Вспомним, что в организации работы сотрудников прежде считалось обычным, а что воспринималось как исключение из правил, требующее предварительного согласования.

Оглянемся лет на пятнадцать назад. В компаниях развернуты локальные сети, обычно на базе Novell NetWare, программы продаются в больших коробках, в которых помимо дискет лежат тома печатной документации. Смартфонов пока еще нет, а производители мобильных телефонов и компьютерной техники пытаются продвигать КПК. Стандартным считается подключение стационарного персонального компьютера пользователя к проводной сети компании. Данные размещены в лучшем случае на серверах, стоящих в специальных помещениях, принадлежащих компании, а в худшем — на локальных дисках ПК пользователя. Когда возникает необходимость предоставления пользователю удаленного доступа, вопрос решается как исключение из правил в пользу обеспечения такого доступа топ-менеджерам или особо ценным сотрудникам. Обладателей ноутбуков — считанные единицы, а работа с устройства, на котором установлена операционная система, отличная от Windows, — редкость. Перефразируя знаменитое высказывание Генри Форда применительно к ИТ той поры, можно было бы сказать: «Компьютер для работы с офисными приложениями может быть любой, если на нем установлена Windows».

Что же произошло за эти пятнадцать лет? В результате развития технологий нормой стало то, что ранее было исключением, но, конечно, не во всех отраслях экономики и подразделениях компаний — пока еще сложно представить себе работающего «удаленно» водителя грузовика или оператора атомной станции. Эволюция аппаратных комплексов, появление новых классов устройств, развитие технологий передачи данных привели к тому, что у информационных сотрудников рабочее место перестало быть жестко привязано к определенному кабинету. Более того, стали появляться специальности, сформированные новыми условиями. За счет развития различных технологий доступа Интернетом в той или иной мере охвачена вся страна, фактически завершилась эпоха монополии Microsoft на пользовательские ОС — на рынке сегодня присутствуют различные версии Linux, Android, iOS, MacOS, для которых имеется огромное количество приложений, включая серьезные бизнес-программы. Приложения для мобильных платформ распространяются из магазинов Apple AppStore, Android Marketplace, Windows Store. Мощности и возможностей мобильных телефонов с лихвой хватает на одновременное выполнение нескольких ресурсоемких мультимедийных задач, таких как работа с мультимедиа, передача данных (4G, LTE, 3G, GPRS), передача голоса (VoIP) и др. Таким образом, то, на что раньше был способен только стационарный персональный компьютер, сейчас может выполнить практически любой электронный гаджет, причем в течение дня сотрудник использует в среднем от трех до пяти электронных устройств. Естественно, все это не могло не сказаться на изменении корпоративного ИТ-ландшафта. Так, по опросам, проведенным различными аналитическими агентствами, выяснилось, что сейчас 65% сотрудников работают из нескольких мест, а появление удобных облачных сервисов для хранения данных привело к тому, что сотрудники более 80% компаний из списка Fortune 500 используют такие сервисы для обмена данными с коллегами и контрагентами. Растет также количество используемых приложений, например, по данным компании Citrix Systems, среднее количество приложений у заказчиков — около 200.

«Мобильное предприятие» с точки зрения ИТ — это организация, которая использует критичные для бизнеса приложения, предоставляя к ним беспроводной доступ с мобильных устройств. К таким приложениям относится уже не только почта, но и системы документооборота, ERP и CRM, программы управления проектами, обработки заказов, выписки счетов и многое другое.

