Continuité opérationnelle

La plupart des organisations ont défini des plans de continuité des activités. Le succès d’un plan de continuité d’activité dépend de l’impact qu’il a sur l’expérience utilisateur, de sa capacité à surmonter les problèmes mondiaux et de la manière dont il maintient les politiques de sécurité de l’entreprise.

Généralités

La continuité d’activité permet aux entreprises d’assurer une productivité homogène de la main-d’œuvre lors de tout type d’interruption planifiée ou imprévue. Le succès d’un plan de continuité des activités repose souvent sur les exigences suivantes de l’utilisateur et de l’entreprise :

Exigences utilisateur

  • Possibilité d’accéder à toutes les applications et données pour effectuer le travail
  • L’expérience utilisateur reste la même
  • Capacité à être productif avec des conditions de réseau variables

Besoins de l’entreprise

  • Capacité à évoluer rapidement pour répondre à des besoins inattendus
  • Protéger les ressources de l’entreprise contre les terminaux non fiables
  • Facile à intégrer avec l’infrastructure actuelle
  • Ne doit pas contourner les règles et stratégies de sécurité

Risques VPN

La plupart des entreprises ont besoin d’un moyen de fournir aux utilisateurs un accès distant sécurisé aux ressources de l’entreprise sans compter sur le déploiement de solutions basées sur VPN. Les solutions basées sur VPN sont risquées parce qu’elles :

  • Risque VPN 1 : sont difficiles à installer et à configurer
  • Risque VPN 2 : Exiger que les utilisateurs installent le logiciel VPN sur les terminaux, qui peuvent utiliser un système d’exploitation non pris en charge
  • Risque VPN 3 : nécessite la configuration de stratégies complexes pour empêcher un périphérique de point de terminaison non fiable d’avoir un accès illimité au réseau, aux ressources et aux données de l’entreprise.
  • Risque VPN 4 : Difficile de synchroniser les stratégies de sécurité entre l’infrastructure VPN et l’infrastructure locale.
  • Risque VPN 5 : Une fois le VPN établi, les applications client/serveur traditionnelles ont des exigences étendues en bande passante à l’aide de protocoles natifs qui surchargent rapidement les VPN et les canaux réseau. À mesure que la latence du réseau augmente, la réactivité des applications se dégrade, ce qui entraîne une expérience utilisateur inutilisable.

Options de continuité d’activité

Selon l’état de l’infrastructure actuelle, une organisation peut opter pour l’une des solutions suivantes pour fournir un accès distant sécurisé aux utilisateurs lors d’un événement de continuité d’activité :

Options de continuité d'activité

Remote PC Access

Pour de nombreux utilisateurs, l’environnement de travail est centré sur un PC Windows 10 physique assis sous leur bureau. Remote PC Access permet à un utilisateur distant de se connecter à son PC de bureau Windows physique à l’aide de pratiquement n’importe quel appareil (tablettes, téléphones et ordinateurs portables utilisant iOS, Mac, Android, Linux et Windows).

La vidéo Remote PC Access Tech Insight suivante fournit une vue d’ensemble de la solution.

Insight techniques sur Remote PC Access

L’ajout de Remote PC Access à la stratégie de continuité d’activité suppose les éléments suivants :

  • L’espace de travail d’un utilisateur est basé sur des PC Windows joints à un domaine
  • Authentification de l’utilisateur avec Active Directory
  • La capacité matérielle supplémentaire du datacenter est minimale pour accueillir un déploiement de type VDI (bureau virtuel) volumineux

Lorsque l’utilisateur accède à distance à son PC de travail, la connexion utilise le protocole ICA, qui s’adapte dynamiquement à l’évolution des conditions et du contenu du réseau. Le protocole dynamique ICA offre la meilleure expérience possible.

Nouveau déploiement

Les entreprises peuvent facilement déployer Citrix Virtual Apps and Desktops pour fournir Remote PC Access à leur environnement avec un encombrement de déploiement minimal, comme indiqué ci-dessous.

Remote PC Access - Nouveau déploiement

Pour ajouter un nouvel environnement, l’administrateur doit déployer les composants suivants :

  • Passerelle : sécurise les connexions entre les PC Windows internes et les périphériques de point de terminaison non approuvés via un proxy inverse.
  • StoreFront : fournit aux utilisateurs un magasin d’applications d’entreprise utilisé pour lancer des sessions vers des ressources autorisées.
  • Delivery Controller : autorise et vérifie les sessions utilisateur sur les PC Windows.

