В любой средней или крупной компании схема организации работы сотрудников примерно одинакова: настольный компьютер, учетная запись в корпоративной сети и права пользователя, ограниченные по вкусу системного администратора и высокого начальства. Правда, вместо стандартного десктопа все чаще выдается ноутбук: разница в цене не принципиальная, а возни с коробками гораздо меньше. Но здесь возникает и другая опасность: ноутбук может быть утерян, а хранящиеся на нем документы – оказаться у конкурентов, в прессе или (неизвестно, что хуже) на популярном торрент-трекере.В любом случае решается одна и та же проблема: как дать сотруднику достаточно свободы, но при этом сохранить требуемый уровень безопасности? В Citrix решают эту проблему путем переноса рабочего окружения на сервер. Ведь в таком случае становится и вовсе не важно, с какого компьютера работник подключается к виртуальному десктопу. Так родилась концепция Bring Your Own Computer: вы можете вообще не снабжать сотрудников ноутбуками. Вместо этого вы выдаете им определенную сумму, и они самостоятельно выбирают компьютер по своим критериям.
Привлекательное решение, но оно не лишено недостатков, если не забывать о безопасности. Конечно, при использовании технологий виртуализации пользователь выполняет всю работу на сервере, а на ноутбуке ничего не сохраняется. Но рано или поздно у сотрудника возникнет желание поработать «в оффлайне», для чего потребуется перетащить на ноутбук парочку рабочих документов. Обеспечить безопасный доступ к рабочим данным в таком случае поможет технология Citrix XenVault.
Пользователю надо доверять
Обеспечивая необходимый уровень безопасности корпоративных данных, нужно не забывать о самих сотрудниках: им в этих условиях еще и работать надо. Поэтому защита данных должна быть максимально прозрачной, и XenVault – лучшее решение с данной точки зрения. В отличие от XenClient, делающего рабочее окружение доступным и в оффлайне, но требующего установки программного обеспечения «на голое железо», XenVault гораздо проще в использовании. Фактически это часть клиента Citrix Receiver, стандартной программы для подключения к виртуальному десктопу с любого устройства.
Технология XenVault предусматривает создание виртуального диска в клиентской операционной системе, на котором в дальнейшем будут храниться рабочие данные. Этот диск зашифрован с использованием 256-битного ключа AES, а политика безопасности определяет, какие именно программы получат к нему доступ. В типичном случае к виртуальному диску могут обращаться программы из виртуального же окружения. В более расширенном варианте можно предоставить ограниченный доступ к диску через «Проводник». Процесс создания защищенного диска можно увидеть в этом видеоролике:
Оффлайновый доступ
Таким образом, сотрудник компании может большую часть времени работать в виртуальном окружении, но сохраняет доступ к определенным файлам даже при отключении компьютера от сети. Устанавливать более сложное решение (например, XenClient) для этого не требуется, необходимая функциональность уже встроена в стандартный клиент Citrix Receiver. Но условия доступа и хранения данных на пользовательском ПК определяются корпоративной политикой безопасности. В случае кражи данные на защищенном виртуальном диске просто не получится открыть, но в Citrix на всякий случай разрабатывают метод «отравленной пилюли», благодаря которому зашифрованные данные будут автоматически уничтожаться при первом же подключении пропавшего ноутбука к интернету или по истечении определенного времени.
В планы разработчиков Citrix также входят и автоматическое внедрение дополнительных политик безопасности на компьютере пользователя. В частности, ведется работа над блокировкой буфера обмена при работе с защищенными документами, а также над системой быстрой синхронизации локальных рабочих данных с сервером.
На стороне администратора
XenVault является дополнительным компонентом решения для виртуализации десктопов Citrix XenDesktop. Этот плагин стал доступен в версии Feature Pack 2, и был выпущен одновременно с решением Citrix XenClient. Это вполне логично, так как и XenClient, и XenVault различными способами решают одну и ту же проблему безопасного хранения корпоративных данных на пользовательской машине. По умолчанию доступ к данным на пользовательской машине имеют виртуальные приложения, доставленные с помощью Citrix Receiver или Microsoft App-V.
На серверной стороне для настройки и доставки плагина используется выделенный сервер (Merchandizing Server), с помощью которого определяются политики безопасности. Доступны следующие базовые настройки:
— Определяется возможность сохранения пароля локально. Если это разрешено, то защищённая область открывается автоматически после успешного запуска Citrix Receiver.
— Задается минимальное количество символов в пароле.
— Можно включить обязательное использование сложных паролей. В таком случае в пароле
обязательно должно выполняться три из четырех условий: заглавные буквы, строчные буквы, цифры, специальные символы.
Merchandizing Server также управляет политикой блокировки виртуального диска, резервным копированием ключей для возможности восстановления зашифрованных данных на клиентском устройстве в случае утраты пароля. Можно также задать принудительную блокировку данных при отсутствии подключения к корпоративному серверу в течение определенного времени. В таком случае пользователь будет заранее получать предупреждения о возможной блокировке за 2 и 1 день, а также 12 часов, 2 часа и 10 минут. И, наконец, в качестве последней меры возможно принудительное удаление данных с клиентского устройства при подключении к серверу. Работать с плагином XenVault могут пользователи коммерческих версий XenDesktop – VDI, Enterprise или Platinum.
