技术简介:业务连续性

多数组织都制定了业务连续性计划业务连续性计划的成功基础是它如何影响用户经验,它跨越全球问题的程度,以及它维护公司安全政策的程度

概述

业务连续性允许组织在任何计划或计划外中断时实现无缝员工生产率业务连续性计划的成功往往基于下列用户和业务需求:

用户需求

• 能力访问所有应用和数据执行作业
• 用户经验不变
• 能力产生网络条件不一

商务需求

• 快速缩放能力支持意外需求
• 保护企业资源不受不信任端点设备
• 易整合当前基础设施
• 不可绕过安全规则和策略

VPN风险

多数组织需要一种方式为用户安全远程访问企业资源而不必依赖部署VPN解决方案VPN基础解决方案冒风险,因为它们

• VPN风险1:难以安装和配置
• VPN风险2:要求用户端点设备安装VPN软件,这可能使用非支持操作系统
• VPN风险3:要求配置复杂策略以防止不可信端点设备不受限制访问公司网络、资源和数据
• VPN风险4:难以保持安全策略同步VPN基础架构和原封不动基础架构
• VPN风险5:一旦VPN建立,传统客户/服务器应用使用本地协议拥有广带宽需求,快速超载VPNs和网络管道网络延时增加,应用响应性下降,产生无法使用用户经验

连续作业选项

视当前基础设施状况而定,组织可选择下列解决办法之一,在连续运营事件期间向用户安全远程访问

远程PC存取

对许多用户而言,工作环境中心使用物理Windows10PC远程个人电脑存取允许远程用户使用几乎任何设备登录物理Windows办公电脑(表单、手机和笔记本电脑使用iOS、Mac、Android、Linux和Windows)。

远程PC存取技术透视视频概述解决方案

远程个人计算机存取业务持续策略假设如下:

• 用户工作空间基于域并发WindowsPC
• 用户主动目录验证
• 最小额外数据中心硬件容量可容纳大型虚拟桌面风格部署

用户远程存取工作PC时,连接使用ICA协议,动态调整以适应网络条件和内容变化动态ICA协议提供最佳经验

新部署

组织很容易部署Citrix虚拟应用和桌面向远程个人存取环境提供最小部署脚印,如下文所示

添加新环境时管理员必须部署下列组件:

• 网关:安全Windows计算机内部连接和不可信端点设备
• StoreFront:为用户提供企业a
• 交付控制器:授权并审核WindowsPC

兹建议部署三部分冗余以克服单点故障

新建基础设施部署后,管理员可执行以下功能实现远程PC存取

• 部署虚拟传送代理实体WindowsPCs自动化部署脚本)
• 新建远程PC存取目录
• 分配用户个人电脑

虚拟传送代理程序可人工安装到物理PC上,以简化虚拟传送代理程序部署,但建议使用电子软件分发方式,如主动目录脚本和微软系统中心配置管理员

扩展部署

组织也可以很容易地向当前Citrix虚拟应用和桌面环境添加远程个人存取这一过程有效扩展概念架构如下:

远程PC存取当前Citrix虚拟应用和桌面环境时,管理员简单做下列工作:

• 向物理WindowsPCs部署虚拟传送代理
• 新建远程PC存取目录
• 分配用户个人电脑

用户只需存取物理工作PC,组织只需考虑存取控制层增加硬件这些组件必须能够满足新用户在连续业务事件期间请求的流入

特征识别

用户继续使用主动目录认证,但当用户启动连接Citrix网关组织完全合格的公共域名时,认证即发生网站外部化,组织比简单主动目录用户名和密码更强认证多因子认证像时间基一次性密码令牌一样,可大大提高认证安全性。

Citrix网关为组织提供多因子认证选项,包括:

• 一次性密码
• 瑞秋斯
• TACS+
• SAML

会话安全

用户可远程存取工作PC组织可使用综合Citrix虚拟应用和桌面策略防患:

• 端点风险:键登录器秘密安装到端点设备上很容易捕捉用户名和密码反键盘能力通过混淆键盘保护组织免失窃证书
• 内置风险:不可信端点可包含恶意软件、间谍软件和其他危险内容拒绝访问端点设备驱动器防止向企业网络传送危险内容
• 外部风险:组织必须保持对内容的控制允许用户复制内容到本地不受信任端点设备会增加组织的风险禁止访问端点驱动器、打印机、剪贴板和防屏封片策略可拒绝获取这些能力

结果

远程PC存取允许用户在连续运行事件期间连接标准WindowsPC

• 提供用户访问所有应用和数据以完成作业用户Windows计算机上的一切均可用远程PC存取
• 维护用户正常运行和连续运行事件间的经验用户继续使用相同的WindowsPC
• 保持生产力,不管位置和网络条件ICA协议连接用户端点设备与WindowsPC动态调整
• 快速规模支持意外需求代理程序部署WindowsPC系统后,管理员可简单启动远程PC存取能力
• 保护企业资源不受不可信端点设备干扰网关创建端点和工作PC之间的逆向代理会话策略管理者可阻塞用户向工作PC和企业网络传输数据
• 易与当前基础设施整合远程PC存取系统完全是Citrix虚拟应用和桌面解决方案内不同类型虚拟桌面
• 保持相同的安全剖面远程PC存取连接用户办公WindowsPC用户获取相同资源的能力与办公用法相同

