Resumen técnico: Continuidad del negocio

La mayoría de las organizaciones han definido planes de continuidad del negocio. El éxito de un plan de continuidad del negocio se basa en cuánto impacta en la experiencia del usuario, qué tan bien se amplía para superar problemas globales y cómo mantiene las directivas de seguridad corporativas.

可以看看general

La continuidad del negocio permite a las organizaciones permitir una productividad fluida de la fuerza de trabajo durante cualquier tipo de interrupción planificada o no planificada. El éxito de un plan de continuidad de las operaciones se basa a menudo en los siguientes requisitos de usuario y negocio:

Requisitos del usuario

• Posibilidad de acceder a todas las aplicaciones y datos para realizar el trabajo
• La experiencia del usuario sigue siendo la misma
• Capacidad de ser productivo con diferentes condiciones de red

Requisitos del negocio

• Capacidad para escalar rápidamente para soportar necesidades inesperadas
• Proteger los recursos corporativos de dispositivos de dispositivos de punto final que no son de confianza
• Fácil de integrar con la infraestructura actual
• No debe omitir las reglas y directivas de seguridad

Riesgos de VPN

La mayoría de las organizaciones necesitan una forma de proporcionar a los usuarios acceso remoto seguro a los recursos corporativos sin depender de la implementación de soluciones basadas en VPN. Las soluciones basadas en VPN son arriesgadas porque:

• Riesgo de VPN 1: Son difíciles de instalar y configurar
• Risk de VPN 2: Requerir que los usuarios instalen software VPN en dispositivos de punto final, lo que podría utilizar un sistema operativo no compatible
• Risk VPN 3: requiere la configuración de directivas complejas para evitar que un dispositivo de dispositivo de punto final que no sea de confianza tenga acceso sin restricciones a la red corporativa, los recursos y los datos.
• Riesgo de VPN 4: Difícil mantener sincronizadas las directivas de seguridad entre la infraestructura VPN y la infraestructura local.
• Risk VPN 5: Una vez que la VPN se establece, las aplicaciones cliente/servidor tradicionales tienen requisitos de ancho de banda extensos mediante protocolos nativos que sobrecargarán rápidamente VPN y procesos de red. A medida que aumenta la latencia de la red, la capacidad de respuesta de la aplicación se degrada, lo que resulta en una experiencia de usuario inutilizable.

Opciones de continuidad del negocio

Dependiendo del estado de la infraestructura actual, una organización puede optar por una de las siguientes soluciones para proporcionar acceso remoto seguro a los usuarios durante un evento de continuidad del negocio:

Acceso con Remote PC

Para muchos usuarios, el entorno de trabajo se centra en una PC física con Windows 10 sentada debajo de su escritorio. El acceso con Remote PC permite a un usuario remoto iniciar sesión en su PC físico con Windows Office mediante prácticamente cualquier dispositivo (tabletas, teléfonos y portátiles con iOS, Mac, Android, Linux y Windows).

El siguiente vídeo Insight Tech Insight de acceso con Remote PC proporciona una descripción general de la solución.

Agregar acceso con Remote PC a la estrategia de continuidad empresarial supone lo siguiente:

• El espacio de trabajo de un usuario se basa en equipos Windows unidos a un dominio
• Autenticación del usuario con Active Directory
• La capacidad adicional de hardware del centro de datos es mínima para acomodar una implementación de estilo de escritorio virtual (VDI) de gran tamaño

Cuando el usuario accede de forma remota a su PC de trabajo, la conexión utiliza el protocolo ICA, que se ajusta dinámicamente a las condiciones y contenido cambiantes de la red. El protocolo ICA dinámico proporciona la mejor experiencia posible.

Nueva implementación

Las organizaciones pueden implementar fácilmente Citrix Virtual Apps and Desktops para proporcionar acceso con Remote PC a su entorno con un espacio mínimo de implementación, como se muestra a continuación.

