Обзор Kaspersky Thin Client 2.3, отечественной ОС для тонких клиентов

1. Введение
2. Функциональные возможности KTC 2.3
   
   1. 2.1. Работа с мультимедиа
   2. 2.2. Удалённые подключения к удалённому рабочему столу KTC
   3. 2.3. Работа с USB-устройствами в Citrix
   4. 2.4. Разнообразие рабочих сред
   5. 2.5. Способы подключения к рабочим средам
   6. 2.6. Быстродействие системы
   7. 2.7. Адаптация под брендбук
   8. 2.8. Kaspersky USB Redirector
   9. 2.9. Дополнительные возможности
3. Архитектура KTC 2.3
4. Системные требования и лицензирование KTC 2.3
5. Сценарии использования KTC 2.3
   
   1. 5.1. Работа пользователя
   2. 5.2. Практические кейсы внедрения
      1. 5.2.1. Финансовая организация
      2. 5.2.2. Здравоохранение
      3. 5.2.3. Энергетика
      4. 5.2.4. Образование
6. Выводы

Введение

Сложно представить функционирование современного предприятия без средств автоматизации — автоматизированных рабочих мест (АРМ), периферийных устройств, серверов. Особое внимание в ИТ-инфраструктурах уделяется АРМ, так как от их работоспособности зависит работа сетей магазинов, финансовых и государственных учреждений, промышленных предприятий. 

Существует два основных варианта по организации подобных рабочих мест: использование «толстых» или «тонких» клиентов. 

«Толстые» клиенты представляют собой полноценные вычислительные машины с соответствующими ресурсами: процессором, оперативной памятью и жёстким диском. Они меньше зависят от качества работы сети, имеют большее быстродействие и производительность. Однако каждое АРМ требуется настраивать отдельно, регулярно обслуживать и производить другие операции.

«Тонкие» клиенты требуют меньше трудозатрат на техническое обслуживание, имеют меньшие размеры, могут быть установлены в помещениях с повышенной вибрацией и запылённостью, не требуют накладных средств защиты, быстрее интегрируются в ИТ-инфраструктуру предприятия. Настройка таких устройств происходит намного быстрее, а данные хранятся на серверах или на облачных хранилищах и будут невредимы в случае выхода АРМ из строя.

Рисунок 1. Сравнение толстых и тонких клиентов

Ещё одним немаловажным фактором при выборе тонких клиентов является сокращение стоимости владения парком таких устройств. Согласно расчёту «Лаборатория Касперского», за три года экономия может составлять от 31% при использовании микроядерной ОС в сравнении с Linux based ОС.

Рисунок 2. Сокращение стоимости владения (TCO) за счёт использования тонких клиентов

При всех преимуществах подобных устройств для них также актуальны вопросы кибербезопасности. В коде протоколов доставки и развёртывания удалённой среды регулярно выявляются уязвимости, проводятся атаки на сетевой стек операционной системы тонких клиентов, реализуется вектор проникновения через цепочки поставок (supply chain) по отношению к приложениям третьих вендоров.

Рисунок 3. Актуальные угрозы для тонких клиентов

«Лаборатория Касперского» уже не первый год развивает свой продукт Kaspersky Thin Client (KTC), работающий на базе KasperskyOS и являющийся частью кибериммунной экосистемы вендора. Ранее наша редакция освещала новости о появлении этого продукта и его дальнейших обновлениях. Пришло время рассмотреть этот продукт и его функциональные возможности подробнее.

Функциональные возможности KTC 2.3

Архитектура и принципы построения тонких клиентов не позволяют реализовать широкие функциональные возможности, поэтому «Лаборатория Касперского» сделала упор на самых используемых клиентами опциях. Рассмотрим их подробнее.

Рисунок 4. Функциональные возможности KTC 2.3

Работа с мультимедиа

Вендором расширено количество поддерживаемых USB-устройств, в результате чего пользователь имеет возможность подключения наушников через любой удобный разъём — 3,5 мм или цифровой USB. Для того чтобы полноценно участвовать в конференциях и созвонах, появилась возможность подключения веб-камеры.

Удалённые подключения к удалённому рабочему столу KTC

В новой версии продукта поддерживается подключение к удалённому рабочему столу Kaspersky Thin Client по протоколу RDP с аутентификацией по паролю. Также добавлена возможность настраивать следующие параметры подключения: подключение к удалённому рабочему столу Kaspersky Thin Client и отображение окна запущенной удалённой сессии пользователя.

Работа с USB-устройствами в Citrix

Citrix остаётся популярной системой среди отечественных компаний, в связи с чем производителем решён вопрос проброса USB-устройств при работе в ней. В виртуальную среду Citrix через приложение Web Access можно подключить следующие USB-устройства: накопители (с использованием технологии Client Drive Mapping), гарнитуры, веб-камеры, устройства печати и сканирования (принтеры, сканеры, в том числе штрих- и QR-кодов).