Какие технологии привели к этим возможностям? Первопроходцами были технологии терминального доступа, уходящие корнями в мир мэйнфреймов и алфавитно-цифровых терминалов. В соответствии с цикличностью развития, после массовой децентрализации и ухода от многопользовательских систем к персональным опять наступил этап консолидации и централизации, но уже на новом уровне. Простого объединения в локальные сети было уже недостаточно, и хотя мощностей серверов Windows хватало на одновременное обслуживание нескольких десятков, а потом и сотен пользователей, сетевые задержки стали непозволительны — произошло возвращение к «истокам» в виде появления решений по удаленному доступу к приложениям, выполняющимся на серверах. Сегодня это такие продукты, как Citrix XenApp, Microsoft RDS, Quest Workspace Desktop Virtualization и Ericom PowerTerm WebConnect. Долгое время терминальный доступ применялся как тактическое решение, позволяющее справиться с наиболее болезненными проблемами, — «плохие» каналы передачи данных с большими задержками и потерями пакетов теперь не помеха, поскольку выполнение приложений осуществляется на сервере. На пользовательском устройстве не требуется устанавливать клиентскую часть применяемых приложений, а операционная система может отличаться от той, в которой выполняется приложение. Такой подход, помимо прочего, позволял продлить сроки эксплуатации физически годного, но морально устаревшего оборудования, не способного работать с новыми версиями ОС и прикладных программ. По мере развития технологий терминального доступа все больше и больше корпоративных программных продуктов можно было перевести на такую схему выполнения, однако для большинства компаний данный подход оставался нишевым.

Чуть позже, усилиями компании VMware, стали активно развиваться технологии виртуализации — мощности серверов стали избыточными для подхода «один сервер — одна задача». На одном общем оборудовании независимо друг от друга стало выполняться теперь несколько рабочих нагрузок. Ключевое отличие от терминального доступа — уровень изоляции, которая при серверной виртуализации осуществляется на уровне операционной системы, а не на уровне приложения, как при терминальном доступе. В результате в корпоративной ИТ-среде появилось решение, позволяющее сократить количество физических серверов, повысив количество серверов, обслуживаемых одним администратором, и обеспечить новые возможности: непрерывность обслуживания физических серверов без прерывания работы пользователей, быстрое создание рабочего окружения для разработчиков и в случае возникновения проблем — быстрый возврат к исходному рабочему состоянию. В дальнейшем эти технологии продолжили совершенствоваться усилиями таких компаний, как AMD, Citrix Systems, Intel, Microsoft, Oracle и Red Hat. Сейчас гипервизор существует для серверов, персональных компьютеров и мобильных телефонов.

Затем сформировалась идея объединить технологии виртуализации и терминального доступа. В 2005–2006 годах начали появляться продукты класса VDI (Virtual Desktop Infrastructure — инфраструктура виртуальных десктопов), которые в дальнейшем превратятся, например, в Citrix XenDesktop и VMware View. Это решения по организации удаленного доступа, где все вычисления осуществляются на стороне сервера, но вместо серверной ОС, разделяемой между всеми работающими пользователями, что характерно для терминального доступа, подключение осуществляется к изолированному контейнеру с клиентской ОС. Такой подход имеет как положительные, так и отрицательные моменты. Если к первым можно отнести высокий уровень изоляции, удобство администрирования и управления, возможность использования любых оконечных устройств, то во вторую группу попадают повышенная сложность ИТ-инфраструктуры, дополнительные лицензионные платежи, высокие требования к оборудованию и зависимость от каналов передачи данных. На текущий момент в России на рынке VDI представлены решения компаний Citrix, Dell (Quest), Microsoft и VMware. Несмотря на объявления аналитиков, что найдено средство от множества проблем, на самом деле оказалось, что не существует универсального решения для различных ситуаций, и в результате этого предсказываемые тогда аналитиками темпы роста в области виртуализации десктопов отклонились от расчетных траекторий. При реализации проектов часто встречается ситуация, когда, решив одну проблему заказчика, система «находит» новое узкое место в другой области — например, преодолев проблему с удаленным доступом и обслуживанием ПК в регионах, заказчик сталкивается с проблемой повышенных требований к системе хранения и более глубокой зависимости от каналов передачи данных. Все это приводит производителей программного обеспечения к необходимости пополнять портфели своих решений дополнительными компонентами, призванными устранить те или иные узкие места. Заказчики, в свою очередь, перестают воспринимать VDI как средство от всех бед, и, взвешивая все «за» и «против», выбирают сбалансированные решения. В результате побудительными мотивами к развертыванию решений по виртуализации десктопов стали новые подходы к организации рабочих мест, которые описываются множащимися аббревиатурами из серии BYOх.

