В современных реалиях многие компании используют различные электронные цифровые подписи (ЭЦП), ключи лицензирования и другие средства защиты и обеспечения доступа, основанные на USB-носителях. Одновременно с этим, в связи с острой необходимостью обеспечения удаленной работы сотрудников в текущих условиях пандемии, возникает задача обеспечить их доступ к приложениям, использующим эти физические устройства без необходимости передавать USB-носители в руки сотрудникам. Помощь в решении этих вопросов может обеспечить программно-аппаратное решение от компании SEH Technology — USB Dongleserver.


Что это?


SEH USB Dongleserver — это программно-аппаратный комплекс, позволяющий предоставлять сетевой доступ к USB-ключам (USB over IP, установленным в аппаратную часть комплекса. USB-устройство может быть подключено к любому рабочему месту сотрудника, будь то рабочий стол VDI, ПК или ноутбук.


Аналогично, при помощи SEH USB Dongleserver USB-ключ лицензии программного обеспечения может быть подключен к виртуальному серверу, что позволит перенести ваши программные комплексы в виртуальную среду без необходимости приобретения новых типов лицензий, поддерживающих виртуализацию.


Таким образом, можно сказать, что с помощью SEH USB Dongleserver можно «виртуализировать» USB-устройства и обеспечить удобную работу пользователей с ними из любой точки: как с рабочего места, так и из дома, без необходимости передавать им сами USB-устройства.


Области применения:


  • Предоставление пользователям доступа к USB-устройствам (ключи ЭЦП, USB-носители с конфиденциальной информацией и т.п.) с их рабочих мест: рабочие столы VDI, ПК или ноутбуки — USB-устройства установлены в USB Dongleserver и защищены от кражи, потери или повреждения;
  • Совместное использование USB-устройств несколькими пользователями без необходимости передачи — USB-устройства подключаются с помощью клиента SEH к рабочему месту сотрудника по сети;
  • Подключение USB-устройств к рабочим станциям с малым количеством USB-портов или без них — при использовании большого количества USB-устройств на одном рабочем месте может не хватать USB-портов и возникает необходимость постоянного их подключения и отключения, что может привести к повреждению USB-носителя;
  • Подключение лицензионных USB-ключей к виртуальным серверам — многие программные продукты используют лицензионные USB-ключи, что мешает переходу в виртуальные среды или требует затрат на приобретение других типов лицензий. Подключение USB-ключей по сети позволит избежать таких затрат.

Преимущества использования:


  • Идеальное решение для сред виртуализации;
  • USB-ключи всегда готовы к использованию по сети;
  • USB-ключи доступны для разных пользователей без необходимости их подключения к разным рабочим местам для использования;
  • Централизованное управление;
  • Гранулярное управление доступом к USB-устройствам и контроль доступа к устройствам с парольной защитой для максимальной безопасности;
  • Ключи защищены от кражи, потери и повреждений.


Примеры кейсов


Кейс: Лицензионные и клиентские ключи 1С


Проблема: В связи с переводом пользователей на работу с виртуальными рабочими столами (VDI) и виртуализацией серверов 1С, может оперативно потребоваться обеспечение работы виртуальных серверов с физическими лицензионными USB-ключами 1C в компании.


Описание: Большинство компаний предпочитает размещать серверы 1С на выделенных физических серверах. По этой причине использование физических лицензионных USB-ключей не создаёт каких-либо проблем — ключ подключается в сервер и доступен серверу 1С как обычное USB-устройство. То же самое относится к ключам клиентских лицензий, необходимых для запуска клиента 1С на рабочем месте пользователя.


При внедрении виртуальных рабочих столов и наличия физического сервера 1С, проблем, обычно не возникает — сервер 1С может осуществлять выдачу клиентских лицензий при запуске клиента на рабочем месте пользователя.


В случае, когда принимается решение о виртуализации серверов 1С, возникает вопрос подключения USB-ключей к серверу 1С. В этом возможно приобретение электронных лицензий, но с ними могут возникать определенные сложности. К тому же — это потребует дополнительных затрат, в то время как лицензии 1С уже приобретены и находятся на USB-ключах.


Наконец, виртуализация серверов 1С позволяет использовать возможности сред виртуализации, позволяющих обеспечить отказоустойчивость (Fault Tolerance) и эффективное использование ресурсов (DRS), с применением технологии миграции виртуальной машины с одного хоста виртуализации на другой. Для этого необходимо, чтобы вне зависимости от того, где находится виртуальный сервер, ему были доступны необходимые USB-ключи. Если USB-ключ будет подключен к какому-то конкретному хосту виртуализации — после миграции ключи могут оказаться недоступными, и работа сервера 1С, скорее всего, будет нарушена из-за отсутствия лицензии.


Решение: Серверы 1С переносятся в виртуальную среду. В виртуальной машине сервера 1С устанавливается программный клиент SEH, с помощью которого осуществляется подключение по сети USB-ключа, подсоединенного к SEH Dongle server (USB over IP).


