Décisions de conception de Citrix SD-WAN pour les bureaux à domicile

Généralités

Citrix SD-WAN pour les bureaux à domicile peut être déployé dans plusieurs topologies flexibles. Il peut également fournir des sessions Citrix Virtual Apps and Desktops pour les travailleurs à domicile. Ce document de conception fournit des conseils sur les décisions de conception pour implémenter Citrix SD-WAN pour les bureaux à domicile afin de permettre une utilisation optimale par les travailleurs à domicile.

Administration du réseau

Les administrateurs réseau pour le déploiement SD-WAN jouent un rôle clé dans le déploiement réussi de la solution. Lors de la conception et de la maintenance des déploiements SD-WAN, les administrateurs se préoccupent des points suivants :

  • Activer l’accès au réseau d’entreprise uniquement aux utilisateurs qui en ont besoin, tout en respectant les exigences de sécurité de l’entreprise
  • Déploiement rapide et rationalisé de centaines ou de milliers de terminaux répartis géographiquement dans différentes régions
  • Permettre une expérience utilisateur optimale avec des stratégies d’entreprise à l’échelle de l’entreprise via la qualité de service
  • Stabiliser les performances et l’expérience utilisateur tout en tenant compte d’autant de disparités que gérables

Le succès de tout déploiement dépend d’une exécution transparente au niveau technique et commercial. Ce document fournit d’autres détails et recommandations pour aider l’administrateur réseau à réaliser un déploiement SD-WAN réussi.

Considérations sur la sécurité réseau

L’accès réseau d’entreprise aux bureaux à domicile ouvre des vecteurs d’attaque potentiels. Il est donc fortement recommandé de prendre des précautions supplémentaires pour réduire autant de risques que possible. Certaines de ces étapes peuvent inclure :

  1. Séparer le réseau en ajoutant des barrières, limitant la portée des segments nouvellement introduits, tels que les travailleurs à domicile
  2. Éliminez la complexité en limitant le cas d’utilisation du Home Office à une portée gérable
  3. Contrôlez les terminaux en surveillant les connexions réseau et en éliminant tout accès local aux périphériques
  4. Surveillez l’activité des terminaux en gardant les terminaux sous surveillance constante et configurez des alertes lorsque les comportements des terminaux s’écartent de la norme
  5. Augmenter la solution SD-WAN avec une protection de sécurité avec des services cloud (par exemple Citrix Secure Internet Access, Zscaler ou Palo Alto Prisma)
  6. Utilisez des appliances SD-WAN Advanced Edition pour déverrouiller une pile de sécurité intégrée ou utiliser des pare-feu tiers (par exemple Palo Alto, Checkpoint) en tant que fonctions réseau virtuel (VNF) avec une intégration simple avec des fournisseurs de sécurité leaders du secteur

Avant d’approfondir les détails sur les considérations de sécurité pour le réseau, nous présentons d’abord une décision de conception qui doit être prise si le profil de trafic Home Office inclut Citrix Virtual Apps and Desktops.

DÉCISION : livraison Citrix Virtual Apps and Desktops

Pour une sécurité optimale lors de l’extension du réseau d’entreprise aux ressources distantes, il est toujours recommandé d’utiliser les technologies Citrix, telles que Citrix Virtual Apps and Desktops. Cette technologie est à l’avant-garde du Virtual Client Computing depuis de nombreuses années et peut aider à la conception d’un réseau sécurisé. Ici vous pouvez trouver plus d’informations concernant la Sécurité de Citrix Virtual Apps and Desktops. Citrix SD-WAN peut être couplé à cette solution pour mieux fournir aux sites distants où le WAN n’est pas toujours fiable.

Les utilisateurs se connectent à distance à Citrix Virtual Apps and Desktops sur n’importe quel appareil, à partir de n’importe quel emplacement. Dans le réseau du centre de données, pour la sécurité, le trafic frontal entrant est isolé du trafic principal, entre les serveurs et services d’infrastructure Citrix Virtual Apps and Desktops. Cette approche permet l’utilisation de zones démilitarisées séparées (DMZ) pour isoler les flux de trafic frontal et back-end ainsi que le contrôle et la surveillance granulaires du pare-feu.

Proxy ICA Citrix Gateway

Une approche consisterait à placer une solution SD-WAN terminée par livre directement dans le chemin d’accès au trafic Citrix Virtual Apps and Desktops. Dans ce déploiement, les périphériques SD-WAN peuvent fournir des fonctionnalités telles que l’agrégation de liens, la résilience de sous-seconde et la qualité de service pour hiérarchiser le trafic HDX chiffré par rapport aux autres types de trafic.

Proxy ICA Citrix Gateway

Cependant, il est important de comprendre que dans ce scénario, les appliances SD-WAN ne voient que la charge utile chiffrée. Le trafic distribué sur la superposition SD-WAN est chiffré entre le point de terminaison utilisateur et Citrix Gateway. Le trafic crypté signifie que la fonction HDX Auto-QoS du SD-WAN ne fonctionne pas, ainsi que les rapports de qualité d’expérience (QoE) SD-WAN pour le trafic HDX. HDX Auto-QoS est conçu pour étudier dynamiquement la session HDX lorsqu’elle est livrée entre les homologues SD-WAN. Il permet de différencier les différents canaux qui composent une seule session HDX. Cette fonctionnalité est également connue sous le nom d’ICA Multi-Stream, qui permet de hiérarchiser les canaux interactifs au-dessus des canaux de données en masse, ce qui améliore l’expérience utilisateur final. L’un des principaux avantages de l’intégration de Citrix SD-WAN est que les serveurs Citrix Virtual Apps and Desktops peuvent conserver la session dans l’ICA à flux unique tandis que le SD-WAN fournit dynamiquement l’ICA multi-flux sur le chemin virtuel/superposition.

L’approche recommandée serait de fournir aux utilisateurs venant des bureaux à domicile un SD-WAN une méthode d’accès différente de celle des utilisateurs externes habituels qui arrivent sur Internet.

StoreFront

Les points de terminaison client de travail à domicile qui se connectent via la superposition SD-WAN doivent être considérés comme sécurisés et autorisés à accéder directement aux ressources Citrix Virtual Apps and Desktops, par exemple une URL StoreFront « interne », sans intervenir sur Citrix Gateway. Dans cette méthode, le trafic HDX n’est pas transmis en tant que crypté SSL, ce qui permet aux périphériques SD-WAN de voir le protocole HDX à l’aide du port 2598 et d’initier les fonctionnalités Auto-QoS. La fonctionnalité Auto-QoS sur SD-WAN nécessite l’utilisation de Citrix Virtual Apps and Desktops LTSR 7-1912 ou version ultérieure. Dans ce scénario, le trafic HDX est toujours protégé quand il traverse le WAN, puisque les homologues SD-WAN établissent des tunnels chiffrés AES sur tous les chemins WAN disponibles entre les périphériques SD-WAN du réseau. De plus, il existe un processus d’authentification intégré avec rotation des clés de chiffrement qui permet d’assurer la régénération des clés pour chaque chemin virtuel, à des intervalles de 10 à 15 minutes. Par conséquent, seuls les homologues approuvés sont autorisés sur la superposition WAN. Vous trouverez ici plus d’informations concernant les Meilleures pratiques en matière de sécurité Citrix SD-WAN

Une autre approche pour contourner le chiffrement par passerelle, après l’authentification, afin que le SD-WAN voit HDX non chiffré consiste à utiliser des balises. Les balises sont des URL que l’application Citrix Workspace (CWA) tente de contacter pour déterminer si la machine hôte client se trouve sur un réseau interne ou un réseau externe. Par exemple, un site de succursale, des bureaux à domicile avec un SD-WAN 110 ou un café ou un aéroport respectivement. Si le CWA ne peut pas contacter le point de balise interne et reçoit une réponse pour les points d’indicateur externes, cela signifie que la machine utilisateur est en dehors du réseau interne et doit se connecter aux postes de travail et aux applications via Citrix Gateway, et que le trafic HDX doit être chiffré. Les réseaux SD-WAN Home Office doivent être considérés comme des réseaux internes et contourner Citrix Gateway pour fournir du trafic HDX non chiffré. Ici vous pouvez trouver plus d’informations concernant la Configuration de la balise.

Dans un déploiement impliquant Citrix Virtual Apps and Desktops, les données et les charges de travail sont sécurisées dans le centre de données. Même l’accès au trafic Internet est géré par des liens Internet locaux au centre de données. Le trafic Internet ne traverse pas réellement la nouvelle superposition WAN vers l’utilisateur distant. Si la redirection HDX est activée pour les hôtes clients pris en charge, ce n’est que dans certains scénarios que le trafic Internet comme Microsoft Teams est décomposé de la session HDX pour que l’hôte client distant le récupère à l’aide de sources Internet locales. Ici, le SD-WAN Home Office peut être activé pour le service Internet pour acheminer ce trafic de manière appropriée. Il peut être acheminé directement vers le cloud Office 365 via Internet Breakout.