BYOC, BYOD, BYOId, BYOIT...

С удешевлением ноутбуков они перестали восприниматься как элемент престижа, а перешли в категорию удобного рабочего инструмента. Многим пользователям, чья работа подразумевает частые командировки, вместо персональных компьютеров стали выдавать мобильные. Когда у сотрудников накопилась критическая масса ноутбуков, возникла идея BYOC (Bring Your Own Computer — «принеси с собой свой компьютер»).

Новая инициатива позволяла компаниям сэкономить на поддержке парка персональных компьютеров и дать пользователям возможность работать с тех компьютеров, которые им лучше знакомы, больше нравятся да и вообще уже имеются на руках. С учетом того что часть таких компьютеров работала под управлением MacOS, без применения технологий терминального доступа и виртуальной инфраструктуры десктопов такой вариант был практически невозможен. Ряд компаний стали даже компенсировать своим сотрудникам приобретение ноутбука, отвечающего не только пожеланиям его будущего владельца, но и требованиям компании. Естественно, что при этом перед сотрудником ставились определенные условия — например, вместе с компьютером приобретать контракт на поддержку или расширенную гарантию на три года. Зона ответственности ИТ-департамента четко устанавливалась в границах центра обработки данных, откуда предоставлялись необходимые пользователю бизнес-приложения, офисные пакеты и виртуальные машины. Такая идея позволяла гибко подходить к формированию рабочего места, которое теперь можно было организовать везде.

Затем на арене появляется новый класс устройств — планшеты, изначально воспринимаемые как модная игрушка, но быстро нашедшие путь к сердцам топ-менеджеров. Из уст последних зазвучали требования к ИТ-подразделениям о необходимости построить такое решение, которое позволяло бы им работать с корпоративными приложениями. Позднее к планшетам присоединились смартфоны и планшеты на базе других мобильных ОС. В результате консьюмеризации ИТ был взят еще один рубеж — появилась концепция BYOD («принеси свое собственное устройство»), естественным образом предполагающая, что устройством не обязательно будет привычный компьютер. Производители соответствующих решений VDI и терминального доступа приняли вызов времени и выпустили специальные пакеты оптимизации для более комфортной работы пользователя с виртуальными ресурсами с устройств небольшого форм-фактора, например Citrix Mobility Pack.

Дальше — больше. В организациях, потребителями услуг которых были внешние пользователи, произошел разворот в сторону удобства и комфортности работы таких потребителей услуг. И одной из задач, которую необходимо было решать, стала авторизация на сайтах организации, предоставляющей, например, доступ к подписным информационным ресурсам или банковскому сервису. Однако обнаружилась следующая проблема — когда внешний пользователь (в отличие от корпоративного, на которого у компании есть механизмы воздействия) считает, что ему неудобно работать с той или иной функцией, даже если она связана с обеспечением безопасности, то он начинает искать другого поставщика аналогичного сервиса. В результате стали появляться системы авторизации с использованием учетных записей в социальных сетях — так возник подход BYOId («принеси свой собственный идентификатор»).

В ходе дальнейшей эволюции вполне логичным стал шаг к BYOIT («принеси свою собственную ИТ»), который инициировал интерес поставщиков программного обеспечения к компаниям, работающим на рынке социальных сетей для корпоративного использования. Из последних сделок в данной сфере можно назвать покупку корпорацией Microsoft социальной сети Yammer и поглощение компанией Citrix Systems стартапа Podio, предлагающего платформу для разработки совместно используемых приложений и организации общего рабочего пространства как для внешних, так и для внутренних пользователей. Таким образом, изменился не только подход к организации рабочего места, но и сама организация совместной работы сотрудников.

