Предприятия уже давно столкнулись с необходимостью удобно и безопасно организовать удаленную работу своих сотрудников.
Но если раньше эту задачу можно было регулярно откладывать и продолжать думать о ней, то сейчас времени уже нет: «удаленная работа» — главный тренд весны 2020 года во всем мире.
В этом материале мы хотели бы поделиться своим опытом организации удаленной работы сотрудников, ведь мы плотно занимаемся этим вопросом уже почти 25 лет. Формат удаленной работы абсолютно знаком любому сотруднику Dell Technologies, и наши российские офисы в этом плане не являются исключением.
Конкретно сегодня мы хотели бы сосредоточиться на вариантах решения проблемы с использованием существующих технологий, то есть оперативных решениях без использования VDI и развертывании VDI в кратчайшие сроки.
Ниже мы дадим подробные ответы на четыре вопроса, которые в последнее время чаще всего задают наши нынешние и потенциальные клиенты.
Можно ли с минимальными усилиями добиться того, чтобы сотрудники работали из дома так же, как и в офисе?
Может. Для этого сотруднику, переходящему на удаленную работу, понадобится ноутбук с установленными программами, которыми он обычно пользуется, и набор ПО для групповой работы вроде Microsoft Teams, Skype for Business, возможно, Zoom и так далее.Это позволит вам общаться и делиться информацией со своей командой почти так же, как в офисе.
Еще одна вещь совершенно необходима: VPN-клиент. Вариантов очень много, и выбор конкретного будет явно продиктован инструкциями отдела информационной безопасности вашей компании.
Поскольку устройство сотрудника будет находиться у него дома, а не в офисе, существует риск, что к нему может получить доступ посторонний человек.
Поэтому следует использовать средства многофакторной авторизации: смарт-карты, сканер отпечатков пальцев, токены или одноразовые пароли.
Нельзя забывать и о защитном программном обеспечении: антивирусах и средствах предотвращения утечек информации.
Но самое главное — это программное обеспечение для дистанционного управления.
Это позволит специалистам ИТ-отдела вашей компании настраивать ПК сотрудников, находящиеся вне локальной сети.
Те клиенты, которые используют корпоративные компьютеры Dell Technologies (в частности, серии Latitude и OptiPlex), находятся в этом плане в привилегированном положении.
Дело в том, что у них есть предустановленная программа.
Пакет клиентских команд Dell , что дает ощутимые преимущества в сложившейся ситуации.
По сути, это KVM-решение, функционал которого можно использовать, даже если устройство, на котором оно установлено, находится за пределами предприятия.
С его помощью можно делать многое: разворачивать и настраивать устройство, устанавливать драйверы, следить за состоянием и даже обновлять BIOS. Однако здесь есть тонкий момент: необходима поддержка технологии vPro, и это зависит от конкретной конфигурации и процессора, используемого в компьютере.
Если такая поддержка существует, то с помощью модулей Deploy и Configuration системный администратор может удаленно подготовить устройство к доставке пользователю: удаленно установить сборки необходимых драйверов и обновлений прошивки.
Модуль «Монитор» позволяет отслеживать аппаратное состояние всего парка техники, находящейся в руках удаленных сотрудников.
Корпоративных компьютеров не хватает. Как организовать удаленную работу на устройствах самих сотрудников?
И это тоже возможно.Здесь мы со своей стороны можем порекомендовать другое специальное программное обеспечение - Рабочее пространство ONE от Вмваре.
Он состоит из трех частей.
vIDM отвечает за идентификацию пользователей и реализацию технологии единого входа, причем происходит это независимо от того, в какой сети находится устройство — корпоративной или внешней.
Следующая часть — управление мобильными устройствами.
Если вы раньше пользовались этой программой, вы наверняка помните ее под названием AirWatch. Сегодня функционал расширился, и текущие возможности распространились с мобильных устройств на любой ПК с Windows 10 на борту.
Здесь вы можете распределять политики конфигурации устройств, ограничивать их в определенных возможностях, принудительно устанавливать или удалять программное обеспечение, отслеживать геолокацию и — это важно — вы можете удаленно стереть устройство, если станет ясно, что оно было украдено или скомпрометировано.
И это только верхушка айсберга, возможностей гораздо больше.
Самое главное помнить, что все это работает не только в локальной корпоративной сети, но и, так сказать, «за» Интернетом.
И небольшое замечание по поводу продуманности программного обеспечения: все это шлифовалось годами, и теперь в Workspace ONE, например, учитывается даже расход заряда батареи удаленного устройства.
То есть ваш сотрудник, работающий без подключения к электросети, точно не останется без компьютера из-за того, что назначенные администратором действия внезапно «съели» весь оставшийся заряд во время некоторых обновлений.
Третий компонент Workspace ONE — VMware Горизонт , и это не просто решение для доступа к десктопам внутри корпоративной сети, а полноценная VDI-платформа.
Есть много функционала, связанного именно с работой с ресурсами дата-центра.
Есть как возможность работы в локальной сети (в этом случае могут быть развернуты серверы для управления устройствами, принадлежащими удаленным сотрудникам), так и в рамках облачного решения.
Оба варианта доступны в России, решение очень масштабное и комплексное.
Но в рамках сегодняшней темы давайте сосредоточимся на том, что его можно использовать для подключения к серверной инфраструктуре сотрудников, у которых есть настольные ПК, ноутбуки, тонкие клиенты или даже планшеты с iOS/Android. 
В качестве примера, в общих чертах, мы поговорим об одном из живых примеров создания инфраструктуры безопасных рабочих мест для удаленных работников с помощью Workspace ONE. При таком подходе на стороне пользователя появится своего рода «магазин приложений», в котором он сможет скачивать необходимые для работы программы, причем для каждой из них можно организовать отдельный VPN-канал.
Более того, при выборе приложения Gmail, скажем, в Android, у пользователя будет два значка почтового клиента: его личная почта и отдельный корпоративный аккаунт, перед открытием которого будет установлено защищенное соединение.
Обмен данными между приложениями из личной зоны пользователя и корпоративной зоны невозможен.
Конечно, и здесь есть возможность подстраховаться на случай потери устройства: администратор может удаленно стереть систему.
Важный нюанс: персональные данные пользователя не удаляются.
Да и вообще функционал очень широкий: автоматическая настройка, шифрование, запрет хранения личных данных и так далее.
Разумеется, прежде чем все это дело будет развернуто на устройстве конечного пользователя, гаджет необходимо проверить на соответствие корпоративным политикам.
Если вдруг что-то в прошивке изменится после проверки соответствия, может быть автоматически применен запрет на работу с данными или запущен процесс принудительного обновления.
Используем ли мы решения, основанные на Рабочее пространство ONE в своей работе? Да конечно.
Вот как выглядит «магазин приложений» на рабочем устройстве одного из наших сотрудников, который, как и многие из нас, сейчас работает удаленно.
VDI — это сложный, дорогой и трудоемкий процесс.
Можно ли как-то это организовать проще, быстрее и дешевле? Как большинство людей относятся к VDI? Сколько виртуальных машин с разными ОС работает в дата-центре.
Используя удаленный доступ с клиентского устройства, пользователь получает к ним доступ и взаимодействует с приложениями, работающими на виртуальной машине.
Что касается систем, то в основном это сводится к Windows и Linux. Главный плюс всего этого — безопасность: данные абсолютно всегда остаются в дата-центре, никогда его не покидают и не попадают на компьютеры пользователей.
Удаленный сотрудник видит на своем экране только то, что происходит в виртуальной машине, но не может даже ничего скопировать на свою машину.
Конечно, если это не разрешит системный администратор.
В то же время это можно рассматривать как ограничение при работе с VDI. Второе преимущество – управляемость.
