https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

Think Thin-精簡統一的IT環境

2008 / 05 / 12
編輯部
Think Thin-精簡統一的IT環境
一家位於美國緬因州的保健產品供應商,分享它如何避免受到間諜程式困擾的經驗,讓惱人的個人電腦能夠成為更安全、更易於管理的精簡型用戶端環境。

管理、維護與確保個人電腦的安全性,一直在某種層次上困擾著IT與安全專業人士,無論是病毒、蠕蟲、間諜程式、受感染的檔案或持續不斷的更新,這些事情經常造成個人電腦停止運轉,這正是位於美國緬因州路易斯頓市(Lewiston)的Androscoggin家庭護理與住院醫療公司(Androscoggin Home Care & Hospice)科技服務經理David Barter最頭痛的問題,他說:「我們有四個遠端辦公室的系統經常遭到破壞。」造成問題的部份原因,是這些採用Windows架構的個人電腦,受到間諜程式的影響而動彈不得。
這對Androscoggin公司是不可接受的事,因為必須考量到日漸仰賴的電子化醫療記錄來協助護理工作,以及必須符合HIPAA規範的安全性需求,並隨著每年Androscoggin公司所提供的護理工作日漸增加而更趨重要,目前已有超過375位醫師運用著非營利的住院醫療與家庭護理服務。在2005年,Androscoggin公司服務了超過8,000名病人與家庭,並提供超過14萬次家庭護理與住院醫療拜訪。
Barter表示:「個人電腦真是把我們煩死了。」
這正是他所面對挑戰的一部分,Androscoggin公司的電子醫療記錄系統已經逐漸過時,護理提供者在他們進行異地訪問時,經常無法取得最新的病人資訊,且他們通常得被迫重新輸入重複的病人與醫療資訊。因此Androscoggin公司必須透過升級到新版整合了診所與財務資訊的HealthWyse電子醫療記錄(EMR, Electronic Medical Records)系統,來讓運作更為流暢。在系統安裝完成之後,Barter將必須做一個選擇:在150台桌上型電腦上各自安裝程式,讓每台電腦都具有一個ODBC可連接到後端資料庫的能力,或是在一組伺服器上集中式地佈署軟體,然後可讓佈署在Androscoggin公司五個辦公室的精簡型用戶端來存取。
Androscoggin公司選擇了採用精簡型用戶端。
他說:「我們知道這是整個組織轉移到精簡型用戶端的最佳時刻。」Androscoggin公司佈署了Citrix存取套裝(Access Suite),包括Citrix存取閘道標準版(Access Gateway Standard Edition),以及在安裝時所用的Citrix密碼管理器(Password Manager)。起初,Citrix存取套裝佈署在安裝有Microsoft Windows Server 2003的兩台HP ProLiant與四台Blade伺服器。佈署過程共花了六個月的時間,目前已經有500間診所與行政員工可存取約12種應用程式,包括Microsoft Office、Adobe Acrobat與Photoshop、一種醫療監控系統與其他的程式。最近將可把存取擴展到使用HP精簡型用戶端與HP iPAQ手持裝置中的會計、人力資源與薪資軟體。Barter表示:「我不再需要去擔心員工下載他們不該下載的東西,不會再有間諜程式,它們將不會存在於精簡型用戶端世界中。」