На фоне всех этих радужных сообщений возникает естественный вопрос: неужели нет никаких подводных камней или проблем, связанных с теми или иными аспектами корпоративной ИТ-инфраструктуры?

Проблемы и дилеммы

После того как утихли первые восторги, связанные с централизацией ИТ-инфраструктуры, пришло понимание того, что теперь на первый план выходят проблемы, которые раньше можно было не замечать либо их воздействие не носило глобального характера.

Мобильное предприятие полностью зависимо от каналов передачи данных, и если до централизации ресурсов в случае отсутствия связи между ЦОД и региональным офисом последний мог работать изолированно, пусть и не в полном объеме, то после перехода к технологиям терминального доступа, виртуализации десктопов и централизации всех обрабатываемых документов работа становится без Сети невозможной. Ситуация усугубляется при замене ПК на тонкие клиенты, и хотя эта проблема не остановила процесс перехода к мобильности, ее необходимо учитывать. К уже развернутой инфраструктуре удаленного доступа потребуется добавить резервирование каналов, корпоративные политики по использованию BYOD и план действий в нештатных ситуациях, при возникновении которых сотрудники могут выбрать различные варианты поведения — например, продолжить работу, используя заранее подготовленную площадку со стационарными устройствами, или переместиться в другое место, но без нарушения принятых в компании политик безопасности.

Если раньше при работе на локальном персональном компьютере проблема с клиентской операционной системой чаще всего была проблемой одного пользователя, то при переходе к единому образу в инфраструктуре виртуальных машин данная проблема касается всех. Это связано с тем, что одна шаблонная машина используется для запуска сотен и тысяч виртуальных десктопов, идентичных по внутреннему содержанию. Проблему можно предотвратить, если все обновления переносить в рабочий шаблон только после расширенного тестирования, всегда сохраняя копии предыдущей версии шаблонной машины.

Часто возникает ситуация, когда пользователи требуют индивидуальных десктопов с возможностью персонализации, то есть полной подстройки рабочего окружения под свои конкретные запросы. Это возможный вариант внедрения виртуализации десктопов, однако необходимо понимать, что в этом случае резко возрастают требования к аппаратным ресурсам инфраструктуры в центре обработки данных (серверы, системы хранения данных). Для решения этой проблемы в рабочей среде рекомендуется оставить минимальное количество отличающихся по содержанию шаблонов виртуальных машин, при этом требуемое различным группам сотрудников соответствующее программное обеспечение будет предоставляться с помощью технологий терминального доступа иили виртуализации приложений (Microsoft App-V, VMware ThinApp и др.). Персонализация десктопа под конкретного человека реализуется с помощью технологий виртуализации профиля пользователя. В результате система выглядит как «слоеный пирог», но при этом каждый из этих «слоев» может независимо управляться и изменяться.

Острую дискуссию вызывает проблема безопасности в BYOD, что, скоре всего, несколько преувеличено. На первый взгляд действительно происходит снижение безопасности, однако не нужно забывать, что все вопросы безопасности необходимо решать в комплексе. Только тогда, взвесив потенциальные риски и угрозы и применив соответствующие защитные меры, можно говорить о повышении или снижении уровня информационной безопасности. Достаточно рассмотреть следующие ситуации и решить, какая из них более безопасна с точки зрения ИТ.

Первая ситуация. В компании «А» отсутствуют централизация и удаленный доступ. Специалист по продажам, уезжая в командировку, на выданном ему корпоративном ноутбуке сделал копии конфиденциальных документов — отчетов о продажах, подробную информацию о только выходящем на рынок новом продукте, список потенциальных заказчиков с контактами, ранее заключенные контракты, которые он собирается продлевать. В аэропорту сотрудник забывает ноутбук со всей конфиденциальной информацией. Вторая ситуация. В компании «Б» развернуты решения по виртуализации десктопов и приложений, сотрудники используют свои собственные мобильные устройства. Для доступа к внутренним информационным ресурсам применяются технологии SSL VPN и двухфакторная аутентификация. Для хранения документов используются защищенные облачные сервисы. Перед перелетом сотрудник сохраняет на свой планшет из облачного хранилища документы, с которыми он собирается ознакомиться во время полета. Обнаружив, что портфель с планшетом остался в такси, сотрудник звонит в службу ИТ-поддержки, которая удаленно очищает мобильное устройство от всей хранившейся там информации.

