Fiche technique : Continuité des activités

La plupart des organisations ont défini des plans de continuité des activités. Le succès d’un plan de continuité d’activité dépend de l’impact qu’il a sur l’expérience utilisateur, de sa capacité à surmonter les problèmes mondiaux et de la manière dont il maintient les stratégies de sécurité de l’entreprise.

Vue d’ensemble

La continuite d 'activite可以辅助企业d 'assurer une productivité homogène de la main-d’œuvre lors de tout type d’interruption planifiée ou imprévue. Le succès d’un plan de continuité des activités repose souvent sur les exigences suivantes de l’utilisateur et de l’entreprise :

Exigences utilisateur

• Possibilité d’accéder à toutes les applications et données pour effectuer le travail
• L’expérience utilisateur reste la même
• Capacité à être productif avec des conditions de réseau variables

Besoins de l’entreprise

• Capacité à évoluer rapidement pour répondre à des besoins inattendus
• Protéger les ressources de l’entreprise contre les terminaux non fiables
• Facile à intégrer avec l’infrastructure actuelle
• Ne doit pas contourner les règles et stratégies de sécurité

Risques VPN

La plupart des entreprises ont besoin d’un moyen de fournir aux utilisateurs un accès distant sécurisé aux ressources de l’entreprise sans compter sur le déploiement de solutions basées sur VPN. Les solutions basées sur VPN sont risquées parce qu’elles :

• Risque VPN 1 : sont difficiles à installer et à configurer
• Risque VPN 2 : Exiger que les utilisateurs installent le logiciel VPN sur les terminaux, qui peuvent utiliser un système d’exploitation non pris en charge
• Risque VPN 3 : nécessite la configuration de stratégies complexes pour empêcher un périphérique de point de terminaison non fiable d’avoir un accès illimité au réseau, aux ressources et aux données de l’entreprise.
• Risque VPN 4 : Difficile de synchroniser les stratégies de sécurité entre l’infrastructure VPN et l’infrastructure locale.
• Risque VPN 5 : Une fois le VPN établi, les applications client/serveur traditionnelles ont des exigences étendues en bande passante à l’aide de protocoles natifs qui surchargent rapidement les VPN et les canaux réseau. À mesure que la latence du réseau augmente, la réactivité des applications se dégrade, ce qui entraîne une expérience utilisateur inutilisable.

Options de continuité d’activité

Selon l’état de l’infrastructure actuelle, une organisation peut opter pour l’une des solutions suivantes pour fournir un accès distant sécurisé aux utilisateurs lors d’un événement de continuité d’activité :

远程电脑访问

Pour de nombreux utilisateurs, l’environnement de travail est centré sur un PC Windows 10 physique assis sous leur bureau. Remote PC Access permet à un utilisateur distant de se connecter à son PC de bureau Windows physique à l’aide de pratiquement n’importe quel appareil (tablettes, téléphones et ordinateurs portables utilisant iOS, Mac, Android, Linux et Windows).

La vidéo Remote PC Access Tech Insight suivante fournit une vue d’ensemble de la solution.

L’ajout de Remote PC Access à la stratégie de continuité d’activité suppose les éléments suivants :

• L’espace de travail d’un utilisateur est basé sur des PC Windows joints à un domaine
• Authentification de l’utilisateur avec Active Directory
• La capacité matérielle supplémentaire du datacenter est minimale pour accueillir un déploiement de type VDI (bureau virtuel) volumineux

Lorsque l’utilisateur accède à distance à son PC de travail, la connexion utilise le protocole ICA, qui s’adapte dynamiquement à l’évolution des conditions et du contenu du réseau. Le protocole dynamique ICA offre la meilleure expérience possible.

Nouveau déploiement

Les entreprises peuvent facilement déployer Citrix Virtual Apps and Desktops pour fournir Remote PC Access à leur environnement avec un encombrement de déploiement minimal, comme indiqué ci-dessous.

