В рамках модернизации IT as a Service появилась концепция Desktop as a Service. Поговорим о подходах к хостингу десктопов с точки зрения информационной безопасности. Во время недавней конференции по виртуализации, которую Red Hat проводила виртуально я подсмотрел очень интересную сессию про безопасность и решения по виртуализации рабочих мест. Оригинал находится здесь.

Факты про традиционый подход к рабочим местам пользователей информационных систем

Итак, существуют два современных подхода к организации обработки данных на рабочих местах: "толстые клиенты" с полноценной ОС и набором программ; "тонкие клиенты", подключающиеся к терминальному серверу. 

Вендоры ИТ потратили много времени и средств на то, чтобы создать инструменты и решения по управлению рабочими станциями: есть и инструменты по развёртыванию патчей, приложений и операционных систем; есть и средства по инвентаризации и прочее прочее. Но при этом у многих ИТ-заказчиков есть две головные боли: пользователи и их желания получать высокий сервис по обслуживанию их десктопов (ну не хочется им сидеть и терять время по ка ИТ-отдел подготавливает подменную рабочую станцию взамен вышедшей из строя); службы ИТ-безопасности, которые постоянно требуют как-то закрыть рабочие станции пользователей. Упомянутая презентация Red Hat как раз и посвящена вопросам безопасности. Вот несколько фактов про минусы традиционного подхода с точки зрения безопасности.

Вот некоторые данные из американской статистики

• начиная с 2005 года, раскрыто 150 миллионов записей персональных данных
• потери компанию составляют 197$ на каждую потерянную запись
• 20% заказчиков расторгли отношения с поставщиками после известий о потери данных
• 30% всех краж данных в 2008 году были результатом кражи нотбуков
• по статистике ФБР каждые 43 секунды происходит кража компьютера
• 97% потерянных и украденных компьютеров никогда не восставливаются
• 57% внутрикорпоративных преступлений связаны с украденными ноутбуками
• Украденный в большом университете ноутбук содержал персональные данные 100000 выпускников, абитуриентов и студентов (2009)
• Украденные из офиса компании, оказывающей аутсорсинговые услуги по управлению бонусными выплатами, компьютеры содержали персональные данные о 75000 работников нескольких крупных компаний (2008)
• переносные компьютеры, принадлежавшие донорскому центру, были украдены вместе с именами и номерами социальной страховки 321 тысячи доноров (2008)
• Файловый сервер и несколько ноутбуков были похищены из регионального офиса крупной страховой компании вместе с информацией о 970 000 потенциальных клиентов (2006)

Hosted Desktop

В качестве решения этих проблем предлагается красивый, с моей точки зрения, подход – VDI (virtual desktop infrastructure). Red Hat дали красивый термин Hosted Desktop Virtualization. 

В таком решении все рабочие станции в качестве виртуальных машин располгаются и работают на серверах в ЦОД. Пользователи подключаются к этим виртуальным машинам с помощью тонких клиентов. Все данные хранятся в защищённом ЦОД. Таким образом, отпадает необходимость контроля за расползанием данных с пользовательских станций на их флэшки, например.

Не буду сегодня подробно рассказывать про VDI и реализацию его от Red Hat, скажу лишь следующее. Главным недостатком имеющихся на рынке решений, которые завязаны на протокол RDP для удалённого доступа к виртуальному рабочему месту и ОС Windows (Citrix XenDesktop, VMware View, VDI решение Microsoft), является сложность в лицензировании Windows внутри виртуальной машины. Практически заказчикам приходится дважды платить за Windows. К сожалению никто из уважаемых вендоров решений по виртуализации не даёт пользователям возможности использования Linux внутри виртуальных десктопов. И только Red Hat предоставит такую возможность выбора между Windows и Linux внутри виртуальной машины (правда VDI решение от Red Hat находится сейчас в процессе бета-тестирования, но пример Red Hat Enterprise Virtualization for Servers даёт основания утверждать, что в начале 2010 года мы увидим окончательный продукт). 

Относительно VDI и информационной безопасности, по-моему, до Red Hat ещё никто из вендоров не давал таких интересных тезисов.

Что VDI меняет?

• Всё – динамичный ЦОД, пулы ресурсов, коммунализация вычислительных ресурсов
• Ничего – Виртуальная ИТ-инфраструктура по-прежнему ИТ-инфраструктура, Безопасность, серверное болото, управление, сложность ИТ-инфраструктуры, гетерогенность.
• Виртуализация не равна Безопасность! (понравилось мне уравнение Виртуализация != Безопасность)

При этом, судя по слайдам презентации у Red Hat уже наработаны различные практики по решению вопросов безопасности в виртуализированной среде (достаточно вспомнить облако Amazon). 

А какое у вас мнение насчёт уменьшения проблем, связанных с защитой информации, путём перевода инфраструктуры рабочих станций на  VDI? И, кстати, а как бы вы перевели термин Hosted Desktop?

