Оглавление
Есть разные взгляды на тонкие клиенты и принципы построения их архитектуры. И хотя самих тонких клиентов на российском рынке не так много, решение “Лаборатории Касперского” явно выделяется среди всех за счет заложенной в нем кибериммунности. Разберемся, что это означает на практике и какие инструменты для контроля и управления это дает для специалистов по информационной безопасности.
Автор: Михаил Левинский, старший менеджер по продукту, “Лаборатория Касперского”
Существует миф, что тонкий клиент – априори безопасная система, ведь никакая информация на нем не хранится и не обрабатывается, а значит, злоумышленникам нет смысла пытаться туда проникнуть.
Это заблуждение активно поддерживается глобальными вендорами, которые при описании преимуществ своих тонких клиентов обязательно добавляют пункт Secure – мол, безопасный.
Но реальная безопасность тонких клиентов заключается в наборе используемых технологий и в первую очередь – в операционной системе, как правило, базирующейся на Linux. Впрочем, есть и другой подход.
KasperskyOS – другой подход к безопасности
KasperskyOS – это микроядерная операционная система, на базе которой разрабатываются кибериммунные продукты. Она разработана по принципу Secure by Design, то есть безопасна уже по своей природе и не требует наложенных средств защиты. Это результат серьезного научного исследования, в которое “Лаборатория Касперского” вложила 15 лет работы.
Одно из практических продуктов KasperskyOS – специализированная операционная система для тонких клиентов Kaspersky Thin Client. В данный момент в России она устанавливается на платформе TONK TN1200. За рубежом это решение известно под названием Centerm F620 и уже доступно с предустановленной ОС Kaspersky Thin Client в Малайзии, Индонезии, Швейцарии, Австрии, ОАЭ, Королевстве Саудовской Аравии и других странах.
Кибериммунный тонкий клиент – это практическое подтверждение того, что можно строить системы, безопасные по дизайну. А главный вклад в кибериммунность дает микроядерная архитектура KasperskyOS.
Микроядро для сокращения поверхности атаки
Обычный подход, в том числе и мировой, при разработке операционных систем для применения в тонких клиентах – усечение образа монолитного ядра операционных систем Linux и Unix, размер которых исчисляется гигабайтами. Поэтому для сокращения объема часть компонентов вырезается из образа, попутно образуя риски для стабильности работы.
Микроядерная архитектура строится в обратном направлении – на суперкомпактное и выверенное ядро накладываются только компоненты, необходимые для конкретного применения. Микроядро контролирует все компоненты вокруг себя и их взаимодействия с другом.
Дело в том, что в монолитной архитектуре взаимодействие между компонентами происходит напрямую, а при микроядерном подходе все запросы проходят через ядро. Это дает богатейшие возможности по контролю безопасности.
За счет добавления только необходимых компонентов сокращается поверхность атаки. Для сравнения: ядро Linux содержит 35 млн строк кода, а в KasperskyOS – всего несколько десятков тысяч. Почти 90% уязвимостей, которые присущи монолитным ядрам, на микроядре или просто не будут существовать или будут иметь низкую степень критичности с точки зрения безопасности.
Компактное ядро и проблема обновлений
Размер образа ОС Kaspersky Thin Client версии 2.0, развернутого на тонком клиенте, составляет не более 700 Мбайт, а дистрибутив (сжатый образ) для доставки из источника обновления до тонких клиентов – не более 300 Мбайт. Это достаточно маленький объем даже в сравнении с другими операционными системами для тонких клиентов. Отсюда следуют несколько важных особенностей.
Во-первых, устройства под управлением Kaspersky Thin Client становятся нетребовательными к аппаратным ресурсам. Сейчас операционная система для тонких клиентов “Лаборатории Касперского” работает на аппаратной платформе TONK TN1200. Но компактный образ Kaspersky Thin Client позволяет им работать и на другом оборудовании, в том числе с довольно скудной аппаратной спецификацией.
Во-вторых, решается проблема с обновлениями. Высокая периодичность обновлений на операционных системах с монолитным ядром объясняется необходимостью доставки патчей безопасности, а это огромная нагрузка на сеть. Особенно это критично для слабых каналов в регионах, а надо отметить, тонкие клиенты часто используются в географически распределенных инфраструктурах.
Благодаря кибериммунности регулярные обновления для Kaspersky Thin Client в принципе не нужны. Следствием минимальности поверхности атаки является полное отсутствие патчей безопасности. Единственный случай, когда необходимы обновления, – если заказчик хочет получить новую функциональность.
Посмотрим на пример. Ретейл и банки – частые пользователи тонких клиентов. Если в каком-либо магазине или банке парк тонких клиентов не заведется только из-за того, что образ в несколько гигабайт не обновился за ночь, это – серьезные потери для бизнеса. В случае использования Kaspersky Thin Client такая ситуация исключена.
На что распространяется кибериммунность?
Используя тонкие клиенты “Лаборатории Касперского”, заказчик не просто приобретает компактный ПК, но выстраивает инфраструктуру тонких клиентов.
Кибериммунность означает не только защищенность конкретной конечной точки – безопасность связана со всем жизненным циклом тонких клиентов и полным стеком технологий в их инфраструктуре. Например, есть задачи, связанные с распределением сертификатов для подключения к виртуальным рабочим столам, и от надежности этого механизма также будут зависеть характеристики безопасности кибериммунного тонкого клиента. Все подобные аспекты учитываются при расчете модели угроз и при планировании свойств кибериммунности.