Pour ajouter un nouvel environnement, l’administrateur doit déployer les composants suivants :

• Passerelle : sécurise les connexions entre les PC Windows internes et les périphériques de point de terminaison non approuvés via un proxy inverse.
• StoreFront : fournit aux utilisateurs un magasin d’applications d’entreprise utilisé pour lancer des sessions vers des ressources autorisées.
• Delivery Controller : autorise et vérifie les sessions utilisateur sur les PC Windows.

Il est recommandé de déployer trois composants avec redondance pour surmonter tout point de défaillance unique.

Avec une nouvelle infrastructure déployée, l’administrateur peut effectuer les opérations suivantes pour activer Remote PC Access :

• Déploie le Virtual Delivery Agent sur des PC Windows physiques (scripts de déploiement d’automatisation)
• Crée un nouveau catalogue Remote PC Access
• Affecte des utilisateurs aux PC

Bien que Virtual Delivery Agent puisse être installé manuellement sur chaque PC physique, pour simplifier le déploiement de Virtual Delivery Agent, il est recommandé d’utiliser la distribution de logiciels électroniques tels que les scripts Active Directory et Microsoft System Center Configuration Manager.

Déploiement étendu

Une organisation peut également facilement ajouter Remote PC Access à un environnement Citrix Virtual Apps and Desktops actuel. Ce processus élargit efficacement l’architecture conceptuelle comme suit :

Pour ajouter Remote PC Access à un environnement Citrix Virtual Apps and Desktops actuel, l’administrateur effectue simplement les opérations suivantes :

• Déploie Virtual Delivery Agent sur des PC Windows physiques
• Crée un nouveau catalogue Remote PC Access
• Affecte des utilisateurs aux PC

Étant donné que les utilisateurs accèdent simplement à leur PC de travail physique, l’organisation n’a qu’à envisager du matériel supplémentaire pour les couches d’accès et de contrôle. Ces composants doivent pouvoir répondre à l’afflux de demandes des nouveaux utilisateurs lors d’un événement de continuité d’activité.

Identité

Les utilisateurs continuent à s’authentifier avec Active Directory, mais cette authentification se produit lorsque l’utilisateur initie une connexion au nom de domaine complet public de l’organisation pour Citrix Gateway. Étant donné que le site est externe, les organisations ont besoin d’une authentification plus forte qu’un nom d’utilisateur et un mot de passe Active Directory simples. L’intégration d’une authentification multifacteur, comme un jeton de mot de passe unique basé sur le temps, peut grandement améliorer la sécurité de l’authentification.

Citrix Gateway fournit aux entreprises de nombreuses options d’authentification multifacteurs, notamment :

• Mot de passe unique
• RADIUS
• TACACS+
• SAML

Sécurité de session

Les utilisateurs peuvent accéder à distance au PC de travail avec un appareil personnel non fiable. Les organisations peuvent utiliser des stratégies Citrix Virtual Apps and Desktops intégrées pour se protéger contre :

• Risques liés aux points de terminaison : les enregistreurs de clés installés secrètement sur le terminal peuvent facilement capturer le nom d’utilisateur et le mot de passe d’un utilisateur. Lesfonctionnalités de protection contre l’enregistrement de frappe protègent l’entreprise contre le vol d’informations d’identification en masquant les frappes au clavier.
• Risques entrants : les terminaux non fiables peuvent contenir des logiciels malveillants, des logiciels espions et d’autres contenus dangereux. Le refus d’accès aux lecteurs du terminal empêche la transmission de contenu dangereux vers le réseau d’entreprise.
• Risques sortants : Les organisations doivent garder le contrôle sur le contenu. Le fait de permettre aux utilisateurs de copier du contenu sur des terminaux locaux non approuvés pose des risques supplémentaires pour l’organisation. Ces fonctionnalités peuvent être refusées en bloquant l’accès aux lecteurs, imprimantes, presse-papiers et stratégies anti-capture d’écran du point de terminaison.

结果

Étant donné que Remote PC Access permet aux utilisateurs de se connecter à leur PC Windows standard lors d’un événement de continuité d’activité, les organisations sont en mesure de :

• Fournir aux utilisateurs l’accès à toutes les applications et données pour effectuer leur travail. Tout ce qui se trouve sur le PC Windows de l’utilisateur est accessible avec Remote PC Access.
• Maintenez l’expérience utilisateur entre les opérations normales et les événements de continuité d’activité. Les utilisateurs continuent d’utiliser le même PC Windows dans toutes les situations.
• Restez productif, indépendamment de l’emplacement et des conditions du réseau. Le protocole ICA reliant le périphérique de point final de l’utilisateur au PC Windows s’ajuste dynamiquement en fonction des conditions du réseau afin de fournir l’expérience la plus réactive possible.
• Échelle rapidement pour répondre aux besoins inattendus. Une fois l’agent déployé sur les PC Windows, l’administrateur peut simplement activer la fonctionnalité Remote PC Access.
• Protégez les ressources de l’entreprise contre les terminaux non fiables. Gateway crée un proxy inverse entre le point final et le PC de travail. Grâce aux stratégies de session, les administrateurs peuvent empêcher les utilisateurs de transférer des données vers/depuis le PC professionnel et le réseau d’entreprise.
• Intégration facile à l’infrastructure actuelle. Remote PC Access est simplement un autre type de bureau virtuel au sein de la solution Citrix Virtual Apps and Desktops.
• Maintenez le meme安全范围的资料当时d一个夜nement de continuité d’activité. Remote PC Access connecte les utilisateurs à leur PC Windows de bureau. Les utilisateurs ont la possibilité d’accéder aux mêmes ressources, de la même manière qu’ils se trouvaient physiquement au bureau.

Citrix DaaS

Les entreprises qui souhaitent donner aux utilisateurs un accès à distance à leurs machines physiques sans avoir à gérer l’infrastructure Citrix sous-jacente peuvent le faire en utilisant Citrix DaaS. Ce service permet aux administrateurs d’accorder rapidement aux utilisateurs (qui se rendent au bureau pour travailler) un accès distant à leurs postes de travail via Remote PC Access.

Citrix DaaS peut permettre aux travailleurs distants ou temporaires (tiers ou consultants) d’accéder à des bureaux virtuels. Les machines virtuelles peuvent être hébergées soit dans le datacenter du client, soit dans un cloud de leur choix.

Ces deux fonctionnalités permettent aux administrateurs de s’assurer que les utilisateurs sont productifs, lors d’un scénario de continuité d’activité. Les utilisateurs qui sont habitués aux postes de travail et aux postes de travail au bureau, peuvent y accéder via Remote PC Access depuis la maison. Les travailleurs temporaires et même les nouveaux employés ont accès à des postes de travail virtuels auxquels ils se connectent depuis n’importe où et sur n’importe quel appareil.

L’avantage supplémentaire du service est que tous les composants de gestion Citrix sont hébergés dans le cloud et sont automatiquement mis à jour avec les meilleures pratiques.

Identité

Pour conserver une expérience utilisateur similaire au modèle local traditionnel, l’identité de l’utilisateur continue d’utiliser Active Directory. Les mécanismes d’authentification sont les mêmes que ceux fournis dans le scénario Remote PC Access.

Connectivité du data center

Pour les ressources hébergées dans le cloud, les utilisateurs doivent accéder aux fichiers et aux ressources back-end à partir de leurs postes de travail virtuels. La connectivité entre l’emplacement des ressources cloud et le centre de données doit être établie.

À l’aide de Citrix SD-WAN, les organisations créent un tunnel sécurisé entre le cloud choisi par le client et le datacenter local. Le SD-WAN comprend les données qui traversent le tunnel et peut optimiser correctement le trafic afin d’améliorer le temps de réponse des applications et l’expérience utilisateur.

Nouveau déploiement Remote PC Access

Les entreprises peuvent facilement déployer Citrix DaaS avec une empreinte de déploiement minimale, comme le montre le schéma conceptuel suivant.

Le diagramme montre comment le service Citrix Virtual Desktops est déployé avec les charges de travail Remote PC Access dans le bureau ou le centre de données du client.

Pour ajouter un nouveau déploiement, l’administrateur effectue les opérations suivantes :

• Crée un compte Citrix et s’abonne à Citrix DaaS.
• Configure Citrix Cloud Connector (au moins deux) dans l’environnement local et ajoute le nouvel emplacement de ressources dans la console de service.
• Configure le service Citrix Gateway pour fournir un accès distant aux utilisateurs.

Une fois la configuration du service terminée, l’administrateur peut effectuer les opérations suivantes pour activer Remote PC Access :

• Déploie le Virtual Delivery Agent (VDA) sur des PC Windows physiques (scripts de déploiement d’automatisation)
• Crée un nouveau catalogue Remote PC Access
• Affecte des utilisateurs aux PC

一次时,莱斯utilisateurs 'authentifient dans l’environnement et reçoivent Remote PC Access à leurs postes de travail physiques disponibles à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

Développer vers le cloud

Les entreprises peuvent facilement étendre le déploiement Citrix DaaS pour inclure des ressources s’exécutant dans le cloud, comme le montre le schéma conceptuel suivant.

Le diagramme montre comment Citrix DaaS est déployé avec les charges de travail de bureau virtuel dans le cloud de choix du client.

Pour développer le déploiement, l’administrateur effectue les opérations suivantes :

• Configure Citrix Cloud Connector (au moins deux) dans l’emplacement des ressources cloud et ajoute le nouvel emplacement de ressource dans le service.
• Déploie et configure les instances SD-WAN pour pouvoir connecter le datacenter local.

Une fois la configuration du service terminée, l’administrateur peut effectuer les opérations suivantes pour activer l’accès aux machines virtuelles :

• Crée une image principale (avec les applications requises et le VDA installés dessus) qui sera utilisée pour cloner les machines virtuelles.
• Crée un nouveau catalogue de machines virtuelles basé sur l’image principale et un groupe de mise à disposition pour le catalogue.
• Affecte des utilisateurs au groupe de mise à disposition.

一次时,莱斯utilisateurs 'authentifient auprès de l’environnement et reçoivent un poste de travail virtuel hébergé dans le cloud disponible à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

结果

• Facilement déployé dans un environnement où aucune infrastructure Citrix existante n’est présente.
• Citrix met à jour et gère les composants Citrix, y compris Cloud Connector, avec les meilleures pratiques. Seuls les hôtes de bureau et les machines Remote PC Access sont gérés par l’administrateur.
• Peut mettre en place un environnement en seulement quelques heures et accessible aux utilisateurs de n’importe où dans le monde.
• 其他utilisateurs peuvent可能ajoutes l 'aide de postes de travail virtuels exécutés dans le centre de données du client ou d’une variété de solutions cloud.
• L’utilisateur se connecte à la session sur Internet pour le dernier kilomètre (à partir du PoP Citrix Gateway le plus proche), le protocole ICA s’ajuste en fonction des conditions du réseau pour fournir l’expérience la plus réactive possible.
• Les stratégies de session Citrix sécurisent l’environnement en bloquant les points de terminaison non fiables du transfert de données vers et depuis Remote PC Access ou le bureau virtuel

Citrix DaaS Standard pour Azure

Les clients qui souhaitent utiliser exclusivement le cloud pour héberger leur environnement de continuité d’activité peuvent utiliser Citrix DaaS Standard for Azure. Cette option de déploiement fonctionne également lorsqu’un administrateur n’a pas le temps de configurer ou ne veut pas gérer un environnement Citrix Virtual Apps and Desktops local.

L’ensemble de l’environnement Citrix DaaS Standard for Azure est hébergé dans Microsoft Azure. Ce service peut être créé rapidement lorsque l’événement de continuité d’activité se produit. Avec la facturation mensuelle à l’utilisation (qui inclut la consommation Azure), l’environnement peut être arrêté lorsqu’il n’est plus nécessaire.

Identité

Pour conserver une expérience utilisateur similaire au modèle local traditionnel, l’identité de l’utilisateur continue d’utiliser Active Directory. Les déploiements de Citrix DaaS Standard pour Azure basés sur Active Directory appartenant à un domaine permettent aux utilisateurs d’utiliser l’une des options suivantes :

• Option 1 : Les utilisateurs s’authentifient auprès de Azure Active Directory de l’organisation, qui est synchronisé à partir du domaine Active Directory local de l’organisation.
• Option 2 : Les utilisateurs s’authentifient auprès du domaine Active Directory local à l’aide d’un tunnel Azure vers Data Center créé avec Citrix SD-WAN.