存取流暢化,增進準確性
Androscoggin公司並不孤單,Gartner公司分析師Mark Margevicius表示,安全性、集中化管理與較低的維護成本,是集中式運算與精簡型用戶端最大的驅動力。他說:「在像是保健、金融與政府領域中,集中式運算是最完美的作法,它們都希望在它們的運算基礎架構上,擁有更具控制性需求的重大目標。」Gartner公司預料精簡型用戶端的出貨量將在往後幾年間快速成長,安全性與資料保護將在組織中擁有更高的優先地位。
這並不是第一次在Androscoggin公司實行Citrix系統,在先前便安裝有少數的Citrix Presentation伺服器用於虛擬化自行發展的EMR系統,跨越數個遠端辦公室,被一些管理者所使用。Barter表示:「它運作地相當不錯。」但是相同的作法並不能套用在使用IPsec虛擬私有網路的遠端存取。「當系統運作時變得非常慢,且當它中斷時,損害將會非常嚴重。」
然而,新的集中式管理系統,讓家庭探視護士具有安全地使用HP手持裝置來提供最新病人資訊的能力,此外,系統可以用來提供待命護士安全地從HealthWyse系統接收醫療記錄的能力,在實行之前,待命護士必須前往辦公室才能夠接收到這些記錄。
Barter表示:「待命護士在執行他們的工作時不再需要書面文件。」這使得可以在病人家中順暢地存取資訊,並增進病人記錄的準確性。Barter解釋說:「這個系統讓我們可以更快速與更平順地提供資訊,並讓員工能夠提供更佳的照顧。」
此外,Androscoggin公司鞏固了安全性,並在佈署了符合HIPAA規範的Citrix密碼管理器後,進一步強化了工作站密碼的保護,包括要求每60天變更一次密碼,以及逾時10分鐘後自動離線。起初,新密碼的功能要求只推展到高階的使用者與行政助理,但這個功能目前已經逐步推展到每位存取到HealthWyse系統的使用者。

異議來自於認知不足
Barter表示:「很明顯地,從精簡型用戶端的實體外觀便造成了最初的反對聲浪。」他嘗試了數個策略專門用來克服對精簡型用戶端的任何異議,包括建立教育課程與認知度。「每個人都知道個人電腦長得像什麼樣子,他們知道個人電腦的內部有些什麼,以及它能夠為你做些什麼,但是當你將精簡型用戶端放在他們面前時,他們會露出有趣的表情並表示:『這個小箱子是什麼東西?它有什麼能耐能夠做到我以往所能做的事呢?』」
因此Barter很緩慢地進行推展工作,並在每間辦公室提供一些HP給高階用戶使用。
他說:「我請他們嘗試使用這台機器,並告訴我他們的想法。我們也透過增加新的平板顯示器來強化這次的測試過程,當他們看到這台機器,他們將忘記所有個人電腦的相關事物。」其成果明確地比先前的SSL VPN連線有更快速的效能,因為連線過程可以被置於幕後進行,Barter與他的小組可以在故障時修理任何狀況。他說:「他們不再需要等待兩個小時。」
Androscoggin公司的IT小組首先在面對新的密碼規則時也遭遇到反對意見。
他說:「這是文化上的問題,他們已經習慣於能夠到別處逛逛,並花20分鐘做些事情,然後再回來工作,但現在便不能夠發生這種事了;你去做一些其他的事情超過10分鐘,你便需要重新輸入密碼來進行登入,他們不喜歡這樣。但是他們也開始了解並尊重這項規定,他們知道了HIPAA的要求。以往他們習慣於使用書面的醫療記錄,但他們也學習到看待電子化的作法與書面方式,其實它們之間並沒有什麼不同,且能夠適當地擁有更佳的安全性。」

