Рубрикатор |
Статьи | ИКС № 4 2020 |
Николай НОСОВ  | 21 января 2021 |
Рабочее место в облаке
В условиях продолжающейся пандемии популярность сервисов удаленного рабочего места в облаке будет расти, хотя в России DaaS пока используют нечасто.
Новое – хорошо забытое старое
Идея удаленного использования вычислительных ресурсов не нова. Развитие ИТ – постоянная борьба концепций централизации, выполнения вычислений в одном узле, и децентрализации, когда каждый пользователь задействует свои вычислительные мощности.
На первых компьютерах работали по очереди, пользователь имел в распоряжении все устройство. Потом компьютеры начали поддерживать многозадачность и одновременную работу нескольких человек. Стандартная для 80-х годов прошлого века конфигурация – ЭВМ в оборудованном системами кондиционирования и пожаротушения машинном зале и отдельно расположенный дисплейный класс. Все вычисления проводились на мейнфрейме, а установленное в дисплейном классе оборудование служило для ввода и вывода информации.
Бум персональных компьютеров в конце 80-х качнул маятник обратно – каждый сотрудник имел свой компьютер, и по крайней мере в офисах опять торжествовала децентрализация.
Для обмена информацией персональные компьютеры начали объединять в локальную сеть. В 90-х завоевала популярность конфигурация локальной сети с выделенными серверами, на которых выполняли задачи, создающие повышенную вычислительную нагрузку. Пользователи работали с ними через локальную сеть с персональных компьютеров в режиме тонкого клиента. Тогда же появился термин «удаленный рабочий стол» – Microsoft стала использовать протокол Remote Desktop Protocol (RDP) для удаленной работы пользователя с сервером, на котором был запущен сервис терминальных подключений (Remote Desktop Service, RDS).
Рост производительности компьютеров привел к распространению технологий виртуализации. Появилась инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI). В отличие от технологии RDS, в которой пользователи проводят одновременные RDP-сеансы на одной машине с серверной ОС, при использовании VDI каждый пользователь подключается к своей виртуальной машине со своей операционной системой.
В 10-х годах нынешнего века место сервера заняло облако, а доступ к удаленным вычислительным мощностям стал осуществляться через интернет. Распространение сервисных моделей в ИТ привело к появлению услуги «рабочий стол как сервис» (Desktop as a Service, DaaS). DaaS – это по сути VDI, предоставляемая облачным провайдером по сервисной модели.
Принцип работы DaaS
При работе с DaaS пользователь, запустив приложение на своем мобильном или стационарном устройстве, через интернет обращается к шлюзу (брокеру) в облаке поставщика услуги. Шлюз проводит аутентификацию пользователя (например, с помощью Active Directory), посылает в нужное рабочее пространство, по запросу пользователя подключает к вычислительным ресурсам облачного провайдера или on premise-системам предприятия. Пользователь начинает сеанс и с помощью предложенного шлюзом десктопа работает со своей виртуальной машиной в однопользовательском режиме. Есть и более дешевые варианты, в которых несколько пользователей подключаются к одной виртуальной машине с серверной ОС (например, Windows Server) или формируется мультисессия Windows 10.
Популярные на рынке решения для организации DaaS – Azure Windows Virtual Desktop, Citrix Managed Desktops, Amazon WorkSpaces, VMware Horizon.
Преимущества DaaS
DaaS объединяет достоинства облачной модели и технологии VDI. Сервис обеспечивает гибкость – пользователи имеют доступ к одной и той же среде рабочего стола из любого места, где есть подключение к интернету. При этом облака позволяют быстро масштабировать рабочие места в зависимости от потребностей бизнеса, будь то слияние компаний, наем и увольнение сотрудников, развертывание или ликвидация филиалов.
DaaS обеспечивает безопасность доступа. Не нужно беспокоиться о настройке VPN, RDP-серверов и другой специальной инфраструктуры для удаленного доступа к рабочим станциям компании. DaaS предоставляет пользователям безопасную точку доступа и упрощает администрирование политик информационной безопасности.
