Меня зовут Николай, и в DataLine я занимаюсь эксплуатацией стенда виртуальных рабочих столов (ВРС) на базе Citrix Vitrual Apps and Desktop. Недавно мы добавили к инфраструктуре ВРС сервис записи пользовательских сессий для двух сценариев:
служба ИБ по записям расследует инциденты безопасности;
служба технической поддержки подключается к пользователю по запросу и записывает его работу на ВРС, чтобы найти причины проблем с работоспособностью ПО.
Сегодня расскажу, как Citrix Session Recording решает эти задачи на нашем стенде, и проведу обзор его возможностей.
Кому нужно решение
Многие сотрудники технической поддержки слышат от пользователей: «Я делаю то же самое, что и всегда, но иногда возникает ошибка». В этом случае запись пользовательского сеанса помогает найти плавающую проблему, которая воспроизводится случайно. Служба ИБ может записывать действия пользователей с конфиденциальными данными и быстро находить источники утечки информации. Сам факт записи может предостеречь пользователей от нарушения конфиденциальности: для этого есть специальные предупреждения:
Citrix Session Recording регистрирует на ВРС ключевые события для ИБ и техподдержки, например: подключение внешнего хранилища, изменение конкретных файлов, запуск определенных приложений. Интересующие действия можно потом найти в привязке ко времени.
Как это устроено
Для записи сессий виртуальных рабочих столов используются несколько компонент:
Агент записи сеанса (Session Recording Agent) устанавливается на каждом виртуальном рабочем столе. Он подхватывает HDX-поток – трансляцию рабочего стола, которую видит пользователь ВРС.
Сервер записи сеанса (Session Recording Server) управляет хранением файлов записи, отвечает за поиск, индексацию и цифровую подпись записей для обеспечения целостности.
База данных записи сеанса (Database) хранит метаданные по каждой сессии: ID, время, пользователи, группы пользователей, события и так далее.
В консоли политик записи (Session Recording Policy Console) администратор настраивает, какие именно события записывать, для каких пользователей или групп.
Сами файлы записи хранятся в специальном формате локально или в общем хранилище.
В плеере записи сеанса (Session Recording Player) можно найти записи и отследить на временной шкале, где какое событие зарегистрировано. Чем-то похоже на вебвизор:
Как альтернативу десктопному плееру можно использовать WebPlayer, в котором удобно делиться ссылками:
В WebPlayer тоже есть закладки по событиям справа: можно проматывать «простои», когда пользователь ничего не делал и на экране ничего не менялось:
Администраторы могут стартовать запись сеанса в интерфейсе Citrix Director.
Какие настройки есть
Что записывается. В консоли политик администратор создает Recording policy и указывает, каких пользователей записывать и как их уведомлять об этом. Для выбранных пользователей или групп запись начнется автоматически со стартом новой сессии. Какие именно события фиксировать, настраивается в отдельной политике Event Logging policy.
Вот какие события можно фиксировать на записи:
установку запоминающих устройств USB,
запуск и окончание работы приложения,
переименование, создание, удаление и перемещение файлов,
просмотр веб-страниц,
самые популярные оконные действия.
При этом на записи не отображается контент внутри систем для конфколлов, например: видеоразговоры в Lync, Webex и другое выгруженное содержимое по технологии HDX Flash или Multimedia Redirection (MMR).
Как делятся права доступа к записи. По умолчанию запись сеанса включает все действия пользователя без учета конфиденциальности данных, так что на записи могут оказаться учетные данные и сторонние экраны. Поэтому Citrix в рекомендациях по безопасности уделяет внимание правам доступа к таким записям. В нашем сервисе есть несколько видов прав доступа:
права администратора – позволяют работать с политиками и файлами записи: просматривать, создавать, редактировать, удалять;
права на просмотр записей – позволяют искать и воспроизводить записанные сеансы.
Где и как хранится. Для записи используется технология HDX, которая отвечает за доставку контента пользователю ВРС. Изначально технология была нужна, чтобы пользователь не замечал большой задержки между действием на физической машине и трансляцией сеанса на его личном экране. HDX-поток уже сильно сжат, так что для записи сессий агент просто подхватывает его и отправляет в хранилище. Это помогает хранить дневную активность пользователя не в гигабайтах, а в мегабайтах.
Можно дополнительно настроить политику архивирования и хранить свежие записи в основном оперативном хранилище, а старые файлы перемещать в архив. По умолчанию в архив могут перемещаться записи старше двух дней. Это предотвращает архивирование живых записей до их завершения. Во время и после архивирования клиент может автоматически перенести файлы записи к себе на сервер хранения.
В плеере записи сеанса можно просматривать файлы напрямую из основного хранилища. Если нужно воспроизвести заархивированную запись с сервера клиента, ее импортируют в хранилище восстановленных записей.
Как обеспечивается отказоустойчивость. При потере связи с сервером агент записи по умолчанию может локально хранить очередь для сервера около двух часов. После возобновления работы агент отправит все записи на сервер. Дополнительно можно объединить серверы в кластер и настроить балансировку нагрузки и автоматическое переключение при отказе.
Мы предоставляем Citrix Session Recording как дополнительную опцию к инфраструктуре виртуальных рабочих столов на базе Citrix VDI. Буду рад ответить на вопросы по возможностям этого решения для конкретных кейсов.
