技术简介:业务连续性
大多数组织都定义了业务连续性计划。业务连续性计划的成功取决于它对用户体验的影响程度、它在克服全球性问题方面的伸缩性以及它在维护公司安全策略方面的能力。
概述
业务连续性使企业能够在任何类型的计划内或计划外中断期间实现无缝的员工生产力。业务连续性计划的成功通常基于以下用户和业务需求:
用户需求
- 能够访问所有应用程序和数据以执行作业
- 用户体验保持不变
- 能够在不同的网络条件下生产
业务需求
- 能够快速扩展以支持意外需求
- 保护公司资源不受不受信任的端点设备的影响
- 易于与当前基础架构集成
- 不得绕过安全规则和策略
VPN的风险
大多数组织都需要一种方式,为用户提供对企业资源的安全远程访问,而不依赖于部署基于vpn的解决方案。基于vpn的解决方案是有风险的,因为:
- VPN风险1:难以安装和配置
- VPN风险2:要求用户在终端设备上安装VPN软件,这可能会使用不支持的操作系统
- VPN风险3:需要配置复杂的策略,防止不受信任的终端设备无限制地访问企业网络、资源和数据。
- VPN风险4:难以在VPN基础设施和内部基础设施之间保持安全策略同步。
- 风险5:一旦VPN建立起来,传统的客户机/服务器应用程序使用本地协议有广泛的带宽需求,这将很快使VPN和网络管道超载。随着网络延迟的增加,应用程序响应性降低,导致不可用的用户体验。
业务连续性的选项
根据当前基础架构的状态,组织可以选择以下解决方案之一,以便在业务连续性事件期间为用户提供安全的远程访问:
远程PC访问
对于许多用户来说,工作环境集中在办公桌下的物理Windows 10 PC上。远程PC访问允许远程用户使用几乎任何设备(使用iOS、Mac、Android、Linux和Windows的平板电脑、手机和笔记本电脑)登录其物理Windows office PC。
下面的远程PC接入技术洞察视频提供了解决方案的概述。
将远程PC访问添加到业务连续性战略中需要满足以下条件:
- 用户的工作空间基于加入域的Windows pc
- 用活动目录进行用户身份验证
- 有最小的额外数据中心硬件容量,以适应大型虚拟桌面(VDI)式部署
当用户远程访问他们的工作PC时,连接使用ICA协议,该协议根据网络条件和内容的变化动态调整。动态ICA协议提供了最好的体验。
新部署
企业可以轻松部署Citrix虚拟应用程序和台式机,以最小的部署占用空间提供对其环境的远程PC访问,如下所示。
要添加新环境,管理员必须部署以下组件:
- 网关:通过反向代理保护内部Windows PC和不受信任的端点设备之间的连接。
- StoreFront:为用户提供一个企业应用程序商店,用于启动会话来授权资源。
- 交付控制器:授权和审计到Windows pc的用户会话。
建议使用冗余部署三个组件,以克服任何单点故障。
部署新的基础架构后,管理员可以执行以下操作以启用远程PC访问:
- 在物理Windows pc上部署虚拟交付代理(自动化部署脚本)
- 创建一个新的远程PC访问目录
- 分配用户到pc
虽然虚拟交付代理可以手动安装在每个物理PC上,但为了简化虚拟交付代理的部署,建议使用电子软件分发,如Active Directory脚本和Microsoft System Center Configuration Manager。
扩展部署
组织还可以很容易地将Remote PC Access添加到当前的Citrix虚拟应用程序和桌面环境中。这个过程有效地扩展了概念架构如下:
要将远程PC访问添加到当前Citrix虚拟应用程序和桌面环境,管理员只需执行以下操作:
- 将虚拟传递代理部署到物理Windows PC
- 创建一个新的远程PC访问目录
- 分配用户到pc
因为用户只需访问他们的物理工作PC,组织就只需要考虑访问和控制层的附加硬件。这些组件必须能够适应业务连续性事件期间新用户请求的涌入。
身份
用户继续使用Active Directory进行身份验证,但当用户启动到组织的Citrix Gateway公共完全限定域名的连接时,会发生此身份验证。由于站点是外部的,组织需要比简单的Active Directory用户名和密码更强的身份验证。合并多因素身份验证(如基于时间的一次性密码令牌)可以极大地提高身份验证的安全性。
Citrix Gateway为组织提供了许多多因素身份验证选项,包括:
会话安全
用户可以使用不受信任的个人设备远程访问工作PC。组织可以使用集成的Citrix虚拟应用程序和桌面策略来保护:
- 终端风险:秘密安装在终端设备上的关键记录器可以很容易地捕获用户的用户名和密码。反键盘记录功能可以通过模糊击键来保护组织免受证书被盗。
- 入站风险:不受信任的端点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问终端设备的驱动器会阻止危险内容传输到公司网络。
