Прежде всего необходимо отметить повышение управляемости инфраструктурой — например, возможность выполнять централизованный апгрейд ПО, в процессе которого не нужно учитывать специфику различных рабочих станций. Во-первых, это экономит время и ресурсы компании. Во-вторых, может быть единственным решением в случае резкого роста бизнеса при слиянии/поглощении или при реализации модели общего центра обслуживания, а также при наличии у компании труднодоступных объектов или просто широкой сети региональных представительств.
Одно из основных преимуществ при внедрении VDI — существенное повышение уровня информационной безопасности. Конечно, решения VDI не защищены на 100% от потенциальных ИБ-угроз, но по сравнению с использованием традиционных ПК это большой шаг вперед. Информация хранится на сервере, а пользователь работает с тонким клиентом, который легко настраивается в соответствии с требованиями информационной безопасности (например, запрет на использование внешних накопителей, отключение возможности сделать скриншот и выполнить несанкционированное копирование и многое другое).
Другим важным преимуществом является экономическая эффективность. На этом пункте остановимся подробнее. VDI — это комплексный подход, включающий множество технических решений из разных сфер информационных технологий, тесно интегрированных в бизнес-процессы компаний. Как следствие, каждый проект имеет свои точки экономической эффективности, поэтому перечислим основные.
На первом месте, как ни странно, — организация новых рабочих мест (и замена старых). Для действующих ПК крайне актуален вопрос работоспособности оборудования: «высыхают» блоки питания, «сыплются» накопители, могут выходить из строя мониторы. Тонкий клиент в большинстве случаев лишен этих проблем как конструктивно, так и идеологически. Сам по себе он не устаревает: вычислительные мощности консолидированы в серверной стойке, ее масштабируемость и гибкость использования заложены в самой идее виртуализированных рабочих мест.
Еще один «прожигатель дыры» в бюджете компании — фонд оплаты труда. Характерной чертой компании промышленного сектора является большое число пользователей, не готовых самостоятельно решать даже малейшие проблемы с ПК, что требует найма квалифицированного персонала для обслуживания рабочих станций. Любая аппаратная поломка ПК приводит к простоям в работе пользователей. Применение тонких клиентов позволяет эффективно снизить как численность обслуживающего персонала, так и возможные издержки, вызванные простоем оборудования и затратами на его ремонт и обслуживание.
Говоря о преимуществах VDI и тенденциях ее развития, нельзя не отметить 3D-VDI. Это та же технология виртуализации рабочих столов, но с поддержкой 3D-графики, что дает возможность решать специфические задачи, стоящие перед конструкторами, архитекторами, проектировщиками и технологами. Таким образом, решение VDI выходит на новый уровень использования и становится все более востребованным в промышленном секторе.
В качестве примера проекта, реализованного вместе с нашей компанией, можно привести проект трансформации графических рабочих станций в виртуальные рабочие столы с помощью технологии 3D-VDI в одном из крупнейших в России конструкторских бюро. Проект предполагал виртуализацию 32 рабочих мест конструкторов и 68 рабочих мест офисных сотрудников. Основным требованием заказчика к решению являлась мобильность: необходимо было предоставить сотрудникам возможность ездить в командировки с легким оборудованием и иметь постоянный доступ к мощным вычислительным ресурсам конструкторского бюро из любой точки России. При этом сами данные всегда должны были оставаться в защищенном периметре организации.
Громоздкими остались только дата-центры. Сотрудники же в зависимости от задач используют тонкий клиент или АРМ.
Вопрос информационной безопасности всегда очень важен для компаний промышленного сектора, и этот проект не стал исключением. При использовании VDI данные остаются на сервере (на клиент передается лишь изображение экрана), что препятствует их краже и утечке. Кроме того, на сервере информацию проще защитить от вирусов и действий злоумышленников.
Стоит отметить, что рабочее место проектировщика предполагает использование дорогого, очень мощного оборудования с большим количеством вычислительных и графических ресурсов. Кроме того, должны выполняться серьезные требования к системе хранения. Решение 3D-VDI подразумевает консолидированный подход, когда используются вычислительные мощности серверов и возможности графических карт NVIDIA. Таким образом, помимо успешно выполненных задач, которые ставились перед нами изначально, заказчик получил ряд дополнительных преимуществ — например, рабочее окружение проектировщика фактически переехало в ЦОД, «ближе» к сборкам, с которыми ведется работа. В результате время загрузки сборок сократилось с 40 до 10 минут, а конструкторы стали эффективнее использовать рабочее время. Громоздкими остались только дата-центры. Сотрудники же в зависимости от задач используют тонкий клиент или АРМ.
