技術概要:事業継続性
ほとんどの組織では、ビジネス継続性計画を定義しています。ビジネス継続性プランの成功は、ユーザーエクスペリエンスにどれくらい影響するか、グローバルな問題を克服するための拡張性、および企業のセキュリティポリシーの維持がどの程度重要であるかに基づきます。
概要
ビジネス継続性により、組織は計画的または予期しない停止時でも、従業員のシームレスな生産性を実現できます。ビジネス継続性プランの成功は、多くの場合、次のユーザー要件とビジネス要件に基づきます。
ユーザー要件
- すべてのアプリとデータにアクセスしてジョブを実行できる機能
- ユーザーエクスペリエンスが変わらない
- さまざまなネットワーク条件での生産性の向上
ビジネス要件
- 予期せぬニーズに対応するために迅速に拡張可能
- 信頼できないエンドポイントデバイスから企業リソースを保護
- 現在のインフラストラクチャとの統合が容易
- セキュリティルールとポリシーをバイパスしてはならない
VPNリスク
ほとんどの組織では、VPN ベースのソリューションの導入に頼ることなく、企業リソースへの安全なリモートアクセスをユーザーに提供する方法が必要です。VPNベースのソリューションは、次のような理由で危険です。
- VPN リスク 1: インストールと設定が困難である
- VPN リスク 2: エンドポイントデバイスに VPN ソフトウェアをインストールすることをユーザーに要求する。エンドポイントデバイスでは、サポートされていないオペレーティングシステムを使用する可能性があります。
- VPN リスク 3: 信頼できないエンドポイントデバイスが企業のネットワーク、リソース、およびデータへの無制限アクセスを防ぐために、複雑なポリシーの設定を要求します。
- VPN リスク 4: VPN インフラストラクチャとオンプレミスインフラストラクチャ間でセキュリティポリシーの同期を維持することが困難。
- VPN リスク 5: VPN が確立されると、従来のクライアント/サーバーアプリケーションには、ネイティブプロトコルを使用して広範な帯域幅要件があり、VPN やネットワークパイプにすばやく過負荷をかけることができます。ネットワーク遅延が増加すると、アプリケーションの応答性が低下し、ユーザーエクスペリエンスが使用できなくなります。
ビジネス継続性オプション
組織は、現在のインフラストラクチャの状態に応じて、ビジネス継続性イベント中にユーザーに安全なリモートアクセスを提供するために、次のソリューションのいずれかを選択できます。
リモートPCアクセス
多くのユーザーにとって、作業環境は、机の下に座っている物理的な Windows 10 PC を中心としています。リモートPCアクセスにより、リモートユーザーは、ほぼすべてのデバイス(iOS、Mac、Android、Linux、Windows を使用するタブレット、電話、ラップトップ)を使用して物理WindowsオフィスPCにログインできます。
次のリモートPCアクセステクインサイトビデオでは、ソリューションの概要を説明します。
ビジネス継続性戦略にリモートPCアクセスを追加すると、次のことが前提となります。
- ユーザーのワークスペースは、ドメインに参加している Windows PC に基づいている
- Active Directory でのユーザーの認証
- 大規模な仮想デスクトップ(VDI)スタイルの導入に対応するため、データセンターのハードウェア容量は最小限です。
ユーザーが自分の仕事用PCにリモートアクセスすると、接続にはICAプロトコルが使用されます。ICAプロトコルは、変化するネットワーク条件やコンテンツに動的に調整されます。ダイナミック ICA プロトコルは、可能な限り最高のエクスペリエンスを提供します。
新規導入
組織では、Citrix Virtual Apps and Desktopsを簡単に展開して、環境へのリモートPCアクセスを最小限の展開フットプリントで提供できます(以下を参照してください)。
新しい環境を追加するには、管理者が次のコンポーネントを展開する必要があります。
- ゲートウェイ:内部の Windows PC と信頼できないエンドポイントデバイス間の接続をリバースプロキシ経由で保護します。
- StoreFront: 承認されたリソースへのセッションを起動するために使用されるエンタープライズアプリストアをユーザーに提供します。
- Delivery Controller: Windows PCへのユーザーセッションを承認および監査します。
単一障害点を克服するために、冗長性を備えた 3 つのコンポーネントを導入することを推奨します。
新しいインフラストラクチャを導入すると、管理者は次の操作を実行してリモートPCアクセスを有効にできます。
- Virtual Delivery Agent を物理WindowsPCに展開します (自動化導入スクリプト)
- 新しいリモートPCアクセスカタログを作成します
- ユーザーを PC に割り当てる
Virtual Delivery Agentは各物理 PC に手動でインストールできますが、Virtual Delivery Agentの展開を簡素化するために、Active Directory スクリプトや Microsoft System Center Configuration Managerなどの電子ソフトウェア配布を使用することをお勧めします。
展開の拡大
