На ИТ-рынке появляется много систем для организации виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) российского производства. Эксперты в студии AM Live обсудили, кому подойдёт VDI, как выбрать лучшее решение, минимизировать риски и защитить критически важные данные и ресурсы от потенциальных угроз.
- Введение
- Что такое VDI
- Готовы ли российские VDI к импортозамещению?
- На что смотреть при выборе VDI?
- Безопасность использования VDI
- Прогнозы экспертов
- Выводы
Введение
В последние годы виртуальные рабочие столы (VDI) стали неотъемлемой частью корпоративной инфраструктуры, обеспечивая гибкость, безопасность и удобство для пользователей. Однако с ростом популярности VDI возрастает и необходимость создания надёжной системы защиты от различных киберугроз. В условиях постоянных атак и утечек информации обеспечение безопасности виртуальных рабочих столов становится одной из ключевых задач.
Рисунок 1. Эксперты эфира AM Live
Участники прямого эфира:
- Николай Аладин, ведущий технический консультант по поддержке продаж решений компании РОСА.
- Василий Шубин, директор департамента управления продуктовым портфелем, Getmobit.
- Сергей Алексанков, заместитель технического директора компании ДАКОМ М (бренд Space).
- Денис Романов, директор департамента профессиональных сервисов компании-разработчика «Базис».
- Игорь Коптелов, главный конструктор, «Иридиум».
- Константин Жебенев, советник генерального директора, «НИИ “Масштаб”».
- Сергей Халяпин, директор по развитию новых рынков и технологических партнёров компании «Увеон — Облачные технологии» (входит в «Группу Астра»).
Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа».
Что такое VDI
Игорь Коптелов объяснил, что VDI — это набор технологий, который позволяет подключиться к рабочему столу виртуальной машины в облаке. В качестве частной реализации выступает возможность виртуализации приложений (доставка не всего рабочего стола целиком, а окна приложения).
Ещё одна особенность — наличие протокола доставки рабочего стола, который является важной и неотъемлемой частью VDI. Обеспечивается возможность подключения пользователя к виртуальному рабочему столу со стороны сервера виртуализации (гипервизора) из сети. В инфраструктуре VDI могут отсутствовать любые сетевые адаптеры, при этом возможность подключения к её виртуальному рабочему столу должна сохраняться, даже если операционная система не функционирует, находится в стадии загрузки или перезагрузки и в ней не работает ни один из сервисов. Решений, в которых соблюдаются все эти правила, мало на рынке.
Игорь Коптелов, «Иридиум»
Сергей Халяпин добавил, что всю систему можно разбить на три части: клиентское устройство, сети передачи данных и инфраструктура, которая разворачивается в центре обработки данных или облаке, обеспечивая возможность работать.
Василий Шубин отметил, что VDI — это один из этапов технологического развития инструментов для организации рабочих мест. Изначально эту технологию рассматривали как средство централизованного предоставления рабочих мест с универсальным управлением и достижением экономического эффекта за счёт централизации. Основа VDI — удобство эксплуатации, повышенная безопасность, устойчивость к кибератакам. С точки зрения экономики не всегда её использование выгодно, но затраты окупаются благодаря высокой степени безопасности.
Василий Шубин, Getmobit
Константин Жебенев добавил, что мир компьютерных технологий начинался с этой идеи. Также он считает, что использование VDI всегда дороже из-за перестройки серверной структуры.
Николай Аладин утверждает, что при выборе VDI заказчик чаще всего руководствуется экономическим фактором. Сергей Алексанков высказал мысль, что VDI — это в первую очередь логическая абстракция, которая позволяет эффективнее и проще управлять системой.
Илья Шабанов провёл первый опрос в прямом эфире. Ответы на вопрос «Какова ваша стратегия относительно VDI?» распределились следующим образом: просто наблюдают за рынком 28 % респондентов, находятся в процессе миграции на российский VDI — 26 %, пока не используют VDI — 18 %, остаются на импортном VDI — 14 %, уже мигрировали на российский VDI — 13 %. Желающих использовать решения с открытым кодом нашлось крайне мало.
Рисунок 2. Какова ваша стратегия относительно VDI?
Готовы ли российские VDI к импортозамещению?
Сергей Халяпин считает, что всё зависит от задач заказчика. Что-то можно заменить уже сейчас (но не всё). Одна из ключевых задач рынка — работа над протоколом удалённого доступа, который соответствовал бы требованиям заказчика по части полосы пропускания и возможности проброса разных устройств в сессию.
Денис Романов добавил, что все лидирующие компании на рынке уже занимаются разработкой собственного протокола, а для некоторых заказчиков уже есть готовые решения, которыми можно заменить зарубежные. Если при использовании обнаруживаются какие-то проблемы, они быстро решаются и прорабатываются, при этом повышается качество продукта.
