Get best of the week

如何快速安全地组织员工的远程工作?我们讨论了不同的方法:不仅限于VDI

长期以来,企业一直需要方便,安全地组织其员工的远程工作。但是如果早些时候可以定期推迟并继续考虑这项任务,那么现在就没有时间了:“远程”是2020年春季在全球范围内的主要趋势。在本材料中,我们想分享我们组织员工远程工作的经验,因为我们在这个问题上已经密切关注了近25年。

任何Dell Technologies员工都绝对熟悉远程工作格式,在这方面我们的俄罗斯办事处也不例外。具体来说,今天,我们要集中精力介绍使用可用设备来解决问题的选项,即不使用VDI的运营解决方案,并尽快部署VDI。根据削减标准,我们将为当前和潜在客户最近最常问到的四个问题提供详细的答案。



是否可以以最小的努力使员工像在办公室一样在家中工作?


能够。为此,要切换到“远程”的员工将需要一台笔记本电脑,该笔记本电脑上装有他通常使用的已安装程序,以及一组组件,例如Microsoft Teams,Skype for Business,可能还有Zoom等。这样一来,您就可以像在办公室一样与团队交流和交换信息。同时,绝对有必要做一件事:VPN客户端。有很多选择,具体选择哪种选择显然取决于公司信息安全部门的指示。

由于员工的设备将在他的家中,而不是在办公室中,因此有必要承担风险,即外部人员可以访问他。因此,应使用多因素身份验证:智能卡,指纹扫描器,令牌或一次性密码。我们一定不要忘记安全软件:杀毒软件和防止信息泄漏的手段。

但是最重​​要的是远程控制软件。正是这样,您公司的IT部门的专家才能配置位于本地网络外部的员工的PC。使用Dell Technologies公司计算机(特别是Latitude和OptiPlex系列)的那些客户在这方面处于特权位置。事实是它们已预先安装了Dell Client Command Suite,在当前情况下可带来切实的好处。

实际上,这是KVM解决方案,即使安装了它的设备位于企业外部,也可以使用其功能。您可以用它做很多事情:部署和配置设备,安装驱动程序,监视状态,甚至更新BIOS。但是,这里有一个微妙的要点:您需要对vPro技术的支持,这取决于特定的配置和计算机中使用的处理器。

如果有这样的支持,则可以使用“部署”和“配置”模块,系统管理员可以远程准备要发布给用户的设备:远程安装必要的驱动程序和固件更新的程序集。监视模块允许您监视远程员工手中的整个设备群的硬件状态。

公司计算机还不够。如何在员工自己的设备上组织“远程”?


而且这也是可能的。在这方面,我们可以推荐其他特殊软件-VMware的Workspace ONE它包括三个部分。vIDM负责识别用户并实施单点登录技术,无论设备位于公司网络还是外部网络上,这种情况都会发生。

下一部分是管理移动设备。如果您以前使用过该程序,则一定要记住它的名称为AirWatch。迄今为止,功能已扩展,现有功能已从移动设备扩展到任何装有Windows 10的PC。在这里,您可以分发设备配置策略,限制它们的某些功能,强制安装或删除软件,监视地理位置,并且-这很重要-如果发现设备被盗或受到破坏,则可以远程清洁设备。



这只是冰山一角,还有更多的机会。要记住的最重要的一点是,所有这些不仅在本地公司网络上有效,而且可以说对于Internet也是有效的。关于软件的健全性的一点评论:这一切都经过了多年的完善,例如,现在在Workspace ONE中,甚至考虑了远程设备的电池消耗。也就是说,由于管理员指定的操作在某些更新过程中突然“消耗”了所有剩余的费用,因此肯定会在没有连接计算机的情况下没有计算机的情况下工作。

Workspace ONE的第三部分是VMware Horizo​​n,这不仅是用于访问公司网络内的桌面的解决方案,而且还是功能完善的VDI平台。有许多功能专门与数据中心资源相关联。既可以在本地网络上工作(在这种情况下,可以将服务器部署为管理远程员工手中的设备),也可以作为云解决方案的一部分。两种选择都可以在俄罗斯获得,解决方案非常大规模和全面。

