Bezpieczny i wygodny dostęp dla wszystkich

Jednym z najtrudniejszych problemów, które muszą rozwiązywać działy IT, jest przygotowanie środowiska dla użytkowników mobilnych.

Użytkownik mobilny stawia dość wysoko poprzeczkę działom IT. Po pierwsze, musi pracować z firmowymi aplikacjami w każdym miejscu, niejednokrotnie bez połączenia z siecią. Po drugie, przechowuje na swoim laptopie ważne dane, którym należy zapewnić bezpieczeństwo. Po trzecie, niejednokrotnie chciałby użyć firmowego laptopa do mniej ważnych spraw, jak przeglądanie Internetu lub innych zadań, które mogą stać w sprzeczności z polityką bezpieczeństwa korporacji (na przykład instalacja sterowników do domowej drukarki).

Niektóre firmy stosowały metodę dwóch instalacji Windows - jednej do pracy, drugiej do rozrywki, ale mimo starań administratorów, nadal instancje te mogły wpływać na siebie i powodować problemy z bezpieczeństwem. Ponadto przechowywanie firmowych danych nie zawsze można było zrealizować w bezpieczny i w miarę wygodny sposób. Z kolei pojedyncza instalacja, wykorzystująca dwóch użytkowników systemowych nie zapewnia wymaganego poziomu bezpieczeństwa. Wyjściem byłoby zastosowanie wirtualizacji, ale oferowane dotąd produkty nie były dostosowane do specyfiki użytkowników mobilnych.

Hypervisor oddzieli systemy

Najlepszym sposobem separacji środowiska firmowego i prywatnego jest wykorzystanie dwóch instalacji systemów operacyjnych tak eksploatowanych, by nie było bezpośredniego połączenia między instancjami. Można to osiągnąć za pomocą technologii wirtualizacji, oferowanej przez hypervisor zainstalowany na stacji roboczej. Narzędzie takie umożliwi uruchomienie dwóch instalacji systemów pracujących na tym samym sprzęcie w odseparowaniu od siebie. Jedna z tych instalacji może być firmowym systemem Windows XP wyposażonym we wszystkie niezbędne zabezpieczenia oraz ograniczenia uprawnień użytkownika. Drugą instalacją może być Windows XP, Vista lub 7, przy czym uprawnienia użytkownika mogą być tam znacznie szersze, zależnie od potrzeb. Ponieważ nie ma bezpośredniego połączenia między maszynami, naruszenie bezpieczeństwa jest znacznie mniej prawdopodobne niż przy instalacji, gdzie jeden z systemów może zamontować dysk drugiego. W przypadku oprogramowania Citrix XenClient, można w ten sposób eksploatować systemy Windows XP, Vista i 7. Linux nie jest oficjalnie wspierany, ale zazwyczaj działa poprawnie.

Ponieważ hypervisor XenClient wymaga procesora wspierającego operacje związane z wirtualizacją i niezbędna jest karta graficzna obsługująca pass-through przez hypervisor (obecnie wyłącznie karty firmy Intel), nie każdy notebook będzie odpowiedni do takiego zastosowania. Obecnie chipsety graficzne innych producentów (Nvidia, AMD) nie obsługują technologii związanej z wirtualizacją w takim środowisku.

Bezpieczny schowek na pliki

Instalacja i utrzymanie aplikacji firmowych jest dość pracochłonnym zajęciem w tradycyjnym modelu. Narzędzia przeznaczone do automatycznej, nienadzorowanej instalacji pomagają administratorom, ale są mało przydatne w środowisku mobilnym, gdyż wymagają stałego połączenia z siecią firmową. Znaczący krok w dziedzinie uproszczenia zarządzania został osiągnięty w chwili separacji aplikacji od systemu operacyjnego. Podział obrazu systemu i aplikacji umożliwia łatwą instalację w postaci paczki, która może być dostarczona przez sieć, może działać offline.

Niestety, wadą takiej instalacji był brak zintegrowanego miejsca przechowywania dokumentów, które byłoby dobrze chronione. Pełnodyskowe szyfrowanie danych w pewnym stopniu rozwiązuje ten problem, w dalszym ciągu należy zapewnić tym danym synchronizację ze środowiskiem firmowym. Obecnie dostępne rozwiązanie, zaproponowane przez firmę Citrix w produkcie XenVault, posiada bezpiecznie chroniony obszar, w którym domyślnie są zapisywane dokumenty użytkowników. Dla wygody użytkowników, zazwyczaj konfiguruje się do tego celu folder "Moje dokumenty". Administrator może ustawić politykę w ten sposób, że użytkownik poza siecią firmową zapisuje dokumenty nie wprost na dysku lokalnym, ale w chronionym zasobie. Dzięki temu, że obszar ten jest silnie szyfrowany, pozyskanie danych przez intruza jest poważnie utrudnione. Najważniejszą z zalet XenVault jest jednak możliwość zastosowania narzędzia Synchronizer, które zapewni automatyczną synchronizację plików, gdy tylko komputer znajdzie połączenie z siecią firmową. Środowisko automatycznie synchronizujące zmiany było dostępne dotąd jako opcja "offline files" systemu Windows 2000 Professional, ale nie posiadało tak dobrze dopracowanego mechanizmu zapewniającego bezpieczeństwo danym w sposób przezroczysty i zintegrowany z dostarczaną aplikacją.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200