Денис Романов, «Базис»
Николай Аладин:
«Проблема проприетарных протоколов — в лицензировании и закрытости. Если бы разработчики были более открытыми, все бы от этого выиграли, появилась бы возможность партнёрства».
Василий Шубин пояснил, что протокол накладывает определённые ограничения на выбор аппаратной части, с которой он работает. Свои протоколы можно и нужно разрабатывать: это в первую очередь конкурентное преимущество, а также возможность адаптироваться к пользовательским сценариям.
Результаты второго опроса показали, какие операционные системы, по мнению пользователей, должна поддерживать российская VDI. Большинство ответивших проголосовали за российские Linux — 47 %. На втором месте — Microsoft Windows (42 %). Примечательно, что мобильные операционные системы не выбрал никто.
Рисунок 3. Какие операционные системы должна поддерживать российская VDI?
Как мигрировать с западных VDI?
Игорь Коптелов считает, что миграция работающих виртуальных машин не требуется. Переводить нужно только часть инфраструктуры. Денис Романов рассказал об инструментарии, который позволяет безостановочно мигрировать виртуальные машины с платформы виртуализации без отключения (даунтайма). Есть простой подход к миграции VDI: исходя из целей и требований сформировать «портреты» пользователей VDI, провести тестирование.
Николай Аладин:
«Миграция функций связана со специальной методологией, изучением задач, которые решает зарубежная платформа виртуализации, и соотнесением с теми возможностями, которые есть у российской. В этом — наибольшая сложность, так как часть функций пока не реализована. Миграция сервисов — более простая задача, к которой есть два подхода — неагентский и агентский».
Николай Аладин, РОСА
На что смотреть при выборе VDI?
Эксперты поделились мнениями о том, на что стоит обращать внимание при выборе VDI, и рассказали о конкурентных преимуществах своих продуктов.
Сергей Халяпин:
«Поддержка мультиплатформенности, возможность подключения к разным ресурсам, положительный опыт внедрения в крупных компаниях».
Константин Жебенев:
«Сертификат ФСТЭК России и большое количество успешных внедрений в закрытых сегментах, сильный упор на информационную безопасность».
Игорь Коптелов:
«Технологическая независимость, разработка собственных компонентов».
Денис Романов:
«Поддержка популярных операционных систем и приложений. Внедрение и предоставление качественного сервиса».
Сергей Алексанков:
«Ответственность за работу полного цикла виртуализации рабочих столов, собственная кодовая база, сервисный центр, проприетарный протокол».
Сергей Алексанков, ДАКОМ М (бренд Space)
Василий Шубин:
«Нужно провести аудит бизнес-процессов и понять, что именно требуется».
Николай Аладин:
«Инфраструктурный подход, служба техподдержки 24×7, собственная платформа виртуализации и дополнительные решения, которые увеличивают производительность работы с платформой».
Третий опрос показал, на что заказчики смотрят в первую очередь при выборе российской VDI. На первом месте — масштабируемость и отказоустойчивость решения (32 %). За поддержку ОС и приложений высказались 22 %, за реализованные проекты и опыт вендора — ещё 22 %.
Рисунок 4. На что вы смотрите в первую очередь при выборе российской VDI?
Безопасность использования VDI
Константин Жебенев:
«При консолидации инфраструктуры в одном месте становится проще управлять ею и легче защищать её. С другой стороны, это площадь атаки, трудно контролируемая из-за её многообразности и критической значимости. Если злоумышленник до неё доберётся, мы рискуем потерять всё. Нужно проектировать системы VDI с учётом информационной безопасности».
Илья Шабанов предложил узнать мнение заказчиков о безопасности VDI. Первый комментарий озвучил Артём Куличкин, и. о. управляющего директора по ИБ дочерних компаний страховой группы «СОГАЗ»:
«Минимизация рисков обеспечивается за счёт централизованного управления, сложности доступа (многофакторная аутентификация), лёгкого восстановления из резервной копии, изоляции данных (хранение на сервере)».
Из минусов эксперт выделил сложность инфраструктуры и взаимодействия, риск неправильного управления правами. Централизованное администрирование также может быть минусом при определённых обстоятельствах. Впрочем, все риски можно нивелировать организационными и техническими мерами.
Артём Куличкин, «СОГАЗ»
Комментарий от Дмитрия Кострова, заместителя генерального директора по информационной безопасности iEK:
«В отличие от терминального доступа, система VDI легко модернизируется, централизованно управляется, позволяет сделать специфическую настройку. Использование VDI безопаснее, но дороже. Оно целесообразно в компаниях, где работают более ста удалённых сотрудников. Для большей безопасности нужно создать внутреннее защищённое облако, чтобы не зависеть от облачного провайдера».
Дмитрий Костров, iEK
По мнению Сергея Халяпина, нельзя однозначно утверждать, что безопаснее — VDI или локальная установка. При правильной настройке VDI можно сделать безопаснее, но если установленные параметры не обеспечивают надлежащего уровня защиты, то потери при проникновении злоумышленника окажутся катастрофическими для бизнеса. Если же на машине настроены многофакторная аутентификация, шифрование, резервное копирование, то такая среда окажется более защищённой.
