Sats på det tynne

Å utsource administrasjonen av alle PCene i en organisasjon er ikke alltid det beste. Det kan jo være at man allerede har et kompetent og effektivt personell på plass, og fordelene med å kunne gjøre alt innenfor huset kan i mange tilfeller utkonkurrere selv den beste SLA.

Det finnes imidlertid en annen metode for å redusere eller eliminere PC-hodepinen. Sats på tynne klienter.

Reduksjon av administrasjon

Tynne klienter uten interne lagringsmuligheter og med den aller nødtørftigste programvare kan erstatte komplette PCer. En slik tilnærming skyver all patching, brukerkonfigurering, sikkerhetsgrep og andre administrasjonsoppgaver oppover til serverkompetente teknikere i datasenteret.

Tynne klienter koster noe mindre enn PCer, men den virkelige besparelsen får man med reduksjonen i antall systemer som trenger manuell inngripen. Om noens tynne klient feiler, er det bare å plugge inn en erstatningsklient, og vips så er brukeren i gang igjen. Dette fordi fagapplikasjonene, brukerkonfigurasjonen og autentiseringsmekanismene alle finne på serveren. En annen fordel er at uansvarlige brukere ikke kan laste ned spill og annen spyware-infisert programvare, eller smugle ut forretningshemmelige data på en minnepinne.

Umulig sikkerhetsadministrasjon

Det var i grunnen ikke før Slammer-, Sobig- og Blaster-virusene skapte kaos i organisasjoner over hele verden at sannheten virkelig gikk opp for de fleste IT-organisasjoner. Hvilken virkelighet er det så vi snakker om? Nemlig den at det simpelthen ikke er mulig å kunne administrere sikkerheten på PCene i en større bedrift på en økonomisk forsvarlig måte. Det kreves en stor stab av mennesker for å kunne teste og patche operativsystemer og applikasjoner.

Om en ansatt uforvarende tar med seg en infisert laptop og plugger den inn i bedriftsnettverket vil hele nettverket snart bli infisert, på tross av all verdens perimetersikkerhet.

Gigantiske operativsystemer

Problemets kjerne ligger i det faktum at operativsystemene i dagens PCer er blitt enormt kompliserte, og er derfor sårbare for ondartet kode som bevisst spres av kriminelt ansvarsløse mennesker.

Microsoft utga nærmere 1000 sikkerhetspatcher i 2003, og er fremdeles godt i gang med stadig nye.

Det er jo litt av et paradoks at en PC-bruker som bare benytter sin PC til tekstbehandling og enklere saksbehandling skal utstyres med en datamaskin som har et operativsystem som er større i antall kodelinjer enn det som i dag kjører i en IBM-stormaskin. Det skal i sannhetens navn nevnes at det ikke bare er Microsofts operativsystemer som angripes av virus og trojanere. Også Linux og de fleste versjoner av UNIX blir angrepet, men antallet av disse operativsystemene representerer bare en brøkdel av den totale PC-massen, og virkningene blir derfor ikke så voldsomme og vidt spredt.

Selv om Microsoft kunne klare å redusere antallet sikkerhetspatcher til én per år er det allikevel en ganske anseelig oppgave å skulle teste og distribuere og kanskje feilsøke uventede resultater av implementasjonen.

Patchekrigen

Vi begynte denne artikkelen med et råd om å satse på tynne klienter, og det er ved hjelp av disse vi kan få en viss kontroll over sikkerhetsproblematikken og det totale administrasjonsbehovet forbundet med PC-bruken.

Mange organisasjoner har etter hvert innsett at de ikke kan vinne denne patchekrigen og har vendt blikket mot teknologier som Microsofts Terminal Services og Citrix’ MetaFrame Access Suite. Disse teknologiene emulerer den mer sikre «mainframe»-baserte modellen, og gjør organisasjonen i stand til å benytte seg av spesielt tynnklient-utstyr, og/eller svært nedgraderte PCer. Disse enhetene er ikke så sårbare som PCene på grunn av sine begrensninger både når det gjelder kompleksitet og evne til å utføre alskens tjenester.

Sentralisert administrasjon

Fordelene med tynne klienter er iøynefallende. Liten eller ingen spesialprogrammering er nødvendig for å kunne benytte tynne klienter. Alle data blir oppbevart på serveren, ikke på klienten som kan mistes eller bli stjålet. Dette siste blir jo mer aktuelt etter hvert som klientutstyret stadig blir fysisk mindre. Programvareoppdateringer skjer på et begrenset antall servere, og ikke på et stort antall klientmaskiner. En tynnklient-strategi betyr ofte at mobile brukere kan få sanntidsaksess til bedriftens applikasjoner og data.

