СBS организовала защищённые виртуальные рабочие места для руководства финансового холдинга
- 05.07.2016
- 911
CBS реализовала проект по внедрению виртуализации рабочих столов и двухфакторной аутентификации для управляющей компании финансового холдинга. На момент начала проекта заказчик использовал для удалённой работы терминальный доступ. Новым решением стала инфраструктура VDI, интегрированная с системой двухфакторной аутентификации на основе электронных ключей.
В ходе проекта специалисты CBS организовали 30 виртуальных рабочих мест на базе технологии Linked Clone, настроили удалённый доступ и внедрили систему двухфакторной аутентификации для 30 пользователей из руководства и IT-отдела заказчика.
Главными преимуществами для заказчика стал высокий уровень безопасности системы при простоте её администрирования и удобстве для пользователей. Руководители компании теперь могут подключаться к своим рабочим местам из любой точки мира, например, из общественной Wi-Fi-сети в отеле или в аэропорту, не беспокоясь о сохранности данных. Даже зная логин/пароль, злоумышленник не сможет получить доступ к рабочему месту без персонального ключа защиты (брелока).
Инфраструктура
Реализация поставленных задач требовала новой серверной инфраструктуры, в связи с чем специалистами CBS была рекомендована серверная платформа Dell PowerEdge VRTX. Среди её достоинств — простота развёртывания и управления, высокая производительность, наличие всех необходимых элементов для реализации VDI. Шасси VRTX вмещает до 4-х блейд-серверов, систему хранения данных с SAS и SSD дисками, сетевые компоненты и средства управления. Компактные размеры (48,4 х 31 х 73 см в конфигурации Tower) и уровень шума, сравнимый с обычным ПК, позволяют размещать серверную платформу в офисе, где работают сотрудники.
На ресурсах VRTX были развёрнуты виртуальные хосты ESXi. Для обеспечения отказоустойчивости хосты были объединены в кластер высокой доступности vSphere High Availability (HA) под управлением vCenter Server Virtual Appliance. В случае сбоя виртуального сервера, vSphere HA автоматически перезапустит размещённые на нём виртуальные машины на других серверах с достаточными ресурсами.
Виртуализация рабочих столов
Виртуализация рабочих столов позволяет перенести всю работу с конфиденциальными данными с пользовательских устройств на центральный узел. Это обеспечивает дополнительный уровень защиты данных — они хранятся не на персональных устройствах, а в защищенном ЦОД, и потеря смартфона или ноутбука не приведёт к утечке информации. Помимо этого, виртуализация рабочих столов позволяет быстро разворачивать новые рабочие места и сокращает трудозатраты на их обслуживание. Администрирование системы осуществляется централизованно на сервере, изменения применяются одновременно для всех пользователей, вне зависимости от числа рабочих мест.
Виртуализация ПК была реализована на базе инфраструктуры VMware Horizon View 7.0. Виртуальные рабочие столы предполагалось создавать по технологии Linked Clone. Она позволяет существенно экономить дисковое пространство на СХД, разворачивая виртуальные рабочие столы из единого мастер-образа родительской ВМ. Подробнее о принципе её работы вы можете прочитать в описании нашего проекта по внедрению VDI в учебном центре.
Чтобы оптимально использовать ресурсы системы хранения, мы разделили файл реплики мастер-образа и файлы Linked Clone ВМ. Файл реплики был размещён на быстрых томах SSD, поскольку к нему система будет обращаться более интенсивно, а файлы ВМ — на обычных томах HDD.
Еще одним преимуществом VDI можно назвать умеренные требования к каналу связи. Для доставки удалённого рабочего стола на оконечные устройства используются протоколы PCoIP (PC-over-IP) и Blast. Они предусматривают передачу пользовательским устройствам только данных об изменившихся пикселях, а не полного изображения рабочего стола, что значительно сокращает объём передаваемого трафика.
В качестве брокера клиентских соединений был настроен View Connection Server. Это основной и наиболее критичный компонент виртуальной инфраструктуры VDI, отвечающий за подключение пользователей и предоставление им виртуальных рабочих столов. Для того, чтобы пользователи могли подключаться к своим виртуальным рабочим местам удаленно, из любой точки мира, был настроен шлюз удаленных подключений View Security Server. Это компонент, который размещается в DMZ, и позволяет View Connection Server взаимодействовать со внешними пользователями.
