Сегодня главная проблема компаний, особенно крупных, заключается в том, что отправка нескольких тысяч сотрудников на удалённую работу — это трудная задача как для ИБ, так и для ИТ-службы в целом. Вы можете отправить людей домой, сделать VPN, но подключение к корпоративной сети большого количества не очень контролируемых вами устройств — действительно непростая работа. Очевидно, что не получится каждому удалённому сотруднику выдать антивирус и систему предотвращения утечек.
Еще одна проблема — как обеспечить работу всего набора корпоративных приложений из дома на разношерстном парке оборудования: от старенького ПК на Windows 7 до iPad’а.
В этом посте мы расскажем о нескольких прикладных задачах и проблемах, которые возникли у огромного количества компаний в связи с переводом сотрудников на удалёнку.
VDI-доступ
Суть создания инфраструктуры виртуальных рабочих столов (VDI) – перенос пользовательских ИТ-мощностей на серверную инфраструктуру / в облако. При таком подходе, рабочие места пользователей становятся Enterprise-решением, для которого доступен весь тот функционал, который доступен для бизнес-критичных ИТ-систем: отказоустойчивость, безопасность, централизованное управление, обновления, резервное копирование и восстановление. К такой системе проще всего организовать безопасный удаленный доступ.
Что сегодня осложняет внедрение VDI?
- Большинству компаний нужно внедрить технологию очень срочно. То есть, фактически, удаленный доступ был нужен им «уже вчера».
- Как правило, на проект по внедрению VDI ни у кого не заложено какого-либо бюджета, всем приходится изыскивать средства, что ещё больше усложняет ситуацию.
- Система VDI предполагает наличие достаточно производительных серверов и СХД, и мало у кого из компаний они есть в наличии, а закупка, помимо определенной стоимости, предполагает еще и временные затраты на согласования, логистику и т.д.
- Нехватка квалифицированных специалистов внутри компаний – «рабочих рук и голов».
Что еще следует учесть при выборе средств организации удаленного доступа?
- Для многих компаний мало сделать безопасный удаленный доступ к своей ИТ-инфраструктуре: VPN или безопасная публикация сервисов защищают от внешних негативных факторов, но не защищают от рисков передачи информации, составляющей корпоративную тайну недобросовестными сотрудниками, либо банального заражения вирусами при подключении сотрудников через VPN со своих домашних рабочих станций/ноутбуков. Крайне желательно организовать безопасный периметр для сотрудников, подключающихся удаленно.
- При массовом удаленном подключении сотрудников очевидно возрастает нагрузка на сетевые каналы ЦОД, где располагаются ИТ-системы компании. Важно предусмотреть, чтобы ширины имеющихся каналов хватило, а сами они были организованы в отказоустойчивой конфигурации.
Типы удалённого доступа
Столкнувшись с увеличенным потоком запросов на организацию удаленного доступа, для себя мы придумали такую классификацию типов удаленного доступа:
Уровень 0
Все ИТ-системы полностью изолированы в периметре организации, удаленный доступ отсутствует. Конечно же, такая инфраструктура является максимально безопасной, но текущая ситуация вынуждает большинство заказчиков переходить на другие уровни.
Уровень 1
Это самый распространенный сейчас тип удаленного доступа, у кого он уже организован: либо подключение происходит через VPN, либо часть сервисов может просто публиковаться (самое распространенное – корпоративная почта, сервис ВКС).
Подобным технологиям не один десяток лет. Дополнительное оборудование обычно не требуется, компания может сравнительно быстро настроить большую часть функциональности для удалённых сотрудников. Однако у такого подхода немало недостатков.
- Работа пользователей обычно ничем функционально не ограничивается, доступ возможен с любых устройств, что в случае с VPN чревато вирусными атаками, а в случае публикации сервисов наружу, ИТ-служба не сможет контролировать, куда перемещаются корпоративные данные, которые покидают пределы периметра сети. Ничто не помешает недобросовестному сотруднику отправить какое-нибудь почтовое сообщение/вложение через WhatsApp или Telegram тому, кому не следовало бы.
- Чем больше приложений мы публикуем, тем больше создаем потенциально уязвимых мест во внешней сети для хакерских атак.
- Сложно спрогнозировать нагрузку на сетевые каналы, потому что разные ИТ-системы требуют разной пропускной способности сети.
- Для пользователей такое удалённое рабочее окружение выглядит не всегда удобно: не у всех есть достаточно производительные личные ноутбуки, может не доставать каких-либо клиентов корпоративного ПО и т.д.