Para agregar un nuevo entorno, el administrador debe implementar los siguientes componentes:

• 门缠绕:门生las conexiones之间的电脑Windows internos y dispositivos de punto final que no son de confianza a través de un proxy inverso.
• StoreFront: proporciona a los usuarios un almacén de aplicaciones empresariales que se utiliza para iniciar sesiones a recursos autorizados.
• Delivery Controller: autoriza y audita sesiones de usuario en equipos Windows.

Se recomienda implementar tres componentes con redundancia para superar cualquier punto único de falla.

Con una nueva infraestructura implementada, el administrador puede realizar lo siguiente para habilitar el acceso con Remote PC:

• Implementa Virtual Delivery Agent en PC físicas con Windows (scripts de implementación de automatización)
• Crea un nuevo catálogo de acceso con Remote PC
• Asigna usuarios a equipos

Aunque Virtual Delivery Agent se puede instalar manualmente en cada PC físico, para simplificar la implementación de Virtual Delivery Agent, se recomienda utilizar la distribución electrónica de software como scripts de Active Directory y Microsoft System Center Configuration Manager.

Implementación ampliada

Una organización también puede agregar fácilmente Acceso con Remote PC a un entorno actual de Citrix Virtual Apps and Desktops. Este proceso expande efectivamente la arquitectura conceptual de la siguiente manera:

Para agregar acceso con Remote PC a un entorno actual de Citrix Virtual Apps and Desktops, el administrador simplemente realiza lo siguiente:

• Implementa Virtual Delivery Agent en equipos físicos con Windows
• Crea un nuevo catálogo de acceso con Remote PC
• Asigna usuarios a equipos

Debido a que los usuarios simplemente acceden a su PC de trabajo físico, la organización solo necesita tener en cuenta hardware adicional para las capas de acceso y control. Estos componentes deben poder adaptarse a la afluencia de solicitudes de nuevos usuarios durante un evento de continuidad del negocio.

Identidad

Los usuarios continúan autenticándose con Active Directory, pero esta autenticación se produce cuando el usuario inicia una conexión con el nombre de dominio público completo de la organización para Citrix Gateway. Dado que el sitio es externo, las organizaciones requieren una autenticación más segura que un nombre de usuario y contraseña simples de Active Directory. La incorporación de autenticación multifactor, como un token de contraseña de un solo uso basado en el tiempo, puede mejorar considerablemente la seguridad de la autenticación.

Citrix Gateway proporciona a las organizaciones numerosas opciones de autenticación multifactor, entre las que se incluyen:

• Contraseña única
• RADIUS
• TACACS+
• SAML

Seguridad de la sesión

Los usuarios pueden acceder de forma remota a la PC de trabajo con un dispositivo personal que no es de confianza. Las organizaciones pueden usar directivas integradas de Citrix Virtual Apps and Desktops para protegerse contra:

• Riesgos de dispositivo de punto final: Los registradores de claves instalados en secreto en el dispositivo de punto final pueden capturar fácilmente el nombre de usuario y la contraseña de un usuario. Las capacidades contra el registro de teclas protegen a la organización del robo de credenciales al ofuscar las pulsaciones de teclas.
• Riesgos entrantes: Los dispositivos de punto final que no son de confianza pueden contener malware, spyware y otro contenido peligroso. La denegación del acceso a las unidades del dispositivo de punto final impide la transmisión de contenido peligroso a la red corporativa.
• Riesgos salientes: Las organizaciones deben mantener el control sobre el contenido. Permitir a los usuarios copiar contenido en dispositivos de dispositivos de punto final locales que no son de confianza supone riesgos adicionales para la organización. Estas prestaciones se pueden denegar bloqueando el acceso a las unidades, impresoras, portapapeles y directivas de captura de pantalla del dispositivo de punto final.