Другой наш проект — два этапа развертывания инфраструктуры VDI в Объединенной двигателестроительной корпорации (ОДК). По их завершении 30% сотрудников были обеспечены виртуальными рабочими столами. В будущем планируется развернуть VDI для всех сотрудников предприятия. В ОДК, которая является частью госкорпорации «Ростех», существуют строгие стандарты информационной безопасности, и технология VDI в проектируемом решении им полностью удовлетворяет. Вся инфраструктура работает с использованием программных и аппаратных продуктов одного производителя.
Главная выгода от внедрения VDI не обязательно состоит в экономическом эффекте. Так, Объединенной двигателестроительной корпорации требовалось прежде всего обеспечить быстрое развертывание рабочих мест в соответствии с задачами бизнеса. Кроме того, внедрение VDI позволило упростить аттестацию рабочих мест на соответствие требованиям работы с конфиденциальной информацией.
Говоря о технологии VDI, нельзя не рассказать о главных игроках на рынке VDI. Решение для конструкторского бюро было построено на технологиях VMware. При реализации проекта для ОДК в качестве производителя была выбрана китайская компания Huawei. Мы и Huawei — давние партнеры, тем приятнее отметить, что это решение оказалось дешевле, чем продукты западных производителей, при этом оно реализует весь необходимый функционал.
В настоящее время на рынке VDI, согласно относительно свежему исследованию IDC MarketScape «Worldwide Virtual Client Computing Software Vendor Assessment», есть несколько крупных игроков: VMware, Citrix, Microsoft, Huawei (рис. 1). Наибольший интерес могут представлять производители, которые на графике попали в область Leaders и Major Players.
Создателем рынка решений VDI можно считать малоизвестную компанию Propero Software, выпустившую один из первых продуктов для организации доступа к виртуальным рабочим станциям Virtual Desktop Manager. В 2007 г. компания VMware купила Propero Software и в последующие десять лет вышла на лидирующие позиции по продуктам для виртуализации рабочих станций. К сильным сторонам продуктов VMware следует отнести возможность интеграции с другими решениями — прежде всего с платформой виртуализации vSphere, системой мониторинга vRealize Operations Manager, решениями по созданию и управлению программно-конфигурируемыми сетями NSX и программными хранилищами vSAN, порталом публикации приложений Identity Manager.
Проектный опыт нашей компании показывает, что интерес к виртуализации рабочих станций не ослабевает, а напротив — набирает обороты.
Citrix, главный конкурент VMware на рынке VDI, — американская компания, которая начала свою деятельность с популяризации технологии терминального доступа. Ее продукт Citrix XenDesktop занял большую рыночную долю благодаря широким функциональным возможностям вроде поддержки нескольких платформ виртуализации.
Уникальность позиции Microsoft на рынке VDI заключается в том, что, несмотря на наличие собственного VDI-решения Remote Desktop Services, входящего в состав ОС Windows Server, компания активно продвигает свои продукты и решения в связке с продуктами и решениями своего партнера Citrix.
Среди других крупных игроков можно отметить Parallels и Huawei. Проектов с привлечением оборудования Huawei на российском рынке пока немного, однако компания уверенно развивается, что дает возможность все большему количеству заказчиков, для которых санкционная политика имеет значение, рассматривать для себя ее технологии виртуализации.
Если говорить об отечественных производителях, то следует отметить компанию «Шаркс Датацентр» — производителя гиперконвергентных решений. VDI, как и любая другая технология, развивается и не стоит на месте. Долгое время технологию упрекали в невысоком уровне производительности корпоративных приложений, а работа с тяжелыми графическими программами и видео была и вовсе самым слабым ее местом. Рост вычислительных мощностей серверов, реализация ускорения трехмерной графики при использовании гипервизоров и грамотное планирование потребления ресурсов позволили оставить все эти проблемы в прошлом. Вопросы подобного рода успешно решаются на этапе проектирования. Общий тренд компаний промышленного сектора на цифровизацию позволяет рассматривать внедрения VDI не как самостоятельные проекты, а как часть более крупных, комплексных программ.