Уровень 2
Так называемый «быстрый старт» — переходный вариант к полноценному VDI посредством использования компонентов VDI, но подключение осуществляется не к виртуальным рабочим столам на выделенных серверах виртуализации, а к физическим рабочим станциям (АРМ) сотрудников. При таком варианте требования к дополнительным серверным ресурсам минимальны, т.к. речь идет о развертывании 6-8 не сильно требовательных к ресурсам виртуальных машин, сроки развертывания тоже минимальны, протоколы и политики подключений при этом используются самые распространенные – на базе Citrix Virtual Apps and Desktops, либо VMware Horizon.
В чём преимущества?
- Пользователи уже могут работать полностью удалённо в привычном им окружении: сидят за домашними компьютерами, но видят привычные экраны своих офисных ПК.
- К пользователям идёт лишь один тип трафика — отображение удалённых рабочих столов. При необходимости VMware и Citrix позволяют очень тонко настраивать разрешения на проброс других данных: мультимедиа-трафик от микрофона и камеры, смарт-карты и т.п.
- Протоколы VMware и Citrix очень хорошо оптимизированы. Протокол Citrix вообще считается лучшим вариантом для работы на узких нестабильных каналах связи.
- Можно гораздо лучше спрогнозировать нагрузку на сетевой канал: для передачи данных в VDI на пользовательскую сессию достаточно в среднем 512 Кбит/с.
- Трафик любых приложений остается внутри периметра корпоративной сети и не выходит наружу. Нет возможности что-то скачать на домашний ПК, либо наоборот загрузить в периметр сети. Все корпоративные данные гораздо лучше контролируются.
- Высокая скорость развертывания такой инфраструктуры – менее чем через неделю можно подключать первых пользователей.
Теперь о недостатках:
- По сравнению с обычной работой пользователей в офисе появляются дополнительные точки отказа, потому что мы развёртываем новые компоненты, пусть и в отказоустойчивой конфигурации.
- В офисе должны дежурить технические специалисты для обслуживания корпоративных ПК, к которым подключаются сотрудники: включить/перезагрузить/ восстановить работу в случае скачка напряжения.
Уровень 3
Самый продвинутый уровень, представляющий собой полноценный VDI. Ко всему вышеперечисленному у нас добавляются целевые ресурсы — виртуальные машины и отдельные виртуализированные приложения. Схема очень похожа на уровень 2, но уже потребуются отдельные физические ресурсы в виде серверов и систем хранения данных, либо гиперконвергентные кластеры.
В чём преимущества?
- Дополнительное преимущество VDI по сравнению с уровнем 2 заключается в полноценном удаленном управлении инфраструктурой. Вплоть до того, что технические специалисты в офисе уже не требуются (VDI во внешнем облаке – стандартная история).
- Рабочие места пользователей унифицированы: виртуальные столы создаются на основе единого шаблона, развёртываются и управляются серийно, гарантированно обновляются.
- Можно легко организовать резервное копирование пользовательских профилей. То есть появляется гораздо больше свободы и сильно упрощается администрирование. Автоматизируются многие рутинные задачи, благодаря этому снижается нагрузка на сотрудников тех. поддержки и влияние человеческого фактора.
- VDI прекрасно интегрируется со сторонними системами безопасности: антивирусной защитой, DLP, MDM.
Теперь о недостатках:
- Немалая стоимость реализации. В обычное время затраты окупались в среднесрочной перспективе, примерно за 5 лет, а затем начиналась экономия. Сегодня времена напряжённые, поэтому зачастую стоит вопрос не окупаемости, а выживания компаний.
- Длительность реализации. Нужно создать виртуальные рабочие столы, виртуализировать отдельные приложения, всё настроить, сделать перемещаемые профили, мигрировать пользователей. Речь идёт о сроках от трёх недель и до двух-трёх месяцев (без учёта сроков поставки оборудования).
- Потребуется достаточно производительное оборудование, потому что VDI достаточно сильно нагружает серверы и СХД.
Резюмируем:
- Уровень 0 — никакого удалённого доступа нет.
- Уровень 1 — базовый удалённый доступ, который можно реализовать за два-три дня, скорее всего, без закупки дополнительного оборудования.
- Уровень 2 — это переходный вариант к полноценному VDI — проброс пользовательских сессий на технологиях VDI к физическим рабочим местам.
- Уровень 3 — полноценный VDI с шаблонами, автоматизацией, отказоустойчивостью и прочими Enterprise-возможностями.
На что ещё стоит обратить внимание?
Чтобы как можно быстрее организовать удалённую работу сотрудников компаниям без заложенного бюджета на внедрение VDI, можно начать развёртывание с использованием временных (trial) лицензий и уже через неделю начать подключать пользователей к их рабочим местам, не покупая оборудование и ПО.
Срок действия временной лицензии зависит от технологий, обычно это 2-4 месяца при согласовании с производителями ПО. Параллельно можно переходить на уровень 2.