Resultados

Dado que el acceso con Remote PC permite a los usuarios conectarse a su PC Windows estándar durante un evento de continuidad empresarial, las organizaciones pueden:

• Proporcione a los usuarios acceso a todas las aplicaciones y datos para realizar su trabajo. Se puede acceder a todo el equipo con Windows del usuario con acceso con Remote PC.
• Mantenga la experiencia del usuario entre las operaciones normales y los eventos de continuidad del negocio. Los usuarios siguen mediante el mismo PC con Windows en todas las situaciones.
• Sigue siendo productivo, independientemente de la ubicación y las condiciones de la red. El protocolo ICA que conecta el dispositivo de punto final del usuario al PC con Windows se ajusta dinámicamente en función de las condiciones de la red para proporcionar la experiencia más receptiva posible.
• Escale rápidamente para admitir necesidades inesperadas. Una vez que el agente se implementa en los PC con Windows, el administrador puede simplemente habilitar la capacidad de acceso con Remote PC.
• Proteja los recursos corporativos de dispositivos de dispositivos de punto final que no son de confianza. Gateway crea un proxy inverso entre el punto final y el PC de trabajo. Con las directivas de sesión, los administradores pueden impedir que los usuarios transfieran datos a/desde el equipo de trabajo y la red corporativa.
• Integre fácilmente con la infraestructura actual. El acceso con Remote PC es simplemente un tipo diferente de escritorio virtual dentro de la solución Citrix Virtual Apps and Desktops.
• Mantenga el mismo perfil de seguridad durante un evento de continuidad del negocio. El acceso con Remote PC conecta a los usuarios a su PC Windows basado en oficina. Los usuarios tienen la capacidad de acceder a los mismos recursos, de la misma manera que estaban físicamente en la oficina.

Citrix DaaS

Las organizaciones que desean dar a los usuarios acceso remoto a sus máquinas físicas sin tener que administrar la infraestructura subyacente de Citrix, pueden hacerlo utilizando Citrix DaaS. Este servicio permite a los administradores conceder rápidamente a los usuarios (que van a la oficina a trabajar) acceso remoto a sus estaciones de trabajo a través del acceso con Remote PC.

Citrix DaaS puede proporcionar acceso a los trabajadores remotos o temporales (terceros o consultores) a los escritorios virtuales. Las máquinas virtuales pueden hospedarse en el centro de datos del cliente o en una nube de su elección.

Ambas capacidades permiten a los administradores garantizar que los usuarios sean productivos, durante un caso de continuidad del negocio. Los usuarios que están acostumbrados a escritorios y estaciones de trabajo en la oficina pueden acceder a ellos a través del acceso con Remote PC desde casa. Los trabajadores temporales e incluso el personal nuevo tienen acceso a escritorios virtuales, a los que se conectan desde cualquier lugar y desde cualquier dispositivo.

La ventaja adicional del servicio es que todos los componentes de administración de Citrix están alojados en la nube y se actualizan automáticamente con las mejores prácticas.

Identidad

Para mantener una experiencia de usuario similar al modelo local tradicional, la identidad del usuario sigue mediante Active Directory. Los mecanismos de autenticación son los mismos que se proporcionan en el caso de acceso con Remote PC.

Conectividad del centro de datos

Para los recursos alojados en la nube, los usuarios necesitan acceder a archivos y recursos back-end desde sus escritorios virtuales. Debe establecerse la conectividad entre la ubicación de recursos en la nube y el centro de datos.

Mediante Citrix SD-WAN, las organizaciones crean un túnel seguro entre la nube que elija el cliente y el centro de datos local. SD-WAN entiende los datos que atraviesan el túnel y puede optimizar correctamente el tráfico para mejorar el tiempo de respuesta de las aplicaciones y la experiencia del usuario.

Nueva implementación de acceso con Remote PC

Las organizaciones pueden implementar fácilmente Citrix DaaS con un espacio mínimo de implementación, como se ve en el siguiente diagrama conceptual.

El diagrama muestra cómo se implementa el servicio Citrix Virtual Desktops con cargas de trabajo de acceso con Remote PC en la oficina del cliente o en el centro de datos.