Конечно, тонкие клиенты не могут впрямую отвечать за VDI-инфраструктуру, но ее безопасность могут обеспечивать другие продукты “Лаборатории Касперского”, начиная с уровня хранения “золотых” образов до защиты гипервизора, виртуальных машин и т.д.
Точно можно утверждать, что на кибериммунном тонком клиенте нет необходимости в установке, например, антивируса, потому что он построен таким образом, что через него злоумышленник не сможет провести кибератаку. Но для решения дополнительных задач кибербезопасности, например, обеспечения двухфакторной аутентификации или защиты конфиденциальной информации, передаваемой по каналам связи, потребуются средства защиты.
Управление тонкими клиентами
В процессе разработки проявилось еще одно технологическое преимущество тонких клиентов помимо свойств кибериммунности. На сегодняшний день “Лаборатория Касперского” защищает сотни миллионов конечных точек по всему миру. Большая их часть – корпоративные рабочие места, и для централизованного управления агентами, установленными на защищаемых объектах, используется Kaspersky Security Center.
Естественным образом это решение применяется и при управлении к и б е риммунными тонкими клиентами. Если в компании уже работает хотя бы один корпоративный продукт “Лаборатории Касперского”, значит, де-факто система централизованного управления тонкими клиентами уже есть. Для этого в Kaspersky Security Center нужно добавить еще один модуль.
В результате для начала использования кибериммунных тонких клиентов достаточно просто подключить их к корпоративной сети через Ethernet-разъем, а дальше Kaspersky Security Center увидит новый кибериммунный продукт Kaspersky Thin Client, выдаст все необходимые конфигурации – и рабочее место готово к использованию.
Благодаря автоматической настройке Kaspersky Thin Client можно подключить к инфраструктуре всего за две минуты.
Мониторинг и контроль
Тонкие клиенты, появляющиеся вместо обычных рабочих мест, несут риск ухода в область Shadow Hardware, теневое аппаратное обеспечение, скрытое от глаз безопасников. Первое, что обеспечивает Kaspersky Security Center, – это необходимая видимость: в консоли могут работать как айтишники, в задачи которых входит внедрение тонких клиентов, так и безопасники, например для сопровождения антивирусных средств защиты или работы с крупными продуктами, такими как KUMA или KATA.
Второе – поддержка с помощью Kaspersky Security Center специфических настроек безопасности: например, разрешения или запрета на подключение подключаемых USB-носителей или возможности для пользователя изменять параметры подключения устройства.
Таким образом Kaspersky Security Center позволяет органично вписать использование и сопровождение тонких клиентов в привычный для ИТ и ИБ сценарий.
Совместимость с VDI-решениями
RDP – базовый протокол в Kaspersky Thin Client, и любое VDI-решение, которое его поддерживает, будет совместимо.
Из российских VDI-производителей поддерживается Basis WorkPlace, а в версии 2.0 анонсирована возможность подключения по HTML5 к Citrix и VMware. Доступен также режим доставки отдельных приложений.
Тонкие клиенты для АСУ ТП
Промышленный сегмент – это очень интересная область использования тонких клиентов.
Устройства в промышленном сегменте работают, как правило, в затрудненных условиях эксплуатации: пыль, влажность, электростатика и другие негативные факторы. Поэтому в сегмент АСУ ТП ставятся только компактные рабочие станции в промышленном исполнении.
Тонкие клиенты хороши как раз тем, что в них нет движущихся частей, и вероятность их выхода из строя под воздействием неблагоприятных факторов среды крайне мала.
Вторая важная особенность сегмента АСУ ТП – нишевой сценарий использования. Чаще всего это подключение к удаленной или виртуализованной SCADA-системе. Для работы со SCADA не нужны мощные производительные протоколы – как правило, достаточно обычного RDP, чтобы инженер мог осуществлять мониторинг технологического процесса или управлять им.
Но важно минимизировать время простоя конечной рабочей станции. Если происходит неполадка с традиционным промышленным компьютером, потребуется значительное время, чтобы устранить неполадку или заменить одну рабочую станцию на другую.
В случае с тонким клиентом процесс подключения нового тонкого клиента занимает две минуты с холодным стартом, а горячий старт будет еще быстрее. Поэтому интерес к форм-фактору тонкого клиента на АСУ ТП исходит не только от безопасников, но и от айтишников.
Важное преимущество в заключение
Важное преимущество Kaspersky Thin Client заключается в том, что продукт полностью закрывает задачи как для обычных пользователей, так и ИТ-администратора, а также не создает дополнительной головной боли для ИБ-администраторов. В том числе и за это в 2022 г. Kaspersky Thin Client получил международную награду как одна из лучших технологических инноваций на World Internet Conference.
В 2023 г. решение было отмечено на “Инфофоруме-Сочи” и победило в номинации “Защищенный гражданин”. В этой категории участники конкурса соревновались за звание лучшего защищенного решения в сфере финансовых услуг, цифрового здравоохранения, цифрового образования и цифрового социального обеспечения в регионах России.
https://os.kaspersky.ru/solutions/kaspersky-thin-client/
Реклама ООО “Лаборатория Касперского”. ИНН 7713140469 . Erid 2SDnjegxDYe
ITSec_articles