В последнем примере для реализации функционала удаленной очистки и блокировки устройства использовались продукты класса MAM и MDM — неотъемлемой части мобильного предприятия.

MAM и MDM

Изначально устройства, которые сейчас активно применяются в бизнесе, предназначались исключительно для персонального использования, поэтому в них отсутствуют или реализованы не в полной мере, например, функции безопасности. В результате активного распространения идей BYOх стала понятна необходимость появления нового класса решений (см. рисунок) по управлению мобильными устройствами (Mobile Device Management, MDM) и управлению мобильными приложениями (Mobile Application Management, MAM).

 

Этапы консьюмеризации
Этапы консьюмеризации

 

Современные мобильные устройства имеют встроенные фотокамеры, системы глобального позиционирования, средства самостоятельной установки различного программного обеспечения из соответствующего магазина. Проблема заключается в том, что, с одной стороны, ИТ-служба должна предоставить пользователю доступ к различным информационным активам компании, а с другой — у нее нет сведений о том, что именно с этими ресурсами будет делать пользователь: осуществлять пересылку информации, применяя сторонние программы или буфер обмена, задействовать функционал захвата экрана для снятия снимка с конфиденциальной информацией, использовать устройства, подвергшиеся модификации («джейлбрейк») и т. п. По мере распространения BYOD обеспокоенность в связи с потенциальными рисками утечки информации и рисками репутационного ущерба нарастала, что и привело к появлению решений по управлению мобильными активами.

Другой не менее важной задачей, особенно с учетом увеличения количества мобильных приложений, становится их распространение на устройства пользователей, но она решается относительно просто — загрузка компанией всего необходимого в момент выдачи мобильного устройства пользователю. Однако в случае применения личных устройств, особенно для географически распределенной компании, у пользователя часто нет возможности (да и желания) передавать личное устройство в руки сотрудников технической поддержки.

Еще одной задачей, которую необходимо решать, когда речь заходит об используемых для работы личных мобильных устройствах, является пропажа устройств вместе с находящейся на них информацией. Современные гаджеты — дорогостоящие аппараты, привлекающие внимание посторонних, однако утеря информации, которая на них может храниться, представляет собой гораздо больший ущерб для компании.

С этими проблемами позволяют справиться решения MDM/MAM, однако они еще молоды, что демонстрирует, например, факт попадания в магический квадрант Gartner, посвященный анализу рынка решений MDM, около двадцати компаний, а в сегмент лидеров — пяти: AirWatch, Fiberlink (продукт MaaS360), Good Technology (продукты Good Mobile Messaging, Good Mobile Control, Good Mobile Access), MobileIron (продукт Virtual Smartphone Platform) и ZenPrise. На примере решения компании ZenPrise можно понять, какие функции должны в том или ином виде присутствовать во всех решениях перечисленных компаний.

В состав решения ZenPrise входит менеджер ZenPrise Device Manager (ZDM), который управляет платформами iOS, Android, Windows Mobile и Symbian, а также обеспечивает контроль над политиками и настройками мобильных устройств. Кроме того, менеджер обеспечивает распространение и администрирование мобильных приложений, поддерживает функционал удаленной блокировки и очистки мобильного устройства, а также контроля за устройством геопозиционирования (geo-fencing — запрет использования каких-либо ресурсов за пределами определенной области; geo-tagging — привязка фотографий к местности). Сам ZDM размещается в демилитаризованной зоне или в облаке. Другой менеджер, ZenPrise Service Manager (ZSM), отвечает за работу с сервисами BlackBerry и ActiveSync, осуществляя взаимодействие с соответствующими серверами, проводя мониторинг и диагностику устройств. Портал Secure Mobile Gateway (SMG) обеспечивает безопасное подключение к ресурсам почтовой системы и устанавливается как фильтр для API веб-сервера Microsoft IIS на серверы Microsoft Forefront Threat Management Gateway, Internet Security and Acceleration Server или Exchange. Специальный коннектор Enterprise Connector позволяет подключиться к облачному сервису ZenCloud.