但是在当今主题的框架内,我们深思着一个事实,即它可以用于将拥有固定式PC,笔记本电脑,瘦客户机甚至iOS / Android平板电脑的员工连接到服务器基础架构。



一般来说,作为示例,我们将讨论为使用Workspace ONE为远程员工创建安全的工作场所基础结构的生动示例之一。通过这种方法,一种“应用程序商店”将出现在用户的侧面,他可以在其中下载工作所需的程序,而对于每个用户,您可以组织一个单独的VPN通道。同时,例如,在Android中选择Gmail应用程序时,用户将具有电子邮件客户端的两个图标:他的个人邮件和单独的公司帐户,在打开之前,这些帐户将建立安全连接。用户个人区域和公司区域之间的应用程序之间无法进行数据交换。

当然,如果设备丢失,也有机会确保自己的安全:管理员可以远程清洁系统。一个重要的细微差别:用户的个人数据不会被删除。通常,功能非常广泛:自动配置,加密,禁止存储个人数据等。当然,在将全部内容部署到最终用户的设备上之前,必须检查小工具是否符合公司政策。如果在检查一致性后固件中的某些突然改变,则可以自动禁止使用数据,或者可以开始强制更新过程。

我们是否使用基于Workspace ONE的解决方案在自己的工作中?当然可以 这就是我们一名员工的工作设备上非常“应用程序商店”的样子,而现在,像我们许多人一样,该设备正在远程工作。



VDI复杂,昂贵且耗时。是否有可能以某种方式组织起来更容易,更快和更便宜?


大多数人如何看待VDI?数据中心中运行多少个具有不同操作系统的虚拟机。使用来自客户端设备的远程访问,用户可以访问它们并与虚拟机上运行的应用程序进行交互。在系统方面,它基本上可以归结为Windows和Linux。

所有这一切的主要优点是安全性:数据绝对总是保留在数据中心中,永远不会超出数据中心,不会最终出现在用户的计算机中。屏幕上的远程员工只能看到虚拟机中正在发生的事情,甚至无法将任何内容复制到他的计算机上。当然,如果系统管理员不允许这样做。同时,在使用VDI时,这可以被视为限制。

第二个优点是处理。更新应用程序和操作系统版本,将各种策略应用于虚拟机是集中且非常快速的。更重要的是,虚拟机不是分别部署在每台PC上,而是从映像克隆的:实际上可以在几分钟内创建成千上万个虚拟机。这是VDI的第三个优势。

VDI的主要缺点是它是一个困难的解决方案:它由大量组件组成。许多客户认为,在当前情况下使用它来快速部署家庭作业是不切实际且昂贵的。是这样吗?

考虑以VMware Horizo​​n为例的情况。当然,还有其他同样有效的选择,但是我们正是使用这种方法。整个结构由简化的原理图组成什么?首先,这是客户端:它可以是任何东西-Windows,Linux,Mac OS,并且在大多数情况下,不同设备上的用户体验是一致的。如果员工难以自行安装VDI客户端,则可以通过浏览器进行操作。在这种情况下,对您的个人虚拟机的访问将变成链接,登录名,密码以及可能的其他数据。



下一个组件是VMware Unified Access Gateway。从外部用户的角度来看,这是一个“看守人”,看起来像Web服务器。它位于企业的所谓“非军事区”,对Internet隐藏了本地网络。也就是说,本地网络外部的任何人都只能看到UAG。

连接服务器是一种连接服务,负责将一个或另一个用户连接到哪个虚拟机,终端应用程序服务器或物理计算机。它将确切连接到什么-管理员设置,用户本人不会影响设置。

我可以使用VMware Horizo​​n访问哪些内容?例如,到远程计算机的Windows桌面。它可以是Windows 10,Windows 7或单个Windows Server计算机。如果有一项任务可以节省许可证,则后者是相关的,但是我们今天不再赘述。当然,最廉价的部署选项是Linux虚拟机。您还可以通过设置终端访问权限来节省服务器硬件。目前,平均在一台物理服务器上,您可以运行一百多个虚拟机和大约400-500个终端访问会话。



在所有这一切中,只有一个“ but”,而当他们谈论VDI时却经常忘记这一点。事实是,该技术不仅使您可以访问虚拟机,而且还可以访问物理PC。是的,以这种方式,在“远程otdelenki世界”之前,员工曾在办公室工作。为此,您需要在办公室的计算机上安装Horizo​​n Agent,然后将其配置为通过连接服务器和UAG作为虚拟机对其进行远程访问。如果管理员不允许这样做,那么除了用户本人之外,没有人会看到此PC。其他所有员工也只能在办公室看到他们的私人汽车,这些汽车已转换为“虚拟”汽车。

