Ваш город Москва?

Офис территориально-распределённый

ИТ-инфраструктура корпоративной информационной системы  с территориально-распределенными подразделениями.

Корпоративная информационная система (КИС) – составная часть ИТ-инфраструктуры, которая включает в себя информационные центры, базы данных, системы связи и совместной работы, а также автоматизированные рабочие места. При построении корпоративной информационной системы (КИС) необходимо учитывать ряд важных факторов. Так, например, распространенной ошибкой многих компаний является то, что сначала производится внедрение ERP (Enterprise Resource Planning, планирование ресурсов предприятия)  системы, а затем компании оказываются перед фактом, что инфраструктура не готова для обслуживания этой системы. ИТ-инфраструктура является ядром всех остальных информационных систем или бизнес приложений. И именно от того, как построена ИТ-инфраструктура, насколько она надёжна и производительна, будет зависеть работа всех остальных приложений, ERP систем, баз данных, а как следствие, и работа организации в целом.

Пример расположения рабочих мест и периферийного оборудования в одном из офисов крупной компании

С ростом масштаба компании использование классического подхода к организации рабочих мест сотрудников чаще всего существенно усложняется. Это приводит к появлению ряда сравнительно больших издержек, например: на развертывание новых рабочих мест (закупка, монтаж технических средств, установка и обновление ПО, лицензий); на поддержку работоспособности (техническое обслуживание, в том числе резервирование и восстановление); на управление рабочими местами, поддержку пользователей КИС; на управление инцидентами, а также ликвидацию последствий реализации угроз информационной безопасности (ИБ), приводящих, в частности, к нарушению доступности критически важных корпоративных информационных ресурсов либо разглашению конфиденциальных данных. Эта ситуация характерна для многих крупных банков, страховых компаний, государственных учреждений, в сфере образования и медицины, крупных торговых сетей, а также телеком-операторов. Отличительной чертой всех перечисленных структур является прежде всего сравнительно большое количество территориально-распределенных подразделений и сотрудников. Дабы избежать трудностей и снизить возможные издержки при расширении штата компании, взгляд ИТ-директоров чаще всего падает на предлагаемые сегодня решения по виртуализации рабочих мест (Virtual Desktop Infrastructure, или VDI). В рамках такого подхода сотрудники компании получают возможность более гибкого взаимодействия с корпоративными информационными ресурсами и данными – без привязки к конкретной «прослойке» и средствам доступа. Переход к VDI является перспективным решением в части оптимизации бизнеса любой крупной компании.

Топологическая схема подключения рабочих мест в территориально распределенной ИТ-инфраструктуре крупной компании

Основные преимущества решений на платформах VDI:

Разбиение
- Выполнение нескольких операционных систем на одном физическом компьютере
- Разделение системных ресурсов между виртуальными машинами

Изоляция
- Изоляция сбоев и нарушений системы безопасности на аппаратном уровне
- Сохранение уровня производительности с помощью расширенных средств управления ресурсами

Инкапсуляция
- Полное сохранение состояния виртуальной машины в виде файлов
- Перемещение и копирование виртуальных машин аналогичны операциям с файлами

Независимость от оборудования
- Инициализация и перенос любой виртуальной машины на любой физический сервер

Легкость масштабирования
Возможность миграции рабочих мест между серверами
Невысокая удельная среднегодовая стоимость одного рабочего места

К недостаткам решений на VDI можно отнести:

- Решения ведущих вендоров требуют больших первоначальных капитальных затрат.
- Серверная плотность значительно ниже, чем в решениях RDP.

Технологии виртуализации дают целый ряд экономических преимуществ:

1. Значительно сокращаются затраты на приобретение рабочих станций. Срок службы компьютеров ТОНК составляет 8-9 лет (60 000 часов наработки на отказ), в то время как средний срок службы персонального компьютера ограничен 4-5 годами, что обусловлено конструктивными особенностями этих устройств. При использовании технологий виртуализации использование тонких клиентов оправдано не только с точки зрения ИБ, но и экономически.