Агент, устанавливаемый на мобильное устройство, подключается к ZDM или ZSM и ZDM, а при работе с защищенной почтой требует взаимодействия с SMG. В случае развертывания системы как гибридного облака понадобится подключение к ZenCloud через Enterprise Connector.

Что делать?

Решение для организации мобильного предприятия должно быть способно работать со всеми мобильными платформами, которые используют сотрудники компании или организации: Apple iOS, Android и BlackBerry — а работа с Windows Mobile и Symbian может расцениваться как дополнительное преимущество. Сами решения могут быть развернуты как в центрах обработки данных компании, так и в облаках.

После развертывания той или иной схемы управления мобильным предприятием, мобильные устройства регистрируются в системе, и в зависимости от принадлежности к конкретной роли к ним применяются определенные политики. Например, администратор может ограничить использование модифицированных устройств для доступа к корпоративным ресурсам, предотвратить использование внутренних компонентов (камера, GPS и др.) мобильного устройства при работе с цифровыми активами компании. Можно запретить обмен информацией с другими приложениями и буфером обмена или задействовать решение, обеспечивающее geofencing. Например, документ повышенной секретности может быть автоматически удален с устройства при выходе из здания компании. Администратор также может удаленно принудительно очистить устройство в случае утери или кражи мобильного инструмента.

Современные решения MDM/MAM предлагают возможность управления (установка, обновление, удаление) мобильными приложениями для различных платформ с использованием «внутреннего» магазина приложений, что сегодня становится все более актуальным — традиционные приложения для Windows не могут пользоваться всем функционалом мобильных устройств, поэтому, как следствие, на рынке быстро появляются приложения, написанные специально под мобильные платформы. В то же время использование общедоступных магазинов приложений для распространения «собственного» корпоративного программного обеспечения не отвечает политикам безопасности компаний.

На мобильном устройстве можно создать изолированное, защищенное, централизованно управляемое хранилище, в котором пользователь может временно хранить документы для автономной работы. Доступ к корпоративной почте также осуществляется в защищенном режиме. Администраторы могут составить список разрешенных и запрещенных для установки на мобильные устройства мобильных приложений (белые и черные списки).

При выборе решения MDM/MAM рекомендуется в первую очередь сопоставлять реальные бизнес-задачи с функциональностью предлагаемых продуктов, однако процесс выбора осложняется тем, что в ближайшее время следует ожидать серии слияний и поглощений с целью дальнейшей интеграции удаленного доступа к корпоративным ресурсам с решениями по управлению мобильными активами, что уже проявилось, например, в покупке компании ZenPrise компанией Citrix.

***

«Мобилизация» уже пришла, и от нашего приятия или неприятия данной ситуации ничего не зависит. Наибольшие выгоды от построения мобильного предприятия получат те компании, которые смогут правильно сопоставить свои бизнес-задачи с появляющимися возможностями и максимально полно и выгодно их использовать. При планировании мобильного предприятия в первую очередь стоит избавиться от определения слова «работа» как места, где сотрудник компании или организации осуществляет какую-либо деятельность, а опираться на то, что «работа» — это действие и результат.

ИТ-подразделениям следует привыкать к новой ситуации, к меняющемуся распределению платформ, для которых пишется программное обеспечение, к появлению новых разделов в корпоративной инфраструктуре. Им также придется повернуться лицом к внутреннему потребителю их услуг и уделять особое внимание вопросам комфортности работы конечного пользователя, его удовлетворенности предоставляемыми возможностями.

Сергей Халяпин (sergeykh@outlook.com) — сотрудник компании Citrix Systems (Москва).