Obě otázky řeší ultimativním způsobem Zero Client od Toshiby. Proč tomu tak je? Začněme faktem, že ani v jednom okamžiku nejsou na tomto „notebooku“ uložena jakákoli data, jako je know-how, databáze zákazníků či jiné citlivé informace.
Zabezpečení citlivých dat je v prvořadém zájmu společností nejen vzhledem k ochraně vlastního know-how, ale také v souvislosti s připravovanou platností evropských norem GDPR. Správa aktualizací, záplat a antivirové ochrany stovek různých zařízení, kterými se zaměstnanci k firemním systémům připojují, se v mnohých společnostech stává nezvladatelným problémem. A přitom právě tato oblast se prokazuje s ohledem na bezpečnost jako klíčová. Řešení Toshiba Mobile Zero Client nabízí z pohledu mobilní práce zásadní bezpečnostní a administrativní benefity.
Základní koncept neumožňuje nekontrolovatelný únik dat
Toshiba Mobile Zero Client (dále TMZC) vychází z myšlenky bezpečného terminálu, který umožňuje plnohodnotnou práci v rámci všech podnikových a kancelářských systémů s omezením jakýchkoli nekontrolovaných datových toků. Odpovídající způsob zabezpečení umožňovaly dosud pouze stolní terminály připojené přímo na vnitřní podnikovou síť. TMZC nabízí stejnou, ne-li vyšší úroveň zabezpečení při možnosti mobilní práce. Vizuálně se jedná o klasický notebook, který se však uvnitř od tradičních přenosných počítačů zásadně liší. Základním hardwarovým rozdílem je absence jakéhokoli vnitřního úložiště dat, chcete-li pevného disku, a také na míru pro danou společnost vytvořený BIOS. Přesto, že TMZC umožňuje plnohodnotnou práci s počítačem, na samotný přístroj nelze uložit jakýkoli dokument, což ve spojení se standardně zakázanými porty USB znemožňuje únik dat přes samotný počítač.
Způsob práce a bezpečnost přihlašovacích procesů
Práce s TMZC předpokládá připojení k internetu, a to prostřednictvím dostatečně rychlé Wi-Fi nebo dle přání vedení společnosti pomocí mobilní datové LTE sítě. Vzhledem k tomu, že se jedná o mobilní terminál, notebook je „pouhým“ ovládacím prvkem operačního systému na virtuálním serveru, který fyzicky běží v datovém centru společnosti a řeší bez výhrady všechny výpočetní a datové operace.
Toshiba Mobile Zero Client je řešením, které je vytvořeno na míru dané společnosti a není závislé na platformě a stávající podnikové infrastruktuře firemních systémů. Vzhledem k absenci pevného disku neobsahuje TMZC žádný operační systém ani skrytě uložené autentizační údaje uživatele. Jediná informace uložená v útrobách a potřebná k nastartování systému, je sériové číslo přístroje.
Po zapnutí se TMZC automaticky připojí k autorizačnímu „Boot control“ serveru. Ten ověří sériové číslo a také informaci, zda není tento notebook veden jako zcizený. Již tuto operaci lze na přání volitelně zabezpečit vložením jedinečného hesla uživatele. Po ověření přesměruje autorizační server přístroj plynule na „Download server“, odkud se automaticky do operační paměti stáhne základ pro práci – „Big core“. Ten je bezpodmínečně potřebný pro připojení a obousměrnou komunikaci tohoto speciálního notebooku s virtualizačním serverem. Big core je dle požadavků stanovených administrátory firmy pro konkrétní kus datově obsáhlý přibližně od 70 do 150 MB. Jeho velikost závisí především na instalovaných ovladačích potencionálních zařízení, jejichž rozsah určuje vedení společnosti či právě administrátor. Tento krok rozhoduje, jaký hardware bude možné na přístroji použít. Žádná další dodatečná instalace není uživatelsky realizovatelná.