Il est recommandé de déployer trois composants avec redondance pour surmonter tout point de défaillance unique.

Avec une nouvelle infrastructure déployée, l’administrateur peut effectuer les opérations suivantes pour activer Remote PC Access :

  • Déploie Virtual Delivery Agent sur des PC Windows physiques (Scripts d’automatisation)
  • Crée un nouveau catalogue Remote PC Access
  • Affecte des utilisateurs aux PC

Bien que Virtual Delivery Agent puisse être installé manuellement sur chaque PC physique, pour simplifier le déploiement de Virtual Delivery Agent, il est recommandé d’utiliser la distribution de logiciels électroniques tels que les scripts Active Directory et Microsoft System Center Configuration Manager.

Déploiement étendu

Une organisation peut également facilement ajouter Remote PC Access à un environnement Citrix Virtual Apps and Desktops actuel. Ce processus élargit efficacement l’architecture conceptuelle comme suit :

Remote PC Access - Nouveau déploiement

Pour ajouter Remote PC Access à un environnement Citrix Virtual Apps and Desktops actuel, l’administrateur effectue simplement les opérations suivantes :

  • Déploie Virtual Delivery Agent sur des PC Windows physiques
  • Crée un nouveau catalogue Remote PC Access
  • Affecte des utilisateurs aux PC

Étant donné que les utilisateurs accèdent simplement à leur PC de travail physique, l’organisation n’a qu’à envisager du matériel supplémentaire pour les couches d’accès et de contrôle. Ces composants doivent pouvoir répondre à l’afflux de demandes des nouveaux utilisateurs lors d’un événement de continuité d’activité.

Identité

Les utilisateurs continuent à s’authentifier avec Active Directory, mais cette authentification se produit lorsque l’utilisateur initie une connexion au nom de domaine complet public de l’organisation pour Citrix Gateway. Étant donné que le site est externe, les organisations ont besoin d’une authentification plus forte qu’un nom d’utilisateur et un mot de passe Active Directory simples. L’intégration d’une authentification multifacteur, comme un jeton de mot de passe unique basé sur le temps, peut grandement améliorer la sécurité de l’authentification.

Citrix Gateway fournit aux entreprises de nombreuses options d’authentification multifacteurs, notamment :

Sécurité de session

Les utilisateurs peuvent accéder à distance au PC de travail avec un appareil personnel non fiable. Les organisations peuvent utiliser des stratégies Citrix Virtual Apps and Desktops intégrées pour se protéger contre :

  • Risques liés aux points de terminaison : les enregistreurs de clés installés secrètement sur le terminal peuvent facilement capturer le nom d’utilisateur et le mot de passe d’un utilisateur. Les fonctionnalités d’anti-journalisation des touches protègent l’organisation contre les informations d’identification volées en obfusant les frappes de frappe.
  • Risques entrants : les terminaux non fiables peuvent contenir des logiciels malveillants, des logiciels espions et d’autres contenus dangereux. Le refus d’accès aux lecteurs du terminal empêche la transmission de contenu dangereux vers le réseau d’entreprise.
  • Risques sortants : Les organisations doivent garder le contrôle sur le contenu. Le fait de permettre aux utilisateurs de copier du contenu sur des terminaux locaux non approuvés pose des risques supplémentaires pour l’organisation. Ces fonctionnalités peuvent être refusées en bloquant l’accès aux lecteurs, imprimantes, presse-papiers et stratégies anti-capture d’écran du point de terminaison.

Résultats

Étant donné que Remote PC Access permet aux utilisateurs de se connecter à leur PC Windows standard lors d’un événement de continuité d’activité, les organisations sont en mesure de :

