В современных реалиях многие компании используют различные электронные цифровые подписи (ЭЦП), ключи лицензирования и другие средства защиты и обеспечения доступа, основанные на USB-носителях. Одновременно с этим, в связи с острой необходимостью обеспечения удаленной работы сотрудников в текущих условиях пандемии, возникает задача обеспечить их доступ к приложениям, использующим эти физические устройства без необходимости передавать USB-носители в руки сотрудникам. Помощь в решении этих вопросов может обеспечить программно-аппаратное решение от компании SEH Technology — USB Dongleserver.
Что это?
SEH USB Dongleserver — это программно-аппаратный комплекс, позволяющий предоставлять сетевой доступ к USB-ключам (USB over IP, установленным в аппаратную часть комплекса. USB-устройство может быть подключено к любому рабочему месту сотрудника, будь то рабочий стол VDI, ПК или ноутбук.
Аналогично, при помощи SEH USB Dongleserver USB-ключ лицензии программного обеспечения может быть подключен к виртуальному серверу, что позволит перенести ваши программные комплексы в виртуальную среду без необходимости приобретения новых типов лицензий, поддерживающих виртуализацию.
Таким образом, можно сказать, что с помощью SEH USB Dongleserver можно «виртуализировать» USB-устройства и обеспечить удобную работу пользователей с ними из любой точки: как с рабочего места, так и из дома, без необходимости передавать им сами USB-устройства.
Области применения:
- Предоставление пользователям доступа к USB-устройствам (ключи ЭЦП, USB-носители с конфиденциальной информацией и т.п.) с их рабочих мест: рабочие столы VDI, ПК или ноутбуки — USB-устройства установлены в USB Dongleserver и защищены от кражи, потери или повреждения;
- Совместное использование USB-устройств несколькими пользователями без необходимости передачи — USB-устройства подключаются с помощью клиента SEH к рабочему месту сотрудника по сети;
- Подключение USB-устройств к рабочим станциям с малым количеством USB-портов или без них — при использовании большого количества USB-устройств на одном рабочем месте может не хватать USB-портов и возникает необходимость постоянного их подключения и отключения, что может привести к повреждению USB-носителя;
- Подключение лицензионных USB-ключей к виртуальным серверам — многие программные продукты используют лицензионные USB-ключи, что мешает переходу в виртуальные среды или требует затрат на приобретение других типов лицензий. Подключение USB-ключей по сети позволит избежать таких затрат.
Преимущества использования:
- Идеальное решение для сред виртуализации;
- USB-ключи всегда готовы к использованию по сети;
- USB-ключи доступны для разных пользователей без необходимости их подключения к разным рабочим местам для использования;
- Централизованное управление;
- Гранулярное управление доступом к USB-устройствам и контроль доступа к устройствам с парольной защитой для максимальной безопасности;
- Ключи защищены от кражи, потери и повреждений.
Примеры кейсов
Кейс: Лицензионные и клиентские ключи 1С
Проблема: В связи с переводом пользователей на работу с виртуальными рабочими столами (VDI) и виртуализацией серверов 1С, может оперативно потребоваться обеспечение работы виртуальных серверов с физическими лицензионными USB-ключами 1C в компании.
Описание: Большинство компаний предпочитает размещать серверы 1С на выделенных физических серверах. По этой причине использование физических лицензионных USB-ключей не создаёт каких-либо проблем — ключ подключается в сервер и доступен серверу 1С как обычное USB-устройство. То же самое относится к ключам клиентских лицензий, необходимых для запуска клиента 1С на рабочем месте пользователя.
При внедрении виртуальных рабочих столов и наличия физического сервера 1С, проблем, обычно не возникает — сервер 1С может осуществлять выдачу клиентских лицензий при запуске клиента на рабочем месте пользователя.
В случае, когда принимается решение о виртуализации серверов 1С, возникает вопрос подключения USB-ключей к серверу 1С. В этом возможно приобретение электронных лицензий, но с ними могут возникать определенные сложности. К тому же — это потребует дополнительных затрат, в то время как лицензии 1С уже приобретены и находятся на USB-ключах.