Разнообразие рабочих сред

Вендором реализована возможность подключения к удалённым рабочим местам, развёрнутым на различных операционных системах. Обеспечивается подключение к средам на Windows 10 и 11, Server 2016, 2019, 2022, а также ОС на базе Linux, таких как РЕД ОС, Alt Linux, Astra Linux Special Edition.

Способы подключения к рабочим средам

Поддерживается несколько вариантов подключения к рабочим средам: по протоколу RDP, при помощи Basis Workplace и через приложение Web Access. В бета-версии для пилотирования есть возможность подключаться к отечественным VDI: Space VDI, Termidesk, Veil VDI, Ассистент. Подключение к этим решениям доступно только в закрытом деморежиме.

Быстродействие системы

Установленная операционная система занимает всего 300 МБ, что обуславливает её быструю загрузку, занимающую около 30 секунд, а особенности построения микроядерной операционной системы позволяют оперативно проводить её обновление.

Адаптация под брендбук

Для компаний, которым важно соответствие корпоративному стилю, изменения, произведённые в версии 2.3, позволяют изменить фон рабочего стола и экрана блокировки.

Kaspersky USB Redirector

Кроме обозначенных выше возможностей взаимодействия с USB-устройствами, вендор выпустил дополнительное программное обеспечение для взаимодействия с аппаратурой, подключенной через эту шину тонкого клиента из удалённого рабочего стола в Linux.

При её использовании осуществляется проброс USB-накопителей и принтеров, смарт-карт и токенов безопасности, осуществляется двойное перенаправление.

Лицензии Kaspersky USB Redirector не входят в комплект продажи Kaspersky Thin Client 2.3 и приобретаются отдельно.

Рисунок 5. Функциональные возможности Kaspersky USB Redirector

Дополнительные возможности

По сравнению с более ранними версиями, Kaspersky Thin Client 2.3 получила много важных функциональных дополнений, таких как: мониторинг событий на тонких клиентах, конфигурирование тонких клиентов, доставка обновлений на них, разделение зон ответственности администраторов и офицеров безопасности, установка и централизованное обновление сертификатов безопасности на тонких клиентах.

Рисунок 6. Функциональные возможности KTC 2.3

Архитектура KTC 2.3

Kaspersky Thin Client 2.3 построен на базе KasperskyOS. Операционная система спроектирована таким образом, что ей не требуются наложенные средства защиты. 

Компоненты этой операционной системы разделены на изолированные домены безопасности и не могут влиять друг на друга. Все их взаимодействия проходят через микроядро, а элемент Kaspersky Security System выносит вердикты безопасности каждому из них. Если что-то не соответствует заданным политикам, действие блокируется ещё до его выполнения. Таким образом вендором обеспечивается киберустойчивость ОС к попыткам нелегитимного воздействия на неё. 

Рисунок 7. Концепция KasperskyOS

Типовая схема работы KTC 2.3 предполагает следующее: операционная система Kaspersky Thin Client, установленная на тонком клиенте, получает параметры сети от DHCP-сервера, либо администратор настраивает параметры вручную. После этого происходит подключение и настройка взаимодействия между Kaspersky Thin Client и Kaspersky Security Center. Для управления всей инфраструктурой тонких клиентов через KSC необходимо установить расширение Kaspersky Security Management Suite.

KTC получает доверенные сертификаты, параметры подключения к удалённой среде, дату, время и другие основные параметры с помощью политики, созданной через веб-консоль Kaspersky Security Center. После этого происходит подключение пользователя к удалённой среде.

В случае возникновения неполадок пользователь в интерфейсе Kaspersky Thin Client отправляет журналы событий и аудита на сервер журналирования, развёрнутый в инфраструктуре организации.

Рисунок 8. Типовая схема работы KTC 2.3

На рисунке ниже приведена схема взаимодействия Kaspersky Thin Client и инфраструктуры предприятия.

Рисунок 9. Схема подключения KTC к платформам виртуализации и удалённым средам

Системные требования и лицензирование KTC 2.3

KTC 2.3 может поставляться без аппаратной платформы (в программном исполнении) либо в виде программно-аппаратного комплекса.

В качестве аппаратной платформы для работы могут использоваться TONK TN1200 или Dell Wyse 3040, технические характеристики которых приведены ниже.

Рисунок 10. Характеристики аппаратных платформ для работы тонкого клиента KTC

KTC 2.3 поддерживает подключение двух мониторов по HDMI и DisplayPort с разрешением экрана от 1024×768 до 1920×1200 (при подключении монитора с этим разрешением фактическое отображение разрешения будет не более 1920×1080). 

Скорость сети для корректной работы тонких клиентов должна быть не менее 50 Мбит/с. Подробные аппаратные и программные требования приведены на сайте производителя.

Продукт приобретается с бессрочной лицензией на мажорную версию для одного устройства. Для централизованного управления тонкими клиентами должно быть приобретено расширение для консоли Kaspersky Security Management Suite. Срок подписки на этот продукт может составлять 1, 2 или 3 года.

