Крупный коммерческий банк действует на всей территории России. Часть сотрудников работают из дома, и с 2020 года их число только увеличивается. Также банк использует услуги аутсорсеров – аудиторов и тестировщиков ПО.
Раньше все они подключались к терминальной ферме (Remote Desktop Services farm) по RDP через VPN с помощью личных компьютеров или корпоративных ноутбуков фирм-подрядчиков.
У отдела информационной безопасности возникли сложности с защитой этих устройств:
- Нельзя ввести единые правила и общую политику безопасности.
- Невозможно исключить утечку данных к подрядчикам.
- Невозможно контролировать надежность антивирусного и другого ПО, которое пользователи установили самостоятельно. Следовательно, возможно заражение корпоративной сети вирусами с личных компьютеров.
- Можно было бы выдать удаленным сотрудникам корпоративные ноутбуки, но сложно быстро доставлять их в другие города.
Банк решил внедрить VDI-решение на базе VMware Horizon и закупить ноутбуки Dell. Но компания Dell ушла с российского рынка. Многие поставщики ПО для VDI тоже оказались в зоне риска.
Специалисты ИТ-отдела банка испытывали сильные затруднения: они не были готовы к работе в условиях санкций. Проанализировав ситуацию, клиент остановился на сервисной модели и обратился за внедрением и поддержкой VDI в компанию DataLine.
Решить вопросы санкционных ограничений. Требовалось подобрать ПО, продумать схему его срочной замены в случае необходимости, предоставить серверные мощности в аренду.
Создать готовые рабочие места для удаленных сотрудников. Было важно предусмотреть возможность быстрого масштабирования: банк вел набор в новый отдел.
Обеспечить удобную работу из разных географических точек и с разных устройств. Неважно, где находится сотрудник, использует корпоративный ноутбук или личный, – у него должен быть доступ к необходимой инфраструктуре.
Создать защищенные рабочие места для специалистов компаний-подрядчиков. Банк планировал распространить корпоративные стандарты безопасности на ноутбуки аутсорсеров.
Гарантировать безопасность корпоративных и персональных данных. Требовалось защитить VDI как от внешних угроз – шифровальщиков или направленных атак, так и от уязвимостей на стороне пользователей.
Клиенту предложили виртуальные рабочие столы на базе Citrix VDI. В случае ухода вендора с рынка специалисты DataLine сами подберут продукт на замену и переведут клиента на другую платформу. Для развертывания ПО используются сервера DataLine на территории России.
Инженеры обсудили с клиентом набор ПО для разных задач и категорий сотрудников. На основе пожеланий выбрали подходящие типы VDI. Постоянные рабочие места закрепили за штатными сотрудниками, а для аутсорсеров предусмотрели Pooled VDI, для которых данные операционной системы обнуляются после завершения рабочего сеанса. Данные пользователя и результаты его работы при этом хранятся в облаке, в выделенном кластере.
Инженеры DataLine создали и настроили "золотые образы" – эталонные виртуальные рабочие столы с набором необходимых приложений и настроек. На запуск новых рабочих мест из готового "золотого образа" достаточно получаса.
Сотрудники подключаются к виртуальному рабочему столу по защищенному протоколу. Трафик стенда VDI контролируется с помощью межсетевого экрана нового поколения. Каждый рабочий стол располагается в изолированном сетевом сегменте. Для управления ресурсами выделен закрытый менеджмент-сегмент, который недоступен злоумышленникам извне.
Для подрядчиков и аутсорсеров заблокировали возможность передачи информации “вовне”: обмен данными между VDI и клиентскими устройствами, проброс USB и дисковых устройств, снятие скриншотов.
Клиенту не придется самостоятельно справляться с задачами, которые усложнились в условиях санкций:
- покупкой и продлением лицензий;
- закупками иностранного оборудования, включая серверы;
- заменой отключенных зарубежных облачных сервисов;
- ростом расходов на поддержание штата из-за конкуренции за отечественных ИТ-специалистов.
Решением этих проблем занимается DataLine.
С помощью технологии VDI распространили корпоративные стандарты безопасности на удаленные рабочие места сотрудников и аутсорсеров:
- защитили стенд VDI от атак извне и от риска заражения вирусами с личных компьютеров;
- пресекли возможность кражи данных;
- обезопасились на случай форс-мажорных обстоятельств, например, потери или кражи ноутбука, на котором специалист работал с конфиденциальной информацией.
Инженеры DataLine выполнили все пожелания заказчика к виртуальным рабочим местам:
- реализовали возможность подключения и работы из разных городов и с любых устройств;
- создали шаблоны для быстрого развертывания новых рабочих столов.
Самостоятельное развертывание продукта потребовало бы расширения ИТ-отдела, крупных единовременных затрат на покупку лицензий и систем хранения, апгрейда корпоративных серверных мощностей. Банк не был уверен, что будет использовать VDI долго и эти расходы успеют окупиться.
С другой стороны, ежемесячные расходы на сервис по подписке в облаке не тяжелы для бюджета и могут быть свернуты в любой момент.
Внедрение VDI позволило увеличить число удаленных сотрудников, высвободить часть офисных площадей и снизить расходы на аренду. Банк стал нанимать больше специалистов из регионов, благодаря чему снизил расходы на персонал.