  • Fournir aux utilisateurs l’accès à toutes les applications et données pour effectuer leur travail. Tout ce qui se trouve sur le PC Windows de l’utilisateur est accessible avec Remote PC Access.
  • Maintenez l’expérience utilisateur entre les opérations normales et les événements de continuité d’activité. Les utilisateurs continuent d’utiliser le même PC Windows dans toutes les situations.
  • Restez productif, indépendamment de l’emplacement et des conditions du réseau. Le protocole ICA reliant le périphérique de point final de l’utilisateur au PC Windows s’ajuste dynamiquement en fonction des conditions du réseau afin de fournir l’expérience la plus réactive possible.
  • Échelle rapidement pour répondre aux besoins inattendus. Une fois l’agent déployé sur les PC Windows, l’administrateur peut simplement activer la fonctionnalité Remote PC Access.
  • Protégez les ressources de l’entreprise contre les terminaux non fiables. Gateway crée un proxy inverse entre le point final et le PC de travail. Grâce aux stratégies de session, les administrateurs peuvent empêcher les utilisateurs de transférer des données vers/depuis le PC professionnel et le réseau d’entreprise.
  • Intégration facile à l’infrastructure actuelle. Remote PC Access est simplement un autre type de bureau virtuel au sein de la solution Citrix Virtual Apps and Desktops.
  • Maintenez le même profil de sécurité lors d’un événement de continuité d’activité. Remote PC Access connecte les utilisateurs à leur PC Windows de bureau. Les utilisateurs ont la possibilité d’accéder aux mêmes ressources, de la même manière qu’ils se trouvaient physiquement au bureau.

Citrix Virtual Desktops Service

Les organisations qui souhaitent donner aux utilisateurs un accès distant à leurs machines physiques sans avoir à gérer l’infrastructure Citrix sous-jacente peuvent le faire en utilisant le service Citrix Virtual Desktops. Ce service permet aux administrateurs d’accorder rapidement aux utilisateurs (qui se rendent au bureau pour travailler) un accès distant à leurs postes de travail via Remote PC Access.

Le service Citrix Virtual Desktops peut fournir l’accès aux travailleurs distants ou temporaires (tiers ou consultants) à des postes de travail virtuels. Les machines virtuelles peuvent être hébergées soit dans le datacenter du client, soit dans un cloud de leur choix.

Ces deux fonctionnalités permettent aux administrateurs de s’assurer que les utilisateurs sont productifs, lors d’un scénario de continuité d’activité. Les utilisateurs qui sont habitués aux postes de travail et aux postes de travail au bureau, peuvent y accéder via Remote PC Access depuis la maison. Les travailleurs temporaires et même les nouveaux employés ont accès à des postes de travail virtuels auxquels ils se connectent depuis n’importe où et sur n’importe quel appareil.

L’avantage supplémentaire du service est que tous les composants de gestion Citrix sont hébergés dans le cloud et sont automatiquement mis à jour avec les meilleures pratiques.

Identité

Pour conserver une expérience utilisateur similaire au modèle local traditionnel, l’identité de l’utilisateur continue d’utiliser Active Directory. Les mécanismes d’authentification sont les mêmes que ceux fournis dans le scénario Remote PC Access.

Connectivité du data center

Pour les ressources hébergées dans le cloud, les utilisateurs doivent accéder aux fichiers et aux ressources back-end à partir de leurs postes de travail virtuels. La connectivité entre l’emplacement des ressources cloud et le centre de données doit être établie.

À l’aide de Citrix SD-WAN, les organisations créent un tunnel sécurisé entre le cloud choisi par le client et le datacenter local. Le SD-WAN comprend les données qui traversent le tunnel et peut optimiser correctement le trafic afin d’améliorer le temps de réponse des applications et l’expérience utilisateur.

Nouveau déploiement Remote PC Access

Les organisations peuvent facilement déployer Citrix Virtual Desktops avec un encombrement de déploiement minimal, comme le montre le diagramme conceptuel suivant.

Le diagramme montre comment le service Citrix Virtual Desktops est déployé avec les charges de travail Remote PC Access dans le bureau ou le centre de données du client.

Citrix Virtual Desktops - Remote PC Access

Pour ajouter un nouveau déploiement, l’administrateur effectue les opérations suivantes :

  • Crée un compte Citrix et s’abonne au service Citrix Virtual Desktops.
  • Configure Citrix Cloud Connector (au moins deux) dans l’environnement local et ajoute le nouvel emplacement de ressources dans la console de service.
  • Configure le service Citrix Gateway pour fournir un accès distant aux utilisateurs.