关于访问PC的一种选择,我们拍摄了一段精美的视频。在这种情况下,计算机是Dell Precision工作站,具有机架安装形式的Teradici卡:它位于服务器机房中,员工可以从瘦客户端访问它。请注意,用户体验几乎与使用不带VDI的同一图形工作站的用户体验相同,我们正在谈论一项非常艰巨的任务-3D建模。事实证明,对于用户而言,几乎没有区别,组织可以从中受益:它提高了可管理性并提高了安全性。


您可以使用VMware Blast Extreme,Teradici PCoIP,RDP,Remote FX和HTML5协议连接到运行VMware Horizo​​n的真实和虚拟机,也可以通过浏览器进行访问。如果您查看所有这些“外部”信息,那么UAG将仅显示443rd端口,即标准的加密HTTP。因此,该解决方案将对本地网络的访问限制为一个远程访问端口;您无需访问VPN。



如果要通过VDI访问哪个设备,该设备将位于公司网络之外的家中?


我们认为,最可靠的选择是瘦客户机。其主要优点:安全,可控,成本低。缺点是,即使是这些小工具也需要购买,这就是为什么工作将暂停一段时间的原因。

您可以使用现有的公司笔记本电脑或购买其他计算机。这样做的好处是,它可用于大流行后的工作,包括替换已经使用了使用寿命的PC。缺点更为重要:笔记本电脑也需要购买,价格也更昂贵,最重要的是,您需要在笔记本电脑上部署外部控制系统。对于“家庭式”选项,这是非常不便且很长的。

另一个明显的选择是员工的家用PC,但我们相信,每个人都知道这会带来什么威胁。如果员工同意将其用于工作,那么它的价格便便宜又便宜,因此-我们发现-一些公司正在采用这种方式。直到现在,一切正常,直到可以访问此PC的人出现:孩子,丈夫或“计算机管理员”。他们自愿或非自愿地更改软件甚至硬件,然后在大多数情况下,对公司网络的访问将立即停止。而且电话无法解决问题-您需要派遣专家。

下一个选项是移动设备。我们认为,如果它们在Workspace ONE平台的控制下,这也是可接受的选择。我们在上面讨论过。但是这里也有它们的缺点。首先,许多员工害怕在公司的控制下提供他们的移动设备,并且在这种努力中可以理解它们。其次,很难在平板电脑上高效地工作,而且并非总是可以连接外围设备。

在这方面,出现了另一个问题:是否可以将现有的PC变成瘦客户机?

让我们回远一点。什么是瘦客户端?这是一台小型专用计算机,具有通用操作系统或经过定制以在VDI模式下工作的专用OS。 VDI客户端,附加的管理软件已安装在其上,并且仅准备执行其最具体的任务,除了它之外,它无法执行任何操作。选择是巨大的:按价格,按生产率,按外形尺寸。如今,许多公司正在重新设计办公室瘦客户机,并将其分发给切换到远程站点的员工。

管理瘦客户端非常简单,您可以非常快速地完成它。此类设备默认情况下的软件和硬件版本比常规PC少得多。此外,针对他们的软件尽可能地自动化,有时最终用户不需要任何参与;即使是公司的初级IT员工也可以轻松地掌握它们。



我们在这方面可以提供什么?我们拥有Wyse ThinOS,正是她将Dell Technologies瘦客户机与竞争对手的解决方案区分开来。进展非常灵敏-目前她大约17岁。因此,该系统进行了大量改进,已进行了尽可能多的调试,如今最小大小为30 MB。通过快速的通信通道,ThinOS瘦客户端在板上的更新时间大约需要30秒,而在通信通道不正确的情况下,与远程安装Windows映像相比,它需要几分钟(而不是几天)的时间。

ThinOS不允许您安装任何第三方软件,数据仓库中的文件系统不可用,因此,瘦客户端完全不会受到任何病毒攻击或黑客攻击。如果您玩些“魔术”,那么从网络的角度来看,瘦客户机通常可以变成“黑匣子”:即使有人决定攻击它,它也根本不了解它在处理什么。同时,不仅可以使用Skype for Business,Jabber,Cisco电话会议工具来优化普通应用程序,还可以优化多媒体,并且可以使用重载3D应用程序(例如Autodesk,Solidworks或Siemens NX)来支持硬件流量解码。因此,即使设计师也可以在家工作。

简而言之,就封闭程度而言,ThinOS使安装它的设备更接近于硬件零客户端参数,但是同时允许与Microsoft和其他供应商的VMware Horizo​​n,Citrix,VDI 一起使用。该系统支持四种远程访问协议(VMware Blast Extreme,PCoIP,HDX 14,RDP / Remote FX 10),并允许您连接到各种类型的VPN服务器。

当然,ThinOS通过Wyse Management Suite支持管理。并且,在此块开始时回答问题,是的:我们可以将常规PC转换为瘦客户机。我们的解决方案称为PC的Wyse转换器。这是一款适用于常规Windows 7/10的软件,并通过订阅提供了俄语版本的支持,这一点很重要:当当前情况解决并且大多数员工返回其办公室时,就无法对其进行扩展。交付是通过电子方式进行的,因此毫无疑问会引入任何星期,该账单最多可以使用几天。

该程序的主要任务是将选定的PC变成Wyse软件瘦客户端-具有Windows操作系统的Wyse软件客户端。机器上已经安装了驱动程序的所有外围设备将继续工作。如有必要,将支持所有可能的VPN客户端,但主要的是,可以使用Wyse Management Suite管理此类PC。而且很难禁用它,因为安装后,系统实际上在零客户端状态下被阻止。您也可以使用同一软件将所有内容恢复为原始状态。

Wyse Management Suite设置允许您自动化连接到VDI的过程,即,传输连接服务器的地址,安装必要的客户端(例如VMware Horizo​​n或Citrix Workspace Up),然后在此PC上运行它。几乎不可能意外退出VDI模式,因为有一些设置可以在用户按下电源按钮后重新启动VDI客户端。所有这些都可以在演示模式下预先尝试。

是否可以为没有VDI但可管理和安全的远程工作提供解决方案?


我们也肯定地回答了这个问题,但针对必须严格遵守的某些条件进行了调整。首先,您需要在Wyse ThinOS中使用瘦客户端-这是安全性和易于管理的问题。在这种基础上的工作场所根本不允许任何人做任何管理员未规定的事情。他只需要做一件事:通过VPN连接并与办公室PC进行远程通信会话。这种方法无需在办公室PC上安装Horizo​​n Agent或其他VDI代理。下一个条件是通过Wyse Management Suite Cloud管理所有这些。



我们为什么不在Windows上提供瘦客户机?因为VPN是企业内部很大通道的开放。从我们的角度来看,在我们这一风险级别上,应该有最安全的设备,不允许做任何额外的事情。

仅提供两种协议进行连接,因为它们可以直接用于办公PC而无需使用VDI基础结构:它们是RDP / Remote FX和PCoIP。

谈到管理,必须强调Wyse Management Suite既有免费版本又有付费版本。免费只能部署在您的服务器上。由于我们作为问题答案的一部分而解决的任务被减少为具有最大安全性的最少动作。作为免费版本的一部分,不可避免的会困扰您许多信息安全人员的问题。但是,我们还有Wyse Management Suite Cloud,这是一个已经存在了很长时间的云解决方案-现在它可以管理超过一百万个工作。



它不能直接购买,但是使用Wyse Management Suite Pro的付费版本,您可以免费获得Cloud。许可证是在用于管理设备的同一个人帐户中颁发的。要对配置进行微调,可以使用部署在网络内部的WMS,然后将瘦客户端的此配置传输到云中。Wyse Management Suite Pro和Cloud与Dell Technologies瘦客户端结合使用

的重要优势不仅在于能够控制操作系统本身,应用程序和设置,而且还具有控制BIOS的能力。因此,从外部设备启动或更改管理角色等方法完全排除了对PC的外部访问。

这就是基于浏览器的管理控制台的外观。对于WMS Pro和Cloud,为方便管理员,您还可以部署移动应用程序。

也许这就是我们今天要讲的。如果您对此主题有任何疑问,那么我们将尝试在评论中回答。而且,如果在阅读完这些材料后突然有您想要尝试或实施某些描述的解决方案的愿望,我们会在私人信息中等待您-我们将迅速与负责任的人员联系,他们将组织一切。感谢您的关注!

More articles:


All Articles