17.12.2020 09:15
miko1ar 3 697 Источник

Меня  зовут Николай, и в DataLine я занимаюсь эксплуатацией стенда виртуальных рабочих столов (ВРС) на базе Citrix Vitrual Apps and Desktop. Недавно мы добавили к инфраструктуре ВРС сервис записи пользовательских сессий для двух сценариев: 

  • служба ИБ по записям расследует инциденты безопасности;

  • служба технической поддержки подключается к пользователю по запросу и записывает его работу на ВРС, чтобы найти причины проблем с работоспособностью ПО. 

Сегодня расскажу, как Citrix Session Recording решает эти задачи на нашем стенде, и проведу обзор его возможностей. 

Кому нужно решение

Многие сотрудники технической поддержки слышат от пользователей: «Я делаю то же самое, что и всегда, но иногда возникает ошибка». В этом случае запись пользовательского сеанса помогает найти плавающую проблему, которая воспроизводится случайно. Служба ИБ может записывать действия пользователей с конфиденциальными данными и быстро находить источники утечки информации. Сам факт записи может предостеречь пользователей от нарушения конфиденциальности: для этого есть специальные предупреждения: 

Текст уведомления настраивается. 
Текст уведомления настраивается. 

Citrix Session Recording регистрирует на ВРС ключевые события для ИБ и техподдержки, например: подключение внешнего хранилища, изменение конкретных файлов, запуск определенных приложений. Интересующие действия можно потом найти в привязке ко времени.

Как это устроено

Для записи сессий виртуальных рабочих столов используются несколько компонент:

Агент записи сеанса (Session Recording Agent) устанавливается на каждом виртуальном рабочем столе. Он подхватывает HDX-поток – трансляцию рабочего стола, которую видит пользователь ВРС. 

Сервер записи сеанса (Session Recording Server) управляет хранением файлов записи, отвечает за поиск, индексацию и цифровую подпись записей для обеспечения целостности.

База данных записи сеанса (Database) хранит метаданные по каждой сессии: ID, время, пользователи, группы пользователей, события и так далее.  

В консоли политик записи (Session Recording Policy Console) администратор настраивает, какие именно события записывать, для каких пользователей или групп.  

Сами файлы записи хранятся в специальном формате локально или в общем хранилище.

В плеере записи сеанса (Session Recording Player) можно найти записи и отследить на временной шкале, где какое событие зарегистрировано. Чем-то похоже на вебвизор:

Слева есть навигация по записанным событиям, можно на них переключаться. 
Слева есть навигация по записанным событиям, можно на них переключаться. 

Как альтернативу десктопному плееру можно использовать WebPlayer, в котором удобно делиться ссылками:

В WebPlayer тоже есть закладки по событиям справа: можно проматывать «простои», когда пользователь ничего не делал и на экране ничего не менялось:

Администраторы могут стартовать запись сеанса в интерфейсе Citrix Director. 

Какие настройки есть

Что записывается. В консоли политик администратор создает Recording policy и указывает, каких пользователей записывать и как их уведомлять об этом. Для выбранных пользователей или групп запись начнется автоматически со стартом новой сессии. Какие именно события фиксировать, настраивается в отдельной политике Event Logging policy.

Вот какие события можно фиксировать на записи: 

  • установку запоминающих устройств USB,

  • запуск и окончание работы приложения,

  • переименование, создание, удаление и перемещение файлов,

  • просмотр веб-страниц,

  • самые популярные оконные действия.

При этом на записи не отображается контент внутри систем для конфколлов, например: видеоразговоры в Lync, Webex и другое выгруженное содержимое по технологии HDX Flash или Multimedia Redirection (MMR). 

Как делятся права доступа к записи. По умолчанию запись сеанса включает все действия пользователя без учета конфиденциальности данных, так что на записи могут оказаться учетные данные и сторонние экраны. Поэтому Citrix в рекомендациях по безопасности уделяет внимание правам доступа к таким записям. В нашем сервисе есть несколько видов прав доступа:

  • права администратора – позволяют работать с политиками и файлами записи: просматривать, создавать, редактировать, удалять;

  • права на просмотр записей – позволяют искать и воспроизводить записанные сеансы. 

Где и как хранится. Для записи используется технология HDX, которая отвечает за доставку контента пользователю ВРС. Изначально технология была нужна, чтобы пользователь не замечал большой задержки между действием на физической машине и трансляцией сеанса на его личном экране. HDX-поток уже сильно сжат, так что для записи сессий агент просто подхватывает его и отправляет в хранилище. Это помогает хранить дневную активность пользователя не в гигабайтах, а в мегабайтах. 

Можно дополнительно настроить политику архивирования и хранить свежие записи в основном оперативном хранилище, а старые файлы перемещать в архив.  По умолчанию в архив могут перемещаться записи старше двух дней. Это предотвращает архивирование живых записей до их завершения. Во время и после архивирования клиент может автоматически перенести файлы записи к себе на сервер хранения. 

В плеере записи сеанса можно просматривать файлы напрямую из основного хранилища. Если нужно воспроизвести заархивированную запись с сервера клиента, ее импортируют в хранилище восстановленных записей. 

Как обеспечивается отказоустойчивость. При потере связи с сервером агент записи по умолчанию может локально хранить очередь для сервера около двух часов. После возобновления работы агент отправит все записи на сервер. Дополнительно можно объединить серверы в кластер и настроить балансировку нагрузки и автоматическое переключение при отказе. 

Мы предоставляем Citrix Session Recording как дополнительную опцию к инфраструктуре виртуальных рабочих столов на базе Citrix VDI. Будем рады предоставить решение на тест и ответить на вопросы по возможностям для конкретных кейсов.