Защищенная работа с виртуальными рабочими столами

Кирилл Прямов
Менеджер по маркетингу, ООО “АльтЭль"

VDI обладает рядом существенных преимуществ перед традиционной инфраструктурой: кроме значительной гибкости, этот подход позволяет добиться более высокого уровня информационной безопасности и обеспечить комплексную систему восстановления в случае сбоев (disaster recovery), так как все компоненты десктопа хранятся на сервере, а на устройство передается только графическая информация. Еще один плюс VDI – снижение требований к производительности клиентских устройств, поэтому для работы с виртуальными рабочими столами достаточно возможностей тонких клиентов (thin clients) и нулевых клиентов (zero clients – установлена только прошивка для соединения с сервером). Если эти устройства выйдут из строя или будут утеряны, вероятность компрометации данных оказывается в разы ниже, чем при использовании традиционных компьютеров, так как сами устройства не содержат никакой ценной информации.

Решение проблем

Но при использовании VDI также возникает ряд проблем. Например, если злоумышленник заразит ПО тонкого клиента вредоносным кодом, то может пострадать вся виртуальная инфраструктура. Кроме того, тонкие клиенты также нуждаются в администрировании, и при росте парка таких устройств затраты на их администрирование растут по экспоненте. Для решения этих проблем компания "АльтЭль" – российский разработчик средств защиты информации, применила новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также стандарта NIST и концепций Trusted Computing Group. Ее разработка ALTELL TRUST позволяет обеспечить защищенную работу тонких и нулевых клиентов на принципиально новом уровне, одновременно значительно облегчив процесс администрирования и поддержки VDI с помощью функций централизованного удаленного управления и сбора статистики, а также многофакторной аутентификации на LDAP/AD-серверах.

Возможности ALTELL TRUST

Их можно разделить на четыре большие группы:

1. Доверенная загрузка:
   • контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
   • двухфакторная аутентификация и мандатный контроль доступа до загрузки виртуального рабочего стола и ОС;
   • поддержка USB-идентифика-торов и смарт-карт RuToken и eToken;
   • поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов;
   • поддержка сертификатов X.509.
2. Удаленное управление:
   • удаленное управление пользователями, конфигурациями, группами тонких клиентов, загрузкой обновлений программного обеспечения;
   • централизованное управление процессом обновления установленного ПО;
   • поддержка Intel Active Management Technology (AMT).
3. Контроль и безопасность соединений:
   • обеспечение безопасности соединений (TLS);
   • журналирование действий пользователей и всех этапов работы BIOS;
   • разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (IT-департамент).
4. Тонкий клиент:
   • поддержка работы в режиме нулевого клиента (zero client);
   • поддержка полного стека сетевых протоколов, в том числе Microsoft Remote Desktop Protocol (RDP) и Remote FX;
   • возможность дополнительного встраивания защищенного гипервизора.

Некоторые из указанных возможностей являются уникальными не только для российского, но и для мирового IT-рынка. Например, возможность удаленного управления функциями и обновлениями включенного/выключенного устройства отсутствует у предложений даже таких известных игроков, как Citrix и VMWare (см. табл.).

Использование ALTELL TRUST для защиты VDI

Приведем схему использования ALTELL TRUST в VDI на основе технологий компании Microsoft (см. рис.). При таком сценарии все рабочие места могут быть заменены однотипными тонкими клиентами с ALTELL TRUST в качестве единственного ПО.

Образы виртуальных рабочих столов хранятся на серверах и управляются централизованно, что позволяет осуществлять их быстрое клонирование, восстанавливать образы из резервного хранилища, а также сохранять или возвращать состояние такого образа в любой момент времени. Установка и обновление ПО может производиться на одном базовом виртуальном образе, а затем получившийся образ может копироваться необходимое количество раз. При этом такие действия не затрагивают клиентскую машину и не отвлекают пользователя от выполнения своих задач. Кроме того, в случае необходимости пользователь может работать с виртуальным рабочим столом на любом устройстве, будь то тонкий клиент, ноутбук или смартфон (главное – поддержка соответствующих протоколов).

Перед подключением к виртуальному рабочему столу через тонкий клиент осуществляется многофакторная авторизация пользователей с использованием USB-токена и смарт-карты. Сама аутентификация осуществляется на AD-или LDAP-сервере, что освобождает от необходимости заводить одних и тех же пользователей, так как все учетные записи хранятся централизованно. Благодаря функциям обеспечения контроля целостности программной среды и аппаратной конфигурации ALTELL TRUST позволяет исключить заражение тонкого клиента вредоносными программами, то есть загрузка является доверенной.

Удаленное управление ALTELL TRUST осуществляется с помощью Microsoft System Centre Configuration Manager (MS SCCM) и технологии Intel AMT.

Еще одна важная особенность организации работы через ALTELL TRUST с точки зрения ИБ: возможность переключаться между несколькими виртуальными машинами позволяет одновременно работать с информацией разного уровня секретности. Например, на одной виртуальной машине пользователь может работать с данными ограниченного доступа, а на другой – с Интернетом через открытые каналы связи. Возможна также реализации такой схемы работы, при которой загрузка того или иного виртуального рабочего стола осуществляется в зависимости от данных, предоставленных пользователем при аутентификации. Эта функция делает работу потенциальных пользователей тонкого клиента полностью независимой друг от друга (разные данные, ОС, уровни доступа и т.д.), что также положительно сказывается на уровне ИБ.

Несмотря то что ALTELL TRUST только появился на рынке, эта разработка уже задействована в проекте по защите VDI в нескольких крупных коммерческих и государственных организациях, в том числе в исполнительных органах государственной власти Санкт-Петербурга. Параллельно осуществляется сертификация ALTELL TRUST на соответствие требованиям по уровню 3 контроля отсутствия недеклариро-ванных возможностей, а также на возможность использования для создания автоматизированных систем класса защищенности до 1В. Ожидаемый срок получения сертификатов – I квартал 2014 г.