Para agregar una nueva implementación, el administrador realiza los siguientes pasos:

• Crea una cuenta de Citrix y se suscribe a Citrix DaaS.
• Configura Citrix Cloud Connectors (al menos dos) en el entorno local y agrega la nueva ubicación de recursos en la consola de servicio.
• Configura el servicio Citrix Gateway para proporcionar acceso remoto a los usuarios.

Con la configuración del servicio realizada, el administrador puede realizar lo siguiente para habilitar el acceso con Remote PC:

• Implementa Virtual Delivery Agent (VDA) en equipos físicos con Windows (scripts de implementación de automatización)
• Crea un nuevo catálogo de acceso con Remote PC
• Asigna usuarios a equipos

Una vez implementados, los usuarios se autentican en el entorno y reciben acceso con Remote PC a sus estaciones de trabajo físicas disponibles desde cualquier ubicación y desde cualquier dispositivo.

Expandir a la nube

Las organizaciones pueden ampliar fácilmente la implementación de Citrix DaaS para incluir recursos que se ejecutan en la nube, como se ve en el siguiente diagrama conceptual.

El diagrama muestra cómo se implementa Citrix DaaS con cargas de trabajo de escritorios virtuales en la nube que elija el cliente.

Para expandir la implementación, el administrador realiza los siguientes pasos:

• Configura Citrix Cloud Connectors (al menos dos) en la ubicación de recursos de nube y agrega la nueva ubicación de recursos en el servicio.
• Implementa y configura las instancias de SD-WAN para poder conectar el centro de datos local.

Una vez finalizado la configuración del servicio, el administrador puede realizar lo siguiente para habilitar el acceso a las máquinas virtuales:

• Crea una imagen maestra (con las aplicaciones necesarias y el VDA instalado en ella) que se usará para clonar las máquinas virtuales.
• Crea un nuevo catálogo de máquinas virtuales basado en la imagen maestra y un grupo de entrega para el catálogo.
• Asigna usuarios al grupo de entrega.

Una vez implementados, los usuarios se autentican en el entorno y reciben un escritorio virtual alojado en la nube disponible desde cualquier ubicación y desde cualquier dispositivo.

Resultados

• Se implementa fácilmente en un entorno donde no hay ninguna infraestructura existente de Citrix.
• Citrix actualiza y administra los componentes de Citrix, incluidos los Cloud Connectors, con las mejores prácticas. El administrador administra solo los hosts de escritorio/máquinas de acceso con Remote PC.
• 联合国机构crear entorno en损伤y accesible传统式圆舞para usuarios desde cualquier parte del mundo.
• Se pueden agregar usuarios adicionales mediante escritorios virtuales que se ejecutan en el centro de datos del cliente o una variedad de soluciones en la nube.
• El usuario se conecta a la sesión a través de Internet durante la última milla (desde el PoP de Citrix Gateway más cercano), el protocolo ICA se ajusta en función de las condiciones de la red para proporcionar la experiencia más receptiva posible.
• Las directivas de sesión de Citrix protegían el entorno al bloquear la transferencia de datos desde y hacia el acceso con Remote PC o el escritorio virtual

Citrix DaaS Standard para Azure

Los clientes que desean usar exclusivamente la nube para alojar su entorno de continuidad empresarial pueden usar Citrix DaaS Standard for Azure. Esta opción de implementación también funciona cuando un administrador no tiene tiempo para configurar o no quiere administrar un entorno local de Citrix Virtual Apps and Desktops.

Todo el entorno de Citrix DaaS Standard for Azure está alojado en Microsoft Azure. Este servicio puede activarse rápidamente cuando se produce el evento de continuidad del negocio. Con la facturación mensual de pago por uso (que incluye el consumo de Azure), el entorno se puede apagar cuando ya no sea necesario.