Et stort antall nyutviklinger, som ved siden av å tilby bedre trådløse tilkoblingsmuligheter, øker interessen for trådløse tynne klienter. En av disse er den økende bruken av operativsystem som er skreddersydd for tynnklient-utstyr, spesielt Windows XP Embedded (XPE).

Reduksjon av IT-budsjettet

Fra begynnelsen av var vel ikke Windows Terminal Services påtenkt oppgaven som et grunnlag for sikkerhetsstrategi. Terminal Services har vært på banen ganske lenge, ja løsningen var faktisk tilstede allerede ved debuten til Windows NT 4.0, da som et separat produkt som het NT 4.0 Terminal Services Edition (TSE). TSE utnyttet MultiWin-teknologien som Microsoft lisensierte fra Citrix Systems. Teknologien ble i begynnelsen kun brukt til å realisere enkel fjernaksess.

Med Windows 2000 ble Terminal Services integret direkte inn i operativsystemet, og organisasjonen begynte å se på produktet som et redskap for å kunne endre arkitekturen på sine PC-miljøer. Den nye arkitekturen baserte seg på sentral kjøring av både Windows- og Web-baserte applikasjoner på sentrale Terminal Services serverfarmer.

Denne arkitekturen har hatt stor appell svært mange steder. Den virker tosidig i det den fremmer reduksjon i IT-budsjettet først og fremst ved at den fjerner det konstante behovet for oppgraderinger og vedlikehold av PCene, fjerner behovet for avdelingsservere og applikasjonsdistribusjon. Videre frigjør den brukerne i den forstand at den gir adgang til å arbeide hvor som helst innenfor organisasjonen hvor det finnes en klientmaskin.

Perimetersikkerhet ikke godt nok

Det var terroristangrepet 11. september 2001 som var katalysatoren for den nye sikkerhetsbevisstheten som etter hvert har vunnet innpass i de fleste organisasjoner. Det stadig åpnere grensesnittene mot utenverdenen i form av E-handelsløsninger, Web-services, CRM-systemer og så videre har jo heller ikke gjort nødvendigheten av sikkerhet mindre. Offentlige forordninger er også kommet til (kfr. personopplysningsloven) og stiller nye krav til IT-avdelingene. Det er ikke lenger nok med en god perimetersikkerhet, en må også sørge for den indre sikkerheten.

Policystyrte nettverk

Sikkerhet i forbindelse med aksessinfrastruktur starter med å sentralisere applikasjonsinfrastrukturen og plassere ansvaret for aksesskontroll helt og holdent i hendene på IT-staben. Det å bygge opp en sentralisert arkitektur på denne måten vil bety en signifikant forbedring av en organisasjons sikkerhet på mange nivåer. Dette gjelder sikkerheten for både data, applikasjoner og brukere. Ved å benytte en tynnklientteknologi som eksempelvis dem fra Microsoft eller Citrix kan en ved hjelp av deres policy-mekanismer på en enkel måte kontrollere og begrense hvem som skal ha adgang til informasjon og når de skal ha denne rettigheten. La oss se litt på løsningene fra Microsoft og Citrix.

Windows Terminal Services

Som tidligere nevnt har Windows Terminal Services eksistert i Windows-verdenen siden NT 4.0. Men historien går lenger tilbake, faktisk til slutten av 80-tallet da Ed Iacobucci startet opp Citrix. I Citrix utviklet de så forgjengeren til den tynnklientteknologien vi i dag kjenner som Citrix MetaFrame Access Suite.

I 1994 ga Microsoft Citrix tilgang til sin NT source-kode slik at Citrix kunne utvikle teknologien som en underleverandør til Microsoft. Microsoft lisensierte siden Citrix sin teknologi da det ble klart for dem at teknologien var en suksess.

Den tidligere versjonen av Terminal Services har siden blitt erstattet med den innebyggede versjonen av Terminal Services i Windows Server 2000, og aller senest i Windows Server 2003.

Terminal Services for Windows Server 2003 er etter manges mening flere lysår foran sin forgjenger. Noen av forbedringene skal vi nevne her.

Fjernadministrasjon behøver ikke lenger installasjon av tillegskomponenter. Man gjør bare et valg i Remote-valget i System-verktøyet i kontrollpanelet, og vips så kan opp til to brukere koble seg opp mot en server og administrere denne.

