27 июня 11.00
Вебинар "Облачная криминалистика: как защитить данные и расследовать киберпреступления"
 

Как создать безопасную рабочую среду с VDI

Карты на стол: как организовать защищенную рабочую среду с VDI

Когда технология VDI выгодна бизнесу и ИБ-службам? Как защищаются удаленные виртуальные рабочие столы? И как усилить безопасность при использовании VDI? Ответы — в этой статье.

Время на прочтение: 5 минут

Мировой рынок услуг по аренде виртуальных рабочих столов (VDI, Virtual desktop infrastructure) в 2023 году оценивался в 12,7 млрд долларов. Эксперты прогнозируют, что в ближайшее десятилетие цифра будет увеличиваться почти на 23% в год.

Динамика рынка подтверждает: бизнес все чаще использует технологию VDI для своих задач. Но насколько безопасен такой способ организации удаленной работы сотрудников? И как дополнительно усилить защиту бизнеса от утечек и прочих угроз? Подробности — в этой статье.

Небольшой ликбез: что такое VDI

Для начала напомним, что Virtual desktop infrastructure — это инфраструктура виртуальных рабочих столов. Технология не новая, но крайне актуальная для многих компаний.

Чаще всего компании решают использовать виртуальные рабочие столы, потому что:

  • сотрудникам необходимо специализированное и дорогое ПО — технология VDI позволяет динамически распределять ресурсы, а также экономить на общем количестве лицензий;
  • речь идет о географически распределенной организации: подразделения децентрализованы, офиса нет совсем либо их очень много, есть существенная разница по часовым поясам. Так, например, можно более экономно распоряжаться виртуальными ресурсами в течение суток:их могут использовать сначала сотрудники из Москвы, а спустя 7 часов — коллеги из Владивостока;
  • инфраструктура разворачивается с нуля. В виртуальной среде намного проще, выгоднее и быстрее организовать рабочий процесс, в том числе при открытии нового подразделения в другом городе или регионе;
  • есть соответствующие требования — в некоторых организациях использование VDI указывается в политиках ИБ и других регламентах;
  • сильно устарели офисные ПК, они не могут поддерживать необходимый набор ПО — закупать новое оборудование зачастую дороже, чем арендовать ресурсы в облаке. Подключение к VDI-среде можно организовать на базе ПК с Pentium 4 и с использованием 1 Гб RAM;
  • нужно оперативно организовать инфраструктуру для внешних подрядчиков, в частности если требуется среда для разработки и тестирования нового продукта.

Организация рабочей среды с VDI строится на трех базовых принципах. Каждый из них закрывает задачи ИБ-службы:

  1. Все пользовательские данные хранятся и бэкапятся централизованно на файловом сервере — их сложнее потерять, если из-за программы-шифровальщика ПК превратится в «тыкву».
  2. Есть возможность создавать унифицированные рабочие места. Благодаря этому упрощается поддержка ОС, бизнес-приложений, антивирусов и другого ПО. Все это можно обновлять мгновенно — одним действием для всех рабочих столов сразу. Кроме того, можно создавать профили для разных групп сотрудников (бухгалтерия, колл-центр и т.д.) с необходимым набором систем и  их централизованным администрированием. 
  3. Для подключения к виртуальной рабочей среде можно использовать рабочие ПК, тонкие клиенты или собственные устройства (BYOD). В последнем случае возможные ИБ-риски минимизируются, так как личное устройство не имеет непосредственного подключения к сети с корпоративными сервисами.

VDI для удаленных сотрудников

Пандемия не прошла для бизнеса бесследно. Многие специалисты привыкли трудиться из дома, а компании все чаще предлагают сотрудникам дистанционный и гибридный форматы работы.

Удаленный доступ с VDI в сравнении с другими вариантами зачастую выглядит более удобным и безопасным:

В частности, RDS и Remote Access VPN чаще используются для подключения к отдельным приложениям или ЛВС (локальной вычислительной сети, Local Area Network, LAN). В случае с VDI пользователь попадает в виртуальную рабочую среду с набором всего необходимого софта. Это могут быть как простые приложения типа браузеров или корпоративной почты, так и сложное ПО для разработки и тестирования ИИ-продуктов, 3D-графики и других задач.

При всем этом технология VDI не требует проверки контроля той среды, из которой подключается клиент. Обмен данными с конечным устройством пользователя практически невозможен. Даже если на домашнем ноутбуке есть зловредное ПО, оно не сможет проникнуть в изолированный периметр корпоративной сети.

Виртуальные рабочие столы VDI
Две недели бесплатного тест-драйва

Виртуальные рабочие столы: идеальный кейс

Как выглядит оптимальная защита данных при подключении VDI? Рассмотрим на примере, который можно назвать идеальным.

Допустим, компания арендует инфраструктуру виртуальных рабочих столов и получает такую картину:

  1. Серверная и клиентская инфраструктуры развернуты в рамках единого инстанса. Корпоративные ресурсы и сами удаленные рабочие столы находятся в одном облаке. Благодаря этому можно добиться максимальной производительности всех систем и приложений.
  2. Доступ к сегментам инфраструктуры ограничивается NGFW — межсетевой экран отделяет серверную часть от клиентской, а также контролирует взаимодействие пользователей и приложений с внешним миром.
  3. Подключение внешних устройств хранения данных и периферии ограничивается в соответствии с политиками ИБ, в том числе правилами, установленными политиками безопасности и настройками корпоративного антивируса.
  4. Хранение и регулярный бэкап пользовательских данных проводятся централизованно.
  5. Доступ в интернет с виртуальных рабочих столов ограничивается NGFW, прокси-сервером, DLP или иным решением.

Такой сценарий наверняка одобрит ИБ-служба компании. Чтобы приблизится к нему, к стандартному функционалу VDI (только виртуальный рабочий стол) стоит подключить дополнительные ИБ-сервисы:

  • антивирусную защиту,
  • NGFW для фильтрации трафика,
  • MFA для подключения к виртуальному рабочему месту,
  • инструменты для сбора и анализа логов,
  • DLP-систему для защиты от утечек,
  • SIEM-систему для комплексного анализа ситуации с ИБ.

На российском рынке уже есть решения с усиленной защитой от зловредного ПО и утечек. Одно из них — аренда виртуальных рабочих столов VDI от НУБЕС (Nubes). Решение работает на базе собственного дата-центра Tier III Nubes Alto в Москве. Виртуальные рабочие столы разворачиваются в защищенном облаке NGcloud, которое аттестовано по 152-ФЗ (УЗ-1).

На каждом рабочем месте можно дополнительно подключить набор средств ИБ: антивирус, DLP-систему, NGFW, сервис двухфакторной аутентификации.

Хотите увидеть, как работает комплексная защита VDI на практике? Оставьте заявку, и мы проведем для вас индивидуальную демонстрацию сервиса.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале