Get best of the week

Como organizar com rapidez e segurança o trabalho remoto dos funcionários? Falamos sobre diferentes abordagens: com VDI e não apenas

A empresa há muito tempo enfrenta a necessidade de organizar de maneira conveniente e segura o trabalho remoto de seus funcionários. Mas se anteriormente essa tarefa poderia ser adiada regularmente e continuasse a refletir, então agora não há mais tempo: "remota" é a principal tendência da primavera de 2020 em todo o mundo. Neste material, gostaríamos de compartilhar nossa experiência na organização do trabalho remoto dos funcionários, porque estamos envolvidos com essa questão há quase 25 anos.

O formato de trabalho remoto é absolutamente familiar para qualquer funcionário da Dell Technologies, e nossos escritórios na Rússia não são exceção a esse respeito. Hoje, especificamente, gostaríamos de nos concentrar nas opções para resolver o problema usando o equipamento disponível, ou seja, soluções operacionais sem o uso de VDI e implementando o VDI o mais rápido possível. De acordo com o corte, forneceremos respostas detalhadas a quatro perguntas que nossos clientes atuais e potenciais mais frequentemente fizeram recentemente.



É possível, com o mínimo esforço, fazer com que os funcionários trabalhem em casa da mesma maneira que no escritório?


Pode. Para fazer isso, um funcionário que está mudando para "remoto" precisará de um laptop com os programas instalados que ele normalmente usa e de um conjunto de groupware como Microsoft Teams, Skype for Business, possivelmente Zoom, etc. Isso permitirá que você se comunique e troque informações com sua equipe da mesma maneira que no escritório. Ao mesmo tempo, mais uma coisa é absolutamente necessária: um cliente VPN. Existem muitas opções, e a escolha de uma específica será obviamente ditada por instruções do departamento de segurança da informação da sua empresa.

Como o dispositivo do funcionário estará em sua casa e não no escritório, é necessário arriscar que uma pessoa de fora possa ter acesso a ele. Portanto, a autenticação multifatorial deve ser usada: cartões inteligentes, scanner de impressão digital, tokens ou senhas únicas. Não devemos esquecer o software de segurança: antivírus e meios de impedir o vazamento de informações.

Mas o mais importante é o software de controle remoto. É isso que permitirá que os especialistas do departamento de TI da sua empresa configurem o PC dos funcionários localizados fora da rede local. Os clientes que usam computadores corporativos da Dell Technologies (em particular, as séries Latitude e OptiPlex) estão em uma posição privilegiada nesse sentido. O fato é que eles são pré-instalados com o Dell Client Command Suite, o que oferece benefícios tangíveis na situação atual.

De fato, esta é uma solução KVM, cuja funcionalidade pode ser usada mesmo que o dispositivo em que está instalado esteja localizado fora da empresa. Você pode fazer muitas coisas com isso: implantar e configurar o dispositivo, instalar drivers, monitorar o status e até atualizar o BIOS. Aqui, no entanto, há um ponto sutil: você precisa de suporte para a tecnologia vPro, e isso depende da configuração específica e do processador usado no computador.

Se houver esse suporte, usando os módulos Deploy and Configure, o administrador do sistema pode preparar remotamente o dispositivo para emitir para o usuário: instale remotamente os conjuntos dos drivers e atualizações de firmware necessários. O módulo Monitor permite monitorar o status do hardware de toda a frota de equipamentos nas mãos de funcionários remotos.

Computadores corporativos não são suficientes. Como organizar um "controle remoto" nos dispositivos dos próprios funcionários?


E também é possível. Aqui, da nossa parte, podemos recomendar outro software especial - Workspace ONE da VMware. Consiste em três partes. O vIDM é responsável por identificar usuários e implementar a tecnologia de logon único, e isso acontece independentemente de o dispositivo estar localizado em uma rede corporativa ou externa.

A próxima parte é gerenciar dispositivos móveis. Se você já usou o programa antes, certamente lembre-se dele com o nome AirWatch. Até o momento, a funcionalidade foi expandida e os recursos existentes se espalharam de dispositivos móveis para qualquer PC com o Windows 10 a bordo. Aqui, você pode distribuir políticas de configuração do dispositivo, restringi-las em alguns recursos, forçar a instalação ou remoção de software, monitorar a localização geográfica e - isso é importante - você pode limpar o dispositivo remotamente se ficar claro que foi roubado ou comprometido.



E esta é apenas a ponta do iceberg, há muito mais oportunidades. A coisa mais importante a lembrar é que tudo isso funciona não apenas na rede corporativa local, mas também, por assim dizer, na Internet. E uma pequena observação sobre a solidez do software: tudo isso foi polido por anos e, agora, no Workspace ONE, por exemplo, até o consumo de bateria de um dispositivo remoto é levado em consideração. Ou seja, seu funcionário, que trabalha sem se conectar à rede elétrica, certamente não ficará sem um computador, devido ao fato de que as ações que o administrador nomeou repentinamente “consumiram” toda a carga restante durante algumas atualizações.

A terceira parte do Workspace ONE é o VMware Horizon, e essa não é apenas uma solução para acessar desktops na rede corporativa, mas uma plataforma VDI completa. Há muitas funcionalidades associadas especificamente ao trabalho com recursos do datacenter. Existe a capacidade de trabalhar em uma rede local (nesse caso, os servidores podem ser implantados para gerenciar dispositivos que estão nas mãos de funcionários remotos) e como parte de uma solução em nuvem. Ambas as opções estão disponíveis na Rússia, a solução é muito ampla e abrangente.

Mas, dentro da estrutura do tópico de hoje, insistimos no fato de que ele pode ser usado para conectar funcionários que possuem PCs estacionários, laptops, thin clients ou até tablets iOS / Android à infraestrutura do servidor.



Como exemplo, em termos gerais, falaremos sobre um dos exemplos vivos de criação de uma infraestrutura de local de trabalho segura para funcionários remotos usando o Workspace ONE. Com essa abordagem, uma espécie de "loja de aplicativos" aparecerá ao lado do usuário, na qual ele poderá baixar os programas necessários para o trabalho, enquanto que para cada um deles você poderá organizar um canal VPN separado. Ao mesmo tempo, ao escolher o aplicativo Gmail, por exemplo, no Android, o usuário terá dois ícones do cliente de email: seu email pessoal e uma conta corporativa separada, que antes da abertura estabelecerá uma conexão segura. A troca de dados entre aplicativos da zona pessoal do usuário e da zona corporativa não é possível.

Obviamente, também há a oportunidade de se segurar em caso de perda do dispositivo: o administrador pode limpar remotamente o sistema. Uma nuance importante: os dados pessoais do usuário não são excluídos. E, em geral, a funcionalidade é muito ampla: configuração automática, criptografia, proibição de armazenamento de dados pessoais e assim por diante. Obviamente, antes de implantar tudo isso no dispositivo do usuário final, o gadget deve ser verificado quanto à conformidade com as políticas corporativas. Se de repente algo no firmware mudar após verificar a conformidade, a proibição de trabalhar com dados poderá ser aplicada automaticamente ou o processo de atualização forçada poderá ser iniciado.

Utilizamos soluções baseadas no Workspace ONEno seu próprio trabalho? Claro que sim. É assim que a "loja de aplicativos" se parece no dispositivo de trabalho de um de nossos funcionários, que agora, como muitos de nós, trabalha remotamente.



VDI é complicado, caro e demorado. É possível organizar de alguma forma, mais fácil, mais rápido e mais barato?


Como a maioria das pessoas imagina VDI? Quantas máquinas virtuais com diferentes sistemas operacionais executadas no data center. Usando o acesso remoto a partir de um dispositivo cliente, um usuário obtém acesso a eles e interage com aplicativos em execução em uma máquina virtual. Em termos de sistemas, basicamente se resume ao Windows e Linux.

A principal vantagem de tudo isso é a segurança: os dados sempre permanecem no data center, nunca vão além e não terminam nos computadores dos usuários. O funcionário remoto em sua tela vê apenas o que está acontecendo na máquina virtual e nem pode copiar nada para sua máquina. Obviamente, se o administrador do sistema não permitir isso. Ao mesmo tempo, isso pode ser considerado uma limitação ao trabalhar com VDI.

A segunda vantagem está no manuseio. A atualização de aplicativos e versões do sistema operacional, a aplicação de várias políticas a máquinas virtuais é centralizada e muito rápida. Mais importante, a máquina virtual não é implantada em cada PC separadamente, mas é clonada a partir de imagens: milhares delas podem ser criadas em literalmente minutos. E esta é a terceira vantagem do VDI.

A principal desvantagem do VDI é que é uma solução difícil: consiste em um grande número de componentes. Muitos clientes acreditam que usá-lo na situação atual para implantar rapidamente trabalhos domésticos é impraticável e caro. É assim?

Considere a situação usando o VMware Horizon como exemplo. Obviamente, existem outras opções não menos eficazes, mas usamos exatamente essa abordagem. Em que consiste toda a estrutura de forma esquemática simplificada? Antes de tudo, este é o cliente: pode ser qualquer coisa - Windows, Linux, Mac OS e a experiência do usuário na maioria dos casos coincide em diferentes dispositivos. Se for difícil para um funcionário instalar um cliente VDI por conta própria, você poderá trabalhar através de um navegador. Nesse caso, o acesso à sua máquina virtual pessoal se transforma em um link e um login, senha e possivelmente alguns dados adicionais.



O próximo componente é o VMware Unified Access Gateway. Este é um "vigia" que, do ponto de vista de um usuário externo, parece um servidor web. Ele está localizado na chamada "zona desmilitarizada" da empresa e oculta a rede local da Internet. Ou seja, qualquer pessoa fora da rede local vê apenas UAG.

O Servidor de Conexão é um serviço de conexão responsável pelo qual um ou outro usuário será conectado a qual máquina virtual, servidor de aplicativos de terminal ou computador físico. O que exatamente ele será conectado - o administrador define, o próprio usuário não pode afetar as configurações.

O que posso acessar com o VMware Horizon? Por exemplo, na área de trabalho do Windows de uma máquina remota. Pode ser o Windows 10, Windows 7 ou uma única máquina Windows Server. O último é relevante se houver uma tarefa a ser economizada em licenças, mas não vamos insistir nisso hoje. A opção de implantação mais barata, é claro, são as máquinas virtuais Linux. Você também pode economizar no hardware do servidor configurando o acesso ao terminal. No momento, em um servidor físico, em média, você pode executar mais de cem máquinas virtuais e cerca de 400 a 500 sessões de acesso ao terminal.



E em tudo isso existe um "mas", que muitas vezes é esquecido quando se fala em VDI. O fato é que a tecnologia permite acessar não apenas máquinas virtuais, mas também PCs físicos. Sim, dessa maneira, em que os funcionários trabalhavam no escritório antes do "mundo do otdelenki remoto". Para fazer isso, você precisa instalar o Horizon Agent no computador do escritório e configurar o acesso remoto a ele como uma máquina virtual através do servidor de conexão e do UAG. Se o administrador não permitir isso, ninguém, exceto o próprio usuário, verá este PC. E todos os outros funcionários também verão apenas seus carros pessoais no escritório, que mudaram para o status de "virtuais".

Sobre uma das opções para esse acesso a um PC, gravamos um belo vídeo. Nesse caso, o computador é uma estação de trabalho Dell Precision com uma placa Teradici em um formato de montagem em rack: está localizada na sala do servidor e um funcionário obtém acesso a partir de um thin client. Observe que a experiência do usuário é quase a mesma de se você trabalha com a mesma estação gráfica sem VDI, e estamos falando de uma tarefa muito exigente - modelagem 3D. Acontece que praticamente não há diferença para o usuário, e a organização se beneficia: melhora a capacidade de gerenciamento e aumenta a segurança.


Você pode conectar-se a máquinas reais e virtuais executando o VMware Horizon usando os protocolos VMware Blast Extreme, Teradici PCoIP, RDP, FX remoto e HTML5, ou seja, o acesso pelo navegador também é possível. Se você observar tudo isso "fora", o UAG mostrará apenas a 443ª porta, ou seja, HTTP criptografado padrão. Portanto, a solução restringe o acesso à rede local a uma porta de acesso remoto; você não precisa acessar a VPN.



Qual dispositivo escolher para acessar via VDI, se estiver localizado em casa fora da rede corporativa?


A opção mais confiável, em nossa opinião, é um thin client. Suas principais vantagens: segurança, controlabilidade, baixo custo. A desvantagem é que mesmo esses aparelhos precisam ser comprados, e é por isso que o trabalho será suspenso por algum tempo.

Você pode pegar um laptop corporativo existente ou comprar máquinas adicionais. A vantagem aqui é que ele pode ser usado para o trabalho após a pandemia, inclusive para substituir os PCs que já calcularam sua vida útil. As desvantagens são ainda mais significativas: os laptops também precisam ser comprados, são mais caros e o mais importante - você precisa implantar um sistema de controle externo neles. Para a opção "em casa", isso é muito inconveniente e longo.

Outra opção óbvia é o PC doméstico do funcionário, mas, acreditamos, todo mundo entende o que isso ameaça. Se um funcionário concorda em usá-lo no trabalho, é rápido, barato e, como descobrimos, algumas empresas agora estão seguindo esse caminho. Só agora tudo funciona até que alguém que tenha acesso a este PC também apareça: um filho, um marido ou um “mestre de computador”. Eles voluntariamente ou involuntariamente fazem alterações no software ou no hardware e, na maioria dos casos, o acesso à rede corporativa cessa imediatamente. E o problema não pode ser eliminado por telefone - você precisa enviar um especialista.

A próxima opção são dispositivos móveis. Em nossa opinião, essa também é uma opção aceitável se eles estiverem sob o controle da plataforma Workspace ONE .sobre o qual falamos acima. Mas aqui também têm suas desvantagens. Em primeiro lugar, muitos funcionários têm medo de entregar seus aparelhos móveis sob o controle da corporação e podem ser entendidos nesse esforço. Em segundo lugar, é difícil trabalhar produtivamente em tablets, e nem sempre é possível conectar periféricos.

Nesse sentido, surge uma pergunta adicional: é possível transformar um PC existente em um thin client?

Vamos voltar um pouco de longe. O que é um thin client? Este é um pequeno computador especializado com um SO de uso geral ou um SO especializado, personalizado para funcionar no modo VDI. Clientes VDI, um software de gerenciamento adicional está instalado e ele está pronto para executar apenas as tarefas mais específicas; além disso, não pode fazer nada. A escolha é enorme: por preço, por produtividade, por fator de forma. Hoje, muitos estão redesenhando thin clients de escritório e os distribuindo para funcionários que mudaram para o site "remoto".

Gerenciar um thin client é muito simples, você pode fazer isso muito rapidamente. Esses dispositivos, por padrão, têm muito menos variações de software e hardware que os PCs comuns. Além disso, o software para eles é o mais automatizado possível, às vezes não requer nenhuma participação do usuário final; é facilmente dominado até pela equipe júnior de TI da empresa.



O que podemos oferecer aqui da nossa parte? Temos o Wyse ThinOS, e é ela quem distingue os thin clients da Dell Technologies das soluções da concorrência. O desenvolvimento é muito inveterado - no momento ela tem cerca de 17 anos. Portanto, o sistema passou por um grande número de melhorias, foi depurado o máximo possível e hoje tem um tamanho mínimo de 30 MB. O tempo de atualização do thinOS thin client a bordo leva cerca de 30 segundos por meio de um canal de comunicação rápido e, no caso de canais de comunicação ruins, leva alguns minutos, mas não dias, para comparar com a instalação remota de uma imagem do Windows.

O ThinOS não permite a instalação de nenhum software de terceiros, o sistema de arquivos do data warehouse não está disponível e, graças a isso, o thin client não está exposto a nenhum ataque de vírus ou tentativa de invasão. Se você jogar um pouco de "mágica", do ponto de vista da rede, um thin client geralmente pode ser transformado em uma "caixa preta": mesmo que alguém decida atacá-lo, ele simplesmente não entenderá com o que está lidando. Ao mesmo tempo, há um meio de otimizar não apenas aplicativos comuns, mas também multimídia, trabalhando com o Skype for Business, Jabber, conferência da Cisco e ao trabalhar com aplicativos 3D pesados ​​como Autodesk, Solidworks ou Siemens NX, a decodificação de tráfego de hardware é suportada. Assim, até os designers podem trabalhar em casa.

Em uma palavra, em termos de nível de fechamento, o ThinOS aproxima o dispositivo em que está instalado dos parâmetros do cliente zero de hardware, mas ao mesmo tempo permite trabalhar com o VMware Horizon , Citrix, VDI da Microsoft e de outros fornecedores. O sistema suporta quatro protocolos de acesso remoto (VMware Blast Extreme, PCoIP, HDX 14, RDP / Remote FX 10) e permite conectar-se a vários tipos de servidores VPN.

Naturalmente, o ThinOS suporta o gerenciamento pelo Wyse Management Suite. E, respondendo à pergunta no início deste bloco, sim: podemos converter um PC comum em um thin client. Nossa solução é chamada Wyse Converter for PCs. Este é um software adequado para o Windows 7/10 normal e, com suporte para a versão russa, é fornecido por assinatura, e isso é importante: quando a situação atual é resolvida e a maioria dos funcionários retorna aos seus escritórios, ela simplesmente não pode ser estendida. A entrega é realizada eletronicamente; portanto, não há questão de apresentar semanas; a conta continuará por no máximo dias.

A principal tarefa deste programa é transformar o PC selecionado no Wyse Software Thin Client - o cliente de software Wyse com o sistema operacional Windows. Todos os dispositivos periféricos para os quais os drivers já estão instalados na máquina continuarão funcionando. Se necessário, todos os possíveis clientes VPN serão suportados, mas o principal é que esse PC pode ser gerenciado usando o Wyse Management Suite. E será difícil desativá-lo, porque após a instalação, o sistema está realmente bloqueado no estado zero do cliente. Você também pode retornar tudo ao seu estado original usando o mesmo software.

As configurações do Wyse Management Suite permitem automatizar o processo de conexão com a VDI, ou seja, transferir o endereço do servidor de conexão, instalar o cliente necessário - por exemplo, VMware Horizon ou Citrix Workspace Up e executá-lo neste PC. É quase impossível sair acidentalmente do modo VDI, pois existem configurações que reiniciam o cliente VDI após o usuário pressionar o botão liga / desliga. E tudo isso pode ser tentado com antecedência no modo de demonstração.

É possível criar uma solução para trabalho remoto sem VDI, mas gerenciável e segura?


Também respondemos afirmativamente a essa pergunta, mas ajustadas para determinadas condições que devem ser rigorosamente observadas. Primeiro de tudo, você precisa usar um thin client com o Wyse ThinOS - isso é uma questão de segurança e facilidade de gerenciamento. Um local de trabalho nessa base simplesmente não permite fisicamente que alguém faça algo que não seja fornecido pelo administrador. E apenas uma coisa é necessária para ele: conectar-se via VPN e iniciar uma sessão de comunicação remota com um PC do escritório. Essa abordagem elimina a necessidade de instalar o Horizon Agent ou outro agente VDI no PC do escritório. A próxima condição é gerenciar tudo isso através do Wyse Management Suite Cloud.



Por que não oferecemos thin clients no Windows? Porque a VPN é a abertura de um canal muito grande dentro da empresa. Nesse nível de risco, do nosso lado, do nosso ponto de vista, deve haver o dispositivo mais seguro que não permita fazer nada extra.

Apenas dois protocolos são oferecidos para conexão, pois podem ser usados ​​diretamente com PCs de escritório sem usar a infraestrutura VDI: são RDP / Remote FX e PCoIP.

Falando sobre gerenciamento, é importante enfatizar que o Wyse Management Suite existe nas versões gratuita e paga. Grátis só pode ser implantado em seus servidores. Como a tarefa que resolvemos como parte da resposta à pergunta é reduzida a um mínimo de ações com a máxima segurança. E como parte da versão gratuita, os problemas que exigirão muito da sua equipe de segurança da informação são inevitáveis. No entanto, também temos o Wyse Management Suite Cloud, uma solução em nuvem que já existe há algum tempo - agora ela gerencia mais de um milhão de empregos.



Ele não pode ser comprado diretamente, mas com a versão paga do Wyse Management Suite Pro, você obtém o Cloud gratuitamente. As licenças são emitidas na mesma conta pessoal usada para gerenciar dispositivos. Para ajustar a configuração, você pode usar o WMS implantado na rede e simplesmente transferir essa configuração de thin clients para a nuvem.

Uma vantagem importante do Wyse Management Suite Pro e Cloud em combinação com os thin clients Dell Technologies não é apenas a capacidade de controlar o próprio sistema operacional, aplicativos e configurações, mas também o gerenciamento do BIOS. Portanto, o acesso externo ao PC é completamente excluído por métodos como inicializar a partir de um dispositivo externo ou alterar funções administrativas.

É assim que o console de gerenciamento baseado em navegador se parece. No caso do WMS Pro e Cloud, para conveniência dos administradores, você também pode implantar um aplicativo móvel.

E talvez isso seja tudo o que queríamos dizer hoje. Se você tiver alguma dúvida sobre o assunto, tentaremos responder nos comentários. E se de repente, depois de ler o material, você desejasse tentar implementar algumas das soluções descritas, estamos esperando por você em mensagens privadas - nos conectaremos rapidamente com as pessoas responsáveis ​​e elas organizarão tudo. Obrigado pela atenção!

More articles:


All Articles