2. Значительная экономия на программном обеспечении; дистрибутивах операционных систем, антивирусном ПО, специализированном ПО.

3. Сокращение затрат на обслуживание оборудования. Рабочие станции приходится модернизировать, заменять вышедшие из строя комплектующие, производить чистку от пыли и т.д. Всё это влечёт за собой огромные административные и финансовые затраты. тонкие клиенты построены на интегрированных в плату процессорах с пассивным охлаждением, не содержат жёсткого диска,  и поэтому не требуют никакого обслуживания.

4. Сокращение затрат на обслуживание программного обеспечения. В большинстве компаний количество системных администраторов, обслуживающих компьютеры пользователей, примерно в 10 раз больше, чем системных администраторов, обслуживающих сервера. И это естественно, т.к. число рабочих станций на порядок больше, чем серверов. При этом, у каждой рабочей станции своя операционная система и свои приложения, с которыми могут быть свои проблемы: сбой драйвера, неудачное обновление, неверные действия пользователя, действия вирусов и т.д. При использовании служб терминалов все эти проблемы практически исключаются. Требуется обслуживать только несколько серверов терминалов и только один экземпляр каждого приложения. Компания ТОНК предлагает своим заказчикам систему централизованного управления большим количеством устройств (СССМ), которая значительно упрощает администрирование рабочих станций.

Помимо сказанного, следует отметить, что пользователи получают возможность работы с ресурсоёмкими бизнес-приложениями, такими как SAP, 1С Предприятие, Oracle, Microsoft Dynamics, а при использовании технологии аппаратного PCoIP на нулевых клиентах ТОНК 1100Z - и с CAD-приложениями, 3D-моделированием, редактированием видео в высоком разрешении. При этом работа в сеансе полностью независима от состояния устройства пользователя. К примеру, можно, уходя на выходные, запустить длительный процесс формирования отчетности или процесс рендеринга, а, спустя день-два, зайти в сеанс с любого устройства и продолжить работу.

Вид рабочего места в офисе

Основные моменты ИБ, на которые следует обратить внимание при выборе решения виртуализации:

1. При выборе программной платформы VDI существенным фактором является наличие на рынке специализированных средств защиты, адаптированных под конкретные продукты виртуализации рабочих мест.
Сама архитектура VDI имеет ряд технологических особенностей, вследствие которых использование неадаптированных средств защиты может привести к возникновению некоторых проблем, связанных с их эксплуатацией в составе решения. Использование же адаптированных средств позволяет существенно снизить показатели «побочной» нагрузки на ресурсы VDI как за счет оптимизации выполняемых операций, так и путем использования специально заложенных производителями программной платформы VDI механизмов. На сегодняшний день основными игроками рынка виртуализации являются компании VMware, Citrix, Microsoft. Все устройства ТОНК совместимы с любыми платформами VDI перечисленных разработчиков.

2. Важным фактором при выборе платформы VDI является тот функционал защиты, который вы получаете «из коробки». Переход к виртуализации рабочих мест, как и любых других компонент ИТ-инфраструктуры, влечет за собой появление новых рисков ИБ.

Очень важно понимать, что уровень безопасности системы напрямую зависит от совокупности реализованных механизмов защиты, определяемой возможностями как самой программной платформы VDI, так и используемых специализированных средств обеспечения ИБ. Как правило, основной процент атак на систему совершается путем компрометации автоматизированных рабочих мест (АРМ) сотрудников, осуществляющих взаимодействие с ней. Большое число тестов на проникновение (Pentest) начинается именно с оценки возможности и реализации взлома АРМ с целью дальнейшего совершения атак на всю систему. И здесь та самая совокупность механизмов защиты вкупе с основными преимуществами VDI позволяет защищать автоматизированные рабочие места сотрудников централизованно, существенно повышая при этом оперативность соответствующих исполняемых операций. Так, например, оперативность локализации вредоносной активности со стороны зараженных АРМ в VDI существенно выше.