А если ситуация с удалённой работой затянется, то неплохо бы организовать полноценный VDI. У Citrix в этом году появилась новая схема лицензирования локальной версии — по ежегодной подписке. Её стоимость примерно в 2,5 раза ниже постоянной лицензии. VMware предлагает услугу быстрого запуска VDI, но она доступна только тем клиентам, которые могут расплачиваться кредитами — это стоит 212 кредитов. В рамках этой услуги предлагается один шаблон VDI до 25 пользователей.
ИБ удаленного доступа
Это отдельная тема, про которую мы подробно написали в предыдущем посте. Посмотрите детальные рекомендации от Александра Асмолова.
Оперативное внедрение ВКС
Если бы события последних недель происходили несколько лет назад, то массово переходить всем на удалёнку было бы гораздо сложнее, дороже и неудобнее. Особенно выстроить коммуникации между сотрудниками, партнерами и подрядчиками так, чтобы всем было комфортно.
Сегодня всё иначе. Системы ВКС (видеоконференцсвязи, это устаревшее название) уже превратились в полноценные платформы для совместной работы. Мы общаемся так, как нам удобно; с использованием устройств, которые нам удобны; в то время, которое нам удобно.
Какие сервисы присутствуют в рамках платформы для совместной работы:
- Аудио- и -видеосвязь.
- Многоточечные конференции с любыми абонентами внутри вашей организации и за её пределами.
- Планирование конференций через порталы и почтовые приложения.
- Во время конференции мы обмениваемся данными и можем совместно работать над документами.
- Запись аудио и видео.
- Трансляция конференции в режиме реального времени.
- Мобильные клиенты. С телефона или планшета вы можете подключаться практически отовсюду, где есть интернет, принять участие в совещании, поговорить с кем-то, решить все свои рабочие вопросы.
- Корпоративный мессенджер. Сейчас многие сотрудники компаний общаются посредством WhatsApp, Telegram и других программ. При этом зачастую отправляют туда какие-то рабочие документы, которые выходят за периметр компании. Также практически все платформы позволяют обмениваться текстовыми сообщениями, отправлять и получать файлы, просматривать их, организовывать группы, подключать чат-ботов и так далее.
- Вы всегда видите текущий статус абонента: разговаривает по телефону, находится на встрече, занят или свободен. Это существенно экономит время. Ведь не будь функции статуса, вам пришлось бы позвонить абоненту, подождать какое-то время, положить трубку и подумать, когда же ему позвонить еще. Это займёт секунд 20, но если таких звонков в день под 100, да ещё умножаем на количество сотрудников, то набегает немало человек-часов.
Все вышеописанные сервисы — это строительные блоки, набор кирпичиков, которые можно набирать по мере необходимости. То же самое и с масштабируемостью: создали систему на 100 пользователей, через какое-то время поняли, что она очень хорошо работает и нужно расшириться — просто покупаете лицензии и добавляете серверные мощности.
Как обеспечить сервисами ВКС ваших сотрудников?
Первый, самый быстрый и простой вариант — подключение к одному из популярных облачных сервисов ВКС: Cisco Webex, Microsoft Teams, Zoom. Запуск системы происходит практически мгновенно (на следующий рабочий день), сервис предоставляется по подписке на определенный срок. Этот вариант мы предлагаем в нескольких случаях.
- Как временное решение, пока полноценная система ВКС будет проектироваться и вводиться в эксплуатацию.
- Представителям малого бизнеса, для которых внедрение и поддержка собственной системы ВКС слишком дорогое удовольствие. Но при этом ВКС требуется для ведения бизнеса.
Недостатки этого варианта:
- Весь обмен трафиком происходит вне периметра вашей компании.
- Управление инструментами ограничено.
- Самый большой недостаток: все публичные сервисы сегодня очень сильно перегружены.
Если облачный сервис не подходит даже в качестве временного решения, можно рассмотреть второй вариант — оперативное внедрение систем ВКС on premises на базе популярных российских и зарубежных вендоров (Yealink, Vinteo, TrueConf, Видеопорт, IVA), чьи решения развёртываются «из коробки» в кратчайшие сроки.
В обоих вариантах доступна популярная технология WebRTC: это подключение к конференциям через браузер. Генерируете ссылку, по ней люди заходят и оказываются в вашей конференции. Можно переписываться в чате, обмениваться документами, вести совместную работу. Для этого достаточно лишь ноутбука с камерой и браузером.
Материал подготовлен на основе вебинара «Экстренная организация удаленных рабочих мест. Что нужно учесть». Полную версию можно посмотреть на YouTube
Авторы:
- Дмитрий Галкин, руководитель направления VDI
- Роман Морнев, консультант направления голоса и видео