Пользовательские данные хранятся в облаке и, следовательно, останутся доступными, даже если их локальные устройства выйдут из строя. Облачные провайдеры, как правило, могут позволить себе более современные, дорогие и эффективные средства защиты, чем пользователи, и имеют более квалифицированных специалистов по обеспечению информационной безопасности.
Работа не прервется в случае стихийных бедствий или антропогенных катастроф, так как не зависит от использования вычислительного оборудования клиента. Облако лучше защищено – надежный провайдер создает катастрофоустойчивые решения.
Инфраструктуру VDI из облака легко администрировать. У пользователя своя виртуальная машина – если что-то работает не так, многое можно подправить самостоятельно, не обращаясь к службе техподдержки сайта. При этом облачный провайдер занимается администрированием, обеспечивает хранение данных, резервное копирование, безопасность и обновление ПО. Облачный сервис снижает зависимость от цепочек поставок для доставки физического оборудования, необходимого для поддержания инфраструктуры настольных компьютеров. Не нужно приобретать рабочие станции для каждого нового сотрудника, менять вышедшие из строя платы и жесткие диски.
К преимуществам облачной модели относятся снижение CAPEХ и прогнозируемость OPEX. Причем клиент платит только за используемые ресурсы в рамках месячной или годовой подписки.
Оборотная сторона медали
Чтобы пользоваться облачной услугой удаленного рабочего стола, в первую очередь нужен надежный канал доступа в интернет. Когда началась пандемия, многие выехали на дачи, где доступ в интернет только мобильный. Такой канал надежно работает далеко не везде, а периодически зависающий при нажатии клавиш клавиатуры компьютер раздражает и снижает производительность труда. Не говоря уже о том, что пользователям надо не только видеть картинку на экране, но и загружать данные и выводить результаты на печать.
Сервис DaaS удобен, но не дешев, особенно если внимательно подсчитать все расходы. Предприятие экономит на покупке и сопровождении дорогих производительных компьютеров (CAPEX) для рабочих станций, но тратит деньги на оплату услуг (OPEX). Кроме того, компаниям все равно приходится думать о рабочих местах сотрудников, пусть и удаленных, – покупать ноутбуки или настольные компьютеры, настраивать и сопровождать конечные устройства, обеспечивать их безопасность. Конечно, требования к ним не очень высокие, а выход из строя жесткого диска не приведет к потере корпоративной информации, но эти затраты все равно нужно учитывать, выбирая DaaS.
Большинство облачных удаленных столов работают под управлением ОС Windows, поэтому придется платить за лицензию, возможно, косвенно – через облачного провайдера. Если удаленные сотрудники тоже работают под Windows, то число лицензий увеличится вдвое. Крупные предприятия могут вести переговоры с Microsoft о скидках в рамках соглашения Microsoft Products and Services Agreement, но дополнительных расходов не избежать.
DaaS – далеко не самый популярный облачный сервис, так что зачастую ИТ-командам клиентов не хватает экспертизы. Конечно, значительная часть работы по поддержке удаленных рабочих мест перекладывается на облачного провайдера, но встраивать сервисы в бизнес-процессы компании, согласовывать политики безопасности никто за конечного пользователя не будет.
При использовании стандартных облачных моделей текущие данные пользователей часто хранятся или дублируются на рабочих станциях, и авария на стороне облачного провайдера не приводит к их потере. Инфраструктура облачного провайдера, как правило, надежнее и безопаснее, чем у пользователя, но аварии все же случаются. DaaS подразумевает, что вся обработка идет в облаке, «все яйца складываются в одну корзину», поэтому уровень доверия к облачному провайдеру должен быть высоким.
Сценарии использования DaaS
В некоторых сценариях DaaS выглядит наиболее привлекательно. Прежде всего, в ситуации, когда компании предоставляют доступ к вычислительной инфраструктуре постоянно меняющимся сотрудникам или партнерам, которые могут находиться даже в разных городах. Так происходит при создании филиалов, обменных пунктов, удаленных касс банков, при предоставлении временного доступа аудитору или ограниченного доступа быстро меняющимся сотрудникам колл-центров. Еще один вариант – учебные классы с переменным числом учащихся. С помощью DaaS новые рабочие места создаются и удаляются быстро и безопасно.
Да и администрировать такие места легче – автоматическое обновление рабочих мест не проблема и при традиционной архитектуре, но вот сделать «откат» в случае выявления ошибок будет непросто, придется исправлять их вручную. В случае DaaS достаточно вернуться к предыдущей версии в облаке.
Сервис интересен компаниям, уделяющим повышенное внимание информационной безопасности, например, из финансовой сферы. Данные не хранятся на локальных устройствах пользователей, тонкому клиенту запрещается использование флешек, и службам ИБ проще предотвратить утечку информации. Фотографируя экран, много данных не утащишь. Облегчается и администрирование доступа пользователей для служб ИБ.
Локальные рабочие станции могут стоить дорого, например, графические станции для 3D-моделирования. Зачастую дешевле получить услугу в облаке, чем покупать графическую станцию для каждого сотрудника, особенно если это приходится делать в кредит, когда начисляются проценты, а стоимость купленного оборудования уменьшается каждый день из-за морального устаревания. И уж точно это дешевле, чем покупать суперкомпьютер, доступ к которому в облаке также можно обеспечить через DaaS.
Направления развития DaaS
Удаленные рабочие места становятся все более «умными» и персонализированными. Современное удаленное рабочее место выступает помощником человека. Так, Citrix Workspace на основе анализа клиентского опыта формирует индивидуальный интерфейс, помогающий пользователю. Решение оптимизирует доступ к приложениям и даже предугадывает дальнейшие действия человека, оценивая их вероятность. Такие рабочие места повышают производительность труда сотрудников, подсказывают правильные алгоритмы и максимально автоматизируют операции.
Интеграция с устройствами IoT поможет сделать максимально комфортным и физическое рабочее место. Скажем, автоматически настроить высоту кресла, яркость и цветовую температуру настольного светильника, как это демонстрировалось на конференции Citrix Synergy 2019.
Другое важное направление – повышение безопасности. Причем не только безопасности передачи данных по каналам и обработки в облаке, но и непосредственно на рабочем месте. Интересные решения – экраны со встроенной камерой, отслеживающие положение зрачков пользователя. В резкость попадает только фрагмент экрана, на который обращен взгляд, а остальное изображение размыто. Подход помогает защититься от считывания текста посторонним через плечо в общественном месте, например, в салоне самолета. Ведутся разработки средств защиты от вредоносных программ, регистрирующих различные действия пользователя – нажатие клавиш на клавиатуре, движение и нажатие клавиш мыши, а также делающих снимки экрана или записывающих взаимодействие пользователя с удаленным рабочим столом.
Четко прослеживается тренд интеллектуализации систем безопасности. Так, в контроллерах доставки приложений (шлюзах доступа) анализируется поведение пользователей для выявления ботов, пытающихся получить доступ к системе путем перебора наиболее часто встречающихся паролей с разных IP-адресов. А использование алгоритмов машинного обучения помогает выявлять потенциальных инсайдеров с нетипичным профилем поведения в сети, на которых стоит обратить внимание сотрудникам службы информационной безопасности.
Будущее – за использованием мультиоблачных сред. Пока DaaS объединяет с площадкой заказчика (on-premise) только одного облачного провайдера, но в ближайшее время можно ожидать появления мультиоблачных решений, что позволит пользователю удаленного рабочего стола выбирать наиболее подходящие сервисы у нескольких облачных провайдеров.
Важное направление – уменьшение задержки при передаче сигнала. Мало удовольствия сидеть перед монитором и ждать, когда система отработает посланную команду. Помочь может правильный выбор дата-центра, например, ближайшего к пользователю ЦОДа облачного провайдера или edge-ЦОДа компании, максимально приближенного к месту сбора информации. Среди наиболее экзотичных примеров – использование удаленного рабочего стола облачной платформы GalacticSky, развернутой в космосе на кластере микроспутников, которая разгружает дорогостоящий канал связи с Землей за счет уменьшения количества передаваемых данных.
В ожидании роста рынка
В России сервисы организации удаленного рабочего места предоставляют многие облачные провайдеры.
Например, в облаке #CloudMTS организованы виртуальные рабочие места всего бухгалтерского подразделения российского филиала международной сервисной компании «Европ Ассистанс СНГ». В облако также перенесены сервисы Active Directory, отвечающие за централизованный доступ и аутентификацию пользователей в программах и приложениях. Безопасность удаленного доступа обеспечивается как каналами связи МТС, так и VPN-технологиями.
Сервисы «Ростелекома» для оперативной организации удаленной работы и эффективной коммуникации сотрудников в период неблагоприятной эпидемиологической обстановки в стране задействовала Федеральная пассажирская компания. С помощью комплекса услуг провайдера к внутренним системам ФПК были подключены свыше 3 тыс. сотрудников, работающих вне офиса. Доступ к корпоративным ресурсам осуществляется с применением защищенной удаленной аутентификации, шифрования каналов связи и технологий предотвращения сетевых угроз.
Удаленные рабочие столы в облаке M1Cloud на базе VMware Horizon с возможностью разворачивать от 500 рабочих станций в течение нескольких минут предоставляет крупному бизнесу компания Stack Group.
«МегаФон» обеспечивает удаленные рабочие места как для крупного бизнеса (с помощью сервисов VDI), так и для малого и среднего (RDS). Оператор и сам активно использует предлагаемые возможности и в начале периода самоизоляции за несколько дней перевел на удаленную работу более 14 тыс. своих сотрудников.
Тем не менее пока рынок DaaS нельзя назвать оживленным. iKS-Consulting даже не выделяет его в отчетах в отдельный сегмент, объединяя с IaaS. Как комментирует ведущий консультант аналитического подразделения iKS-Consulting Станислав Мирин, в структуре IaaS доля услуги VDI, предоставляемой по сервисной модели из облака (DaaS), сегодня невелика, в доходах облачных провайдеров она составляет менее 2%. Доход от этой услуги обозначили только 20% опрошенных аналитиками провайдеров IaaS. Это говорит о том, что на сегодня DaaS – нишевая услуга. Клиенты чаще всего выбирают между RDS и VDI.
Сравнивая услуги RDS и VDI, эксперт отмечает, что RDS распространена довольно широко и востребована там, где сотрудники используют однотипное ПО и могут работать из разных мест, а не только из офиса. Работодателю эта услуга позволяет сэкономить на использовании тонких клиентов вместо полноценных персональных компьютеров, облегчает администрирование пользователей и обеспечение конфиденциальности данных, с которыми работают сотрудники. Услуга VDI более дорогая, так как требует больше лицензий и ресурсов. Естественно, что облачный провайдер перекладывает эти затраты на заказчика. Услуга обеспечивает пользователю большую гибкость и автономность. Она нужна, например, разработчикам, которые могут в какой-то момент «уронить» операционную систему, но не должны этими действиями мешать другим пользователям.
«По мере проникновения публичных облачных услуг в инфраструктуру компаний сегмент DaaS будет развиваться, но не быстрее облачного рынка в целом», – считает С. Мирин.
Мировой рынок, включающий помимо предоставления непосредственно сервиса техническую поддержку и консалтинг, выглядит более внушительно. По оценкам Future Market Insights, его объем в 2019 г. составил около $3,5 млрд, причем агентство прогнозирует ежегодный 18%-ный рост до 2029 г. Наиболее перспективные сегменты – предприятия малого и среднего бизнеса. Продолжающаяся пандемия подстегнет развитие рынка DaaS. Все больше компаний переходит от работы из офиса к работе с нескольких расположенных в разных местах устройств («удаленка» дома, на даче, в командировке), а DaaS позволяет делать это из любого места и в любое время.