Терминальный доступ или VDI: когда и как выбирать?

VDI и терминальный доступ — в чем разница

Технология. При реализации терминального доступа рабочий стол и приложения размещаются на одном выделенном терминальном сервере, сотрудники могут пользоваться ПО по одной лицензии на всех. При реализации VDI для каждого рабочего места нужно разворачивать отдельную виртуальную машину, на которой размещается все необходимое сотруднику ПО. Лицензии на операционную систему, на бизнес-приложения, офисное ПО покупают для каждого пользователя отдельно.

Требования к ресурсам. Системы терминального доступа в 2-3 раза менее требовательны к вычислительным ресурсам, чем VDI, за счет изоляции пользователей на уровне сессии. Минимальные требования терминального доступа — 1-2 сервера с 0,5 vCPU и 2 ГБ ОЗУ на 100 пользователей. В случае VDI на такое же количество сотрудников потребуется от 2 vCPU и 6 ГБ ОЗУ на каждом сервере.

Развертывание и миграция пользователей. Развертывание VDI может занимать несколько дней или даже недель в зависимости от масштаба инфраструктуры, а развертывание системы терминального доступа — от нескольких часов до нескольких дней в зависимости от конфигурации. При организации VDI администраторам необходимо обслуживать каждую виртуальную машину. Терминальный доступ предполагает администрирование одного терминального сервера.

Миграция пользователей на VDI — комплексный и ресурсозатратный процесс. Она подразумевает анализ существующих рабочих мест, проектирование нужной для VDI инфраструктуры, тестирование корректной работы приложений в виртуальной среде, тестирование системы на пилотной группе пользователей, обучение ИТ-специалистов администрированию системы, обучение сотрудников новому пользовательскому опыту. В случае терминального доступа, приложение просто появляется в виде иконки, и для сотрудника прозрачно, как оно запускается.

Стоимость. Из расчета среднего проекта на 1000 сотрудников, организовать одно удаленное рабочее место с помощью VDI-решения будет примерно в 2,5 раза дороже, чем с помощью системы терминального доступа — с учетом стоимости лицензии, «железа» и услуг по миграции.

Как выбрать подходящее решение

Orion soft по опыту общения с заказчиками выделил четыре самых востребованных сценария применения решений для организации удаленного доступа:

• Организация защищенного доступа в интернет
• Удаленный доступ к бизнес-приложениям
• Доставка Windows-приложений на Linux рабочие станции
• Централизованное развертывание и управление приложениями, которое упрощает их обновление и поддержку

Вот в каких случаях для реализации этих сценариев будет актуально именно VDI-решение:

• Виртуальные рабочие места имеют высокие или специфические требования, например, подразумевается работа со сложным ПО для профессионального 3D-моделирования и проектирования, с обработкой графики
• Необходима глубокая изоляция пользователей по повышенным требованиям информационной безопасности
• В компании есть требования к предоставлению индивидуальных рабочих станций, например, для подрядчиков или топ-менеджеров
• Компания использует специфические приложения, которые не могут работать в терминальной среде

Если этих требований нет, то использование VDI может быть избыточным. Система терминального доступа может закрыть большинство задач, для которых раньше использовалась базовая функциональность Citrix, и при этом позволит оптимизировать затраты.

Система организации удаленного доступа Termit

Все перечисленные выше сценарии можно реализовать с помощью Termit. На сегодняшний день это наиболее продвинутое решение на рынке отечественных систем терминального доступа. Оно создано «с нуля» разработчиком инфраструктурного ПО для Enterprise-бизнеса Orion soft. Компания также известна как вендор защищенной системы виртуализации zVirt.

По сравнению с другими решениями Termit имеет несколько ключевых особенностей: возможность доступа к еще используемым Windows-приложениям, повышенная информационная безопасность, совместимость с большим количеством распространенного ПО.

Доступ к Windows-приложениям. Во многих компаниях перевод пользователей с Windows на Linux происходит не одномоментно. Чтобы сделать его бесшовным для пользователей, Termit позволяет заводить под единым брокером различные терминальные серверы на разных типах ОС, объединив их в группы. Пользователям достаточно выбрать нужное приложение, а брокер сам распределяет, на каком сервере его запустить.

Защита данных. В последней версии Termit 2.2 реализована поддержка протоколов LDAP SSL и LDAP StartTLS. Они предоставляют средства для шифрования данных, которые передаются между клиентами и серверами LDAP. Передача учетных данных пользователей и обмен сообщениями между системой терминального доступа и LDAP-каталогом проходят по защищенным каналам связи. Это обеспечивает безопасную аутентификацию и авторизацию пользователей, позволяет предотвратить возможность перехвата данных и несанкционированного доступа к ИТ-системам.

В компаниях с масштабной инфраструктурой и большим числом пользователей может быть также актуальна технология единого доступа (SSO 一 Single Sign-On), реализованная в Termit. Благодаря ей пользователи могут подключаться ко всем необходимым системам, используя однократный ввод данных учетной записи. Для защиты этого сценария в системе обеспечен механизм двухфакторной аутентификации.

Кроме того, с увеличением количества кибератак и случаев компрометации данных сотрудниками, растет запрос на защищенный доступ в интернет. Termit дает возможность публикации браузера на терминальном сервере. В случае инцидента пострадает только он. Решение также позволяет изолировать виртуальные сессии, предотвращает прямой доступ к корпоративной сети.

Совместимость. Enterprise-компании сталкиваются с большим выбором российских решений для внедрения, поэтому важным требованием к системе организации терминального доступа становится ее совместимость с большинством распространенных операционных систем и приложений.

Termit обеспечивает работу как с ОС Microsoft, Debian, OpenSyse, macOS, так и с российскими «Альт Линукс», «Ред ОС» и Astra Linux. Среди поддерживаемых офисных пакетов 一 «Р7-Офис» и «Мой Офис стандартный», а также почтовый клиент RuPost Desktop Personal. В списке совместимых систем также российские ВКС-решения, смарт-токены, криптография «КриптоПро», службы каталогов MS Active Directory, ALD Pro, SambaDC и «Ред АДМ».

При этом Termit можно развернуть на обычном сервере x86, что позволяет его использовать не только крупным заказчикам, но также среднему и малому бизнесу.

Лицензирование

У Termit есть два вида лицензий: бессрочная или по подписке. Во втором случае доступна оплата годовой или месячной подписки. Лицензии делятся также на два типа: именные и конкурентные. Первые имеют привязку к конкретному пользователю и соответствуют его учетной записи. Вторые допускают оплату по числу сотрудников, которые могут работать в системе одновременно. Услуги поддержки могут поставляться как вместе с лицензиями, так и отдельно. При этом заказчики могут выбрать один из уровней SLA, 9/5 или 24/7.

Несмотря на то, что для большинства компаний замещение ПО для организации терминального доступа — вопрос не первого приоритета, бизнес ждет развития рынка. Постепенно задача глубокого обновления существующих и построения новых ИТ-систем будет вставать перед все большим количеством компаний. Поэтому уже сейчас они могут напрямую общаться с вендорами и высказывать свои запросы, чтобы в будущем в сегменте VDI и систем терминального доступа их выбор стал больше.

Планы на будущее

Среди функций, которые разработчики планируют реализовать в ближайшем релизе, проброс смарткарт с Linux-клиентов на терминальные серверы Linux, поддержка Kerberos для сквозной аутентификации пользователей (SSO), многофакторная аутентификация через протокол RADIUS, поддержка нескольких LDAP-каталогов в рамках одного кластера брокеров.