組織は、現在のCitrix Virtual Apps and Desktops 環境にリモートPCアクセスを簡単に追加することもできます。このプロセスは、次のように概念アーキテクチャを効果的に拡張します。
現在のCitrix Virtual Apps and Desktops環境にリモートPCアクセスを追加するには、管理者は以下の操作を行います。
- Virtual Delivery Agentを物理 Windows PC に展開します。
- 新しいリモートPCアクセスカタログを作成します
- ユーザーを PC に割り当てる
ユーザーは物理的な職場 PC にアクセスするだけなので、アクセス層と制御層の追加ハードウェアを考慮するだけで済みます。これらのコンポーネントは、ビジネス継続性イベント中の新規ユーザーの要求の流入に対応できる必要があります。
ユーザー情報
ユーザーは引き続きActive Directory で認証されますが、この認証は、Citrix Gatewayの組織のパブリック完全修飾ドメイン名への接続を開始したときに発生します。サイトは外部であるため、組織では、単純な Active Directory ユーザー名とパスワードよりも強力な認証が必要です。時間ベースのワンタイムパスワードトークンのように、多要素認証を組み込むことで、認証のセキュリティが大幅に向上します。
Citrix Gatewayには、次のような多数の多要素認証オプションが組織に提供されています。
セッションセキュリティ
ユーザーは、信頼できない個人用デバイスを使用して、仕事用 PC にリモートアクセスできます。組織では、Citrix Virtual Apps and Desktopsの統合ポリシーを使用して、次のことを
- エンドポイントのリスク:エンドポイントデバイスに秘密裏にインストールされたキーロガーは、ユーザーのユーザー名とパスワードを簡単にキャプチャできます。キーロギング対策機能は 、キー入力を難読化することにより、盗まれた資格情報から組織を保護します。
- 受信リスク:信頼できないエンドポイントには、マルウェア、スパイウェア、およびその他の危険なコンテンツが含まれている可能性があります。エンドポイントデバイスのドライブへのアクセスを拒否すると、企業ネットワークへの危険なコンテンツの転送を防ぐことができます。
- アウトバウンドリスク:組織はコンテンツの管理を維持する必要があります。ユーザーがローカルの信頼できないエンドポイントデバイスにコンテンツをコピーできるようにすると、組織にはさらにリスクが伴います。これらの機能は、エンドポイントのドライブ、プリンタ、クリップボード、アンチスクリーンキャプチャポリシーへのアクセスをブロックすることで拒否できます。
結果
リモートPCアクセスにより、ビジネス継続性イベント中にユーザーは標準のWindows PCに接続できるため、組織は次のことが可能になります。
- ユーザーがすべてのアプリとデータにアクセスしてジョブを実行できるようにします。ユーザーのWindows PC上のすべてのものは、リモートPCアクセスでアクセスできます。
- 通常の運用とビジネス継続性イベントの間で、ユーザーエクスペリエンスを維持します。ユーザーは、すべての状況で同じ Windows PC を引き続き使用します。
- 場所やネットワークの状況に関係なく、生産性を維持します。ユーザーのエンドポイントデバイスをWindows PCに接続するICAプロトコルは、ネットワーク条件に基づいて動的に調整され、可能な限り応答性の高いエクスペリエンスを提供します。
- 予期せぬニーズに対応するために迅速に拡張できます。エージェントがWindows PCに展開されると、管理者はリモートPCアクセス機能を有効にするだけで済みます。
- 信頼できないエンドポイントデバイスから企業リソースを保護します。ゲートウェイは、エンドポイントと作業用 PC の間にリバースプロキシを作成します。セッションポリシーを使用すると、管理者はユーザーが職場 PC や企業ネットワークとの間でデータを転送することをブロックできます。
- 現在のインフラストラクチャと簡単に統合できます。リモートPCアクセスは、Citrix Virtual Apps and Desktopsソリューション内の異なる種類の仮想デスクトップです。
- ビジネス継続性イベント中、同じセキュリティ・プロファイルを維持します。リモートPCアクセスは、ユーザーをオフィスベースの Windows PC に接続します。ユーザーは、物理的にオフィスにいるのと同じ方法で、同じリソースにアクセスできます。
Citrix DaaS
基盤となるCitrixインフラストラクチャを管理する必要がなく、ユーザーに物理マシンへのリモートアクセスを許可したい組織は、Citrix DaaS を利用することで実現できます。このサービスにより、管理者は、リモートPCアクセスを介したワークステーションへのリモートアクセス(オフィスに赴くユーザー)に迅速に許可することができます。
Citrix DaaSは、リモートワーカーまたは臨時ワーカー(サードパーティまたはコンサルタント)に仮想デスクトップへのアクセスを提供できます。仮想マシンは、お客様のデータセンターまたは選択したクラウドのいずれかでホストできます。
どちらの機能でも、管理者はビジネス継続性のシナリオにおいて、ユーザーの生産性を確保できます。オフィス内のデスクトップやワークステーションに慣れているユーザーは、自宅からリモートPCアクセスを介してアクセスできます。一時作業者や新規スタッフも、仮想デスクトップにアクセスでき、どこからでも、どのデバイスからでも接続できます。