Использование в качестве АРМ тонких клиентов ТОНК с программными и аппаратными средствами защиты информации (СЗИ) в совокупности с программными механизмами защиты платформы VDI, позволяют выстраивать ИТ-инфраструктуру организации с достаточно высоким уровнем информационной защиты и возможностью работы не только с персональными данными, но и с конфиденциальными документами составляющими гостайну.

С платформами ТОНК могут быть применены такие СЗИ как двухфакторная аутентификация пользователя, доверенная загрузка по сети (реализованная с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ) или на уровне BIOS), средство контроля вскрытия корпуса с возможностью блокировки устройства на уровне BIOS, оптоволоконный сетевой интерфейс и другие.

3. Соответствие требованиям регуляторов. Помимо того, что некоторые версии программных платформ VDI имеют действующие сертификаты, подтверждающие их соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК России) важно наличие на рынке средств защиты, сертифицированных по требованиям регуляторов, причем специализированных, адаптированных для конкретных систем.

Однако, формальное подтверждение наличия функций защиты в составе средств VDI не означает отказ от использования внешних сертифицированных средств обеспечения ИБ. Таких, к примеру, как защищенные АРМ, производимые в том числе и нашей компанией. В качестве примеров можно рассмотреть устройства ТОНК укомплектованные CЗИ описанными выше, а также АПК на платформах ТОНК, разработанные совместно с нашими партнерами.

В современных информационных системах сетевые принтеры и МФУ, из соображений информационной безопасности, могут подключаться по технологии безопасной печати на ближайшее к пользователю устройство (follow-me printing) с аутентификацией пользователя как по бесконтактной карте, так и по биометрическим показателям. Т.е. роль карты доступа к устройствам печати играет та же смарт-карта, что используется для авторизации пользователя на рабочем месте.

КАЛЬКУЛЯТОР: РАСЧЕТ СРЕДНЕГОДОВОЙ СОВОКУПНОЙ СТОИМОСТИ ВЛАДЕНИЯ ТОНКИМИ КЛИЕНТАМИ ПО СРАВНЕНИЮ С ОБЫЧНЫМИ ПК

Количество рабочих станций
- +
Тонкие клиенты
0Р
Платформа
Настольные ПК
0Р
Тонкие клиенты
0Р
Настольные ПК
0Р

Безусловно, помимо решений по технологии VDI, большое распространение получили системы с рабочими местами в терминальном доступе. Главным преимуществом этого подхода является относительная дешевизна решения как следствие более высокой (по сравнению с VDI) серверной плотности. Однако всё, что сказано выше о материальных выгодах применения виртуализации характерно (возможно даже в большей степени) и для терминальных решений. Использование устройств ТОНК с элементами СЗИ также позволяет создать защищенную КИС с соблюдением всех требований регуляторов и нормативно-правовых актов.

В итоге можно резюмировать, что, независимо от выбранного принципа построения корпоративной ИТ-инфраструктуры, будь то государственная служба, КИС промышленной компании или банковская сеть, выбор в качестве АРМ современных устройств, аналогичных ТОНК, является единственно верным. Совокупная стоимость владения такими системами значительно ниже, эксплуатационные преимущества (компактность, бесшумность, легкость масштабирования, отсутствие необходимости техобслуживания и постоянного администрирования) бесспорны. Что же касается соблюдения политик ИБ, то здесь и вовсе использование тонких клиентов в большинстве случаев является безальтернативным.

Если Вы заинтересовались данным решением на базе тонких клиентов и терминальных сервисов, то мы всегда готовы ответить на Ваши вопросы. Задать вопрос

Рекомендуемые платформы

Перейти в каталог

Наши кейсы
Посмотреть другие решения