Citrix达斯

组织想让用户远程访问物理机,而不必管理Citrix基础基础设施,使用CitrixDa服务允许管理员快速赠送用户(前往办公点工作)远程访问工作站

Citrix DaaS可提供远程工或临时工(第三方或咨询商)访问虚拟桌面虚拟机可托管客户数据中心或由用户选择云中

两种能力都允许管理员确保用户在业务连续假想期间产生生产力用户常使用办公桌面和工作站,可自家远程个人电脑存取临时工甚至新员工访问虚拟桌面,从任何地方或从任何设备连接到这些桌面

服务增加的好处是所有Citrix管理组件都由云托管并自动更新最佳做法

特征识别

用户身份继续使用主动目录验证机制与远程PC存取假想中提供机制相同

数据中心连通性

云托管资源用户需要从虚拟桌面访问文件或后端资源云资源定位与数据中心之间的连通性必须建立

组织使用CitrixSD-WAN创建安全通道 介于客户选择云与定点数据中心SD-WAN理解数据遍历通道并适当优化流量以改善应用响应时间和用户经验

新建远程PC存取部署

组织很容易部署CitrixDaS最小部署脚印,如下概念图所示

图显示Citrix虚拟桌面服务如何部署 远程PC存取任务

增加新部署时,管理员执行下列步骤:

• 创建Citrix账号并订阅Citrix Daa
• Citrix云连接器(至少2台)建房环境并添加服务控制台新资源定位
• 配置Citrix网关服务向用户远程访问

服务配置完成后,管理员可执行以下功能实现远程PC存取

• 向Windows PCs部署虚拟传送代理器(VDA)(自动机部署脚本)
• 新建远程PC存取目录
• 分配用户个人电脑

用户一旦部署并认证环境并接收远程PC存取从任何地点和从任何设备都可使用的实际工作站

扩展云

组织很容易扩展Citrix DaaS部署范围,以包括云中流出资源,如下概念图所示

图显示Citrix DaS如何部署客户选择云中虚拟桌面工作量

扩展部署范围,管理员执行下列步骤:

• Citrix云连接器(至少2个)置云资源定位并添加服务中新资源定位
• 部署并配置SD-WAN实例以便能够连接现场数据中心

服务配置完成后,管理员可执行以下功能以访问虚拟机:

• 创建主图像(配有所需应用并安装VDA),用于克隆虚拟机
• 创建基于主图像的新虚拟机目录
• 分配用户交付组

用户部署后认证环境并接收云托管虚拟桌面

结果

• 很容易部署环境 并不存在Citrix基础
• Citrix更新和管理Citrix组件包括云连接器桌面主机/远程PC存取机由管理员管理
• 短短几小时内能带起环境 供世界任何地方用户使用
• 额外用户可用虚拟桌面运行客户数据中心或各种云解
• 用户通过互联网连接会议最后一里数(离Citrix网关PoP最近),ICA协议根据网络条件调整以提供最大响应经验
• Citrix 会话策略安全环境

Citrix达斯Azure标准

Citrix Daas标准Azure使用当管理员没有时间设置或不想管理即时Citrix虚拟应用和桌面环境时,此部署选项也有效

Citrix Daas环境标准全由微软Azure托管业务连续事件发生时,此服务可快速启动随月现收计费(包括Azure消费),环境可以在不再需要时关闭

特征识别

用户身份继续使用主动目录内接主动机部署Citrix Daas标准Azure允许用户使用下列两种选择

• 选项1:用户认证组织Azure主动目录,该目录与组织Primes主动目录域同步
• 选项2:用户使用CitrixSD-WAN创建的Azure对Data中心通道认证现场活动目录域

在大多数情况下,组织使用Azure主动目录同步Azure主动目录连接工具或建立Azure主动目录服务间的信任

数据中心连通性

用户需要从Citrix Daas标准桌面访问文件并反向端资源除非这些项向Azure过渡,否则Azure和数据中心之间必须建立连通性

使用CitrixSD-WAN组织创建Azure和数据中心安全通道SD-WAN理解数据遍历通道并适当优化流量以改善应用响应时间和用户经验

部署

组织很容易部署Citrix Daas标准Azure最小部署脚印,如下概念图所示

首图显示Citrix DaasAzure应用任务并认证活动目录用户认证并连接SD-WAN

II图显示Citrix Daas标准Azure应用时工作量与Citrix管理Azure认证用户对Azure主动目录或主动目录域服务实例的认证

第三个图显示Citrix Daas标准Azure如何部署并处理客户管理Azure和验证用户Azure主动目录或主动目录域服务实例通过SD-WAN连接在线位置,站点连接站点VPN或Express路

增加新部署时,管理员执行下列步骤:

• VNet对接Azure订阅机和Azure主动目录(如果机器用Citrix管理Azure认证,验证通过AAD/ADD订阅客户)
• 创建并上传主Windows图像
• 部署机器目录基于主图像
• 分配用户到机器目录

安装后用户验证环境并接收云托管虚拟桌面

结果

• 很容易部署环境 并不存在Citrix基础
• Citrix更新和管理搭建桌面主机由管理员管理
• 短短几小时内能带起环境 供世界任何地方用户使用
• 云级Azure管理员可短期内调出所需多机
• 月度订阅模式通过将机器安装在二级位置并按需运行来降低成本
• 会话连接超快回溯骨
• 用户通过互联网连接会议最后一里数(离Citrix网关PoP最近),ICA协议根据网络条件调整以提供最大响应经验
• Citrix 会话策略安全环境