このサービスの追加メリットは、すべてのCitrix管理コンポーネントがクラウドホストされ、ベストプラクティスを使用して自動的に更新されることです。
ユーザー情報
従来のオンプレミスモデルと同様のユーザーエクスペリエンスを維持するために、ユーザーの ID は Active Directory を引き続き使用します。認証メカニズムは、リモートPCアクセスのシナリオで提供されるものと同じです。
データ・センターの接続性
クラウドでホストされるリソースの場合、ユーザーは仮想デスクトップからファイルとバックエンドリソースにアクセスする必要があります。クラウドリソースの場所とデータセンター間の接続を確立する必要があります。
Citrix SD-WAN を使用して、組織はお客様が選択したクラウドとオンプレミスのデータセンターの間に安全なトンネルを作成します。SD-WAN は、トンネルを通過するデータを理解し、トラフィックを適切に最適化して、アプリケーションの応答時間とユーザエクスペリエンスを向上させることができます。
新しいリモートPCアクセスの導入
組織は、次の概念図に示すように、最小限の展開フットプリントでCitrix DaaSを簡単に展開できます。
この図は、お客様のオフィスまたはデータセンターで、Citrix Virtual DesktopsサービスがリモートPCアクセスのワークロードとともにどのように展開されるかを示しています。
新しい展開を追加するには、管理者は以下の手順を実行します。
- Citrix アカウントを作成し、Citrix DaaS をサブスクライブします。
- オンプレミス環境でCitrix Cloud Connectorを2つ以上セットアップし、サービスコンソールで新しいリソースの場所を追加します。
- ユーザーにリモートアクセスを提供するようにCitrix Gatewayサービスを構成します。
サービス構成が完了すると、管理者は次の操作を実行してリモートPCアクセスを有効にできます。
- Virtual Delivery Agent(VDA)を物理 Windows PC(自動展開スクリプト)に展開します
- 新しいリモートPCアクセスカタログを作成します
- ユーザーを PC に割り当てる
展開後、ユーザーは環境に対して認証を行い、任意の場所やデバイスから利用可能な物理ワークステーションへのリモートPCアクセスを受け取ります。
クラウドへの拡張
次の概念図に示すように、組織はCitrix DaaS展開を簡単に拡張して、クラウドで実行されているリソースを含めることができます。
この図は、お客様が選択したクラウド内の仮想デスクトップワークロードとともにCitrix DaaSがどのように展開されるかを示しています。
展開を展開するには、管理者は次のステップを実行します。
- クラウドリソースの場所でCitrix Cloud Connectorを(2つ以上)セットアップし、サービスに新しいリソースの場所を追加します。
- オンプレミスのデータセンターに接続できるように SD-WAN インスタンスをデプロイして設定します。
サービス構成が完了すると、管理者は次の操作を実行して、仮想マシンへのアクセスを有効にできます。
- 仮想マシンのクローン作成に使用するマスターイメージ(必要なアプリとVDAがインストールされている)を作成します。
- マスターイメージとカタログのデリバリーグループに基づいて、新しい仮想マシンカタログを作成します。
- ユーザーをデリバリーグループに割り当てます。
デプロイされると、ユーザーは環境に認証され、任意の場所やデバイスからクラウドホスト仮想デスクトップを受け取ります。
結果
- 既存のCitrixインフラストラクチャが存在しない環境に容易に導入できます。
- Citrixは、Cloud Connectorを含むCitrixコンポーネントをベストプラクティスとともに更新および管理します。管理者によって管理されるのは、デスクトップホスト/リモートPCアクセスマシンのみです。
- わずか数時間で環境を構築し、世界中のどこからでもユーザーにアクセスすることができます。
- お客様のデータセンターで実行されている仮想デスクトップまたはさまざまなクラウドソリューションを使用して、追加のユーザーを追加できます。
- ユーザーは(最寄りのCitrix Gateway PoPから)最後の1マイル(最寄りのCitrix Gateway PoPから)インターネット経由でセッションに接続すると、ICAプロトコルはネットワーク条件に基づいて調整され、可能な限り応答性の高いエクスペリエンスを提供します。
- Citrixセッションポリシーは、信頼されていないエンドポイントがリモートPCアクセスまたは仮想デスクトップとの間でデータを転送するのをブロックすることで、環境を保護します
Citrix DaaS Standard for Azure
クラウドのみを使用してビジネス継続性環境をホストしたいお客様は、Citrix DaaS Standard for Azureを使用できます。この展開オプションは、管理者がセットアップする時間がない、またはオンプレミスのCitrix Virtual Apps and Desktops環境を管理したくない場合にも機能します。
Citrix DaaS Standard for Azure全体が Microsoft Azure でホストされています。このサービスは、ビジネス継続性イベントが発生したときに迅速に起動できます。毎月の従量課金請求 (Azure の使用量を含む) を使用すると、不要になったときに環境をシャットダウンできます。