В результате, USB-ключ виден в виртуальной машине как USB-устройство, подключённое к операционной системе. При этом виртуальную машину запросто можно мигрировать с одного хоста виртуализации на другой, без потери подключения USB-ключа и нарушения работы сервера 1С.


Клиентские ключи 1С присоединяются к другим виртуальным серверам таким же образом с помощью программного клиента SEH. Подключение к нескольким другим серверам осуществляется для того, чтобы распределить клиентские ключи на случай каких-либо возможных проблем с виртуальными машинами. Важно отметить тот факт, что с использованием SEH нет никаких ограничений по подключению USB-ключей к виртуальным машинам в средах виртуализации.


Итогом проведённых работ: клиент сможет полностью виртуализировать свою инфраструктуру 1С, обеспечить работу пользователей в виртуальных рабочих столах (VDI) с необходимыми приложениями. В дополнение в среду виртуализации переносятся серверы видеонаблюдения и СКУД.



Кейс: Доступ нескольких пользователей к банковским ключам ЭЦП

Проблема: В связи с тем, что организации, работающие с большим количеством банков и финансовых систем используют для доступа USB-ключи ЭЦП (RuToken, eToken и т.п.) — возникает необходимость обеспечить их работу сразу с несколькими пользователями. В том числе, возможность использования ключей в виртуальных рабочих столах.


Описание: Большинство компаний имеют счета в нескольких банках, при этом, для доступа к банк-клиентам требуется, чтобы сотрудник подключал к своему рабочему месту ключ электронной цифровой подписи (ЭЦП), с помощью которого осуществляется подписание документов и подтверждение операций.


Такие USB-ключи передаются ответственному сотруднику, а он использует их на своем рабочем месте. В худшем случае ключ может быть повреждён, утерян или, что еще опаснее, украден. Зачастую, у сотрудника может быть несколько ключей для работы с разными банками.


Сложности могут возникнуть, если подобный сотрудник заболел или находится в отпуске. Тогда, для продолжения работы организации требуется передать USB-ключи другому человеку и подготовить рабочее место для работы. Это занимает какое-то время, которого может и не быть, поскольку требуется выполнить срочные платежи.


В некоторых случаях, когда это разрешено, ключ может быть передан работнику для использования их за пределами организации, например, дома во время самоизоляции или удалённого режима работы. Но и даже при таком раскладе возникает неудобство: никто кроме этого сотрудника не в силах выполнить требуемые операции, а он по своим личным причинам может быть недоступен.



Решение: На рабочих местах пользователей устанавливается программный клиент SEH, с помощью которого происходит подключение USB-ключей ЭЦП в операционную систему. Физические ключи подсоединяются в устройство SEH Dongleserver, размещённые в серверном помещении компании. Таким образом, обеспечивается сохранность ключей и их защита от повреждения, утери или кражи, поскольку доступ в серверное помещение имеет ограниченный круг лиц, относящихся к департаменту информационных технологий.


SEH Dongleserver настраивается так, чтобы доступ к конкретному USB-ключу из программного клиента SEH возможно было получить при указании пароля, известный только администратору SEH. Этот пароль указывается в программном клиенте SEH на рабочем месте сотрудника. Без знания этого пароля подключить ключ невозможно!


За счет того, что все ключи находятся всегда в одном месте, есть возможность беспроблемно обеспечить работу другого ответственного сотрудника с необходимыми инструментами и банк-клиентами. Для этого требуется только установить необходимое криптографическое программное обеспечение и клиент SEH.


Работы проводятся непосредственно перед началом режима изоляции, связанной с эпидемией вируса COVID-19. С помощью данного решения удастся обеспечить удаленную работу с USB-ключами ЭЦП так, что не больше не потребуется передавать физические USB-ключи сотрудникам, а значит, для нормальной работы пользователям больше не нужно давать USB-устройства друг-другу, нарушая режим самоизоляции.


Бывают такие случаи, что на момент начала внедрения у клиентов уже может быть внедрена инфраструктура виртуальных рабочих столов на основе Citrix XenDesktop. Впрочем, это решение может работать и с любым другим решением VDI, например VMWare Horizon, а также и с ПК и ноутбуками, находящимися в офисе компании — достаточно организовать удалённое подключение сотрудника к его рабочему месту.


В рамках внедрения решения, в виртуальные рабочие столы устанавливается программный клиент SEH и пользователи, подключаются удалённо к своим рабочим столам. Помимо вышеперечисленного существует возможность подключить необходимые USB-ключи ЭЦП и работать с банк-клиентами без необходимости присутствия на своем рабочем месте в офисе. При этом, если один из сотрудников заболел и не может выполнять работы, доступ к ключам предоставляется другому человеку, и организация может продолжать свою рабочую деятельность без каких-либо затруднений.


Итог внедрения — сохранность и безопасность компании своих USB-носителей с ЭЦП и предоставление своим сотрудникам возможности удалённой работы в сложных и непредвиденных ситуациях, сохраняя непрерывность бизнес-процессов.