Наконец, виртуализация серверов 1С позволяет использовать возможности сред виртуализации, позволяющих обеспечить отказоустойчивость (Fault Tolerance) и эффективное использование ресурсов (DRS), с применением технологии миграции виртуальной машины с одного хоста виртуализации на другой. Для этого необходимо, чтобы вне зависимости от того, где находится виртуальный сервер, ему были доступны необходимые USB-ключи. Если USB-ключ будет подключен к какому-то конкретному хосту виртуализации — после миграции ключи могут оказаться недоступными, и работа сервера 1С, скорее всего, будет нарушена из-за отсутствия лицензии.
Решение: Серверы 1С переносятся в виртуальную среду. В виртуальной машине сервера 1С устанавливается программный клиент SEH, с помощью которого осуществляется подключение по сети USB-ключа, подсоединенного к SEH Dongle server (USB over IP).
В результате, USB-ключ виден в виртуальной машине как USB-устройство, подключённое к операционной системе. При этом виртуальную машину запросто можно мигрировать с одного хоста виртуализации на другой, без потери подключения USB-ключа и нарушения работы сервера 1С.
Клиентские ключи 1С присоединяются к другим виртуальным серверам таким же образом с помощью программного клиента SEH. Подключение к нескольким другим серверам осуществляется для того, чтобы распределить клиентские ключи на случай каких-либо возможных проблем с виртуальными машинами. Важно отметить тот факт, что с использованием SEH нет никаких ограничений по подключению USB-ключей к виртуальным машинам в средах виртуализации.
Итогом проведённых работ: клиент сможет полностью виртуализировать свою инфраструктуру 1С, обеспечить работу пользователей в виртуальных рабочих столах (VDI) с необходимыми приложениями. В дополнение в среду виртуализации переносятся серверы видеонаблюдения и СКУД.
Кейс: Доступ нескольких пользователей к банковским ключам ЭЦП
Проблема: В связи с тем, что организации, работающие с большим количеством банков и финансовых систем используют для доступа USB-ключи ЭЦП (RuToken, eToken и т.п.) — возникает необходимость обеспечить их работу сразу с несколькими пользователями. В том числе, возможность использования ключей в виртуальных рабочих столах.
Описание: Большинство компаний имеют счета в нескольких банках, при этом, для доступа к банк-клиентам требуется, чтобы сотрудник подключал к своему рабочему месту ключ электронной цифровой подписи (ЭЦП), с помощью которого осуществляется подписание документов и подтверждение операций.
Такие USB-ключи передаются ответственному сотруднику, а он использует их на своем рабочем месте. В худшем случае ключ может быть повреждён, утерян или, что еще опаснее, украден. Зачастую, у сотрудника может быть несколько ключей для работы с разными банками.
Сложности могут возникнуть, если подобный сотрудник заболел или находится в отпуске. Тогда, для продолжения работы организации требуется передать USB-ключи другому человеку и подготовить рабочее место для работы. Это занимает какое-то время, которого может и не быть, поскольку требуется выполнить срочные платежи.
В некоторых случаях, когда это разрешено, ключ может быть передан работнику для использования их за пределами организации, например, дома во время самоизоляции или удалённого режима работы. Но и даже при таком раскладе возникает неудобство: никто кроме этого сотрудника не в силах выполнить требуемые операции, а он по своим личным причинам может быть недоступен.
Решение: На рабочих местах пользователей устанавливается программный клиент SEH, с помощью которого происходит подключение USB-ключей ЭЦП в операционную систему. Физические ключи подсоединяются в устройство SEH Dongleserver, размещённые в серверном помещении компании. Таким образом, обеспечивается сохранность ключей и их защита от повреждения, утери или кражи, поскольку доступ в серверное помещение имеет ограниченный круг лиц, относящихся к департаменту информационных технологий.
SEH Dongleserver настраивается так, чтобы доступ к конкретному USB-ключу из программного клиента SEH возможно было получить при указании пароля, известный только администратору SEH. Этот пароль указывается в программном клиенте SEH на рабочем месте сотрудника. Без знания этого пароля подключить ключ невозможно!
За счет того, что все ключи находятся всегда в одном месте, есть возможность беспроблемно обеспечить работу другого ответственного сотрудника с необходимыми инструментами и банк-клиентами. Для этого требуется только установить необходимое криптографическое программное обеспечение и клиент SEH.