Двухфакторная аутентификация
У администратора не всегда есть возможность проконтролировать надёжность, уникальность и регулярность смены паролей пользователей. Введение второго критерия аутентификации (первый — логин и пароль) обеспечивает высокий уровень защиты даже при слабых паролях. Доступ к рабочим местам пользователей будет защищён не только за счёт доменной авторизации, но также с помощью персональных ключей защиты (программных или в виде брелоков).
Каждую минуту токен аутентификации генерирует новый 6-значный одноразовый пароль. Использование одноразовых кодов доступа позволяет преодолеть уязвимости фиксированных паролей, и при этом удобно для пользователей — им не нужно запоминать длинные сложные пароли. Встроенная батарея аппаратного токена (брелока) рассчитана на несколько лет непрерывной работы без обслуживания. Программные токены работают на большинстве операционных систем.
Если заказчик решит повысить уровень защиты, этот метод аутентификации можно будет совместить с требованием ввода пин-кода — дополнительной комбинации цифр, которую помнит пользователь.
Для проекта использовалась система двухфакторной аутентификации RSA SecurID. Сервер SecurID Authentication Manager интегрируется с брокером клиентских подключений View Сonnection Server и обеспечивает двухфакторную авторизацию пользователей. Он обрабатывает информацию, присылаемую агентами, а также хранит базу пользователей, журнал событий и список всех зарегистрированных токенов. Из панели управления администратор может централизованно управлять профилями пользовательских устройств, назначать и блокировать токены.
Оптимизация использования ресурсов СХД
Современные VDI-среды поддерживают различные технологии, направленные на повышение производительности и оптимизацию использования ресурсов системы. VDI-решения особенно требовательны к быстродействию системы хранения данных, в связи с чем существует целый ряд технологий, направленных на то, чтобы снизить именно нагрузку на СХД. В данном проекте мы задействовали функцию View Storage Accelerator, которая позволяет уменьшить количество обращений к дисковой подсистеме, скопировав её наиболее часто используемые блоки в кэш сервера, а также безагентный антивирус Trend Micro Deep Security, который работает с оперативной памятью, не создавая нагрузку на СХД.
Функция View Storage Accelerator позволяет задействовать кэш на чтение на стороне хоста ESXi (Content Based Read Cache – CBRC). В этом случае наиболее часто использующиеся блоки данных попадают в оперативную память хоста ESXi, и при последующих запросах на чтение выдаются именно из памяти сервера, а не из дисковой подсистемы. Эта технология позволяет повысить быстродействие сервиса при таких событиях, как boot storm и logon storm (когда большое количество пользователей одновременно загружает виртуальные машины или входит в систему — например, в начале рабочего дня).
Виртуальные рабочие столы используют общую систему хранения данных, и обычный антивирус, запущенный на каждой виртуальной машине, будет создавать большую нагрузку на СХД, производя огромное количество обращений к ней. Это может сказаться на работе виртуальных рабочих столов и удовлетворенности пользователей. Поэтому для проекта мы выбрали решение, разработанное специально для виртуализированных сред — безагентный антивирус Trend Micro Deep Security.
Trend Micro Deep Security интегрируется с инфраструктурой виртуализации VMware vSphere посредством антивирусного модуля vShield Endpoint. Он устанавливается на отдельный виртуальный сервер и не требует установки агента защиты на каждую виртуальную машину. Он защищает систему на уровне гипервизора ESXi, анализируя обращения к оперативной памяти хоста. Благодаря этому его работа не перегружает систему хранения данных, что снижает требования к аппаратным ресурсам системы.
Модернизация и масштабирование
По пожеланию заказчика в конфигурацию платформы VRTX был заложен запас по производительности, чтобы в будущем часть сервисов, реализованных на физических устройствах (контроллеры домена, файловые серверы, серверы СУБД, почтовый сервер и прочее), можно было перенести на VRTX в виде виртуальных машин. Кроме того, если возникнет потребность нарастить суммарную вычислительную мощность кластера, на шасси VRTX можно будет добавить дополнительные серверы и увеличить объём СХД.
В рамках проекта был развернут только один Connection Server в виртуальной среде. С увеличением количества пользователей и виртуальных рабочих станций, можно будет развернуть дополнительные брокеры подключения — Replica Servers, для обеспечения дополнительной отказоустойчивости решения и для балансировки подключений.
Для работы пользователям далеко не всегда нужен полноценный рабочий стол Windows, как правило, бывает достаточно доступа к определённым приложениям. В дальнейшем было бы целесообразно дополнить инфраструктуру виртуальных рабочих столов виртуализацией приложений. Это повысит безопасность за счет работы приложений в изолированной среде и позволит снизить потребление системных ресурсов по сравнению с виртуализацией рабочих столов.