Limiter les réseaux de bureau à domicile via DMZ du pare-feu

L’une des considérations relatives à la conception de la sécurité du réseau consisterait à rétroacheminer le trafic du Home Office et à limiter les ressources et la connectivité au réseau d’entreprise par le biais de DMZ pare-feu. En outre, les stratégies de pare-feu sur les périphériques SD-WAN peuvent être centralisées vers tous les périphériques SD-WAN des réseaux de bureau à domicile distants. Ces stratégies limitent le trafic autorisé sur la « nouvelle superposition WAN » à certaines applications, protocoles ou adresses IP serveur, etc.

Pare-feu DMZ

La sélection de la topologie de réseau est essentielle à la planification de l’architecture d’accès distant afin de s’assurer qu’elle peut prendre en charge les fonctionnalités, les performances et les exigences de sécurité nécessaires. La conception de l’architecture d’accès à distance doit être réalisée en collaboration avec l’équipe de sécurité afin de garantir le respect des exigences et des normes de sécurité de l’entreprise. Dans les deux cas, pour résoudre les problèmes typiques du dernier kilomètre du réseau étendu, la nouvelle superposition SD-WAN aborde directement les problèmes généralement rencontrés par les liens d’accès Internet partagés disponibles pour la plupart des travailleurs à domicile. Cet avantage en fait une solution incontournable pour offrir une expérience utilisateur optimale aux travailleurs à domicile heureux et productifs.

Segmenter le réseau avec des domaines de routage (VRF-lite)

Citrix SD-WAN permet de segmenter le déploiement SD-WAN pour plus de sécurité et de facilité de gestion à l’aide du routage et du transfert virtuels. Cette fonctionnalité sur Citrix SD-WAN est appelée Domaines de routage. Un déploiement Citrix SD-WAN existant, connectant des bureaux distants aux centres de données, peut introduire un nouveau domaine de routage Office à domicile pour séparer le trafic réseau de Home Office du trafic réseau d’entreprise. Chaque domaine de routage conserve sa propre table de routage unique sur les périphériques SD-WAN. Un chemin virtuel peut communiquer tous les domaines de routage. À l’entrée d’un paquet dans le tunnel, le paquet est balisé en fonction du domaine de routage associé à l’interface utilisée pour entrer dans le système. Dans le tunnel, chaque paquet est étiqueté avec son domaine de routage associé, et à la sortie du tunnel, la table de routage associée est utilisée pour une livraison correcte. Le déploiement de site SD-WAN existant peut utiliser le domaine de routage par défaut. Le nouveau domaine de routage peut être ajouté au périphérique SD-WAN tête de ligne en utilisant une interface dédiée. Ce domaine peut fournir un accès à des ressources limitées de Home Office dans le réseau d’entreprise, comme illustré ci-dessous.

Domaines de routage

Vous trouverez ici plus d’informations concernant les les domaines de routage Citrix SD-WAN

Considérations relatives à la conception du réseau de

Le déploiement rapide de milliers de terminaux s’effectue facilement grâce à des outils de gestion centralisés conçus pour les déploiements SD-WAN à grande échelle. Toutefois, lorsque cela est possible, les administrateurs doivent éliminer la complexité en limitant le cas d’utilisation de l’utilisateur personnel à une portée gérable. Par exemple, en conservant la conception initiale du réseau du bureau à domicile pour ne prendre en charge qu’un seul mode de déploiement sur une plate-forme spécifique. Cependant, les options sont nombreuses et à nouveau fortement dépendantes de la disponibilité du réseau local des bureaux à domicile. Nous présentons ci-dessous quelques options potentielles avec différentes variances du réseau local à l’esprit. Nous discutons également des avantages potentiels et des éléments à considérer pour chacun lors de l’introduction d’un périphérique SD-WAN pour desservir le réseau du bureau à domicile.

DÉCISION : Liens WAN

ISP unique (remplacement VPN)