Обновление приложений и версий операционных систем, применение различных политик к виртуальным машинам происходит централизованно и очень быстро.
Еще важнее то, что виртуальная машина не развертывается на каждом ПК отдельно, а клонируется из образов: их тысячи можно создать буквально за минуты.
И это третье преимущество VDI. Главный недостаток VDI — это сложное решение: оно состоит из большого количества компонентов.
Многие клиенты считают непрактичным и дорогим использование в нынешних условиях быстрого развертывания домашних рабочих мест. Это так? Давайте рассмотрим ситуацию на примере VMware Horizon. Конечно, есть и другие, не менее эффективные варианты, но мы используем именно такой подход. Из чего состоит вся конструкция в схематическом упрощенном виде? Прежде всего, это клиент: это может быть что угодно — Windows, Linux, Mac OS, и пользовательский опыт в большинстве случаев одинаков на разных устройствах.
Если сотруднику сложно самостоятельно установить VDI-клиент, то можно работать через браузер.
В этом случае доступ к вашей личной виртуальной машине превращается в переход по ссылке и ввод логина, пароля и, возможно, каких-то дополнительных данных.
Следующий компонент — VMware Unified Access Gateway. Это «привратник», который с точки зрения внешнего пользователя выглядит как веб-сервер.
Он расположен в так называемой «демилитаризованной зоне» предприятия и скрывает локальную сеть от Интернета.
То есть все, кто вне локальной сети, видят только UAG. Сервер соединений — это служба соединений, которая отвечает за то, к какой виртуальной машине, серверу терминальных приложений или физическому компьютеру будет подключаться конкретный пользователь.
К чему именно он будет подключен, задает администратор; сам пользователь не может повлиять на настройки.
К чему вы можете получить доступ с помощью VMware Horizon? Например, на рабочий стол Windows удаленной машины.
Это может быть Windows 10, Windows 7 или специальный компьютер с Windows Server. Последнее актуально, если вы хотите сэкономить на лицензиях, но на этом мы сегодня останавливаться не будем.
Самый бюджетный вариант развертывания, конечно, — это виртуальные машины под управлением Linux. Также можно сэкономить на серверном оборудовании, настроив терминальный доступ.
На данный момент в среднем на одном физическом сервере может работать более сотни виртуальных машин и около 400-500 сессий терминального доступа.
И во всем этом есть одно «но», о котором часто забывают, говоря о VDI. Дело в том, что технология позволяет получить доступ не только к виртуальным машинам, но и к физическим ПК.
Да-да, те самые, в которых до «эры глобальной удаленки» сотрудники работали в офисе.
Для того чтобы это было возможно, вам потребуется установить Horizon Agent на компьютер в офисе, а затем настроить к нему удаленный доступ как к виртуальной машине через сервер подключений и UAG. Если администратор этого не разрешил, то кроме самого пользователя этот ПК никто не увидит. А все остальные сотрудники также будут видеть из офиса только свои личные машины, перешедшие в «виртуальный» статус.
Об одном из вариантов такого доступа к ПК мы сняли красивое видео.
В данном случае компьютер представляет собой рабочую станцию Dell Precision с картой Teradici в стоечном форм-факторе: она расположена в серверной, и сотрудник получает к ней доступ с тонкого клиента.
Обратите внимание, что пользовательский опыт практически такой же, как если бы вы работали с той же графической станцией без VDI, и речь идет об очень ресурсоемкой задаче — 3D-моделировании.
Получается, что для пользователя разницы практически нет, а организация получает выгоду: улучшается управляемость и повышается безопасность.
Подключаться к реальным и виртуальным машинам под управлением VMware Horizon можно по протоколам VMware Blast Extreme, Teradici PCoIP, RDP, Remote FX и HTML5, то есть возможен также доступ через браузер.
Если посмотреть на все это «со стороны», то UAG покажет только порт 443, то есть стандартный зашифрованный HTTP. Таким образом, решение ограничивает доступ к локальной сети одним портом удаленного доступа; нет необходимости использовать VPN. 
Какое устройство выбрать для доступа по VDI, если оно будет находиться дома вне корпоративной сети?
Самый надежный вариант, на наш взгляд, — тонкий клиент. Его основные преимущества: безопасность, управляемость, невысокая стоимость.Минус в том, что даже эти гаджеты необходимо докупать, из-за чего работа на некоторое время будет приостановлена.
Вы можете взять имеющийся корпоративный ноутбук или купить дополнительные машины.
Преимущество здесь в том, что его можно будет использовать для работы даже после окончания пандемии, в том числе для замены тех ПК, срок службы которых уже подошел к концу.
Минусы еще более существенны: ноутбуки тоже нужно покупать, они дороже, а главное, на них нужно развертывать внешнюю систему управления.
Для «домашнего» варианта это очень неудобно и долго.
Еще один очевидный вариант — домашний компьютер сотрудника, но мы считаем, что последствия этого понимают все.
Если сотрудник согласен использовать его для работы, то это быстро и дешево, поэтому мы выяснили, что некоторые компании сейчас идут именно по этому пути.
Только все работает до тех пор, пока не появится кто-то, кто тоже имеет доступ к этому ПК: ребенок, муж или «компьютерный мастер».
Они вольно или невольно вносят изменения в программное или даже аппаратное обеспечение, после чего в большинстве случаев доступ к корпоративной сети сразу прекращается.
А по телефону проблему не решить – нужно прислать специалиста.
Следующий вариант – мобильные устройства.
На наш взгляд, это тоже приемлемый вариант, если они находятся под контролем платформы.
Рабочее пространство ONE , о котором мы говорили выше.
Но здесь есть и недостатки.
Во-первых, многие сотрудники боятся передавать свои мобильные гаджеты руководству корпорации, и их можно понять в этом желании.
Во-вторых, на планшетах сложно продуктивно работать, а подключить периферию не всегда возможно.
В связи с этим возникает дополнительный вопрос: можно ли превратить существующий ПК в тонкий клиент? Давайте еще раз пройдем немного дальше.
Что такое тонкий клиент? Это небольшой специализированный компьютер с ОС общего назначения или специализированной ОС, настроенной для работы именно в режиме VDI. На нем установлены VDI-клиенты и дополнительное ПО управления, и он готов выполнять только самую специфичную свою задачу, за пределами которой ничего сделать не может. Выбор огромен: по цене, по производительности, по форм-фактору.
Многие сегодня перепрофилируют офисные тонкие клиенты и раздают их сотрудникам, перешедшим на удаленную работу.
Управление тонким клиентом очень простое и осуществляется очень быстро.
Такие устройства по умолчанию имеют гораздо меньше вариаций как программного, так и аппаратного обеспечения, чем обычные ПК.
Кроме того, программное обеспечение для них максимально автоматизировано, иногда вообще не требуя участия конечного пользователя; даже младший ИТ-персонал компании без проблем освоит его.
Что мы можем предложить здесь со своей стороны? У нас есть Wyse ThinOS, и именно это отличает тонкие клиенты Dell Technologies от конкурентов.
Разработка очень зрелая — на данный момент ей около 17 лет. Итак, система претерпела огромное количество доработок, максимально отлажена и на сегодняшний день имеет минимальный размер 30 МБ.
Время обновления тонкого клиента с ThinOS на борту занимает около 30 секунд по быстрому каналу связи, а в случае плохих каналов связи — минуты, а не дни, если сравнивать с удаленной установкой образа Windows. ThinOS не допускает установку какого-либо стороннего программного обеспечения, файловая система хранения данных в ней недоступна, и благодаря этому тонкий клиент вообще не подвержен никаким вирусным атакам или попыткам взлома.
