×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Bezpieczeństwo pracy zdalnej – DaaS i Windows 365

Cyberbezpieczeństwo

Wizja zdalnego, bezpiecznego komputera z którym może połączyć się pracownik z dowolnego miejsca nie jest niczym nowym: od lat korzystamy z rozwiązań VPN (tunelu) i RDP (zdalnego pulpitu). Tego typu rozwiązanie jest na tyle powszechne, że istnieje duże prawdopodobieństwo, że część osób czytająca ten artykuł właśnie z niego korzysta, np. podczas pracy zdalnej.

Jednak w sierpniu b.r. firma Microsoft przedstawiła ofertę bezpiecznego zdalnego pulpitu bez użycia tuneli VPN i rozwiązań takich jak RDP lub VNC. Czym jest Windows 365 i czy jest bezpieczną alternatywą od technologii RDP i VPN? Czy jest korzystniejszy od „tradycyjnych” rozwiązań?

Marketing a’la Steve Jobs

Warto jest zauważyć, że firma Microsoft nie umieściła wiele danych technicznych dotyczących nowej usługi. Z materiałów prasowych i demo można jednak wyciągnąć pewne wnioski, a te nie tworzą obrazu rewolucji, a raczej ładnego opakowania dość przewidywalnego produktu stworzonego z kilku istniejących komponentów. Ale wszystko od początku.

DaaS – zalety

Windows 365 jest rozwiązaniem, które istnieje na rynku od lat: zdalny pulpit w chmurze, czyli DaaS (Desktop as a Service). Podobnie do usługodawców takich jak Shells, Microsoft postanowił zaoferować własną wersję tego rozwiązania, tylko w oparciu o chmurę Azure.

Z poziomu panelu zarządzania usługami 365 użytkownik (np. Administrator) może stworzyć instancje wirtualnej maszyny, którą może udostępnić dla użytkownika końcowego (np. pracownika). W związku z tym, że maszyna jest zwirtualizowana i oparta o ogromne zasoby chmury obliczeniowej Microsoftu, może mieć dowolną konfigurację. Dla przykładu, przeciętny laptop może posiadać np. 4, 8 lub 16GB pamięci RAM i maksymalna jej ilość jest ograniczona przez parametry urządzenia. Maszyna Windows 365, natomiast, takiego ograniczenia nie posiada. To samo można powiedzieć o rozmiarze dysku twardego, ilości rdzeni procesorów czy innych parametrach. Inaczej mówiąc, DaaS oferuje dość szeroką elastyczność i uwolnienie się od limitów narzuconych przez fizyczne parametry urządzenia.

Następną zaletą DaaS jest możliwość przenoszenia pracy z urządzenia na urządzenie bez zamykania okien, programów czy przenoszenia danych. W przeciwieństwie do modelu danych synchronizowanych na centralnym serwerze – gdzie np. plik zachowany w współdzielonym folderze może być redagowany na kolejnym urządzeniu, które posiada dostęp do tego samego folderu – usługa DaaS pozwala użytkownikowi na zalogowanie się do tego samego pulpitu z innego urządzenia, pomijając potrzebę zapisywania lub przenoszenia danych. Dlatego najlepiej jest postrzegać DaaS jako usługę streamowanego pulpitu: „komputer” znajduje się w chmurze, a laptop, tablet czy stacja robocza jest tylko ekranem i klawiaturą przeznaczoną do wchodzenia w interakcję z przekazem pochodzącym z internetu.

DaaS oferuje także zwiększoną odporność na utratę danych. W związku z tym, że DaaS jest oparty na usłudze cloud, dane są przechowywane na wielu dyskach twardych i kopie zapasowe są tworzone regularnie i automatycznie. W razie ataku ransomware lub problemów z oprogramowaniem, usługa DaaS pozwala użytkownikowi na powrót do poprzedniego stanu pulpitu w przeciągu kilku sekund. Ponadto Microsoft gwarantuje, że dane podczas przesyłu (data in transit) i podczas spoczynku (data at rest) są w pełni szyfrowane, co dla klienta końcowego oznacza, że wyciek danych z pulpitu DaaS nie powstanie z powodu ataku man-in-the-middle (złośliwego pośrednika) lub insidera (złośliwego pracownika usługodawcy).

Zarządzanie DaaS

W bardzo podobny sposób jak inni dostawcy DaaS, Microsoft przedstawia panel administracyjny, w którym Administrator posiada możliwość tworzenia maszyn wirtualnych o dowolnych parametrach. 

Przewagą rozwiązania firmy Microsoft nad innymi rozwiązaniami jest pełna integracja ze środowiskiem Active Directory oraz zarządzanie licencjami z centralnych paneli takich jak Microsoft Endpoint Manager i Microsoft 365 Admin Center. Te natomiast są standardem w środowisku biznesu, co powoduje, że dodawanie i zarządzanie pulpitami DaaS jest tak łatwe, jak w przypadku urządzeń fizycznych.

Bezpieczeństwo wirtualnego pulpitu w chmurze

W związku z tym, że usługi DaaS bazują na streamowaniu z internetu, warto jest wyodrębnić kilka obszarów, które powinny być zabezpieczone.

  1. Bezpieczeństwo maszyny wirtualnej

W tym obszarze, niestety, Microsoft nie ujawnia wiele danych. Z materiałów pochodzących od Microsoft można się dowiedzieć, że Windows 365 będzie wyposażony w Windows Defender, który już teraz jest dostępny na każdym komputerze Windows. W związku z tym można wnioskować, że bezpieczeństwo Windows 365 będzie porównywalne do bezpieczeństwa przeciętnych komputerów fizycznych. Dla niektórych przedsiębiorstw taki stan rzeczy jest akceptowalny; dla innych jest jednoznaczny z obowiązkiem zakupienia dodatkowej licencji oprogramowania zabezpieczającego systemy – np. antywirusa.

