Get best of the week

¿Cómo organizar de forma rápida y segura el trabajo remoto de los empleados? Hablamos de diferentes enfoques: con VDI y no solo

Durante mucho tiempo, la empresa se enfrentó a la necesidad de organizar de manera conveniente y segura el trabajo remoto de sus empleados. Pero si antes esta tarea podía posponerse regularmente y continuar reflexionando, ahora ya no hay más tiempo: "remota" es la tendencia principal de la primavera de 2020 en todo el mundo. En este material nos gustaría compartir nuestra experiencia en la organización del trabajo remoto de los empleados, porque hemos estado muy involucrados en este tema durante casi 25 años.

El formato de trabajo remoto es absolutamente familiar para cualquier empleado de Dell Technologies, y nuestras oficinas en Rusia no son una excepción a este respecto. Específicamente, hoy nos gustaría concentrarnos en las opciones para resolver el problema usando el equipo disponible, es decir, soluciones operativas sin usar VDI, y desplegar VDI lo antes posible. Debajo del recorte, daremos respuestas detalladas a cuatro preguntas que nuestros clientes actuales y potenciales han formulado con mayor frecuencia recientemente.



¿Es posible con un mínimo esfuerzo hacer que los empleados trabajen desde casa de la misma manera que en la oficina?


Lata. Para hacer esto, un empleado que está cambiando a "remoto" necesitará una computadora portátil con programas instalados que usualmente usa, y un conjunto de software grupal como Microsoft Teams, Skype for Business, posiblemente Zoom, etc. Esto le permitirá comunicarse e intercambiar información con su equipo de la misma manera que en la oficina. Al mismo tiempo, una cosa más es absolutamente necesaria: un cliente VPN. Hay muchas opciones, y la elección de una específica obviamente dependerá de las instrucciones del departamento de seguridad de la información de su empresa.

Dado que el dispositivo del empleado estará en su hogar y no en la oficina, es necesario arriesgarse a que una persona externa pueda acceder a él. Por lo tanto, se debe utilizar la autenticación multifactor: tarjetas inteligentes, escáner de huellas digitales, tokens o contraseñas de un solo uso. No debemos olvidarnos del software de seguridad: antivirus y medios para evitar la filtración de información.

Pero lo más importante es el software de control remoto. Es lo que permitirá a los especialistas del departamento de TI de su empresa configurar la PC de los empleados ubicados fuera de la red local. Aquellos clientes que usan computadoras corporativas de Dell Technologies (en particular, las series Latitude y OptiPlex) se encuentran en una posición privilegiada a este respecto. El hecho es que están preinstalados con Dell Client Command Suite, que ofrece beneficios tangibles en la situación actual.

De hecho, esta es una solución KVM, cuya funcionalidad se puede utilizar incluso si el dispositivo en el que está instalado se encuentra fuera de la empresa. Puede hacer muchas cosas con él: implementar y configurar el dispositivo, instalar controladores, controlar el estado e incluso actualizar el BIOS. Aquí, sin embargo, hay un punto sutil: necesita soporte para la tecnología vPro, y esto depende de la configuración específica y del procesador utilizado en la computadora.

Si existe dicho soporte, utilizando los módulos de Implementación y Configuración, el administrador del sistema puede preparar de forma remota el dispositivo para enviarlo al usuario: instalar de forma remota los ensamblajes de los controladores necesarios y las actualizaciones de firmware. El módulo Monitor le permite controlar el estado del hardware de toda la flota de equipos en manos de empleados remotos.

Las computadoras corporativas no son suficientes. ¿Cómo organizar un "control remoto" en los dispositivos de los propios empleados?


Y también es posible. Aquí, por nuestra parte, podemos recomendar otro software especial: Workspace ONE de VMware. Consta de tres partes. vIDM es responsable de identificar a los usuarios e implementar la tecnología de inicio de sesión único, y esto sucede independientemente de si el dispositivo está ubicado en una red corporativa o externa.

La siguiente parte es administrar dispositivos móviles. Si utilizó el programa anteriormente, seguramente lo recuerde con el nombre AirWatch. Hasta la fecha, la funcionalidad se ha expandido y las capacidades existentes se han extendido desde dispositivos móviles a cualquier PC con Windows 10 a bordo. Aquí puede distribuir políticas de configuración del dispositivo, restringirlas en algunas capacidades, forzar la instalación o eliminación de software, monitorear la geolocalización y, esto es importante, puede limpiar el dispositivo de forma remota si queda claro que fue robado o comprometido.



Y esto es solo la punta del iceberg, hay muchas más oportunidades. Lo más importante para recordar es que todo esto funciona no solo en la red corporativa local, sino también, por así decirlo, por Internet. Y un pequeño comentario sobre la solidez del software: todo esto se ha pulido durante años, y ahora en Workspace ONE, por ejemplo, incluso se tiene en cuenta el consumo de batería de un dispositivo remoto. Es decir, su empleado, que trabaja sin conectarse a la red eléctrica, ciertamente no se quedará sin una computadora debido al hecho de que las acciones que el administrador designó de repente "consumieron" toda la carga restante durante algunas actualizaciones.

La tercera parte de Workspace ONE es VMware Horizon, y esto no es solo una solución para acceder a los escritorios dentro de la red corporativa, sino una plataforma VDI completa. Existe una gran cantidad de funcionalidades asociadas específicamente con el trabajo con recursos del centro de datos. Existe la posibilidad de trabajar en una red local (en este caso, los servidores se pueden implementar para administrar dispositivos que están en manos de empleados remotos) y como parte de una solución en la nube. Ambas opciones están disponibles en Rusia, la solución es muy amplia e integral.

Pero dentro del marco del tema de hoy, nos detenemos en el hecho de que se puede usar para conectar a los empleados que tienen PC estacionarias, computadoras portátiles, clientes ligeros o incluso tabletas iOS / Android a su infraestructura de servidor.



Como ejemplo, en términos generales, hablaremos sobre uno de los ejemplos vivos de crear una infraestructura de trabajo segura para empleados remotos que usan Workspace ONE. Con este enfoque, aparecerá una especie de "tienda de aplicaciones" al lado del usuario, en la que podrá descargar los programas necesarios para el trabajo, mientras que para cada uno de ellos puede organizar un canal VPN por separado. Al mismo tiempo, al elegir la aplicación Gmail, por ejemplo, en Android, el usuario tendrá dos íconos del cliente de correo electrónico: su correo personal y una cuenta corporativa separada, que antes de abrir establecerá una conexión segura. El intercambio de datos entre aplicaciones de la zona personal del usuario y la zona corporativa no es posible.

Por supuesto, también existe la oportunidad de asegurarse en caso de pérdida del dispositivo: el administrador puede limpiar el sistema de forma remota. Un matiz importante: los datos personales del usuario no se eliminan. Y en general, la funcionalidad es muy amplia: configuración automática, encriptación, prohibición del almacenamiento de datos personales, etc. Por supuesto, antes de implementar todo esto en el dispositivo del usuario final, se debe verificar que el dispositivo cumpla con las políticas corporativas. Si de repente algo cambia en el firmware después de verificar el cumplimiento, se puede aplicar automáticamente la prohibición de trabajar con datos o se puede iniciar el proceso de actualización forzada.

¿Utilizamos soluciones basadas en Workspace ONE?en tu propio trabajo? Por supuesto que sí. Así es como se ve la "tienda de aplicaciones" en el dispositivo de trabajo de uno de nuestros empleados, que ahora, como muchos de nosotros, está trabajando de forma remota.



VDI es complicado, costoso y lento. ¿Es posible organizarlo de alguna manera más fácil, más rápido y más barato?


¿Cómo se imagina la mayoría de las personas VDI? Cuántas máquinas virtuales con diferentes sistemas operativos que se ejecutan en el centro de datos. Al usar el acceso remoto desde un dispositivo cliente, un usuario obtiene acceso a ellos e interactúa con las aplicaciones que se ejecutan en una máquina virtual. En términos de sistemas, básicamente se reduce a Windows y Linux.

La principal ventaja de todo esto es la seguridad: los datos permanecen absolutamente en el centro de datos, nunca van más allá y no terminan en las computadoras de los usuarios. El empleado remoto en su pantalla solo ve lo que está sucediendo en la máquina virtual, y ni siquiera puede copiar nada a su máquina. Por supuesto, si el administrador del sistema no lo permite. Al mismo tiempo, esto puede considerarse como una limitación cuando se trabaja con VDI.

La segunda ventaja es el manejo. La actualización de las aplicaciones y las versiones del sistema operativo, la aplicación de diversas políticas a las máquinas virtuales es centralizada y muy rápida. Más importante aún, la máquina virtual no se implementa en cada PC por separado, sino que se clona a partir de imágenes: se pueden crear miles de ellas en literalmente minutos. Y esta es la tercera ventaja de VDI.

La principal desventaja de VDI es que es una solución difícil: consta de una gran cantidad de componentes. Muchos clientes creen que usarlo en la situación actual para implementar rápidamente trabajos en el hogar no es práctico y costoso. ¿Es tan?

Considere la situación usando VMware Horizon como ejemplo. Por supuesto, hay otras opciones no menos efectivas, pero utilizamos exactamente este enfoque. ¿En qué consiste toda la estructura en forma esquemática simplificada? En primer lugar, este es el cliente: puede ser cualquier cosa: Windows, Linux, Mac OS, y la experiencia del usuario en la mayoría de los casos coincide en diferentes dispositivos. Si es difícil para un empleado instalar un cliente VDI por su cuenta, puede trabajar a través de un navegador. En este caso, el acceso a su máquina virtual personal se convierte en un enlace y un inicio de sesión, contraseña y, posiblemente, algunos datos adicionales.



El siguiente componente es VMware Unified Access Gateway. Este es un "vigilante" que, desde el punto de vista de un usuario externo, se parece a un servidor web. Se encuentra en la llamada "zona desmilitarizada" de la empresa y oculta la red local de Internet. Es decir, cualquier persona fuera de la red local solo ve UAG.

Connection Server es un servicio de conexión responsable de cuál u otro usuario se conectará a qué máquina virtual, servidor de aplicaciones de terminal o computadora física. A qué se conectará exactamente: el administrador establece que el usuario no puede afectar la configuración.

¿A qué puedo acceder con VMware Horizon? Por ejemplo, al escritorio de Windows de una máquina remota. Puede ser Windows 10, Windows 7 o una sola máquina con Windows Server. Esto último es relevante si hay una tarea para ahorrar en licencias, pero no nos detendremos en esto hoy. La opción de implementación más económica, por supuesto, son las máquinas virtuales Linux. También puede ahorrar en el hardware del servidor configurando el acceso a la terminal. Por el momento, en un servidor físico, en promedio, puede ejecutar más de cien máquinas virtuales y alrededor de 400-500 sesiones de acceso a terminales.



Y en todo esto hay un "pero", que a menudo se olvida cuando se habla de VDI. El hecho es que la tecnología le permite acceder no solo a máquinas virtuales, sino también a PC físicas. Sí, de esta manera, en qué empleados trabajaban en la oficina antes del "mundo de otdelenki remoto". Para hacer esto, debe instalar Horizon Agent en la computadora de la oficina y luego configurar el acceso remoto como una máquina virtual a través del servidor de conexión y UAG. Si el administrador no permitió esto, nadie más que el propio usuario verá esta PC. Y todos los demás empleados también verán solo sus autos personales desde la oficina, que han cambiado al estado de los "virtuales".

Acerca de una de las opciones para dicho acceso a una PC, grabamos un hermoso video. En este caso, la computadora es una estación de trabajo Dell Precision con una tarjeta Teradici en un formato de montaje en bastidor: se encuentra en la sala del servidor y un empleado tiene acceso a ella desde un cliente ligero. Tenga en cuenta que la experiencia del usuario es casi la misma que si trabaja con la misma estación gráfica sin VDI, y estamos hablando de una tarea muy exigente: el modelado 3D. Resulta que prácticamente no hay diferencia para el usuario, y la organización se beneficia: mejora la capacidad de administración y aumenta la seguridad.


Puede conectarse a máquinas reales y virtuales que ejecutan VMware Horizon utilizando los protocolos VMware Blast Extreme, Teradici PCoIP, RDP, Remote FX y HTML5, es decir, también es posible acceder a través del navegador. Si observa todo esto "fuera", entonces UAG mostrará solo el puerto 443, es decir, HTTP cifrado estándar. Por lo tanto, la solución restringe el acceso a la red local a un puerto de acceso remoto; no necesita acceder a la VPN.



¿Qué dispositivo elegir para acceder a través de VDI, si se ubicará en casa fuera de la red corporativa?


La opción más confiable, en nuestra opinión, es un cliente ligero. Sus principales ventajas: seguridad, controlabilidad, bajo costo. La desventaja es que incluso estos dispositivos deben comprarse, por lo que el trabajo se suspenderá por algún tiempo.

Puede tomar una computadora portátil corporativa existente o comprar máquinas adicionales. La ventaja aquí es que se puede usar para trabajar después de la pandemia, incluso para reemplazar aquellas PC que ya han funcionado durante su vida útil. Las desventajas son aún más significativas: también es necesario comprar computadoras portátiles, son más caras y, lo más importante, debe implementar un sistema de control externo en ellas. Para la opción "en el hogar", esto es muy inconveniente y largo.

Otra opción obvia es la PC doméstica del empleado, pero creemos que todos entienden lo que esto amenaza. Si un empleado acepta usarlo para el trabajo, entonces es rápido, barato, así que, descubrimos, algunas compañías ahora van por este camino. Solo que ahora todo funciona hasta que aparezca alguien que tenga acceso a esta PC: un hijo, un esposo o un "maestro de computadoras". Voluntariamente o involuntariamente hacen cambios al software o incluso al hardware, y luego, en la mayoría de los casos, el acceso a la red corporativa cesa inmediatamente. Y el problema no puede eliminarse por teléfono: debe enviar a un especialista.

La siguiente opción son los dispositivos móviles. En nuestra opinión, esta también es una opción aceptable si están bajo el control de la plataforma Workspace ONE .de lo que hablamos anteriormente. Pero aquí también tienen sus inconvenientes. En primer lugar, muchos empleados tienen miedo de entregar sus dispositivos móviles bajo el control de la corporación, y pueden entenderse en este esfuerzo. En segundo lugar, es difícil trabajar productivamente en tabletas y no siempre es posible conectar periféricos.

A este respecto, surge una pregunta adicional: ¿es posible convertir una PC existente en un cliente ligero?

Volvamos un poco desde lejos. ¿Qué es un cliente ligero? Esta es una pequeña computadora especializada con un sistema operativo de propósito general o un sistema operativo especializado que está personalizado para funcionar en modo VDI. Los clientes VDI, el software de administración adicional están instalados en él, y está listo para realizar solo su tarea más específica, además de eso, no puede hacer nada. La elección es enorme: por precio, por productividad, por factor de forma. Hoy en día, muchos están rediseñando clientes ligeros de oficina y distribuyéndolos a los empleados que se han cambiado al sitio "remoto".

Administrar un cliente ligero es muy simple, puede hacerlo muy rápidamente. Dichos dispositivos, por defecto, tienen muchas menos variaciones de software y hardware que las PC normales. Además, el software para ellos es lo más automatizado posible, a veces no requiere ninguna participación por parte del usuario final; es fácilmente dominado incluso por el personal de TI junior de la compañía.



¿Qué podemos ofrecer aquí por nuestra parte? Tenemos Wyse ThinOS, y es ella quien distingue a los clientes ligeros de Dell Technologies de las soluciones de la competencia. El desarrollo es muy inveterado, en este momento ella tiene unos 17 años. Por lo tanto, el sistema pasó por una gran cantidad de mejoras, se depuró tanto como fue posible y hoy tiene un tamaño mínimo de 30 MB. El tiempo de actualización de ThinOS thin client a bordo tarda aproximadamente 30 segundos a través de un canal de comunicación rápido, y en el caso de canales de comunicación defectuosos, lleva minutos, pero no días, comparar con la instalación remota de una imagen de Windows.

ThinOS no le permite instalar ningún software de terceros, el sistema de archivos del almacén de datos no está disponible y, gracias a esto, el thin client no está expuesto a ningún ataque de virus o intentos de piratería. Si juegas un poco de "magia", desde el punto de vista de la red, un cliente ligero generalmente puede convertirse en una "caja negra": incluso si alguien decide atacarlo, simplemente no entenderá a qué se refiere. Al mismo tiempo, hay un medio para optimizar no solo las aplicaciones ordinarias, sino también las multimedia, trabajando con Skype for Business, Jabber, conferencias de Cisco, y cuando se trabaja con aplicaciones 3D pesadas como Autodesk, Solidworks o Siemens NX, se admite la decodificación de tráfico de hardware. Entonces, incluso los diseñadores pueden trabajar desde casa.

En una palabra, en términos del nivel de cierre, ThinOS acerca el dispositivo en el que está instalado a los parámetros del cliente cero del hardware, pero al mismo tiempo permite trabajar con VMware Horizon , Citrix, VDI de Microsoft y otros proveedores. El sistema admite cuatro protocolos de acceso remoto (VMware Blast Extreme, PCoIP, HDX 14, RDP / Remote FX 10) y le permite conectarse a varios tipos de servidores VPN.

Naturalmente, ThinOS admite la administración de Wyse Management Suite. Y, respondiendo la pregunta al comienzo de este bloque, sí: podemos convertir una PC normal en un cliente ligero. Nuestra solución se llama Wyse Converter para PC. Este es un software adecuado para Windows 7/10 normal, y con soporte para la versión rusa, se proporciona por suscripción, y esto es importante: cuando la situación actual se resuelve y la mayoría de los empleados regresan a sus oficinas, simplemente no se puede extender. La entrega se realiza electrónicamente, por lo que no se trata de introducir ninguna semana, la factura continuará durante un máximo de días.

La tarea principal de este programa es convertir la PC seleccionada en Wyse Software Thin Client, el cliente de software Wyse con el sistema operativo Windows. Todos los dispositivos periféricos para los cuales los controladores ya están instalados en la máquina continuarán funcionando. Si es necesario, se admitirán todos los clientes VPN posibles, pero lo principal es que dicha PC se puede administrar usando Wyse Management Suite. Y será difícil deshabilitarlo, porque después de la instalación, el sistema está realmente bloqueado en un estado de cliente cero. También puede devolver todo a su estado original utilizando el mismo software.

La configuración de Wyse Management Suite le permite automatizar el proceso de conexión a VDI, es decir, transferir la dirección del servidor de conexión, instalar el cliente necesario, por ejemplo, VMware Horizon o Citrix Workspace Up, y ejecutarlo en esta PC. Es casi imposible salir accidentalmente del modo VDI, ya que hay configuraciones que reinician el cliente VDI después de que el usuario presiona el botón de encendido. Y todo esto se puede probar de antemano en el modo de demostración.

¿Es posible hacer una solución para el trabajo remoto sin VDI, pero manejable y seguro?


También respondemos esta pregunta afirmativamente, pero ajustada a ciertas condiciones que deben observarse estrictamente. En primer lugar, debe usar un cliente ligero con Wyse ThinOS; esto es una cuestión de seguridad y facilidad de administración. Un lugar de trabajo sobre esa base simplemente no permite físicamente a nadie hacer nada que no esté previsto por el administrador. Y solo se requiere una cosa de él: conectarse a través de VPN e iniciar una sesión de comunicación remota con una PC de oficina. Este enfoque elimina la necesidad de instalar Horizon Agent u otro agente VDI en la PC de la oficina. La siguiente condición es administrar todo esto a través de Wyse Management Suite Cloud.



¿Por qué no ofrecemos clientes ligeros en Windows? Porque VPN es la apertura de un canal muy grande dentro de la empresa. En este nivel de riesgo, de nuestro lado, desde nuestro punto de vista, debería existir el dispositivo más seguro que no permita hacer nada extra.

Solo se ofrecen dos protocolos para la conexión, ya que pueden usarse directamente con las PC de oficina sin usar la infraestructura VDI: estos son RDP / Remote FX y PCoIP.

Hablando de administración, es importante enfatizar que Wyse Management Suite existe en versiones gratuitas y de pago. Gratis solo se puede implementar en sus servidores. Dado que la tarea que resolvemos como parte de la respuesta a la pregunta se reduce a un mínimo de acciones con la máxima seguridad. Y como parte de la versión gratuita, los problemas que requerirán gran parte de su personal de seguridad de la información son inevitables. Sin embargo, también tenemos Wyse Management Suite Cloud, una solución en la nube que existe desde hace bastante tiempo, ahora gestiona más de un millón de empleos.



No se puede comprar directamente, pero con la versión paga de Wyse Management Suite Pro obtienes Cloud gratis. Las licencias se emiten en la misma cuenta personal que se usa para administrar dispositivos. Para ajustar la configuración, puede usar WMS implementado dentro de la red y luego simplemente transferir esta configuración de clientes ligeros a la nube.

Una ventaja importante de Wyse Management Suite Pro y Cloud en combinación con los clientes ligeros de Dell Technologies es no solo la capacidad de controlar el sistema operativo, las aplicaciones y la configuración, sino también la administración del BIOS. Por lo tanto, el acceso externo a la PC está completamente excluido por métodos como el arranque desde un dispositivo externo o el cambio de roles administrativos.

Así es como se ve la consola de administración basada en navegador. En el caso de WMS Pro y Cloud, para la comodidad de los administradores, también puede implementar una aplicación móvil.

Y quizás esto es todo lo que queríamos decir hoy. Si tiene alguna pregunta sobre el tema, intentaremos responder en los comentarios. Y si de repente, después de leer el material, desea probar o implementar algunas de las soluciones descritas, lo estamos esperando en mensajes privados: nos conectaremos rápidamente con las personas responsables y organizarán todo. ¡Gracias por la atención!

More articles:


All Articles