Оригинальная англоязычная версия статьи находится по адресу
http://download.intel.com/it/pdf/Evaluatin...nt_Security.pdf
БЕЗОПАСНОСТЬ ПРИ НАРАСТАЮЩИХ УГРОЗАХ
Часто злоумышленники используют такие вредоносные программы, которые вряд ли можно обнаружить или предотвратить их деструктивные действия, используя традиционные методы. Нападения обычно сосредоточены на компонентах, которые существуют как на ПК, так и на «тонких клиентах»: бизнес-приложения, ОС или службы «облачных вычислений» (Cloud Computing).
Обнаружение угроз требует более сложного анализа на поведенческом уровне, отслеживания действий пользователя (особенно в части прав доступа), включая сбалансированное сочетание следящих и корректирующих средств администрирования.
Оба типа администрирования легче осуществить, используя новые технологические платформы – такие как Intel® Virtualization. Technology (Intel® VT-x), Intel® Virtualization for Directed I/O (Технология для прямого ввода/вывода, Intel® VT-d) и Intel® ® Trusted Execution Technology (Intel® TXT) – и применять их на отдельных аппаратных средствах, а не в режиме общей (единой) виртуализации, исполняемой на сервере и транслируемой на окружение, состоящее из «тонких клиентов».
Например, атака, имеющая свой целью виртуальною машину (VM), работающую на сервере, может предназначаться для другой VM на том же самом сервере. Такой вид атак носит название «VM escape», то есть виртуальная машина может пройти сквозь гипервизор и подчинить себе управление всем хостом. Иногда эту атаку также называют «VM Hopping» – злонамеренная виртуальная машина наскакивает на рабочие машины.
Надёжные средства профилактики и отслеживания, которые гарантированно предотвращают вторжение на хост (host-based intrusion prevention systems – NIPS или HIPS), ещё не существуют в слое управления VM, чтобы защитить систему от этого вида нападения. Распределяя виртуальные машины по разным физическим серверам, отделяя клиентские устройства от сервера, или используя технологии на платформе, способной обеспечить изоляцию аппаратных средств, мы значительно снижаем риск от этого вида атак.
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ КОРПОРАЦИИ INTEL
После того как стало понятно, что «тонкие клиенты» не предотвратили бы недавние атаки «нулевого дня» на корпоративные сети, но что мы можем защитить от этих атак клиентские компьютеры, мы проанализировали, как лучше всего организовать безопасность клиентских машин Intel. Этот анализ был основан на корпоративных требованиях и технологических тенденциях решения проблем безопасности.
Мы констатируем, что мобильные корпоративные ПК (ноутбуки) поддерживают самый широкий спектр применения, и поэтому отвечают требованиям большинства сотрудников Intel.
Приложения, установленные локально на клиентской машине, в сочетании с вычислительной мощностью этой машины, предоставляют пользователям возможность работать в любом месте, в том числе и там, где нет доступа к сети. Это также означает, что пользователи, хотя и с ограничениями, но всё же сохраняют возможность работать на компьютере даже в случае возникновения чрезвычайных обстоятельств. Современные ноутбуки способны выполнять ресурсоёмкие графические приложения, мультимедийные задачи для общения, в том числе видео и голоса по IP (VoIP), совместной работы, обучения и научных исследований. Пользователи могут запускать широкий выбор программ, например, бизнес-приложений, а также использовать ноутбук для личных нужд (Intel, как и многие другие компании, позволяет в разумных пределах использовать корпоративные ресурсы таким образом).
Еще одним важным преимуществом корпоративных мобильных ПК является то, что они поддерживают все модели предоставления сервисов. Наша стратегия включает в себя всё большее число сервисов, предоставляемых из внутренних и внешних «облаков», и мы изучаем новые способы доставки контента, например, потокового видео. Оснащение пользователей корпоративными мобильными ПК означает, что они могут выполнить любое сочетание перечисленных выше задач, продолжая при этом использовать «обычные» локально установленные приложения, как показано на рисунке 2.
Рис. 2. Мобильные корпоративные ПК могут работать со всеми моделями предоставления сервисов, продолжая выполнять локальные приложения.
У «тонких клиентов», напротив, есть существенные ограничения. Отсутствует поддержка мобильных вычислений или автономной работы, пользователи не могут эффективно управлять полосой пропускания – а значит выполнять графические и ресурсоёмкие приложения.
Наш анализ также показал, что «тонкие клиенты» требуют значительного роста серверных ресурсов и увеличения пропускной способности всей сети, поддерживающей подключённых пользователей.
Мы пришли к выводу, что из-за этих ограничений «тонкие клиенты» могут быть пригодны только для использования в специализированных системах: центрах телефонного обслуживания (Call Center), платёжных терминалах и справочных киосках или управлением производством. Однако для универсального применения ноутбуки предпочтительнее «тонких клиентов». Это вызвано тем, что ПК способны выполнять задачи локально, обеспечивая большую гибкость и удобство для пользователей, а также меньше загружая сервера и предъявляя меньшие требования к пропускной способности сети.