  • Fournisseurs :
    • ISP #1 (un seul) Décision unique sur les fournisseurs de services Internet
  • Avantages :
    • Site à site (activer de nombreux périphériques connectés simultanément au réseau de travail à distance SD-WAN), éliminant ainsi le besoin de plusieurs connexions VPN point à site
    • Accès plus rapide aux ressources de l’entreprise (POP régionaux SD-WAN MCN/RCN locaux)
    • Amélioration de la sécurité grâce à un pare-feu intégré de qualité entreprise pour l’utilisation de l’Internet local
    • Avantages du chemin virtuel/superposition :
      • Meilleure performance avec QoS (bidirectionnel et entre protocoles)
      • Routage basé sur les applications
      • Atténuation des pertes (duplique/retransmission de paquets)
      • Plusieurs liaisons WAN DC peuvent toujours fournir une redondance pour les défaillances de contrôleur de domaine
      • Détection de bande passante adaptative de liaison locale
      • Gestion centralisée avec SD-WAN Orchestrator (configuration, rapports, alertes, etc.)
      • Surveillance des liens et mesures (utiles pour la conformité aux SLA)
      • (facultatif) Serveur DHCP pour le réseau de travail à distance
      • (facultatif) Citrix Secure Internet Access pour le trafic relié à Internet
  • Notions importantes :
    • Pas d’équilibrage de charge de superposition SD-WAN en raison d’une liaison WAN ISP unique
    • Aucune résilience de superposition SD-WAN en raison d’une liaison WAN ISP unique
    • Pas d’équilibrage de charge Internet local en raison d’une liaison WAN ISP unique
    • Pas de résilience Internet locale en raison d’une liaison WAN unique

Double FAI

  • Fournisseurs :
    • ISP #1
    • ISP #2 Décision sur le double fournisseur de services Internet
  • Avantages (En plus des avantages du FSI unique) :
    • Site à site avec une bande passante agrégée plus élevée en même temps utilisant plusieurs liaisons WAN ISP
    • Équilibrage de charge de superposition SD-WAN simultanément à l’aide des deux liaisons WAN ISP
    • Résilience de superposition SD-WAN à l’aide des deux liaisons WAN ISP
    • Équilibrage de charge Internet local simultanément à l’aide des deux liens WAN ISP
    • Résilience Internet locale à l’aide des deux liaisons WAN FAI
    • (facultatif) résilience à Citrix Secure Internet Access pour le trafic lié à Internet
  • Notions importantes :
    • Coût supplémentaire de la deuxième liaison WAN FAI
    • Temps et efforts pour mettre en place le FAI #2
    • Nécessite du matériel supplémentaire (Modem pour ISP #2)

ISP + LTE

  • Fournisseurs :
    • ISP #1
    • LTE #1 (transport sans fil utilisé comme deuxième liaison WAN) Décision FSI + LTE
  • Avantages (En plus, aux avantages du double FAI) :
    • Configuration simplifiée de la deuxième liaison WAN
    • Pas de composants et de câbles supplémentaires requis (modem intégré)
  • Notions importantes :
    • Le coût est potentiellement plus élevé par Mo/mois que l’option FAI filaire
    • Limité à l’allocation mensuelle de bande passante contractuelle (le dépassement est un coût supplémentaire)
    • Le sans-fil est plus lent que les transports filaires

FAI + LTE (veille)

  • Fournisseurs :
    • ISP #1
    • LTE #1 (utilisé comme deuxième liaison WAN en mode veille) Décision FSI + LTE (veille)
  • Avantages (En plus des avantages du FSI unique) :
    • Les coûts peuvent être gérés avec les fonctionnalités de veille de la demande et de dernier recours
    • Résilience de superposition SD-WAN à l’aide des deux liaisons WAN ISP
    • Résilience Internet locale à l’aide des deux liaisons WAN FAI
  • Notions importantes :
    • Pas d’équilibrage de charge de superposition SD-WAN en raison d’une liaison WAN active unique
    • Pas d’équilibrage de charge Internet local en raison d’une liaison WAN active unique

Double LTE

  • Fournisseurs :
    • LTE #1
    • LTE #2 Décision LTE1 + LTE2
  • Avantages (En plus, aux avantages du double FAI) :
    • Configuration simplifiée de la deuxième liaison WAN
    • Aucun composant et câble supplémentaires requis (modem intégré), outre le dongle USB LTE
  • Notions importantes :
    • Le coût est potentiellement plus élevé par Mo/mois que l’option FAI filaire
    • Limité à l’allocation mensuelle de bande passante contractuelle (le dépassement est un coût supplémentaire)
    • Le sans-fil est plus lent que les transports filaires

Chaque cas d’utilisation décrit ci-dessus peut être complété par des liaisons WAN supplémentaires (ISP ou LTE), ce qui augmente encore la bande passante disponible et améliore la disponibilité du réseau pour le travailleur à domicile distant.

Références

Pour plus d’informations, reportez-vous à :

Guide de PDC Citrix SD-WAN pour le bureau à domicile - Apprenez à implémenter une validation de concept de Citrix SD-WAN pour un Home Office

Fiche technique Citrix SD-WAN pour le bureau à domicile - fournit une vue d’ensemble de l’utilisation de Citrix SD-WAN pour un bureau à domicile