Сценарии использования KTC 2.3

Рассмотрим практические аспекты использования Kaspersky Thin Client в работе и варианты внедрения этого продукта в организациях разных отраслей. 

Работа пользователя

При включении тонкого клиента пользователю предоставляется минимум функций, полностью закрывающих его потребности: ярлыки с вариантами подключения к вычислительным ресурсам и панель настроек АРМ.

Рисунок 11. Стартовый экран KTC 2.3

Рисунок 12. Подключение по протоколу RDP в KTC 2.3

Рисунок 13. Подключение к удалённому рабочему столу через Web Access в KTC 2.3

В панели инструментов пользователь может получить информацию о системе, сетевом соединении, просмотреть журнал событий и отправить его специалистам «Лаборатории Касперского» для анализа системных ошибок. 

Рисунок 14. Журнал событий KTC 2.3

В «Инструментах» можно также провести обновление системы и настроить параметры в том случае, если это действие разрешено администратором. 

Рисунок 15. Меню настройки параметров клиентской части KTC 2.3

Рисунок 16. Меню настройки параметров клиентской части KTC 2.3

Практические кейсы внедрения

Рассмотрим несколько кейсов из практики «Лаборатории Касперского» по внедрению Kaspersky Thin Client в различных отраслях.

Финансовая организация

Задачей проекта было найти решение, отвечающее следующим требованиям: возможность масштабирования с учётом роста компании, соответствие нормативам по импортозамещению, высокий уровень информационной безопасности и обеспечение бесперебойной работы устройств.

После внедрения тонких клиентов вендора, кроме соответствия первоначальному запросу, было отмечено сокращение затрат на администрирование рабочих мест в удалённых отделениях.

Здравоохранение

В ходе проекта в сети поликлиник была внедрена инфраструктура рабочих столов на базе тонких клиентов Kaspersky Thin Client и системы управления Kaspersky Security Center. В результате этого была обеспечена безопасность сбора, хранения и обработки чувствительных персональных данных с соблюдением рекомендаций Минздрава по оснащению медучреждений компьютерным оборудованием и ПО, а также законодательства по импортозамещению. 

Энергетика

Заказчиком была поставлена задача внедрения тонких клиентов с единой системой управления, возможностью подключения к Linux и Windows в связи с переходом АРМ на отечественные ОС. Кроме того, тонкий клиент должен был находиться в реестре Минпромторга.

Для решения задачи были внедрены тонкие клиенты Kaspersky Thin Client и система управления Kaspersky Security Center. Знакомая заказчику консоль KSC позволила в короткое время освоить управление всеми KTC. 

Образование

Целью проекта было обновление ИТ-инфраструктуры учебных классов. Одно из требований — киберзащита и использование современных подходов к организации рабочих мест.

Для реализации проекта была внедрена инфраструктура рабочих столов на базе тонких клиентов Kaspersky Thin Client и систем виртуализации компании «Базис».

По итогам пилотного проекта тонкими клиентами оснащён класс информатики. Отмечен положительный экономический эффект за счёт сокращения времени на администрирование, отказа от антивирусов и уменьшения вероятности поломки рабочих станций.

Выводы

Kaspersky Thin Client 2.3 является удобным средством автоматизации для предприятий в различных сферах деятельности. Использование тонких клиентов позволяет снизить затраты на управление ИТ-активами, упростить масштабирование ИТ-инфраструктуры, обеспечить кибербезопасность рабочих станций без использования наложенных средств защиты информации за счёт использования кибериммунной операционной системы.

KTC 2.3 поддерживает возможность подключения по USB периферийных устройств: сканеров, принтеров, накопителей, токенов безопасности и сканеров штрихкодов, обеспечивает техническую поддержку пользователей на расстоянии и возможности адаптации интерфейса операционной системы под брендбук компании.

Управление тонкими клиентами возможно через Kaspersky Security Center, интерфейс которого известен и привычен многим администраторам.

Достоинства:

• Киберзащита на уровне архитектуры ОС.
• Разнообразие поддерживаемых рабочих сред.
• Возможность работы с USB-устройствами в Citrix, а также проброс USB в ОС на базе Linux.
• Возможность адаптации под брендбук компании.
• Поддержка мультимедийных устройств, подключаемых по USB.

Недостатки:

• Малое количество российских VDI-платформ, доступных в коммерческом релизе для подключения тонких клиентов. Вендор работает над увеличением новых платформ, и для закрытого пилотирования основные платформы доступны уже сегодня. Это может подойти компаниям, которые ещё не определились с основным VDI-решением или используют Базис, подключение по RDP.
• Kaspersky Thin Client 2.3 является операционной системой для тонких клиентов, поэтому нет возможности установить дополнительные приложения на устройство. Это может быть не всегда удобно для пользователей, но существенно влияет на безопасность всей инфраструктуры.
• Отсутствие мобильности устройства. Сам формфактор предполагает только стационарное рабочее место, и, если компания хочет обеспечить мобильные рабочие места, которые можно переносить с собой, то такой формат не подходит.