Итак, 24-го февраля во французских Каннах начинается конференция VMworld Europe – главное европейское мероприятие, посвящённое виртуализации. В рамках данной конференции будет сделано много анонсов о продуктах VMware и вообще…

Так что, если вы хотите отследить новости виртуализации, то на следующей неделе следите за новостями на сайте http://www.vmworldeurope.com/. Думаю что-то можно будет прочитать в блогах (например, у Миши Козлова) и в новостных лентах.

Эта тема не умрёт, наверное, никогда. Журнал Redmond Magazine выпустил  свежую статью, в которой проводится сравнение трёх основных гипервизоров, доступных на рынке. В статье упоминаются разные вендоры виртуализации, но упор делается на “большой тройке” виртуализации:  VMware ESX, Microsoft Hyper-V, Citrix XenServer.

В статье даются некоторые размышления авторов на тему внутреннего облака и даются интересные факты того, кто из вендоров когда делал анонсы своих инициатив. Например,   Citrix сделали анонс в день открытия VMworld, Microsoft во время VMworld запустил маркетинговую программу под девизом того, что  VMware стоит слишком дорого, наша же компания выступила со своими инициативами по построению внутреннего облака и по возможностям перевоза виртуальных машин во внешнее облако, в случае невозможности удовлетворения условиям SLA.

Очень советую обратить внимание на данную статью всем, кто делает выбор между различными вендорами виртуализации (многим ведь, нужно сокращать издержки в это кризисное время). Приведу таблицы сравнительные. Они мне кажутся интересными с той, точки зрения, что авторы дают ещё и пояснения, по значениям таблиц. Например, очень часто, на встречах с потенциальными заказчиками поднимается тема падения производительности, засчёт введения дополнительного слоя виртуализации между ОС и оборудованием. Так вот, авторы сравнения говорят, что в случае VMware падение производительности ничтожно мало, что им можно пренебречь. В случае же Microsoft и Citrix крадётся одно процессорное ядро, которое уходит на функционирование родительского раздела.

На самом деле статья интересна тем, что написана двумя  MVP, поэтому их нельзя упрекать в ангажированности к  VMware.   Несмотря на свои звания MVP авторы делают такой вывод в своей статье:

Don’t get fooled by stories that outline just how expensive one hypervisor is compared to another. What counts is experience, stability and guest operating system density. When you begin to build your own internal cloud, you’ll quickly discover that the best hypervisor is the one you can master in the shortest possible time frame. All vendors offer free virtualization technologies. Try them out in your lab, and see for yourself which one will run the most VMs and offer the best performance on a given set of hardware resources

Я не хочу отнимать хлеб у переводчиков, но попытаюсь-таки перевести этот тезис.

Не дайте себя одурачить историями про то, как дорог один гипервизор относительно другого. Имеют значение опыт, стабильность и поддержка операционных систем. Когда вы начинаете строить внутреннее облако, вы быстро определите, что лучшим гипервизором является тот,  с которым вы можете начать работу за кратчайшее время. Все вендоры предлагают бесплатную технологию виртуализации. Испытайте их в вашей лаборатории и убедитесь сами, какой гипервизор позволяет запускать наибольшее количество виртуальных машин и даёт наибольшую производительность на имеющемся оборудовании.

Так что тестируйте, делайте выводы. Тем более, что совсем скоро можно будет ожидать хороших новостей от VMware как глобальных, так и внутрироссийских.

P.S. Кстати, нужно будет теперь разместить и сравнение с гипервизором KVM, вокруг которого строится новое решение по виртуализации Red Hat Enterpise Virtualization. Правда, Red Hat не сравнивает KVM с Xen. Не делают они этого, видимо, потому что сами давно приняли решение отказаться от Xen в пользу KVM в виду технологических преимуществ последнего.

Как вы относитесь в презентациям продуктов, которые проводят различные вендоры. Я знаю, что зачастую, к сожалению, многим он кажутся маркетинговым булшитом. К сожалению, это потому что многие производители слишком хорошо говорят о своих продуктах в презентациях, а когда доходит до дела, то всё оказывается слишком плохо, по сравнению со сладкими песнями. Хотя, это моё утверждение плохо относится к VMware (в том смысле, что наши продукты и отработаны, и реально нужны нашим заказчикам), всё же мы очень любим устраивать демонстрации. Так на YouTube появился ролик демонстирующий работу решения по обеспечению катастрофоустойчивости ЦОД – Site Recovery Manager.

[youtube=http://www.youtube.com/watch?v=hap4VsC9a1k&hl=en&fs=1]Партнёры наши очень любят демонстрировать данный продукт (пример, это демонстрация компании Интеллектика в пабе Корк, что в Ростове-на-Дону), но зачастую такая демонстрация связана-таки с подготовительной работой, которую нужно предварительно сделать, а если нужно быстро в “полевых” условиях, то почему бы не воспользоваться таким роликом.