- 出站风险:组织必须保持对内容的控制。允许用户将内容复制到本地不受信任的端点设备会给组织带来额外的风险。通过阻止对端点的驱动器、打印机、剪贴板和反屏幕捕获策略的访问,可以拒绝这些功能。
结果
由于远程PC访问允许用户在业务连续性事件期间连接到其标准Windows PC,因此组织能够:
- 为用户提供所有应用程序和数据,以执行他们的工作。用户的Windows PC上的一切都可以通过远程PC访问访问。
- 维护正常操作和业务连续性事件之间的用户体验。用户在所有情况下继续使用相同的Windows PC。
- 保持生产效率,无论位置和网络条件。将用户终端设备连接到Windows PC的ICA协议根据网络条件动态调整,以提供尽可能最佳的响应体验。
- 快速扩展以支持意外需求。一旦将代理部署到Windows PC上,管理员就可以简单地启用远程PC访问功能。
- 保护公司资源不受不可信终端设备的影响。网关在端点和工作PC之间创建一个反向代理。通过会话策略,管理员可以阻止用户在工作PC和公司网络上传输数据。
- 轻松地与当前基础架构集成。远程PC访问只是Citrix虚拟应用程序和桌面解决方案中的一种不同类型的虚拟桌面。
- 在业务连续性事件期间维护相同的安全配置文件。远程PC Access将用户连接到办公用Windows PC。用户能够访问相同的资源,方式与他们在办公室中的物理方式相同。
Citrix虚拟桌面服务
如果企业希望在不必管理底层Citrix基础设施的情况下为用户提供对其物理机的远程访问,则可以通过使用Citrix虚拟桌面服务来实现。此服务允许管理员通过远程PC访问快速授予用户(到办公室工作的用户)对其工作站的远程访问权限。
Citrix虚拟桌面服务可以为远程工作者或临时工作者(第三方或顾问)提供访问虚拟桌面的权限。虚拟机可以托管在客户的数据中心或他们选择的云中。
这两种功能都允许管理员在业务连续性场景中确保用户的工作效率。习惯于在办公室使用台式机和工作站的用户可以从家中通过远程PC访问它们。临时工甚至新员工都可以访问虚拟桌面,他们可以从任何地方和任何设备连接到虚拟桌面。
该服务的额外好处是,所有的Citrix管理组件都是云托管的,并自动使用最佳实践进行更新。
身份
为了保持与传统的本地模式类似的用户体验,用户的身份将继续使用Active Directory。身份验证机制与远程PC访问场景中提供的机制相同。
数据中心连接
对于云托管资源,用户需要通过虚拟桌面访问文件和后端资源。云资源位置与数据中心之间必须建立连接。
通过使用Citrix SD-WAN,企业可以在客户选择的云和内部数据中心之间创建一个安全隧道。SD-WAN了解穿越隧道的数据,能够适当优化流量,以提高应用程序响应时间和用户体验。
新增远程PC接入部署
组织可以很容易地部署Citrix虚拟桌面,且部署占用空间很小,如下面的概念图所示。
该图显示了Citrix Virtual Desktops服务如何在客户办公室或数据中心部署远程PC访问工作负载。
要添加新的部署,管理员执行以下步骤:
- 创建Citrix帐户并订阅Citrix虚拟桌面服务。
- 在内部环境中设置Citrix云连接器(至少两个),并在服务控制台中添加新的资源位置。
- 配置Citrix网关服务以向用户提供远程访问。
完成业务配置后,管理员可以执行以下操作开启“远程PC接入”功能:
- 在Windows物理pc上部署VDA(自动化部署脚本)
- 创建一个新的远程PC访问目录
- 分配用户到pc
一旦部署,用户将对环境进行身份验证,并从任何位置和任何设备接收对其物理工作站的远程PC访问。
扩展到云
组织可以很容易地扩展Citrix虚拟桌面部署,以包括在云中运行的资源,如下面的概念图所示。
该图显示了Citrix Virtual Desktops服务如何在客户选择的云中部署虚拟机工作负载。
要展开部署,管理员将执行以下步骤:
- 在云资源位置中设置Citrix云连接器(至少两个),并在服务中添加新的资源位置。
- 部署和配置SD-WAN实例,使其能够连接本地数据中心。
完成服务配置后,管理员可以执行以下操作启用对虚拟机的访问:
- 创建将用于克隆虚拟机的主映像(其中安装了所需的应用程序和VDA)。
- 基于主映像和目录的传递组创建新的虚拟机目录。
- 将用户分配到传递组。
一旦部署,用户就可以对环境进行身份验证,并从任何位置和任何设备接收云托管的虚拟桌面。
结果
- 在不存在现有Citrix基础架构的环境中轻松部署。
- Citrix使用最佳实践更新和管理包括云连接器在内的Citrix组件。只有桌面主机/远程PC访问机由管理员管理。
- 可以在几个小时内提供一个环境,供世界上任何地方的用户访问。
- 可以使用运行在客户数据中心或各种云解决方案中的虚拟桌面添加其他用户。