Однако необходимо отметить, что, несмотря на все преимущества, решения VDI подходят не для всех пользователей. Специалисты, которым для решения задач требуются значительные вычислительные мощности или локальное хранилище, не выиграют от использования VDI. В этом случае проблема решается внедрением VDI для ограниченного круга пользователей. Если есть сомнения в целесообразности применения данной технологии, можно начать с пилотного варианта и оценить работу конечного пользователя, чья удовлетворенность и станет важным маркером успеха проекта.
Несмотря на различные задачи и масштаб двух рассмотренных проектов, у них есть общие черты. Во-первых, поводом к внедрению VDI стала потребность в обновлении устаревших рабочих мест. Во-вторых, использование VDI позволило упростить обслуживание и ускорить развертывание рабочих мест конечных пользователей и оптимизировать штат ИТ-персонала. В-третьих, ввиду того что компании промышленного сектора предъявляют повышенные требования к информационной безопасности, важным доводом в пользу VDI для всех наших заказчиков оказалось повышение защищенности данных. Кроме того, реализация проектов позволила решить узконаправленные задачи и оптимизировать расходы.
Стоимость и срок окупаемости решения зависят от многих факторов, которые различаются в каждом конкретном случае. Количество используемых ПК, их стоимость, срок эксплуатации, физический и моральный износ, а также численность обслуживающего персонала и размер фонда оплаты труда, предпочитаемые производители и требуемый функционал, наличие оборудования и лицензий — все это влияет на стоимость решения. При этом наш опыт внедрения VDI, в том числе в масштабных проектах (например, для банка «ВТБ»), говорит о возможности снизить совокупную стоимость владения рабочим местом на 15–25% и обеспечить срок окупаемости порядка 2–3 лет.
Артем Марусов
Старший инженер-проектировщик Центра информационной безопасности компании "Инфосистемы Джет"
Комментарий
Что касается угроз ИБ, VDI не формирует уникальный набор проблем для службы безопасности, а, скорее, несколько смещает фокус от клиентской части инфраструктуры к серверной.
Поскольку ввод-вывод пользователя полностью обрабатывается прослойкой VDI, несложно сделать так, что он не будет получать от бизнес-систем никакой информации, кроме визуальной (изображения на экране), а передавать сможет только сигналы от клавиатуры и мыши. Также рядом с пользователем больше нет персонального компьютера, на жестком диске которого хранятся его рабочие данные. Очевидно, что угроз автоматически становится меньше, даже делать ничего не нужно: у пользователя не получится «принести» в сеть вредоносный файл на найденной в курилке флешке, как не выйдет и унести домой файл с данными квартального отчета.
Несмотря на это, большинство угроз, характерных для традиционных рабочих станций, остаются актуальными и для виртуальных рабочих мест: все-таки используемые ОС, ПО, сервисы, как правило, остаются почти без изменений. Поэтому, на мой взгляд, правильным подходом будет стремиться защищать виртуальные рабочие места не хуже физических. Дополнительная тонкость здесь заключается в том, что не все решения, которые ранее использовались для защиты обычных рабочих станций, способны работать оптимально в виртуальной среде. Поэтому для VDI стоит подбирать специализированные средства защиты: они могут обеспечить выигрыш в производительности и дать в руки защитников инфраструктуры уникальные инструменты, например безагентскую антивирусную защиту.
Как было сказано выше, фокус внимания злоумышленника смещается с конечного ПК на непосредственно серверную инфраструктуру VDI. Если раньше взлом конкретного компьютера пользователя мог расцениваться как утечка его данных и подготовка к латеральному движению по сети компании, то теперь взлом инфраструктуры VDI будет означать одномоментную компрометацию всей хранимой в ней информации всех пользователей. Согласитесь, хотя характер и типовой набор угроз меняются не сильно, масштаб потенциального инцидента ИБ различается существенно. Поэтому защита основных «железных» компонентов VDI-решения должна обеспечиваться максимально комплексно — цена ошибки слишком велика.