопасности TIONIX VDI Server, который располагается в «демилитаризованной зоне» организации, и уже после него — к стоящим в офисах рабочим ПК сотрудников (или к виртуальным машинам, с которыми сотрудники работают, — такой вариант тоже можно использовать).
«В зависимости от принятых в организации политик сервер безопасности может выступать единой точкой входа для удаленных сотрудников либо служить брокером соединения, обеспечивающим корректность подключения, но не пропускающего через себя весь трафик, которым организация обменивается с удаленными пользователями, — продолжает Антон Петров. — TIONIX VDI Server может использовать имеющуюся в организации криптосеть или интегрироваться с различными VPN-клиентами, в частности с продуктами Инфотекс, Код безопасности, Cisco, CheckPoint и др. Кроме этого для защиты каналов связи возможно использовать решение NGate компании "КриптоПро", которое интегрируется с сервером безопасности. В этом случае можно избежать необходимости использовать программно-аппаратные криптомаршрутизаторы. Решение предоставляет весь необходимый набор механизмов для централизованного управления клиентскими терминальными средами, в том числе их мониторинга, обновления ПО, изменения конфигураций и пр.»
Повышению уровня информационной безопасности способствует и то, что решение компании «ТИОНИКС» существенно упрощает работу пользователей, снижая вероятность ошибок аутентификации и авторизации: прохождение этих процедур облегчают хранящиеся на токене реквизиты и сертификаты. Впрочем, если авторизацию с помощью пароля и реквизитов на токене в организации считают недостаточно надежной, можно организовать многофакторную авторизацию с применением биометрии или кардридера, считывающего данные с корпоративной смарткарты сотрудника. Такие решения уже были реализованы.
Заметим, что решение изначально создавалось в расчете на заказчиков, предъявляющих очень строгие требования к информационной безопасности. В таких организациях часто действует «железное» правило: компьютеры, имеющие доступ к публичному Интернету, не имеют физической возможности подключаться к внутренним корпоративным или ведомственным сетям, и наоборот. Решение «ТИОНИКС» позволило безопасным образом использовать ПК сотрудников в мультиконтурном режиме, создавая две или более изолированных сред функционирования для работы с внешними сетями и корпоративными информационными системами.
Сроки внедрения минимальны
Еще одно весомое преимущество решения «ТИОНИКС» — сокращение в разы сроков внедрения инфраструктуры для удаленного доступа сотрудников. Длительность проекта зависит в первую очередь от особенностей ИТ-ландшафта организации: если создание дополнительных интерфейсных модулей не требуется, проект вполне укладывается в две недели с учетом всех согласований. В организациях с более замысловатым ИТ-ландшафтом проект может занять несколько недель, поскольку понадобится время на разработку интерфейсов и шлюзов.
Проекты в крупных организациях, как правило, реализуются силами штатных специалистов «ТИОНИКС». Также их могут осуществлять прошедшие необходимую подготовку системные интеграторы и дочерние ИТ-компании организаций-заказчиков. Дальнейшее сопровождение решения берут на себя службы эксплуатации заказчиков или выполняющие эту функцию интеграторы.
Преимущества очевидны
Преимущества решений «ТИОНИКС» уже оценили в ряде крупных российских государственных и коммерческих структур. Значительная часть заказчиков продолжит использовать решения «ТИОНИКС» и после завершения карантина, чтобы обеспечить своим сотрудникам экономически выгодный, безопасный и эффективный удаленный доступ к своим системам.
Напоследок отметим еще одно преимущество решения «ТИОНИКС» перед традиционными системами VDI, которое приобрело особую значимость в период массовой самоизоляции. Как известно, инфраструктура VDI часто становится узким местом при попытке обеспечить пользователям стабильную и качественную видеосвязь — ее производительности и пропускной способности оказывается явно недостаточно. Решение «ТИОНИКС» позволяет сотрудникам безо всяких проблем пользоваться популярными системами видеосвязи, поскольку соединение с серверами видеосервисов устанавливается не из корпоративной сети (если, конечно, эти серверы не развернуты внутри организации), а прямо с домашнего ПК, и видеотрафик передается по открытому сегменту Интернета, в то время как доступ к корпоративным ИТ-ресурсам осуществляется через закрытый сегмент. В результате сотрудники получают возможность не только успешно работать со своими приложениями, но и организовывать онлайн-встречи и видеоконференции. Как многие уже почувствовали, сохранять коммуникации в условиях карантина — это бесценно!