Stažení Big core je jednorázovou záležitostí a dochází k ní při každém startu TMZC. Poté download server přesměruje automaticky zařízení na virtualizační server společnosti, na kterém běží operační systém, všechny aplikace a interní systémy. Toshiba Mobile Zero Client je platformově nezávislé řešení, které může být připraveno jak pro systémy Citrix, VMware, tak i pro Microsoft Hyper-V a další. Ve chvíli připojení k virtuálnímu serveru dochází ke standardnímu přihlašovacímu procesu k operačnímu systému s možností využití biometrických senzorů či hesla a k autentizaci uživatele stejně, jako by byl operační systém spuštěn přímo na „notebooku“. Zároveň dochází ke snížení datového toku. TMZC se stává ovládacím prvkem, tedy zjednodušeně řečeno klávesnicí a myší, která ovládá vzdálený systém a datový tok ze serveru zahrnuje pouze obrazovková data. Veškeré otevírání, zpracování a ukládání prezentací, tabulek a dalších souborů probíhá výhradně na vzdálené virtuální ploše.
Práce s datově rozsáhlými dokumenty je ve výsledku s TMZC rychlejší, než kdyby docházelo k jejich přenosu, otvírání a průběžnému ukládání zpět na server. Klíčovým bonusem však zůstává bezpečnost. Veškeré operace s daty společnosti, včetně jejich odesílání elektronickou poštou nebo ukládání na další externí internetové zdroje, jsou administrátorem zpětně dohledatelné. Pokud by tedy k úniku dat ze společnosti přece došlo, pachatel si je vědom, že ponese následky svého jednání. Bezpečnost všech systémů závisí jen a pouze na úrovni zabezpečení virtualizačního serveru. Bezpečnost je postavena také na skutečnosti, že ani při bezdrátové komunikaci nedochází k přenosu samotných souborů, které by útočník mohl odchytit, ale pouze k přenosu obrazovkových dat.
Při vypnutí TMZC dochází k vymazání operační paměti a při jeho opětovném spuštění se opakuje celý autentizační proces, který při rychlém připojení trvá jen několik desítek vteřin. Zbytečné je připomínat, že v případě krádeže je pro zloděje TMZC absolutně bezcenným kusem hardware.
Absolutně bezúdržbový notebook
Při použití TMZC úplně odpadá správa jednotlivých přístrojů. Terminál neobsahuje operační systém, a proto je bezpředmětná jeho údržba, aktualizace a záplatování. Kompletní správa IT infrastruktury je přesunuta na jedno centrální místo, na virtualizační server, na kterém je zpravidla spuštěno více virtuálních desktopů. Administrace se i při použití mnoha mobilních pracovišť stává centralizovanou záležitostí. Nezanedbatelným benefitem může být také úspora nákladů na údržbu jednotlivých počítačů.
Individuální možnosti pro jednotlivé zaměstnance
Pro různé úrovně zaměstnanců lze nastavit práva na využití nejrůznějších hardwarových prostředků. Administrátor může povolit práci jen z předem definovaných Wi-Fi sítí, nebo lze naopak funkcionalitu otevřít volně. I v tom případě je z popsaných důvodů práce s TMZC bezpečná. Pro majitele společnosti a vybrané zaměstnance lze povolit také využití USB portů, nebo je omezit pouze pro předem stanovaný hardware, jako je myš nebo jiné specifické zařízení. Stejně tak je možné povolit či zakázat využití interních firemních hardwarových zdrojů, jako například tiskáren. V individuálních případech, kdy by opětovné stahování BigCore bylo přílišnou časovou, datovou nebo finanční zátěží, nabízí společnost Toshiba alternativní řešení, které umožňuje tento krok přeskočit.
Způsob implementace
Implementace řešení TMZC nemá žádný vliv na stávající firemní strukturu zákazníka a nevyžaduje žádné její zásahy ani úpravy. Ač je na první pohled TMZC k nerozeznání od běžného notebooku, způsob jeho pořízení je zásadně odlišný od koupě tradičních přenosných počítačů. Proces začíná konzultací firemního prostředí se zástupcem společnosti Toshiba. Ten na základě použitých systémů navrhne individuální řešení a společnost obdrží sadu testovacích Zero Clientů. Po odladění a ukončení testovacího provozu dostane zákazník hotové Zero Clienty, které mohou být vestavěny do zvolených šasi notebooků Toshiba. Veškeré další úpravy či updaty jsou prováděny pouze v rámci BigCore TMZC, nezávisle na interních systémech uživatele. Jejich odladění probíhá prostřednictvím testovacího serveru a po odzkoušení zákazníkem je aktualizovaný BigCore přesunut na „živý“ server. Ve chvíli, kdy se jednotliví uživatelé přihlásí, stáhne se jim již automaticky aktuální BigCore.