- 用户通过互联网连接到会话的最后一英里(从最近的Citrix Gateway PoP), ICA协议根据网络条件进行调整,以提供尽可能最佳的响应体验。
- Citrix会话策略通过阻止不受信任的端点在远程PC访问或虚拟桌面之间传输数据来保护环境
针对Azure的Citrix虚拟应用和桌面标准
希望专门使用云托管其业务连续性环境的客户可以使用Citrix Virtual Apps and Desktop Standard for Azure,这是一种桌面即服务(DaaS)产品。当管理员没有时间设置或不想管理内部部署的Citrix虚拟应用程序和桌面环境时,此部署选项也会起作用。
整个用于Azure环境的Citrix虚拟应用程序和桌面标准都托管在微软Azure上。当业务连续性事件发生时,可以快速启动该服务。使用每月现收现付账单(包括Azure消费),环境可以在不再需要时关闭。
身份
为了保持与传统的本地模式类似的用户体验,用户的身份将继续使用Active Directory。Citrix Virtual Apps and Desktop Standard for Azure的基于Active Directory的加入域部署允许用户使用以下任一选项:
- 选项1:用户对组织的Azure Active Directory进行身份验证,它是从组织的内部活动目录域同步的。
- 选项2:用户通过使用使用Citrix SD-WAN创建的Azure-to-Data Center通道身份验证到本地Active Directory域。
在大多数情况下,组织通过使用Azure Active Directory来同步内部活动目录Azure Active Directory连接工具或在Azure中的Active Directory域服务与本地Active Directory之间建立信任。
数据中心连接
为了有效,用户需要从他们的CVAD标准访问文件和后端资源。除非将这些项目转移到Azure,否则必须在Azure和数据中心之间建立连接。
使用Citrix SD-WAN,组织可以在Azure和数据中心之间创建一个安全通道。SD-WAN能够理解穿越隧道的数据,并能够适当优化流量,以提高应用程序响应时间和用户体验。
部署
组织可以很容易地在Azure上部署Citrix虚拟应用程序和桌面标准,部署占用的资源非常少,如下图所示。
第一个图表显示了Citrix Virtual Apps和Desktop Standard for Azure如何与Citrix托管Azure中的工作负载一起部署,并验证到Active Directory以进行用户验证,以及如何使用SD-WAN连接到on prem:
第二个图展示了Citrix Azure的虚拟应用和桌面标准是如何在Citrix管理的Azure中部署工作负载的,以及如何向Azure Active Directory或Active Directory Domain Services实例(分别与本地Active Directory同步或信任)验证用户的。
第三张图展示了Citrix Azure虚拟应用和桌面标准是如何在客户管理的Azure中部署工作负载的,以及如何将用户身份验证到Azure Active Directory或Active Directory Domain Services实例(分别与本地Active Directory同步或信任)。通过SD-WAN、Site - to - Site VPN或快速路由连接到on-prem位置。
要添加新的部署,管理员执行以下步骤:
- 在机器托管的Azure订阅和组织的Azure Active Directory之间建立VNet对等(如果机器在Citrix管理的Azure中,并且身份验证是通过客户订阅中的AAD / add进行的)
- 创建并上载主Windows映像,其中包含所需的应用程序
- 基于主映像部署机器目录
- 将用户分配给计算机目录
一旦部署,用户就可以对环境进行身份验证,并从任何位置和任何设备接收云托管的托管虚拟机。
结果
- 在不存在现有Citrix基础架构的环境中轻松部署。
- Citrix使用最佳实践更新和管理设置。只有桌面主机由管理员管理。
- 可以在几个小时内提供一个环境,供世界上任何地方的用户访问。
- 借助Azure的云规模,管理员可以在短时间内启动所需的任意多台机器。
- 每月订阅模式通过让次要位置的机器启动并只在需要时运行来降低成本。
- 会话是通过超快的Azure主干连接的
- 用户通过互联网连接到会话的最后一英里(从最近的Citrix Gateway PoP), ICA协议根据网络条件进行调整,以提供尽可能最佳的响应体验。
- Citrix会话策略通过阻止不受信任的端点向托管桌面传输数据和从托管桌面传输数据来保护环境。