Security

bottalpiszkal.jpg
Forrás: haikudeck.com
Workspace One

A távoli munkavégzés is lehet biztonságos

Az otthoni munkavégzés számtalan vállalatnál kevesek kiváltságából hirtelen a mindennapi élet részévé vált. A gyors átállás jegyében azonban számos szervezetnél engedtek a biztonsági szabályokból, csak hogy minél kevesebb zökkenővel mehessen tovább a munka. Pedig a biztonság és a hatékonyság nem zárja ki egymást.

A koronavírus-járvány igazából csak megerősítette és felgyorsította az irodai munkavégzés már évek óta tartó átalakulását. Egyre inkább elvárás lett, hogy a munkát flexibilisen, a távolból, otthonról is el lehessen végezni. A mobiltechnológia fejlődésé és a már „digitális bennszülöttként” felnőtt generáció munkába állása aztán további igényeket is szült. Az egyik ilyen az volt, hogy mobil eszközökről (telefonról, tabletről) szinte teljes értékű munkát lehessen végezni: az alkalmazások, szolgáltatások, adatok kompromisszummentesen elérhetők legyenek, mintha csak számítógép előtt ülne a dolgozó. Másrészt a munkatársak a vállalati környezetben is ugyanazt az egyszerűséget, könnyedséget keresik, mint amit magánemberként megszoktak: ha szükségük van egy alkalmazásra, szolgáltatásra, azt néhány kattintással, azonnal használatba akarják venni. Ha a vállalati informatikai csapat nem tudja villámgyorsan kielégíteni ezeket az igényeket, ha a megoldásaik bonyolultak, nehezen használhatók, akkor a dolgozók azokat a szolgáltatásokat fogják igénybe venni, amelyeket a magánéletben megszoktak. Ha nincs vállalati fájlmegosztó, felteszik a dokumentumokat Google Drive-ra vagy Dropboxba. Így viszont értékes, bizalmas vállalati adatok kerülhetnek olyan helyekre, ahol semmi keresnivalójuk nincs.

A VPN még nem elég
Mindezzel együtt az otthoni munkavégzés a közelmúltig inkább a kivétel volt, mint a szabály. A járvány azonban kényszerhelyzetbe hozott számos vállalatot, és a kapkodás sokszor biztonsági rések megjelenéséhez vezetett. Amikor hirtelen kell távoli elérést biztosítani a dolgozóknak, sokszor akár a magánhasználatú számítógépek számára is lehetővé teszik a vállalati erőforrásokhoz való hozzáférést. Ehhez ugyan használnak virtuális magánhálózatot (VPN-t), de az nem akadályozza meg, hogy a gépen esetleg már meglévő kártevő ne jusson be a vállalati rendszerekbe.

Mégsem lehetetlen olyan környezetet kialakítani, ahol úgy biztosítható a magánéletben megszokott felhasználói élmény, hogy közben a vállalat sem mond le a számára fontos biztonsági kontrollokról. A VMware pontosan erre a célra alkotta meg Workspace One nevű megoldáscsomagját, amely a távoli munkavégzés különböző aspektusaira kínál egységes megoldást.

A megoldás egyik fő funkciója a távoli eszközfelügyelet. A dolgozónak csak le kell tölteni a Workspace One Intelligent Hub szoftvert a gépére (akár az otthoni PC-re), bejelentkezik a vállalati jelszavával, és onnantól kezdve elindul az a folyamat, amelynek végén a számítógép a vállalati infrastruktúra integráns, ugyanakkor megbízható eleme lesz. Települnek a gépére a vállalat által megkövetelt végpontvédelmi szoftverek, beállítódnak a biztonsági szabályok és letölthetők a cég által felügyelt alkalmazások is. A mobil távfelügyelet kis túlzással minden olyan eszközön működik, amelyen operációs rendszer fut: lehet windowsos számítógép, Macintosh, Android- vagy iOS alapú telefon vagy tablet.