Сергей Халяпин, «Увеон — Облачные технологии»
Константин Жебенев добавил, что грамотная настройка возможна только при правильном проектировании.
Василий Шубин:
«Правильная реализация всех защитных мер даёт возможность не перегружать пользовательское устройство дополнительными средствами безопасности».
Игорь Коптелов считает, что для обеспечения безопасности виртуальных машин нужен доверенный гипервизор. Кроме того, шифрование должно вестись от клиента до виртуальной машины, чтобы избежать риска атаки с посредником (Man-in-the-Middle, MitM). Для реализации многофакторной аутентификации используется несколько возможностей: сертификат (пароль), авторизация по СМС или через специальное приложение по QR-коду.
Константин Жебенев напомнил, что надо обязательно использовать инструменты контроля привилегированного доступа (Privileged Access Management, PAM).
Константин Жебенев, «НИИ “Масштаб”»
Игорь Коптелов:
«Протокол доставки рабочего стола тоже должен быть безопасным. Специалисты по ИБ часто не пропускают решения, в которых клиент получает доступ к сервисам внутри виртуальной машины в момент подключения рабочего стола. Безопасно только подключение со стороны гипервизора».
На вопрос о том, что сильнее всего препятствует переходу на российскую VDI, большинство зрителей (33 %) ответили, что отечественным решениям не хватает функциональности. 22 % не знают, что выбрать. 14 % респондентов видят трудности в процессе миграции. Пятой части аудитории не мешает ничто.
Рисунок 5. Что останавливает вас от перехода на российскую VDI?
Прогнозы экспертов
Гости эфира подвели итоги и поделились мнениями о том, как они видят рынок VDI в ближайшем будущем.
Николай Аладин:
«Ожидаем роста объёма проектов, включая VDI, так как она хорошо решает проблемы с перераспределением ресурсов. Также ожидается, что заказчики будут использовать гибридные схемы VDI в частных и публичных облаках. Будут востребованы инструменты, которые позволят в одинаковой степени запрашивать и получать виртуализированные ресурсы и сервисы».
Василий Шубин:
«VDI в компании — это показатель её технологической зрелости. Переходить на VDI стоит, в том числе и на отечественный».
Сергей Алексанков:
«Тема виртуализации становится всё более популярной. Отечественные решения быстро развиваются, накапливаются компетенции».
Денис Романов:
«Есть много запросов с рынка, в том числе и по переходу на отечественные решения. Это позволяет получить реальный опыт, быстро и точечно улучшать свой продукт».
Игорь Коптелов:
«Доля VDI будет расти в сравнении с классическими рабочими местами. Рынок ИТ с каждым годом становится всё более динамичным. Развиваются каналы связи, облачные технологии. При массовом использовании VDI в конечном итоге оказывается выгоднее стационарных рабочих мест. Его развитие неизбежно».
Константин Жебенев:
«Рынок будет расти, российские решения уже имеют достаточный уровень зрелости для применения в крупных проектах, хотя и требуют дальнейшего развития».
Сергей Халяпин:
«Произойдёт консолидация рынка, останутся два-три крупных игрока, а также несколько нишевых».
Итоговый опрос показал, что 50 % зрителей готовы тестировать и внедрять VDI, а 22 % считают, что участники не смогли обосновать её необходимость. Убедились в правильности выбранного решения 11 % ответивших, столько же считают технологию избыточной для своей компании. Будут менять используемое решение на другое 3 % респондентов, ещё 3 % не поняли, о чём шла речь в эфире.
Рисунок 6. Как вы оцениваете российские VDI после эфира?
Илья Шабанов подытожил обсуждение, согласившись с коллегами в вопросе о дальнейших перспективах развития VDI. Этот уровень абстракции удобно обслуживать и администрировать, с ним легко подключать или удалять новых пользователей. Для дистанционных сотрудников можно за несколько минут создать отдельное рабочее место. Большие возможности открываются здесь для малого и среднего бизнеса. Хочется, чтобы на рынке выстраивались открытая экосистема и партнёрство. Также хотелось бы большего понимания экономического аспекта.
Илья Шабанов, «АМ Медиа»
Выводы
Создание безопасной инфраструктуры виртуальных рабочих столов (VDI) — это комплексный процесс, требующий внимания ко множеству факторов, от архитектуры системы до управления доступом и мониторинга активности пользователей. В условиях постоянных изменений в киберугрозах и технологиях компаниям необходимо оставаться проактивными в вопросах безопасности, внедряя лучшие практики и современные решения. Понимание рисков и реализация многоуровневой защиты позволят не только обезопасить данные и ресурсы, но и повысить общую эффективность работы сотрудников.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