Работы проводятся непосредственно перед началом режима изоляции, связанной с эпидемией вируса COVID-19. С помощью данного решения удастся обеспечить удаленную работу с USB-ключами ЭЦП так, что не больше не потребуется передавать физические USB-ключи сотрудникам, а значит, для нормальной работы пользователям больше не нужно давать USB-устройства друг-другу, нарушая режим самоизоляции.
Бывают такие случаи, что на момент начала внедрения у клиентов уже может быть внедрена инфраструктура виртуальных рабочих столов на основе Citrix XenDesktop. Впрочем, это решение может работать и с любым другим решением VDI, например VMWare Horizon, а также и с ПК и ноутбуками, находящимися в офисе компании — достаточно организовать удалённое подключение сотрудника к его рабочему месту.
В рамках внедрения решения, в виртуальные рабочие столы устанавливается программный клиент SEH и пользователи, подключаются удалённо к своим рабочим столам. Помимо вышеперечисленного существует возможность подключить необходимые USB-ключи ЭЦП и работать с банк-клиентами без необходимости присутствия на своем рабочем месте в офисе. При этом, если один из сотрудников заболел и не может выполнять работы, доступ к ключам предоставляется другому человеку, и организация может продолжать свою рабочую деятельность без каких-либо затруднений.
Итог внедрения — сохранность и безопасность компании своих USB-носителей с ЭЦП и предоставление своим сотрудникам возможности удалённой работы в сложных и непредвиденных ситуациях, сохраняя непрерывность бизнес-процессов.
Evgenym
Похоже на AnywhereUSB
scarab
Похож, но лучше. SEH умеет в шифрование (кстати, по-моему именно из-за этого у них в своё время были проблемы с поставками в РФ), умеет в разграничение доступа как по сетям, так и по конкретным токенам, умеет в VLAN.
Железки от Digi по сравнению с ними — как рено по сравнению с мерседесом.
skurudo
После таких заявлений неплохо бы увидеть таблицу сравнения. Если только речь не премиальность будет :)
scarab
Уважаемый, я не автор публикации и не продажник SEH, у меня нет такой таблицы и нет желания её составлять. Может быть, на сайте SEH она где-нибудь существует, не знаю.
Я писал, основываясь на опыте работы с тем и с другим оборудованием в течение нескольких лет и перечислил тот функционал, который понравился именно мне. Если интересует именно опыт эксплуатации — могу попробовать ответить на вопросы. А сравнение ради сравнения — это к писателям )
skurudo
Позвольте! Вы же сами сравниваете вот буквально выше, т.е. складывается мнение, что с Digi и с SEH вы поработали и могли бы конкретизировать различия или наоборот коротенько описать преимущества. Мне они не очевидны.
То, что вы не представитель SEH или партнеров, это печальнее, потому что вопрос ценника или хотя бы намеков на них не был бы лишним. Поскольку не ясна цена вопроса, не ясно даже, стоит ли смотреть в сторону «мерседеса».
scarab
Я и написал «основываясь на опыте работы с тем и с другим оборудованием». Да, я работал и с Digi, и с SEH.
Касательно цен: насколько я знаю, официально SEH в РФ никто не возит, вроде бы именно потому, что там поддерживается шифрование трафика, что автоматически требует получение соответствующих лицензий на ввоз. Но оно вполне легко гуглится по зарубежным магазинам.
8-портовый девайс стоил что-то порядка 800 евро; 24-портовый — около 2000 евро.
Касательно различий. Когда я работал с Digi, с разграничением доступа там были проблемы. В SEH можно настроить несколько VLAN'ов и нужные порты переключить в нужный VLAN, соответственно «чужие» токены не будут вообще видны. Плюс к этому можно установить на каждый токен свой пароль, который надо будет указать в настройках клиентской части при подключении. Тогда клиентская часть будет показывать только те токены, которые доступны с данного конкретного места.
В Digi же, насколько я помню, можно было только жёстко привязать токены к хосту. То есть если токены A, B, C привязаны к хосту X — то использовать их с хоста Y уже не удастся.
Ещё можно ограничивать по USB-признакам девайса, но я этим не пользовался, поэтому тут сказать не могу.
skurudo
Ну вот! Вот это та самая мякотка, что и нужна была.
Благодарю :)
skurudo
Если речь только на ограничение по сетям, то, этого мало, потому что ограничить доступ можно по-другому и другими средствами, которые уже внедрены в организации.