Remote Desktop Protocol har blitt forbedret med hensyn på redirigering av display og utstyradministrasjon, og sikkerheten er blitt kraftig forbedret. Dette skjer ved hjelp av en meget kraftig kryptering, og Terminal Services er ifølge Microsoft så sikker at man ikke trenger en VPN-tunnel når man kobler seg opp over Internett.

Tilleggsmodulen Session Directory tillater at Terminal Services kan skaleres oppover for å kunne møte kravene til større organisasjoner. Dette gjøres ved å bygge en lastbalansert terminalserver-farm som lar brukerne få rekoble seg opp mot samme server som før om de av en eller annen grunn skulle bli frakoblet. Denne opprettholdelsen av sesjontilstand gjør det mulig å kjøre konsernkritiske applikasjoner på en terminalserver-farm.

Og så til det beste av alt. Terminal Services kan nå konfigureres, styres og låses ved hjelp av dusinvis av Group Policy-settinger som er nye i Windows Server 2003. Administrator kan så utnytte fleksibiliteten og styrken i Group Policy til å forenkle konfigurasjonen og administrasjonen av Windows terminalservere.

Disse forbedringene er nok gode nyheter for alle Microsoft-baserte IT-organisasjoner som har basert seg på tynnklent-teknologi. Den nye Terminal Services ser ut til å ha de nødvendige «hestekreftene», den har skalerbarhet og til og med støtte for flere ulike klientplattformer. Støtten strekker seg fra Windows 95 til Windows XP til Windows CE på Pocket PC-utstyr. Det er til og med en klient for Macintosh-plattformen, og også en Active-X-klient som kjører på Internet Explorer. På den måten kan man også koble seg opp mot Terminal Services over Internett.

Citrix MetaFrame Access Suite

Citrix var jo den som i virkeligheten utviklet den underliggende teknologien i Windows Terminal Services. Klokt nok hvilte de ikke på laubærene etter sin saftige lisensavtale med Microsoft, men fortsatte å forfine sin teknologi. I dag har de dermed en imponerende samling av applikasjoner de kaller Citrix MetaFrame Access Suite. Denne samlingen består av en håndfull nøkkelprodukter som kjører på Windows Server 2003 og kan gjøre ting som Terminal Services ikke klarer. Her kan nevnes:

Citrix MetaFrame XP Presentation Server er Citrix sin egen versjon av Terminal Services som tillater deg å koble en hvilken som helst klient opp mot en hvilken som helst applikasjon som kjører på presentasjonsserveren (terminal server). Med hvilken som helst klient menes hvilken som helst. Mens Microsofts klienter for Terminal Services for tiden kun er tilgjengelige for Windows- og Mac-plattformer er Citrix sine plattformer tilgjengelige for Windows, Mac, ulike versjoner av UNIX, Linux og til og med EPOC håndholdt utstyr. Og ikke bare det. Det finnes en UNIX-versjon av Presentation Server som gjør det mulig å kjøre UNIX- og Java-applikasjoner på en terminalserver. Man kan så aksessere dem fra en Windows-klient. En slik fleksibilitet er nøkkelfaktor i større organisasjoner hvor operativsystemmiljøet er en heterogen blanding av Windows, Linux og Unix, og hvis en ønsker at hvem som helst skal kunne kjøre hva som helst fra hvor som helst er da er Presentation Server hva en skal ha.

Citrix MetaFrame Secure Access Manager er et komplementært produkt til Presentation Server som gir mulighet for en rollebasert kontroll over hvem som kan aksessere applikasjoner og dokumenter som finnes på presentasjonsserveren. Med sin innebyggede stadardbaserte kryptering kan man gi aksess til hvor som helst over Internett, uten nødvendigheten av ytterligere sikring som eksempelvis VPN.

Citrix MetaFrame Password Manager er en tilleggsmodul som besørger single sign on (SSO)-autentisering. På den måten trenger man bare ett enkelt passord for å kunne få aksess til et vidt spekter av tjenester og ressurser på Windows- og Unix-servere.

Citrix MetaFrame Conferencing Manager er en tilleggsmodul som tillater deling av applikasjoner på en presentasjonsserver. På denne måten kan brukere arbeide sammen og bruke samme applikasjon og arbeide på dokumenter sammen. Det er også et utmerket verktøy for onlinebasert trening på arbeidsplassen.

Det som gir Presentation Server sin styrke er ICA- (Independent Computing Architecture) protokollen. Dette er presentasjonsprotokollen som brukes på Citrix-plattformen for å overføre tangenttrykk, musebevegelser og skjermoppdateringer mellom den tynne klienten og presentasjonsserveren. ICA er motstykket til Terminal Services sin Remote Desktop Protocol (RDP).