  1. Bezpieczeństwo łączenia się ze zdalnym pulpitem

Tutaj oferta firmy Microsoft wygląda naprawdę imponująco. W przeciwieństwie do tradycyjnych rozwiązań VPN + RDP, Microsoft oferuje szyfrowane połączenie z pulpitem przy użyciu przeglądarki internetowej (np. Edge) oraz dedykowane aplikacje na Androida, iOS, Windows, Maca i (wkrótce) Linuxa. Ponadto, firma przedstawiła możliwości wykorzystania np. weryfikacji dwuetapowej i dodatkowe formy zabezpieczenia konta. Summa-summarum, bezpieczeństwo połączenia ma być gwarantowane przez Microsoft i jest to dobrą wiadomością.

Z ekonomicznego punktu widzenia nie opłaca się tworzyć lepszych i gorszych rozwiązań szyfrujących. Dlatego, choć na dzień dzisiejszy brakuje detali technicznych, można się spodziewać, że firma Microsoft zaoferuje uniwersalne rozwiązanie oparte o sprawdzone algorytmy kryptograficzne. Istnieje też możliwość, że dzięki wbudowanej integracji z Active Directory tworzenie i dbanie o bezpieczeństwo bramek VPN również stanie się przeszłością.

  1. Bezpieczeństwo maszyny fizycznej

Korzystając z usługi DaaS można się spodziewać pewnej redukcji kosztów związanych z wykorzystaniem obecnych maszyn, ograniczenia liczby licencji i możliwości zakupu urządzeń o obniżonych parametrach. 

Biorąc pod uwagę fakt, że w usłudze DaaS pulpit jest streamowany do komputera użytkownika, parametry komputera odbierającego przekaz nie są bardzo istotne. Z punktu widzenia bezpieczeństwa ważne jest, aby komputer z którego łączy się pracownik posiadał aktualny system operacyjny, wszelkie łatki bezpieczeństwa i rozwiązania chroniące system, takie jak np. antywirus.

W związku z tym, że rozwiązanie DaaS firmy Microsoft jest deklarowane jako kompatybilne ze standardowymi przeglądarkami internetowymi, być może wkrótce zaistnieje możliwość wykorzystania tanich Chromebooków lub komputerów opartych o system Linux do pracy zdalnej i zarządzania pulpitem Windows 365. Taki stan rzeczy powinien pozytywnie wpłynąć na budżet działów IT.

Wady DaaS

Choć na papierze DaaS jest naprawdę świetnym rozwiązaniem, praktyka często pokazuje, że rzeczywistość może odbiegać od oczekiwań. Dlatego warto się pochylić nad potencjalnymi problemami związanymi z korzystaniem z tych usług.

Po pierwsze, DaaS jest tak bezpieczny, jak komputer, który się z nim łączy. W praktyce oznacza to, że wykorzystywanie przestarzałych systemów lub brak antywirusa na komputerze pracownika może spowodować taki sam wyciek danych, jak zawirusowanie maszyny zdalnej. Spyware, keyloggery i innego typu złośliwe oprogramowanie jest w stanie przechwycić dane, które są wprowadzane na skompromitowanym komputerze i posiadanie zdalnego pulpitu nie niweluje tego typu zagrożeń.

Po drugie, DaaS nie uchroni nas przed ransomware. Choć zdalne maszyny typu DaaS pozwalają na łatwe cofnięcie się do poprzedniego stanu pulpitu, wcale to nie oznacza, że ataki typu ransomware nam nie grożą. Według danych IBM (2021 X-Force Threat Intelligence Index), 59% ataków ransomware wykorzystuje podwójną strategię wymuszania okupu: szyfrowanie dysku i kopiowanie danych w celu późniejszego szantażu. Jeżeli ransomware (np. popularny LockBit) zaatakuje pulpit DaaS, jesteśmy tak samo narażeni na wyciek danych i konsekwencje ransomware jak przy ataku na fizyczny komputer.

Po trzecie, korzystanie z usług DaaS w dużej mierze zależy od dobrego połączenia z internetem. Jeżeli wiele osób korzysta z jednego łącza, zasięg WIFi lub internetu mobilnego jest ograniczony, to korzystanie z programów, które nawet tradycyjnie nie wymagają połączenia z internetem, będzie silnie utrudnione lub nawet niemożliwe. 

Reasumując

W swojej ofercie Windows 365 Microsoft przedstawił własną wizję usługi DaaS – Desktop as a Service. W porównaniu do innych usługodawców, Windows 365 jest połączeniem wielu usług firmy Microsoft w jeden produkt: możliwości siły obliczeniowej chmury, ergonomiczności zarządzania z poziomu Active Directory i spójnego panelu licencjonowania.

Windows 365 może być dobrym rozwiązaniem dla firm obecnie korzystających z usług SaaS (Software as a Service) i oferować realne obniżenie kosztów cyklicznych zakupów nowych, lepiej wyposażonych stacji roboczych. Niemniej, nie jest to rozwiązanie dla każdego i nie ma pewności, czy tradycyjne bramki VPN nadal nie będą stanowić trzon pracy zdalnej, choćby przy połączeniu pulpitu DaaS z usługami wewnątrz firmy.

Usługa Windows 365 ma mieć swoją premierę w sierpniu b.r.. Microsoft ustalił wstępny koszt abonamentu w Europie na €28.20 za użytkownika/miesiąc.

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 23.08.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie