技术简报:业务连续性
大多数组织都制定了业务连续性计划业务连续性计划的成功取决于它对用户体验的影响程度、为克服全球性问题而扩展的程度以及维护公司安全策略的情况。
概述
业务连续性使组织能够在任何计划内或计划外中断期间实现无缝的员工生产力。业务连续性计划的成功通常取决于以下用户和业务要求:
用户要求
- 能够访问所有应用程序和数据以执行工作
- 用户体验保持不变
- 能够在不同的网络条件下提高生产力
业务要求
- 能够快速扩展以支持意外需求
- 保护企业资源免受不可信的终端设备
- 易于与当前的基础体系结构集成
- 不能绕过安全规则和策略
VPN 风险
大多数组织需要一种方法为用户提供对公司资源的安全远程访问,而无需依赖基于虚拟网络的解决方案的部署。基于 VPNN 的解决方案存在风险,因为它们:
- VPN 风险 1:难以安装和配置
- VPN 风险 2:要求用户在终端设备上安装 VPN 软件,这可能会使用不受支持的操作系统
- VPN 风险 3:需要配置复杂的策略,以防止不受信任的终端设备无限制地访问公司网络、资源和数据。
- VPN 风险 4:难以在 VPN 基础体系结构和本地基础体系结构之间保持安全策略同步。
- VPN 风险 5:一旦 VPN 建立,传统的客户端/服务器应用程序会使用本机协议有大量的带宽要求,这些协议会很快使 VPN 和网络管道过载。随着网络延迟的增加,应用程序响应能力降低,导致无法使用的用户体验。
业务连续性选项
根据当前基础体系结构的状态,组织可以选择以下解决方案之一,以便在业务连续性事件期间为用户提供安全的远程访问:
Remote PC Access
对于许多用户来说,工作环境的中心是坐在桌子下的物理 Windows 10 电脑上。Remote PC Access 允许远程用户使用几乎任何设备(平板电脑、手机和使用 iOS、Mac、Android、Linux 和 Windows 的笔记本电脑)登录到他们的物理 Windows Office PC。
以下 Remote PC Access Tech Insight 视频概述了该解决方案。
将 Remote PC Access 添加到业务连续性策略中假定以下情况:
- 用户的工作空间基于加入域的 Windows PC
- 用户使用 Active Directory 进行身份验证
- 用于容纳大型虚拟桌面 (VDI) 风格的部署的数据中心硬件容量最小
当用户远程访问其工作 PC 时,连接会使用 ICA 协议,该协议可根据不断变化的网络条件和内容进行动态调整。动态 ICA 协议提供了尽可能好的体验。
新部署
组织可以轻松部署 Citrix Virtual Apps and Desktops,以最小的部署占用空间为其环境提供 Remote PC Access,如下所示。
要添加新环境,管理员必须部署以下组件:
- 网关:通过反向代理保护内部 Windows PC 和不受信任的终端设备之间的连接。
- StoreFront:为用户提供企业应用商店,用于启动授权资源的会话。
- Delivery Controller:授权和审核与 Windows PC 的用户会话。
建议部署三个具有冗余性的组件,以克服任何单点故障。
部署新的基础体系结构后,管理员可以执行以下操作以启用 Remote PC Access:
- 将Virtual Delivery Agent 部署到物理 Windows PC(自动化部署脚本)
- 创建新的 Remote PC Access 目录
- 将用户分配到 PC
尽管 Virtual Delivery Agent 可以手动安装在每台物理 PC 上,但为简化 Virtual Delivery Agent 的部署,建议使用电子软件分发,例如 Active Directory 脚本和 Microsoft System Center Configuration Manager。
扩展的部署
组织还可以轻松地将 Remote PC Access 添加到当前 Citrix Virtual Apps and Desktops 环境。这个过程有效地扩展了概念体系结构,如下所示:
要将 Remote PC Access 添加到当前 Citrix Virtual Apps and Desktops 环境中,管理员只需执行以下操作:
- 将 Virtual Delivery Agent 部署到物理 Windows PC
- 创建新的 Remote PC Access 目录
- 将用户分配到 PC
由于用户只需访问其物理工作 PC,所以组织只需考虑为访问层和控制层提供额外的硬件。这些组件必须能够适应业务连续性事件期间涌入的新用户请求。
身份
用户将继续使用 Active Directory 进行身份验证,但是当用户为 Citrix Gateway 启动到组织的公共完全限定域名的连接时,会发生此身份验证。由于站点是外部站点,组织需要的身份验证比简单的 Active Directory 用户名和密码更强。采用多重身份验证(例如基于时间的一次性密码令牌)可以大大提高身份验证安全
Citrix Gateway 为组织提供了许多多重身份验证选项,其中包括:
会话安全
用户可以使用不受信任的个人设备远程访问工作 PC。组织可以使用集成的 Citrix Virtual Apps and Desktops 策略来防范:
- 端点风险:秘密安装在终端设备上的键记录器可以轻松捕获用户的用户名和密码。反键盘记录功能 通过混淆击键来保护组织免受凭据被盗的侵害。
- 入站风险:不受信任的终端节点可能包含恶意软件、间谍软件和其他危险内容。拒绝访问终端设备的驱动器会阻止将危险内容传输到公司网络。
- 出站风险:组织必须保持对内容的控制。允许用户将内容复制到本地、不受信任的终端设备会给组织带来额外的风险。通过阻止访问终端的驱动器、打印机、剪贴板和防屏幕捕获策略,可以拒绝这些功能。
结果
由于 Remote PC Access 允许用户在业务连续性事件期间连接到其标准 Windows PC,因此组织能够:
- 为用户提供对所有应用程序和数据的访问权限以执行工作通过 Remote PC Access,用户 Windows PC 上的所有内容都可以访问。
- 在正常运营和业务连续性事件之间保持用户体验。用户在所有情况下都会继续使用同一台 Windows PC。
- 无论位置和网络状况如何,都能保持高效率。将用户端点设备连接到 Windows PC 的 ICA 协议会根据网络状况动态调整,以提供尽可能响应最高的体验。
- 快速扩展以支持意外需求。代理部署到 Windows PC 后,管理员只需启用 Remote PC Access 功能即可。
- 保护企业资源免受不可信终端设备的侵害网关在端点和工作 PC 之间创建一个反向代理。使用会话策略,管理员可以阻止用户将数据传输到工作 PC 和企业网络。
- 轻松与当前的基础体系结构集成。Remote PC Access 只是 Citrix Virtual Apps and Desktops 解决方案中的另一种虚拟桌面类型。
- 在业务连续性事件期间保持相同的安全配置文件。远程 PC Access 将用户连接到基于办公室的 Windows PC。用户能够访问相同的资源,就像他们在办公室中的实际情况一样。
Citrix DaaS
希望允许用户远程访问其物理机而不必管理底层 Citrix 基础体系结构的组织,可以通过利用 Citrix DaaS 来实现。此服务允许管理员通过 Remote PC Access 快速授予用户(前往办公室工作的用户)对其工作站的远程访问权限。
Citrix DaaS 可以为远程工作人员或临时工作人员(第三方或顾问)提供虚拟桌面的访问权限。虚拟机可以托管在客户的数据中心或他们选择的云中。
这两种功能都使管理员能够确保用户在业务连续性方案中的工作效率。习惯于办公室中台式机和工作站的用户可以在家中通过 Remote PC Access 访问它们。临时工作人员甚至新员工都可以访问虚拟桌面,他们可以随时随地通过任何设备连接到虚拟桌面。
该服务的额外好处是,所有 Citrix 管理组件都是云托管的,并自动使用最佳实践进行更新。
身份
为了保持类似于传统的本地模型的用户体验,用户的身份将继续使用 Active Directory。身份验证机制与 Remote PC Access 方案中提供的身份验证机制相同。
数据中心连接
对于云托管资源,用户需要从虚拟桌面访问文件和后端资源。必须在云资源位置和数据中心之间建立连接。
使用 Citrix SD-WAN,组织在客户选择的云和本地数据中心之间创建安全隧道。SD-WAN 了解穿越隧道的数据,可以正确优化流量,从而改善应用程序响应时间和用户体验。
新的 Remote PC Access 部署
组织可以用最小的部署空间轻松部署 Citrix DaaS,如下图所示。
该图显示了如何在客户办公室或数据中心使用 Remote PC Access 工作负载部署 Citrix Virtual Desktops 服务。
要添加新的部署,管理员将执行以下步骤:
- 创建一个 Citrix 帐户并订阅 Citrix DaaS。
- 在本地环境中设置 Citrix Cloud Connector(至少两个),并在服务控制台中添加新的资源位置。
- 将 Citrix Gateway 服务配置为向用户提供远程访问。
完成服务配置后,管理员可以执行以下操作以启用 Remote PC Access:
- 将 Virtual Delivery Agent (VDA) 部署到物理 Windows PC(自动化部署脚本)
- 创建新的 Remote PC Access 目录
- 将用户分配到 PC
部署后,用户将对环境进行身份验证,然后从任何位置和任何设备接收对其物理工作站的 Remote PC Access。
扩展到云
组织可以轻松扩展 Citrix DaaS 部署,以包括云中运行的资源,如下图所示。
该图显示了如何在客户选择的云中使用虚拟桌面工作负载部署 Citrix DaaS。
要扩展部署,管理员将执行以下步骤:
- 在云资源位置设置 Citrix Cloud Connector(至少两个)并在服务中添加新的资源位置。
- 部署和配置 SD-WAN 实例,以便能够连接本地数据中心。
完成服务配置后,管理员可以执行以下操作以启用对虚拟机的访问:
- 创建将用于克隆虚拟机的主映像(其中包含所需的应用程序和 VDA)。
- 基于主映像和目录的交付组创建新的虚拟机目录。
- 将用户分配给交付组。
部署后,用户将对环境进行身份验证,并从任何位置和任何设备接收云托管虚拟桌面。
结果
- 在没有现有 Citrix 基础体系结构的环境中轻松部署。
- Citrix 使用最佳实践更新和管理 Citrix 组件(包括 Cloud Connector)。只有桌面主机/Remote PC Access 计算机由管理员管理。
- 可以在短短几个小时内启动环境,并可供世界任何地方的用户访问。
- 可以使用在客户数据中心运行的虚拟桌面或各种云解决方案添加其他用户。
- 用户在最后一英里(从最近的 Citrix Gateway PoP)通过互联网连接到会话,ICA 协议将根据网络状况进行调整,以提供尽可能响应最快的体验。
- Citrix 会话策略通过阻止不受信任的终端节点在 Remote PC Access 或虚拟桌面之间传输数据来保护环境
Citrix DaaS Standard for Azure
希望专门使用云托管其业务连续性环境的客户可以使用 Citrix DaaS Standard for Azure。当管理员没有时间进行设置或不想管理本地 Citrix Virtual Apps and Desktops 环境时,此部署选项也可用。
整个 Citrix DaaS Standard for Azure 环境都托管在 Microsoft Azure 中。当业务连续性事件发生时,该服务可以迅速启动。使用每月按量付费(包括 Azure 消费量),可以在不再需要时关闭环境。
身份
为了保持类似于传统的本地模型的用户体验,用户的身份将继续使用 Active Directory。Citrix DaaS Standard for Azure 加入域的基于 Active-Directory 的部署允许用户使用以下任一选项:
- 选项 1:用户对组织的 Azure Active Directory 进行身份验证,该目录将从组织的本地 Active Directory 域同步。
- 选项 2:用户使用使用 Citrix SD-WAN 创建的 Azure 到数据中心隧道对本地 Active Directory 域进行身份验证。
在大多数情况下,组织使用 Azure Active Directory Connect 实用程序将本地 Active Directory 与 Azure Active Directory 同步,或者在 Azure 中的 Active Directory 域服务与本地 Active Directory 之间建立信任。
数据中心连接
为了提高效率,用户需要从其 Citrix DaaS Standard 桌面访问文件和后端资源。除非这些项目过渡到 Azure,否则必须在 Azure 和数据中心之间建立连接。
使用 Citrix SD-WAN,组织在 Azure 和数据中心之间创建安全隧道。SD-WAN 了解穿越隧道的数据,可以正确优化流量,从而改善应用程序响应时间和用户体验。
部署
组织可以在最小的部署占用空间的情况下轻松部署 Citrix DaaS Standard for Azure,如以下概念图所示。
第一个图表显示了如何在 Citrix 托管的 Azure 中使用工作负载部署 Citrix DaaS Standard for Azure,如何向 Active Directory 进行身份验证以进行用户身份验证,以及如何使用 SD-WAN 连接到本地:
第二个图表显示了如何使用 Citrix 托管的 Azure 中的工作负载部署 Citrix DaaS Standard for Azure,以及如何将用户身份验证到与本地 Active Directory 同步或信任本地 Active Directory(分别)的 Azure Active Directory 或活动目录域服务实例。
第三个图表显示了如何使用客户管理的 Azure 中的工作负载部署 Citrix DaaS Standard for Azure,以及如何将用户身份验证到与本地 Active Directory 同步或信任本地 Active Directory 的 Azure Active Directory 域服务实例。通过 SD-WAN、站点到站点 VPN 或快速路线连接到本地位置。
要添加新的部署,管理员将执行以下步骤:
- 在托管计算机的 Azure 订阅和组织的 Azure Active Directory 之间设置 vNet 对等(如果计算机位于 Citrix 托管 Azure 中,并且身份验证是通过客户订阅中的 AAD /ADD 进行的)
- 创建并上载包含所需应用程序的主 Windows 映像
- 基于主映像部署计算机目录
- 将用户分配到计算机目录
部署后,用户将对环境进行身份验证,并从任何位置和任何设备获得云托管的托管虚拟桌面。
结果
- 在没有现有 Citrix 基础体系结构的环境中轻松部署。
- Citrix 使用最佳实践更新和管理设置。只有桌面主机由管理员管理。
- 可以在短短几个小时内启动环境,并可供世界任何地方的用户访问。
- 借助 Azure 的云规模,管理员可以在短时间内根据需要启动任意数量的计算机。
- 每月订阅模式通过让辅助位置的计算机仅在需要时启动并运行来降低成本。
- 会话通过超快的 Azure 后骨连接
- 用户在最后一英里(从最近的 Citrix Gateway PoP)通过互联网连接到会话,ICA 协议将根据网络状况进行调整,以提供尽可能响应最快的体验。
- Citrix 会话策略通过阻止不受信任的终端节点在托管桌面之间传输数据来保护环境安全。