16.12.2013

Защищённая работа с виртуальными рабочими столами

Connect!, №12, декабрь, 2013<br>
Статья о применении eToken от компании "Аладдин Р.Д." в решении ALTELL TRUST

Сегодня виртуализация является одной из самых активно обсуждаемых тем в IT-сообществе. Одна из новейших тенденций в этой сфере – переход к виртуализации клиентских рабочих столов и развитию группы технологий для поддержки такой инфраструктуры под общим названием VDI (Virtual Desktop Infrastructure).

VDI обладает рядом существенных преимуществ перед традиционной инфраструктурой: кроме значительной гибкости, этот подход позволяет добиться более высокого уровня информационной безопасности и обеспечить комплексную систему восстановления в случае сбоев (disaster recovery), так как все компоненты десктопа хранятся на сервере, а на устройство передаётся только графическая информация. Ещё один плюс VDI – снижение требований к производительности клиентских устройств, поэтому для работы с виртуальными рабочими столами достаточно возможностей тонких клиентов (thin clients) и нулевых клиентов (zero clients – установлена только прошивка для соединения с сервером). Если эти устройства выйдут из строя или будут утеряны, вероятность компрометации данных оказывается в разы ниже, чем при использовании традиционных компьютеров, так как сами устройства не содержат никакой ценной информации.

Решение проблем

Но при использовании VDI также возникает ряд проблем. Например, если злоумышленник заразит ПО тонкого клиента вредоносным кодом, то может пострадать вся виртуальная инфраструктура. Кроме того, тонкие клиенты также нуждаются в администрировании, и при росте парка таких устройств затраты на их администрирование растут по экспоненте. Для решения этих проблем компания "АльтЭль" – российский разработчик средств защиты информации, применила новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также стандарта NIST и концепций Trusted Computing Group. Её разработка ALTELL TRUST позволяет обеспечить защищённую работу тонких и нулевых клиентов на принципиально новом уровне, одновременно значительно облегчив процесс администрирования и поддержки VDI с помощью функций централизованного удалённого управления и сбора статистики, а также многофакторной аутентификации на LDAP/AD-серверах.

Возможности ALTELL TRUST

Их можно разделить на четыре большие группы:

  1. Доверенная загрузка:
    • контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
    • двухфакторная аутентификация и мандатный контроль доступа до загрузки виртуального рабочего стола и ОС;
    • поддержка USB-идентификаторов и смарт-карт RuToken и eToken;
    • поддержка удалённой авторизации пользователей с помощью LDAP/AD-серверов;
    • поддержка сертификатов X.509.
  2. Удалённое управление:
    • удалённое управление пользователями, конфигурациями, группами тонких клиентов, загрузкой обновлений программного обеспечения;
    • централизованное управление процессом обновления установленного ПО;
    • поддержка Intel Active Management Technology (AMT).
  3. Контроль и безопасность соединений:
    • обеспечение безопасности соединений (TLS);
    • журналирование действий пользователей и всех этапов работы BIOS;
    • разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (IT-департамент).
  4. Тонкий клиент:
    • поддержка работы в режиме нулевого клиента (zero client);
    • поддержка полного стека сетевых протоколов, в том числе Microsoft Remote Desktop Protocol (RDP) и Remote FX;
    • возможность дополнительного встраивания защищённого гипервизора.


Некоторые из указанных возможностей являются уникальными не только для российского, но и для мирового IT-рынка. Например, возможность удалённого управления функциями и обновлениями включенного/выключенного устройства отсутствует у предложений даже таких известных игроков, как Citrix и VMWare (см. табл.).


Использование ALTELL TRUST для защиты VDI

Приведём схему использования ALTELL TRUST в VDI на основе технологий компании Microsoft (см. рис.). При таком сценарии все рабочие места могут быть заменены однотипными тонкими клиентами с ALTELL TRUST в качестве единственного ПО.


Образы виртуальных рабочих столов хранятся на серверах и управляются централизованно, что позволяет осуществлять их быстрое клонирование, восстанавливать образы из резервного хранилища, а также сохранять или возвращать состояние такого образа в любой момент времени. Установка и обновление ПО может производиться на одном базовом виртуальном образе, а затем получившийся образ может копироваться необходимое количество раз. При этом такие действия не затрагивают клиентскую машину и не отвлекают пользователя от выполнения своих задач. Кроме того, в случае необходимости пользователь может работать с виртуальным рабочим столом на любом устройстве, будь то тонкий клиент, ноутбук или смартфон (главное – поддержка соответствующих протоколов).

MS SCCM предоставляет возможность доступа к ALTELL TRUST в режиме удалённого рабочего стола и позволяет настраивать как группы устройств, так и каждое защищаемое устройство в отдельности. Intel AMT, в свою очередь, позволяет управлять функциями и конфигурацией защищаемых устройств даже при отключенном питании. В совокупности эти технологии позволяют значительно снизить затраты на администрирование и расширение существующей инфраструктуры. Кроме того, плагин MS SCCM позволяет собрать журналы безопасности со всех тонких клиентов и импортировать их в другую систему, например в СУБД Microsoft SQL Server.

Перед подключением к виртуальному рабочему столу через тонкий клиент осуществляется многофакторная авторизация пользователей с использованием USB-токена и смарт-карты. Сама аутентификация осуществляется на AD-или LDAP-сервере, что освобождает от необходимости заводить одних и тех же пользователей, так как все учётные записи хранятся централизованно. Благодаря функциям обеспечения контроля целостности программной среды и аппаратной конфигурации ALTELL TRUST позволяет исключить заражение тонкого клиента вредоносными программами, то есть загрузка является доверенной.

Удалённое управление ALTELL TRUST осуществляется с помощью Microsoft System Centre Configuration Manager (MS SCCM) и технологии Intel AMT.

Ещё одна важная особенность организации работы через ALTELL TRUST с точки зрения ИБ: возможность переключаться между несколькими виртуальными машинами позволяет одновременно работать с информацией разного уровня секретности. Например, на одной виртуальной машине пользователь может работать с данными ограниченного доступа, а на другой – с Интернетом через открытые каналы связи. Возможна также реализации такой схемы работы, при которой загрузка того или иного виртуального рабочего стола осуществляется в зависимости от данных, предоставленных пользователем при аутентификации. Эта функция делает работу потенциальных пользователей тонкого клиента полностью независимой друг от друга (разные данные, ОС, уровни доступа и т.д.), что также положительно сказывается на уровне ИБ.

Несмотря то что ALTELL TRUST только появился на рынке, эта разработка уже задействована в проекте по защите VDI в нескольких крупных коммерческих и государственных организациях, в том числе в исполнительных органах государственной власти Санкт-Петербурга. Параллельно осуществляется сертификация ALTELL TRUST на соответствие требованиям по уровню 3 контроля отсутствия недекларированных возможностей, а также на возможность использования для создания автоматизированных систем класса защищённости до 1В. Ожидаемый срок получения сертификатов – I квартал 2014 г.