Une fois la configuration du service terminée, l’administrateur peut effectuer les opérations suivantes pour activer Remote PC Access :

  • Déploie le Virtual Delivery Agent (VDA) sur des PC Windows physiques (scripts de déploiement d’automatisation)
  • Crée un nouveau catalogue Remote PC Access
  • Affecte des utilisateurs aux PC

Une fois déployé, les utilisateurs s’authentifient dans l’environnement et reçoivent Remote PC Access à leurs postes de travail physiques disponibles à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

Développer vers le cloud

Les organisations peuvent facilement étendre le déploiement de Citrix Virtual Desktops afin d’inclure des ressources s’exécutant dans le cloud, comme le montre le diagramme conceptuel suivant.

Le diagramme montre comment le service Citrix Virtual Desktops est déployé avec les charges de travail des postes de travail virtuels dans le cloud de choix du client.

Citrix Virtual Desktops - Développer vers Cloud

Pour développer le déploiement, l’administrateur effectue les opérations suivantes :

  • Configure Citrix Cloud Connector (au moins deux) dans l’emplacement des ressources cloud et ajoute le nouvel emplacement de ressource dans le service.
  • Déploie et configure les instances SD-WAN pour pouvoir connecter le datacenter local.

Une fois la configuration du service terminée, l’administrateur peut effectuer les opérations suivantes pour activer l’accès aux machines virtuelles :

  • Crée une image principale (avec les applications requises et le VDA installés dessus) qui sera utilisée pour cloner les machines virtuelles.
  • Crée un nouveau catalogue de machines virtuelles basé sur l’image principale et un groupe de mise à disposition pour le catalogue.
  • Affecte des utilisateurs au groupe de mise à disposition.

Une fois déployé, les utilisateurs s’authentifient auprès de l’environnement et reçoivent un poste de travail virtuel hébergé dans le cloud disponible à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

Résultats

  • Facilement déployé dans un environnement où aucune infrastructure Citrix existante n’est présente.
  • Citrix met à jour et gère les composants Citrix, y compris Cloud Connector, avec les meilleures pratiques. Seuls les hôtes de bureau et les machines Remote PC Access sont gérés par l’administrateur.
  • Peut mettre en place un environnement en seulement quelques heures et accessible aux utilisateurs de n’importe où dans le monde.
  • D’autres utilisateurs peuvent être ajoutés à l’aide de postes de travail virtuels exécutés dans le centre de données du client ou d’une variété de solutions cloud.
  • L’utilisateur se connecte à la session sur Internet pour le dernier kilomètre (à partir du PoP Citrix Gateway le plus proche), le protocole ICA s’ajuste en fonction des conditions du réseau pour fournir l’expérience la plus réactive possible.
  • Les stratégies de session Citrix sécurisent l’environnement en bloquant les points de terminaison non fiables du transfert de données vers et depuis Remote PC Access ou le bureau virtuel

Citrix Virtual Apps and Desktops Standard pour Azure

Les clients qui souhaitent utiliser exclusivement le cloud pour héberger leur environnement de continuité d’activité peuvent utiliser Citrix Virtual Apps and Desktops Standard for Azure, une offre DaaS (Desktop-as-a-Service). Cette option de déploiement fonctionne également lorsqu’un administrateur n’a pas le temps de configurer ou ne veut pas gérer un environnement Citrix Virtual Apps and Desktops local.

L’ensemble de l’environnement Citrix Virtual Apps and Desktops Standard pour Azure est hébergé dans Microsoft Azure. Ce service peut être créé rapidement lorsque l’événement de continuité d’activité se produit. Avec la facturation mensuelle à l’utilisation (qui inclut la consommation Azure), l’environnement peut être arrêté lorsqu’il n’est plus nécessaire.

Identité

Pour conserver une expérience utilisateur similaire au modèle local traditionnel, l’identité de l’utilisateur continue d’utiliser Active Directory. Les déploiements basés sur un répertoire actif de Citrix Virtual Apps and Desktops Standard pour Azure, joints à un domaine, permettent aux utilisateurs d’utiliser l’une des options suivantes :

  • Option 1 : Les utilisateurs s’authentifient auprès de Azure Active Directory de l’organisation, qui est synchronisé à partir du domaine Active Directory local de l’organisation.
  • Option 2 : Les utilisateurs s’authentifient auprès du domaine Active Directory local à l’aide d’un tunnel Azure vers Data Center créé avec Citrix SD-WAN.