ユーザー情報
従来のオンプレミスモデルと同様のユーザーエクスペリエンスを維持するために、ユーザーの ID は Active Directory を引き続き使用します。Citrix DaaS Standard for Azure のドメイン参加型アクティブディレクトリベースの展開では、ユーザーは次のいずれかのオプションを使用できます。
- オプション 1: ユーザーは、組織の Azure Active Directory に認証されます。Azure Active Directory は、組織のオンプレミスの Active Directory ドメインから同期されます。
- オプション 2: ユーザーは、Citrix SD-WAN で作成された Azure からデータセンターへのトンネルを使用して、オンプレミスの Active Directory ドメインに認証します。
ほとんどの場合、組織はAzure Active Directory接続ユーティリティを使用してオンプレミスのActive Directory DirectoryとAzure Active Directory を同期するか、AzureのActive Directory Domain Services オンプレミスのActive Directoryの間に信頼を設定します。
データ・センターの接続性
効果的にするには、ユーザーはCitrix DaaS Standardデスクトップからファイルとバックエンドリソースにアクセスする必要があります。これらの項目を Azure に移行しない限り、Azure とデータセンター間の接続を確立する必要があります。
Citrix SD-WAN を使用して、組織はAzure とデータセンターの間に安全なトンネルを作成します。SD-WAN は、トンネルを通過するデータを理解し、トラフィックを適切に最適化して、アプリケーションの応答時間とユーザエクスペリエンスを向上させることができます。
展開
組織は、次の概念図に示すように、最小限の展開フットプリントでCitrix DaaS Standard for Azureを簡単に展開できます。
最初の図は、Citrix DaaS Standard for Azureが、Citrix itrixが管理するAzureのワークロードとともに展開され、ユーザー認証のためにActive Directory に認証され、SD-WANを使用してオンプレミスに接続される方法を示しています。
2番目の図は、Citrix DaaS Standard for Azureが、Citrix itrixが管理するAzureのワークロードとともに展開され、オンプレミスのActive Directory と同期するか、またはオンプレミスのActive Directoryと信頼するAzure Active Directoryドメインサービスインスタンスにユーザーを認証する方法を示しています。
3番目の図は、Citrix DaaS Standard for Azureが、お客様が管理するAzureのワークロードとともに展開され、オンプレミスのActive Directory rectoryと同期するか、またはオンプレミスのActive Directoryと信頼するAzure Active Directoryドメインサービスインスタンスにユーザーを認証する方法を示しています。SD-WAN、サイトからサイト VPN、またはエクスプレスルート経由でオンプレミスの場所への接続。
新しい展開を追加するには、管理者は以下の手順を実行します。
- マシンをホストする Azure サブスクリプションと組織の Azure Active Directory の間の VNet ピアリングを設定します (マシンが Citrix 管理の Azure にあり、認証が顧客のサブスクリプションの AAD または ADDS 経由の場合)
- 必要なアプリを含むマスター Windows イメージを作成してアップロードします。
- マスターイメージに基づいてマシンカタログを展開する
- ユーザーをマシンカタログに割り当てる
デプロイされると、ユーザーは環境に認証され、クラウドホストで管理された仮想デスクトップを、任意の場所やデバイスから利用できます。
結果
- 既存のCitrixインフラストラクチャが存在しない環境に容易に導入できます。
- Citrixは、ベストプラクティスを使用してセットアップを更新および管理します。管理者によって管理されるのは、デスクトップホストだけです。
- わずか数時間で環境を構築し、世界中のどこからでもユーザーにアクセスすることができます。
- Azure のクラウド規模により、管理者は必要な数のマシンを短時間で起動できます。
- 月間サブスクリプションモデルでは、セカンダリ・ロケーションにあるマシンを必要な場合にのみ稼働させることで、コストを抑えます。
- セッションは、超高速の Azure バックボーンを介して接続されています
- ユーザーは(最寄りのCitrix Gateway PoPから)最後の1マイル(最寄りのCitrix Gateway PoPから)インターネット経由でセッションに接続すると、ICAプロトコルはネットワーク条件に基づいて調整され、可能な限り応答性の高いエクスペリエンスを提供します。
- Citrixセッションポリシーは、信頼されていないエンドポイントが管理対象デスクトップとの間でデータを転送するのをブロックすることで、環境を保護します。