Het jaar 2020, met zijn pandemie en gedwongen zelfisolatie, heeft tal van nieuwe vraagstukken voor bedrijven opgeworpen. Eén daarvan is behoorlijk relevant geworden: heeft een bedrijf ooit eerder de waardevermindering moeten berekenen voor het werknemersgebruik van stoelen, monitoren en bureaus in hun eigen huis? De grootste last rust op de schouders van de IT- en beveiligingsafdelingen. Die eerste had geen waarschuwing gekregen dat ze hun personeel opeens van een werkomgeving op afstand moesten voorzien, en die laatste moest dringend nieuwe informatiebeveiligingsstrategieën ontwikkelen in een wereld waarin de beveiligingsperimeter geen grenzen kent.
Pessimisten voorspelden de instorting van IT, maar dat gebeurde niet; bedrijven waren grotendeels in staat om hun operaties redelijk snel te reorganiseren. Maar de overgang op het thuiswerken verschilt per bedrijf. Bedrijven waar werknemers zelfs al voor de pandemie veelal hun laptops gebruikten hadden geluk. Hetzelfde gold voor bedrijven die al een actief BYOD-beleid (Bring Your Own Device oftewel “breng uw eigen apparaat mee”) hadden. Het gevolg is dat de grootste bedrijven ter wereld hebben besloten om al hun werknemers thuis te laten werken om kosten te besparen. Verschillende globale IT-giganten, inclusief Oracle, Rimini Street en Okta hebben gezegd dat hun gedeeltelijke inkrimping van kantoorruimte een positieve impact heeft gehad op de bedrijfsresultaten.
Het garanderen van een veilige omgeving is lastiger gebleken. Tal van informatiebeveiligingsafdelingen waren hier niet klaar voor. Ten eerste werkten mensen plotseling op hun lokale thuisnetwerken met gebruik van hun eigen netwerkapparatuur, die niet gecontroleerd, beheerd of zelfs maar was geüpdatet door het bedrijf. Ten tweede werden apparaten door hele gezinnen gebruikt voor tal van taken, en die waren niet bepaald allemaal aan werk gerelateerd. Ouders en kinderen gebruikten bijvoorbeeld dezelfde laptops tijdens afwisselende sessies om te werken en leren. In sommige gevallen werd het apparaat bovendien met de netwerken van twee verschillende bedrijven verbonden, wat bij geen van beide beveiligingsafdelingen in goede aarde viel.
Weet u welke bedrijven de minste problemen hebben gekend op het gebied van zowel IT als beveiliging? Dat waren de bedrijven die actief gebruik maakten van virtualisatietechnologieën, en in het bijzonder virtual desktop infrastructures (VDI).
Wat zijn virtuele desktops?
Over het algemeen zijn dat desktopvirtualisatie-pogingen om de werkruimte van werknemers af te scheiden van het fysieke apparaat waar ze op werken. Het bedrijft regelt een computercluster met gebruik van zijn infrastructuur (of lease-capaciteit), gebruikt een virtualisatieplatform en creëert virtuele machines voor elke werknemer. De virtuele machine bevat alle software die de werknemer nodig heeft.
Werknemers kunnen verbinding maken met hun virtuele desktops (en de bedrijfsmiddelen waar ze voor gemachtigd zijn) vanaf welk apparaat dan ook, inclusief pc’s, thin clients, laptops en tablets. Ze kunnen in principe zelfs een telefoon gebruiken, op voorwaarde dat ze hier een toetsenbord, muis en monitor op kunnen aansluiten (sommige enthousiasten werken echt met zo’n set-up). En deze praktijk is niet beperkt tot thuiswerken of werken via het internet. Sommige bedrijven gebruiken deze virtuele desktops ook op kantoor, omdat deze technologiebedrijven tal van voordelen biedt, waaronder:
- Eenvoudig onderhoud: het gegevensopslagsysteem slaat vooraf geconfigureerde images van virtuele machines op voor elke werknemer of voor werkgrepen met vergelijkbare verantwoordelijkheden, en die worden allemaal centraal beheerd waardoor de werklast voor de IT-afdeling beperkt wordt.
- Schaalbaarheid: als een werknemers plots meer rekenkracht nodig heeft of toegang tot meet RAM, dan kan de beheerder de vereiste middelen toewijzen zonder dat er een upgrade van hun apparatuur nodig is;
- Herstellingsvermogen: als een apparaat dat verbinding maakt met de virtuele machine faalt, kan de werknemer simpelweg verbinding maken vanaf een ander apparaat zonder gegevens kwijt te raken of tijd te verspillen;
- Veiligheid: Zoals u zich kunt voorstellen, is dit voor Kaspersky het belangrijkste voordeel, en dit geldt vooral voor remote desktop-technologie die in combinatie met thin clients wordt gebruikt.
Virtuele desktops, thin clients en beveiliging
Vanuit een veiligheidsperspectief zijn virtuele desktops alleen al goed omdat ze de software beschermen die werknemers gebruiken. Gebruikers kunnen natuurlijk werkbestanden en interface-instellingen wijzigen, maar die staan apart van de virtuele machine opgeslagen. Eventuele wijzigingen aan de software (en eventuele schadelijke code die op de virtuele machine wordt gedownload) verdwijnen na het opnieuw opstarten. Dat betekent niet dat virtuele machines onbeschermd kunnen blijven, maar het beperkt wel enorm de kansen op een Advanced Persistent Threat (APT) die zich op een werkcomputer verbergt.
Maar zoals we hierboven al vermeldden, profiteren vooral de gebruikers van de veiligheidsvoordelen door verbinding te maken met virtuele desktops vanaf thin clients. Een thin client is een terminal-mode apparaat. Zo’n apparaat heeft niet eens interne opslag nodig, en kan simpelweg een “doos” zijn die verbinding met een server maakt en gebruikers een monitor en andere randapparatuur laat aansluiten (de configuratie kan variëren afhankelijk van het specifieke model). De thin client verwerkt geen gegevens en slaat deze niet op.
Een thin client heeft natuurlijk wel een goed communicatiekanaal nodig. In de afgelopen jaren is dat echter een stuk eenvoudiger geworden.
De communicatie tussen een thin client en een server vindt normaal gesproken plaats via een versleuteld protocol, wat het probleem van een onbetrouwbare netwerkomgeving oplost. Vanuit het oogpunt van een gebruiker is het natuurlijk wel een veel minder veelzijdig apparaat dan bijvoorbeeld een laptop. U kunt geen spellen spelen, verbinding maken met informatiesystemen van derden of tal van andere zaken doen die eigenlijk toch al vaak verboden zijn op de werkplek. Het is ook te moeite waard op om te merken dat dit soort apparaat een van de potentiële problemen van hardware-diefstal oplost: zonder opgeslagen gegevens kan er ook niets gelekt worden.
Afgaande op de groeiende interesse van bedrijven in het garanderen van informatiebeveiliging bij thuiswerken, verwachten we een groeiende behoefte aan bedrijfsklare remote desktop-infrastructuuroplossingen. Het meest werkbare plan zal waarschijnlijk zijn om openbare clouddiensten te gebruiken om zo te voorkomen dat de fysieke infrastructuur aanzienlijk moet worden aangepast. Het lijkt er dus op dat we een fase naderen waarin grote bedrijven overstappen op VDI. Dat is een van de redenen dat we actief bezig zijn met de ontwikkeling van onze expertise op dit gebied en aan oplossingen werken voor thin clients gebaseerd op ons besturingssysteem, KasperskyOS.