Identidad

Para mantener una experiencia de usuario similar al modelo local tradicional, la identidad del usuario sigue mediante Active Directory. Las implementaciones basadas en Active Directory y unidas a un dominio de Citrix DaaS Standard for Azure permiten a los usuarios usar cualquiera de las siguientes opciones:

• Opción 1: los usuarios se autentican en Azure Active Directory de la organización, que se sincroniza desde el dominio local de Active Directory de la organización.
• Opción 2: los usuarios se autentican en el dominio local de Active Directory mediante un túnel de Azure a Data Center creado con Citrix SD-WAN.

En la mayoría de los casos, una organización sincroniza Active Directory local con Azure Active Directory mediante la utilidadAzure Active Directory Connecto establece la confianza entre los Active Directory Domain Services en Azure y Active Directory local.

Conectividad del centro de datos

Para ser eficaces, los usuarios deben acceder a los archivos y a los recursos de back-end desde su escritorio Citrix DaaS Standard. A menos que estos elementos se traspasen a Azure, se debe establecer la conectividad entre Azure y el centro de datos.

Mediante Citrix SD-WAN, las organizaciones crean un túnel seguro entre Azure y el centro de datos. SD-WAN entiende los datos que atraviesan el túnel y puede optimizar correctamente el tráfico para mejorar el tiempo de respuesta de las aplicaciones y la experiencia del usuario.

Implementación

Las organizaciones pueden implementar fácilmente Citrix DaaS Standard for Azure con un espacio de implementación mínimo, como se ve en los siguientes diagramas conceptuales.

El primer diagrama muestra cómo se implementan Citrix DaaS Standard para Azure con cargas de trabajo en Azure administrado por Citrix y se autentican en Active Directory para la autenticación de usuarios y se conectan a las instalaciones con SD-WAN:

El segundo diagrama muestra cómo se implementan Citrix DaaS Standard para Azure con cargas de trabajo en Azure administrado por Citrix y autenticando a los usuarios en una instancia de Azure Active Directory o Active Directory Domain Services que se sincroniza o tiene confianza (respectivamente) con un Active Directory local.

El tercer diagrama muestra cómo se implementa Citrix DaaS Standard para Azure con cargas de trabajo en Azure administrado por el cliente y autenticando a los usuarios en una instancia de Azure Active Directory o Active Directory Domain Services que se sincroniza o tiene confianza (respectivamente) con un Active Directory local. Conexión a la ubicación local a través de SD-WAN, Site to Site VPN o Express Route.

Para agregar una nueva implementación, el administrador realiza los siguientes pasos:

• Configura el peering de VNet entre la suscripción de Azure donde se alojarían las máquinas y Azure Active Directory de la organización (si las máquinas están en Azure administrado por Citrix y la autenticación se realiza a través de AAD/ADDS en la suscripción del cliente)
• Crea y carga una imagen maestra de Windows, que contiene las aplicaciones necesarias
• Implementa un catálogo de máquinas basado en la imagen maestra
• Asigna usuarios al catálogo de máquinas

Una vez implementados, los usuarios se autentican en el entorno y reciben un escritorio virtual administrado alojado en la nube disponible desde cualquier ubicación y desde cualquier dispositivo.

Resultados

• Se implementa fácilmente en un entorno donde no hay ninguna infraestructura existente de Citrix.
• Citrix actualiza y administra la configuración con las prácticas recomendadas. Solo los hosts de escritorio son administrados por el administrador.
• 联合国机构crear entorno en损伤y accesible传统式圆舞para usuarios desde cualquier parte del mundo.
• Con la escala de nube de Azure, los administradores pueden abrir tantas máquinas como sea necesario en poco tiempo.
• El modelo de suscripción mensual reduce el coste al tener las máquinas en la ubicación secundaria funcionando y funcionando solo cuando sea necesario.
• La sesión está conectada a través del hueso posterior de Azure súper rápido
• El usuario se conecta a la sesión a través de Internet durante la última milla (desde el PoP de Citrix Gateway más cercano), el protocolo ICA se ajusta en función de las condiciones de la red para proporcionar la experiencia más receptiva posible.
• Las directivas de sesión de Citrix protegían el entorno al bloquear la transferencia de datos hacia y desde el escritorio administrado que no son de confianza.