Dans la plupart des cas, une organisation synchronise Active Directory local avec Azure Active Directory à l’aide de l’utilitaireAzure Active Directory Connectou définit une relation d’approbation entre les Active Directory Domain Services dans Azure et Active Directory sur site.

Connectivité du data center

Pour être efficaces, les utilisateurs doivent accéder aux fichiers et aux ressources dorsales à partir de leur bureau Citrix DaaS Standard. À moins que ces éléments ne soient transitionnés vers Azure, la connectivité entre Azure et le centre de données doit être établie.

À l’aide de Citrix SD-WAN, les organisations créent un tunnel sécurisé entre Azure et le centre de données. Le SD-WAN comprend les données qui traversent le tunnel et peut optimiser correctement le trafic afin d’améliorer le temps de réponse des applications et l’expérience utilisateur.

Déploiement

Les entreprises peuvent facilement déployer Citrix DaaS Standard pour Azure avec une empreinte de déploiement minimale, comme le montrent les diagrammes conceptuels suivants.

Le premier diagramme montre comment Citrix DaaS Standard pour Azure est déployé avec les charges de travail dans Azure géré par Citrix et s’authentifie auprès d’Active Directory pour l’authentification des utilisateurs et est connecté sur site avec SD-WAN :

Le deuxième diagramme montre comment Citrix DaaS Standard pour Azure est déployé avec les charges de travail dans Azure géré par Citrix et authentifie les utilisateurs auprès d’une instance Azure Active Directory ou Active Directory Domain Services qui se synchronise avec un Active Directory local ou qui est en confiance avec (respectivement) un Active Directory local.

Le troisième diagramme montre comment Citrix DaaS Standard pour Azure est déployé avec les charges de travail dans Azure géré par le client et authentifie les utilisateurs auprès d’une instance Azure Active Directory ou Active Directory Domain Services qui se synchronise avec un Active Directory local ou est en confiance avec (respectivement). Connexion à l’emplacement sur site via SD-WAN, VPN Site to Site to Site ou Express Route.

Pour ajouter un nouveau déploiement, l’administrateur effectue les opérations suivantes :

• Configure l’appairage VNet entre l’abonnement Azure où les machines seraient hébergées et Azure Active Directory de l’organisation (si les machines sont dans Azure géré par Citrix et que l’authentification se fait via AAD/ADDS dans l’abonnement client)
• Crée et télécharge une image Windows principale contenant les applications requises
• Déploie un catalogue de machines basé sur l’image principale
• Affecte les utilisateurs au catalogue de machines

一次时,莱斯utilisateurs 'authentifient auprès de l’environnement et reçoivent un bureau virtuel géré hébergé dans le cloud disponible à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

结果

• Facilement déployé dans un environnement où aucune infrastructure Citrix existante n’est présente.
• Citrix met à jour et gère l’installation avec les meilleures pratiques. Seuls les hôtes de bureau sont gérés par l’administrateur.
• Peut mettre en place un environnement en seulement quelques heures et accessible aux utilisateurs de n’importe où dans le monde.
• Avec la mise à l’échelle de cloud d’Azure, les administrateurs peuvent mettre en place autant de machines que nécessaire en peu de temps.
• Le modèle d’abonnement mensuel maintient le coût à la baisse en mettant en service les machines dans l’emplacement secondaire uniquement en cas de besoin.
• La session est connectée sur l’épine dorsale Azure ultra-rapide
• L’utilisateur se connecte à la session sur Internet pour le dernier kilomètre (à partir du PoP Citrix Gateway le plus proche), le protocole ICA s’ajuste en fonction des conditions du réseau pour fournir l’expérience la plus réactive possible.
• Les stratégies de session Citrix sécurisent l’environnement en bloquant les points de terminaison non approuvés du transfert de données vers et depuis le bureau géré.