Cienkie klienty z perspektywy bezpieczeństwa

Masowe przejście na pracę z domu wyraźnie wskazało najlepsze technologie zapewniające bezpieczne i wygodne środowisko zdalne.

Ze względu na pandemię i wymuszoną samoizolację rok 2020 przyniósł dla firm wiele całkowicie nowych pytań. Jedno z nich stało się w tych okolicznościach dość stosowne — czy którakolwiek firma kiedykolwiek musiała wcześniej obliczać amortyzację związaną z korzystaniem przez pracowników z domowych krzeseł, monitorów i biurek? Na działy IT i bezpieczeństwa spadło z kolei ogromne obciążenie. Ci pierwsi musieli wyposażyć personel w zdalne środowisko pracy, a drudzy pilnie przygotować nowe strategie bezpieczeństwa informacji dla świata, w którym obwód bezpieczeństwa jest wszędzie.

Pesymiści przewidywali upadek IT, co się jednak nie stało; większości firm udało się dość szybko przeorganizować swoje działanie. Jednak sposób przejścia na nowy styl pracy był różny. Firmy, w których jeszcze przed pandemią pracownicy używali głównie laptopów, były w lepszym położeniu. Podobnie było z tymi, które miały już aktywną politykę BYOD. Część największych na świecie firm postanowiło wysłać swoich pracowników na pracę zdalną, aby zmniejszyć koszty. Światowi giganci z branży IT, w tym Oracle, Rimini Street i Okta, stwierdzili, że częściowe rozproszenie przestrzeni biurowej po świecie miało ostatecznie pozytywny wpływ.

Bardziej skomplikowane było zapewnienie bezpieczeństwa. Wiele działów bezpieczeństwa informacji nie było na to gotowych: po pierwsze, ludzie nagle zaczęli pracować przy użyciu swoich lokalnych sieci domowych, na swoim sprzęcie sieciowym, który nie był monitorowany, zarządzany ani nawet aktualizowany przez firmę. Po drugie, urządzenia zaczęły wykonywać wiele różnych zadań, z których nie wszystkie miały coś wspólnego z firmą. Na przykład rodzice i dzieci korzystali z tych samych laptopów do pracy i nauki. Co więcej, w niektórych przypadkach ten sam komputer łączył się z sieciami dwóch różnych firm, co również nie podobało się pracownikom działu bezpieczeństwa.

Czy wiesz, które firmy miały najmniej problemów, jeśli chodzi o IT i bezpieczeństwo? Te, które aktywnie korzystały z technologii do wirtualizacji, a dokładniej z infrastruktury pulpitu zdalnego (ang. Virtual Desktop Infrastructure, VDI).

Czym są pulpity wirtualne?

Co do zasady, wirtualizacja pulpitu stara się oddzielić przestrzeń roboczą pracownika od urządzenia fizycznego, na którym pracuje. Firma organizuje klaster obliczeniowy przy użyciu swojej infrastruktury (lub dzierżawi przepustowość), wdraża platformę wirtualizacji i tworzy maszyny wirtualne dla każdego pracownika. Obraz maszyny wirtualnej zawiera całe oprogramowanie, którego potrzebuje dany pracownik.

Pracownicy mogą łączyć się ze swoimi pulpitami wirtualnymi (i zasobami firmowymi, których użycie zostało w ich przypadku dopuszczone) z dowolnego urządzenia, np. komputera stacjonarnego, cienkiego klienta, laptopu czy tableta. Mówiąc ogólnie, mogą nawet użyć telefonu — z którym mogą połączyć klawiaturę, myszkę i monitor (niektórzy naprawdę pracują w takiej konfiguracji). Praktyka ta nie ogranicza się do pracy zdalnej czy przez internet; w niektórych firmach pulpity wirtualne są używane również w biurach, ponieważ tak naprawdę technologia ta oferuje firmom wiele zalet, np.:

  • Łatwość utrzymania. System pamięci danych przechowuje wstępnie skonfigurowane obrazy maszyn wirtualnych dla każdego pracownika lub grup roboczych o podobnym zakresie obowiązków, a wszystkie są zarządzane centralnie, co zmniejsza obciążenie działu IT.
  • Skalowalność. Jeśli pracownik nagle będzie potrzebował więcej mocy obliczeniowej lub więcej pamięci RAM, administrator może przypisać mu wymagane zasoby, zamiast wprowadzać zmiany w sprzęcie.
  • Odporność. Jeśli urządzenie, które łączy się z urządzeniem wirtualnym, ulegnie awarii, pracownik może zwyczajnie połączyć się z innego sprzętu, nie tracąc żadnych danych i nie marnując czasu.
  • Bezpieczeństwo. Jak nietrudno sobie wyobrazić, dla nas — firmy Kaspersky — to największa zaleta, która jest szczególnie widoczna w technologii pulpitu zdalnego, który jest używany wraz z cienkimi klientami.

Komputery wirtualne, cienkie klienty i bezpieczeństwo

Z punktu widzenia bezpieczeństwa pulpity wirtualne są dobre chociażby dlatego, że mogą chronić oprogramowanie, którego pracownicy używają, przed nieautoryzowanym użyciem lub zmianami. Oczywiście użytkownicy mogą zmieniać pliki robocze i ustawienia interfejsu, ale są one przechowywane oddzielnie od maszyny wirtualnej. Wszelkie zmiany dokonywane na oprogramowaniu — oraz wszelki szkodliwy kod pobrany na maszynę wirtualną — znikają po ponownym uruchomieniu sprzętu. Nie oznacza to, że maszyny wirtualne mogą działać bez ochrony, ale w ogromnym stopniu zmniejsza możliwość ukrycia ataku APT na komputerze służącym do pracy.

Jednak jak już wspomnieliśmy, użytkownicy otrzymują maksymalny poziom ochrony, łącząc się z wirtualnymi pulpitami z cienkich klientów. Cienki klient to urządzenie działające w trybie terminala. Nie ma ono żadnej pamięci wewnętrznej, lecz jest samą obudową, która łączy się z serwerem i umożliwia użytkownikom podłączanie monitora i urządzeń peryferyjnych (konfiguracja może się różnić w zależności od modelu). Cienki klient nie przetwarza ani nie przechowuje żadnych danych związanych z pracą.

Oczywiście cienki klient wymaga dobrego kanału komunikacji, jednak w ostatnich latach nie stanowi to żadnej przeszkody.

Komunikacja pomiędzy cienkim klientem a serwerem jest zwykle realizowana za pośrednictwem protokołu szyfrowanego, co rozwiązuje problem niezawodnego środowiska sieciowego. Oczywiście z punktu widzenia użytkownika jest to urządzenie znacznie mniej wszechstronne niż np. laptop. Nie można użyć go do grania, łączyć się z innymi systemami informatycznymi ani wykonywać wielu innych rzeczy, które mogą być zakazane w miejscu pracy. Warto również wspomnieć, że ten rodzaj urządzenia rozwiązuje jeden z potencjalnych problemów kradzieży sprzętu — ponieważ nie znajdują się na nim żadne dane, nic nie wycieknie.

Sądząc po coraz większym zainteresowaniu firm w zapewnianiu bezpieczeństwa informacji do pracy zdalnej, spodziewamy się dalszego wzrostu liczby gotowych rozwiązań infrastruktury pulpitów zdalnych. Najprawdopodobniej najlepszym sposobem będzie korzystanie z usług chmur publicznych, aby wyeliminować konieczność znacznego modyfikowania infrastruktury fizycznej. Wygląda więc na to, że doszliśmy do etapu, w którym duże firmy przechodzą na VDI. To jeden z powodów, dla których aktywnie zwiększamy swoje doświadczenie w tym obszarze i pracujemy nad rozwiązaniami dla cienkich klientów opartych na naszym systemie operacyjnym, KasperskyOS.

Porady