Citrix corporate blog
29 November 2010

Citrix XenVault: корпоративный сейф в пользовательском окружении

В любой средней или крупной компании схема организации работы сотрудников примерно одинакова: настольный компьютер, учетная запись в корпоративной сети и права пользователя, ограниченные по вкусу системного администратора и высокого начальства. Правда, вместо стандартного десктопа все чаще выдается ноутбук: разница в цене не принципиальная, а возни с коробками гораздо меньше. Но здесь возникает и другая опасность: ноутбук может быть утерян, а хранящиеся на нем документы – оказаться у конкурентов, в прессе или (неизвестно, что хуже) на популярном торрент-трекере.

В любом случае решается одна и та же проблема: как дать сотруднику достаточно свободы, но при этом сохранить требуемый уровень безопасности? В Citrix решают эту проблему путем переноса рабочего окружения на сервер. Ведь в таком случае становится и вовсе не важно, с какого компьютера работник подключается к виртуальному десктопу. Так родилась концепция Bring Your Own Computer: вы можете вообще не снабжать сотрудников ноутбуками. Вместо этого вы выдаете им определенную сумму, и они самостоятельно выбирают компьютер по своим критериям.

Привлекательное решение, но оно не лишено недостатков, если не забывать о безопасности. Конечно, при использовании технологий виртуализации пользователь выполняет всю работу на сервере, а на ноутбуке ничего не сохраняется. Но рано или поздно у сотрудника возникнет желание поработать «в оффлайне», для чего потребуется перетащить на ноутбук парочку рабочих документов. Обеспечить безопасный доступ к рабочим данным в таком случае поможет технология Citrix XenVault.


Пользователю надо доверять



Обеспечивая необходимый уровень безопасности корпоративных данных, нужно не забывать о самих сотрудниках: им в этих условиях еще и работать надо. Поэтому защита данных должна быть максимально прозрачной, и XenVault – лучшее решение с данной точки зрения. В отличие от XenClient, делающего рабочее окружение доступным и в оффлайне, но требующего установки программного обеспечения «на голое железо», XenVault гораздо проще в использовании. Фактически это часть клиента Citrix Receiver, стандартной программы для подключения к виртуальному десктопу с любого устройства.



Технология XenVault предусматривает создание виртуального диска в клиентской операционной системе, на котором в дальнейшем будут храниться рабочие данные. Этот диск зашифрован с использованием 256-битного ключа AES, а политика безопасности определяет, какие именно программы получат к нему доступ. В типичном случае к виртуальному диску могут обращаться программы из виртуального же окружения. В более расширенном варианте можно предоставить ограниченный доступ к диску через «Проводник». Процесс создания защищенного диска можно увидеть в этом видеоролике:



Оффлайновый доступ

Таким образом, сотрудник компании может большую часть времени работать в виртуальном окружении, но сохраняет доступ к определенным файлам даже при отключении компьютера от сети. Устанавливать более сложное решение (например, XenClient) для этого не требуется, необходимая функциональность уже встроена в стандартный клиент Citrix Receiver. Но условия доступа и хранения данных на пользовательском ПК определяются корпоративной политикой безопасности. В случае кражи данные на защищенном виртуальном диске просто не получится открыть, но в Citrix на всякий случай разрабатывают метод «отравленной пилюли», благодаря которому зашифрованные данные будут автоматически уничтожаться при первом же подключении пропавшего ноутбука к интернету или по истечении определенного времени.

В планы разработчиков Citrix также входят и автоматическое внедрение дополнительных политик безопасности на компьютере пользователя. В частности, ведется работа над блокировкой буфера обмена при работе с защищенными документами, а также над системой быстрой синхронизации локальных рабочих данных с сервером.

На стороне администратора

XenVault является дополнительным компонентом решения для виртуализации десктопов Citrix XenDesktop. Этот плагин стал доступен в версии Feature Pack 2, и был выпущен одновременно с решением Citrix XenClient. Это вполне логично, так как и XenClient, и XenVault различными способами решают одну и ту же проблему безопасного хранения корпоративных данных на пользовательской машине. По умолчанию доступ к данным на пользовательской машине имеют виртуальные приложения, доставленные с помощью Citrix Receiver или Microsoft App-V.

На серверной стороне для настройки и доставки плагина используется выделенный сервер (Merchandizing Server), с помощью которого определяются политики безопасности. Доступны следующие базовые настройки:

— Определяется возможность сохранения пароля локально. Если это разрешено, то защищённая область открывается автоматически после успешного запуска Citrix Receiver.

— Задается минимальное количество символов в пароле.

— Можно включить обязательное использование сложных паролей. В таком случае в пароле
обязательно должно выполняться три из четырех условий: заглавные буквы, строчные буквы, цифры, специальные символы.

Merchandizing Server также управляет политикой блокировки виртуального диска, резервным копированием ключей для возможности восстановления зашифрованных данных на клиентском устройстве в случае утраты пароля. Можно также задать принудительную блокировку данных при отсутствии подключения к корпоративному серверу в течение определенного времени. В таком случае пользователь будет заранее получать предупреждения о возможной блокировке за 2 и 1 день, а также 12 часов, 2 часа и 10 минут. И, наконец, в качестве последней меры возможно принудительное удаление данных с клиентского устройства при подключении к серверу. Работать с плагином XenVault могут пользователи коммерческих версий XenDesktop – VDI, Enterprise или Platinum.

+13
5.1k 7
Support the author
Leave a comment