Dans la plupart des cas, une organisation synchronise Active Directory local avec Azure Active Directory à l’aide de l’utilitaire Connexion Azure Active Directory ou configure l’approbation entre les Active Directory Domain Services dans Azure avec Active Directory local.

Connectivité du data center

Pour être efficaces, les utilisateurs doivent accéder aux fichiers et aux ressources back-end à partir de leur norme CVAD. À moins que ces éléments ne soient transitionnés vers Azure, la connectivité entre Azure et le centre de données doit être établie.

À l’aide de Citrix SD-WAN, les organisations créent un tunnel sécurisé entre Azure et le centre de données. Le SD-WAN comprend les données qui traversent le tunnel et peut optimiser correctement le trafic afin d’améliorer le temps de réponse des applications et l’expérience utilisateur.

Déploiement

Les organisations peuvent facilement déployer Citrix Virtual Apps and Desktops Standard pour Azure avec un encombrement de déploiement minimal, comme le montrent les diagrammes conceptuels suivants.

Le premier diagramme montre comment Citrix Virtual Apps and Desktops Standard pour Azure sont déployés avec des charges de travail dans Azure géré par Citrix et s’authentifiant auprès d’Active Directory pour l’authentification utilisateur et connecté sur site avec SD-WAN :

Citrix Virtual Apps and Desktops Standard pour Azure - Citrix Managed Azure et authentification Active Directory avec SD-WAN

Le deuxième diagramme montre comment Citrix Virtual Apps et Desktops Standard pour Azure sont déployés avec des charges de travail dans Azure géré par Citrix et authentifier les utilisateurs sur une instance de services de domaine Azure Active Directory ou Active Directory qui se synchronise ou qui a confiance (respectivement) avec un Active Directory local.

Citrix Virtual Apps and Desktops Standard pour Azure - Authentification Citrix Managed Azure et Azure Active Directory avec AD sync

Le troisième diagramme montre comment Citrix Virtual Apps and Desktops Standard pour Azure sont déployés avec des charges de travail dans Azure gérée par le client et authentifie les utilisateurs sur une instance de services de domaine Azure Active Directory ou Active Directory qui se synchronise avec (respectivement) un Active Directory local ou qui a une confiance avec (respectivement) un Active Directory local. Connexion à l’emplacement sur site via SD-WAN, VPN Site to Site to Site ou Express Route.

Citrix Virtual Apps and Desktops Standard pour Azure - Authentification Azure et Azure Active Directory gérée par le client avec AD sync

Pour ajouter un nouveau déploiement, l’administrateur effectue les opérations suivantes :

  • Configure l’appairage VNet entre l’abonnement Azure où les machines seraient hébergées et Azure Active Directory de l’organisation (si les machines sont dans Azure géré par Citrix et que l’authentification se fait via AAD/ADDS dans l’abonnement client)
  • Crée et télécharge une image Windows principale contenant les applications requises
  • Déploie un catalogue de machines basé sur l’image principale
  • Affecte les utilisateurs au catalogue de machines

Une fois déployé, les utilisateurs s’authentifient auprès de l’environnement et reçoivent un bureau virtuel géré hébergé dans le cloud disponible à partir de n’importe quel emplacement et depuis n’importe quel périphérique.

Résultats

  • Facilement déployé dans un environnement où aucune infrastructure Citrix existante n’est présente.
  • Citrix met à jour et gère l’installation avec les meilleures pratiques. Seuls les hôtes de bureau sont gérés par l’administrateur.
  • Peut mettre en place un environnement en seulement quelques heures et accessible aux utilisateurs de n’importe où dans le monde.
  • Avec la mise à l’échelle de cloud d’Azure, les administrateurs peuvent mettre en place autant de machines que nécessaire en peu de temps.
  • Le modèle d’abonnement mensuel maintient le coût à la baisse en mettant en service les machines dans l’emplacement secondaire uniquement en cas de besoin.
  • La session est connectée sur l’épine dorsale Azure ultra-rapide
  • L’utilisateur se connecte à la session sur Internet pour le dernier kilomètre (à partir du PoP Citrix Gateway le plus proche), le protocole ICA s’ajuste en fonction des conditions du réseau pour fournir l’expérience la plus réactive possible.
  • Les stratégies de session Citrix sécurisent l’environnement en bloquant les points de terminaison non approuvés du transfert de données vers et depuis le bureau géré.