Emellett a Workspace One webes önkiszolgáló portálként is működik. A portálon a vállalat közzéteheti mindazokat az erőforrásokat, amelyeket a felhasználónak a munkavégzéshez el kell érnie. Ezek lehetnek belső intranet oldalak, fájlmegosztások, SaaS-szoftverek (Office 365, SalesForce, egyebek), de akár teljes értékű, virtualizált Windows-alkalmazások is. A felhasználó dolgát megkönnyíti, hogy a portál egypontos autentikációt is lehetővé tesz. Csupán a portálra kell egyszer bejelentkeznie, utána a többi alkalmazás elérését a rendszer intézi a háttérben, a dolgozónak nem kell az azonosítókkal, jelszavakkal bajlódni. Az elérés biztonságát helyfüggő szabályok, DLP-képességek és egyén képességek biztosítják.

Virtuálisan egyszerű és megbízható
További fontos funkciója a Workspace One-nak, hogy a Horizon asztali virtualizációs technológiát integrálva módot ad a vállalati windowsos alkalmazások elérésére és futtatására. Ennek többféle módja is lehet. Az egyik legegyszerűbb módszer abban az esetben működik, ha a dolgozó a vállalatnál asztali gépet használ. Ilyenkor az otthoni gépére a Horizon Client szoftvert, a munkahelyi gépre pedig a Horizon Agentet telepítve léphet be a munkahelyi rendszerébe, és használhatja ugyanúgy, mintha csak az íróasztalánál ülne. (A VMware azzal is segíti a nehéz helyzetbe került vállalatok dolgát, hogy Horizon Cloud megoldásának próbaváltozatát most 90 napos időtartamra és 100 felhasználónak biztosítja.)

Ez azonban nem mindig járható út; ilyenkor jön jól, ha a teljes Windows asztali környezetet lehet virtuálisan futtatni, de egy-egy alkalmazás is elérhetővé tehető. Itt nem is feltétlenül az a lényeg, hogy a kereskedelmi alkalmazások a távolból is használhatók. Számtalan vállalatnál működnek egyedi fejlesztésű Windows-alkalmazások, amelyeket leváltani, de átírni is roppant költséges lenne. A Horizon révén nemcsak a távoli gépeken, hanem szükség esetén egy Android- vagy iOS-mobileszközön is használhatók lesznek a vállalati alkalmazások. Még ha nincs is optimalizálva az alkalmazás egy iPad-re, egy gyors jóváhagyás vagy más funkció akkor is könnyen elérhető.

A távoli felhasználás biztonságát növelő funkciók
Just-in-Time virtualizáció
Ez kevesebb erőforrást igényel, és a működés is biztonságosabbá válik. Hiába kerül be esetleg egy kártevő a klónozott virtuális gépbe a munkamenet során, onnan nem tud tovább terjedni, és a klón eldobásával törlődik a vírus, a trójai is. A felhasználók nem kapnak saját virtuális gépet, hanem azok egy központi VM klónozásával jönnek létre abban a pillanatban, amikor a dolgozó bejelentkezik, és csak addig él, amíg a munkamenet tart. Ezen az „árnyékmásolaton” dolgozik a felhasználó; a létrehozott és módosított állományokat, a beállítási változásokat természetesen minden munkamenet végén elmentik, és a következő bejelentkezéskor hozzákapcsolják a klónhoz.
Hálózatvirtualizáció 
Minden virtuális gép elé, de attól függetlenül, saját hálózati szolgáltatásokat lehet telepíteni – például olyan tűzfalat, amelyre a virtuális gépből semmilyen hatást nem lehet gyakorolni. Ez a tűzfal személyre szabható, azaz, amikor a felhasználó bejelentkezik, aktiválódnak a hozzá tartozó védelmi szabályok is. Egy esetleges kártevő nem tud „beleszólni” a tűzfal működésébe, nem tud új portokat nyitni, olyan jogosultságokat szerezni, amelyekkel a felhasználó nem rendelkezik, így pedig egészen magas biztonsági szintet lehet garantálni.

Számos vállalat az otthoni munkavégzés biztonságát letudja egy VPN villámgyors üzembe állításával. Ez is több a semminél, de az igazi – és a mostani helyzetben a korábbinál nagyobb – kockázatok kiszűrésére ennél többre van szükség. Bármelyik gyártó szoftvereiben is gondolkodik egy cég, a gyorsaság mellett rendkívül fontos az is, hogy ne pusztán szükségmegoldást üssenek össze, hanem olyan rendszert hozzanak létre, amely a válság elmúltával is hatékonyan szolgálja a cég érdekeit, és hozzájárul fejlődéséhez.