ПЕРСПЕКТИВЫ
Надеемся, наш стратегия в отношении клиентских устройств будет продолжать соответствовать требованиями безопасности, повышения производительности труда и снижения затрат на ИКТ. В то же время мы должны понимать, что управление клиентским парком будет только усложняться, пользователи станут эксплуатировать всё большее число устройств с разными форм-факторами (и связанной с ними программной начинкой). Кроме этого неизбежно будет происходить конвергенция корпоративного и личного использования устройств, и к этому мы тоже должны быть готовы.
Мы планируем воспользоваться преимуществами новых технологий, вычислительных моделей и способов предоставления сервисов, и примирить эти, казалось бы, противоречивые требования. Мы планируем сегментированный подход, который включает в себя спектр клиентских решений, отвечающих потребностям различных пользователей предприятия.
Одним из вариантов развития, который мы рассматриваем, являются динамические виртуальные клиенты (Dynamic virtual client – DVC).
Динамический виртуальный клиент, DVC
DVC запускается на компьютере под управлением собственной ОС. Гипервизор с высокой степенью защиты является основным элементом нашей стратегии по организации работы клиентской машины. Это решение проиллюстрировано на рисунке 3.
Рис. 3. Intel IT исследует DVC (динамический виртуальный клиент).
Мы считаем, что DVC предоставит ряд преимуществ, в том числе аппаратно-независимую мобильность. Пользователи должны иметь возможность загружать и запускать виртуальные контейнеры на различных видах клиентского оборудования, с разделением корпоративных и личных рабочих областей на одном устройстве.
Для специализированных применений, где целесообразно осуществлять полный контроль над клиентом, мы предлагаем обеспечить высокую степень доступности клиента с сервера, полностью управляемые и жёстко контролируемые компьютеры. Потоковая передача позволяет воспользоваться преимуществами централизованного управления, когда образ ОС на сервере используется множеством настольных компьютеров, но без ограничений, неизбежных для «тонких клиентов». В то же время выполнение задач осуществляется локально, задействуются ресурсы клиента и обеспечивая более высокую производительность, а также снижение нагрузки на серверы и сеть.
ЗАКЛЮЧЕНИЕ
Мы окончательно убедились, что хотя безопасность и управляемость часто ассоциируется с «тонкими клиентами», они не обеспечивают защиту против используемых в последнее время злоумышленниками атак «нулевого дня». Кроме того, многие элементы защиты не являются уникальными для «тонких клиентов»: они могут применяться и на ПК с помощью несколько отличных методов, при этом не придётся отказываться от функциональности, которая неизбежно будет ограничена при использовании «тонких клиентов».
Принимая во внимание, как функциональные возможности, так и безопасность корпоративной системы, мы пришли к выводу, что мобильные корпоративные ПК поддерживают самый широкий диапазон использования и поэтому отвечают требованиям большинства сотрудников корпорации Intel. Поскольку мобильные корпоративные ПК поддерживают всё новые сервисы и вычислительные модели, они должны хорошо показать себя и в будущем. Ограничения «тонких клиентов» делают их подходящими только для специализированного использования в компьютерной среде.
Комментарий к статье «Evaluating Thin-Client Security in a Changing Threat Landscape»
До этого мне пришлось прочесть множество статей и присутствовать на ещё большем количестве семинаров, где говорилось как раз наоборот: «тонкие клиенты» – это здорово, и только недостаточная квалификация ИКТ-специалистов мешает их широчайшему внедрению во все области компьютерного хозяйства. В какой-то момент я даже начал ощущать комплекс неполноценности: если я и мои коллеги не применяем «тонких клиентов», выходит, и мы тоже недостаточно квалифицированные специалисты? А тут бальзам на раны: оказывается, всё у нас в порядке и мы идём «верной дорогой». Если серьёзно, то ключевые слова этого материала – «специализированное использование». Однако если продолжить эту мысль, то, выходит, что универсальные, а не специализированные «тонкие клиенты» – это вообще нонсенс. Потому что одни специализированные клиенты (как выражались раньше – автоматизированные рабочие места, АРМы) нужны для касс гипермаркетов, другие – для справочных аэропортов, третьи – для банков. В результате на долю просто «тонких клиентов» остаётся совсем узкая ниша, которую, возможно, и не стоило бы рассматривать всерьёз, если бы не категория ПО да не общее аппаратное ядро.
Интересна и гипотеза об экологичности «тонких клиентов». Оказывается и с этой точки зрения желательно не всё исполнение отдавать серверу, а распределять его между сервером и клиентом. В частности, всё, что касается задач с высокой долей интерактивности, в том числе и с серьёзной графической нагрузкой, лучше делать на клиенте. Конечно, желательно подкрепить эти рассуждения расчётами, но интересна и сама постановка задачи, которая, как известно – уже половина решения.