付出的回報
集中式架構大幅地降低IT的硬體成本,並可支援達到150台個人電腦。Barter表示:「這種方式比起150台電腦有較小的故障機會,我們現在只要更新六台Citrix伺服器,便可以服務150人,目前只需更新六台電腦,相較於以往則需更新150台電腦。」
其實精簡型用戶端本身便具有極大的效益,Barter與他的小組花在做磁碟映像與安裝個人電腦上的時間、後續的支援與服務,以及最終的安全處理工作,都需要耗費數小時。此外,需要重新替換的週期也變得更長一些。他說:「若採用個人電腦,替換週期大約是18個月,採用了精簡型用戶端,替換週期至少會有六年。在此處的硬體投資回報至少有一倍以上。」而且每台精簡型用戶端並不需要安裝防毒軟體、防火牆,或是購買全部的端點安全套裝授權。
新的架構在發生潛在的災難事件時也相當具有價值。Barter表示:「災害復原在任何一處都是相當重要的,但是它在網路主幹更是顯得特別重要。事實上你可以用傳統的個人電腦來重新佈署辦公室,但究竟要花幾個小時或是幾天、幾週,則是一件相當重要的事。想像一下如果你必須向內陸遷移辦公室約100英哩,該處已經具備連線能力,在這個架構下,你只需要開車幾個小時,然後花費幾個小時來進行設定,此時你便可快速地擁有一個全功能的辦公室,這在以往的複雜用戶端/伺服器世界,是不可能做到的事。」
Gartner公司的Margevicius表示,節省費用是精簡型用戶端佈署方式的典型成效。他說:「大約有45%的個人電腦成本是肇因於使用者的行為,像是安裝了不好的驅動程式、下載到病毒與間諜程式,通常都會造成系統故障,且一天內至少要重新開機六次才能讓系統持續運轉,這是一個相當嚴重的問題,且這些正是當你轉移到伺服器架構運算後可以避免的重大成本。」
IDC公司評估了精簡型用戶端的成長,直到2010年以前都會維持21.5%以上的成長速度。IDC公司的分析師Bob O''Donnell表示:「但是這並沒有展現出許多關於『精簡型』用戶端的特性選項,像是虛擬化的個人電腦,這些都是帶動集中式管理持續向前進展的重大推動力量,它可降低成本並增進安全性,且安全性將會是最大的驅動力量。」
盡管推動了150名用戶仰賴使用精簡型用戶端,這個作法相當成功並節省了相當多成本,Androscoggin公司仍然使用大量的個人電腦。他說:「其中有許多種理由,讓我們無法提供精簡型用戶端給管理人、經營領導階層,或是推動到高階的行動工作者。我們有許多使用於特定領域的應用程式,只能夠在複雜型用戶端下運作,且在Citrix中並不支援。」
然而,由於有相當多的員工轉移到Citrix與精簡型用端架構,Barter預估Androscoggin公司的IT支援成本,在一年內將大幅降低75%,而且轉移到精簡型用戶端/集中式運算架構,將可減少兩名額外的全職IT工作者的需求。Barter表示:「投資回報相當高,我們可以更佳、更集中化地管理事情。」
Barter相信總有一天,像是桌面與應用程式流暢化等較新的科技將會更成熟,且將會有更多的使用者會採用精簡型用戶端,或是存取經過集中管理的虛擬桌面與應用程式。
配合桌面的流暢化,無論是整個桌面環境或是單一應用程式,都可以透過伺服器來供應,並發行到精簡型用戶端或是完整的個人電腦之中,從而獲得集中式運算與精簡型用戶端的所有效益,如果需要的話,也可以盡可能地在終端使用者端保留個人電腦的運算效能以供應用。
Barter表示:「它完全依據我們取得哪些優秀的技術,當這些技術轉移到Citrix時,應用的流暢化將可讓我們在Citrix伺服器中安裝應用程式,我可以用一個專職的伺服器做為應用程式流暢化的推動器,這將可讓管理應用程式更為容易。」
Gartner公司的分析師Mark Margevicius表示,將混合式桌面與應用程式流暢化轉移到個人電腦,並讓精簡型用戶端保有原來的優勢是可以達成的目標。他表示:「我認為許多組織最終都會選擇一種混合方式,搭配混合精簡型用戶端、個人電腦,且虛擬化地傳遞應用程式與整個桌面。它也將全部依據他們的需求,以交易處理為主的工作者將會在精簡型用戶端上執行他們的全部工作,其他的人則仍將會擁有個人電腦,因為他們需要在他們的工作上擁有更大的彈性。」
盡管精簡型用戶端對更佳的安全管理能力做出了承諾,Gartner公司的Margevicius並不認為個人電腦已經走上絕路,然而就如同Barter所說,個人電腦將會越來越接近滅亡。
Androscoggin公司考慮讓護士與其他的醫護人員,能夠在某些地點分享無線精簡型平板個人電腦,透過利用Citrix的密碼管理器中的Hot Desktop功能,使用者將能夠分享筆記型電腦與工作站,並跳過冗長的登入/登出程序,便可存取到特定的應用程式。
Barter表示:「我認為透過這個過程的進展與科技上的增進,將會有更多的人跨越心理上的障礙,轉移到精簡型用戶端架構,他們將會看到其與生俱來的管理能力與安全性,究竟能夠為他們做些什麼。」

George V. Hulme是一位科技與商業領域記者,在IT安全這個領域已經有超過十年的經驗。