Если немного схитрить, то с сетевой точки зрения тонкий клиент вообще можно превратить в «черный ящик»: даже если кто-то решит его атаковать, он просто не поймет, с чем именно имеет дело.
При этом имеются средства для оптимизации не только обычных приложений, но и мультимедиа, работы со Skype for Business, Jabber, инструментами конференц-связи Cisco, а при работе с тяжелыми 3D-приложениями типа Autodesk, Solidworks или Siemens NX аппаратное декодирование трафика поддерживается.
Так что даже дизайнеры могут работать из дома.
Короче говоря, по уровню закрытости ThinOS приближает устройство, на котором он установлен, к параметрам аппаратного нулевого клиента, но в то же время позволяет работать с VMware Горизонт , Citrix, VDI от Microsoft и других поставщиков.
Система поддерживает четыре протокола удаленного доступа (VMware Blast Extreme, PCoIP, HDX 14, RDP/Remote FX 10) и позволяет подключаться к различным типам VPN-серверов.
Естественно, ThinOS поддерживает внешнее управление.
И, отвечая на вопрос в начале этого блока, да: мы можем превратить обычный ПК в тонкий клиент. Наше решение называется Wyse Converter для ПК.
Это программное обеспечение, подходящее для обычной Windows 7/10, причем с поддержкой русской версии, оно предоставляется по подписке, и это важно: когда текущая ситуация разрешится и большинство сотрудников вернутся обратно в офисы, это важно.
просто не продлится.
Доставка осуществляется в электронном виде, поэтому ни о каких неделях на реализацию не может быть и речи, счет будет максимум дней.
Основная задача этой программы — превратить выбранный ПК в Wyse Software Thin Client — программный клиент Wyse под управлением операционной системы Windows. Все периферийные устройства, для которых на машине уже установлены драйверы, продолжат работать.
При необходимости будут поддерживаться все возможные VPN-клиенты, но самое главное — таким ПК можно будет управлять с помощью Wyse Management Suite. И отключить его будет сложно, так как после установки система фактически блокируется в состоянии нулевого клиента.
Вернуть все в исходное состояние также можно с помощью того же программного обеспечения.
Настройки Wyse Management Suite позволяют автоматизировать процесс подключения к VDI, то есть передать адрес сервера подключения, установить необходимый клиент — скажем, VMware Horizon или Citrix Workspace Up и запустить его на этом ПК.
Случайно выйти из режима VDI практически невозможно, поскольку существуют настройки, которые перезапускают клиент VDI после нажатия пользователем кнопки питания.
И все это вы можете попробовать заранее в демо-режиме.
Можно ли сделать решение для удаленной работы без VDI, но управляемое и безопасное?
На этот вопрос мы также отвечаем утвердительно, но с поправкой на некоторые условия, которые необходимо неукоснительно соблюдать.Прежде всего, вам необходимо использовать тонкий клиент с Wyse ThinOS — это вопрос безопасности и простоты управления.
Рабочее место на такой основе просто физически не позволит никому делать ничего, что не предусмотрено администратором.
И от него требуется только одно: подключиться через VPN и начать сеанс удаленной связи с офисным ПК.
При таком подходе нет необходимости устанавливать Horizon Agent или другой агент VDI на офисный ПК.
Следующим шагом будет управление всем этим через облако Wyse Management Suite. 
Почему мы не предлагаем тонкие клиенты для Windows? Потому что VPN — это открытие очень большого канала в предприятие.
При таком уровне риска на стороне пользователя, с нашей точки зрения, должно быть максимально безопасное устройство, которое не позволит сделать ничего лишнего.
Для подключения предлагается всего два протокола, поскольку их можно использовать напрямую с офисными ПК без использования инфраструктуры VDI: это RDP/Remote FX и PCoIP. Говоря об управлении, важно подчеркнуть, что Wyse Management Suite поставляется как в бесплатной, так и в платной версиях.
Бесплатная версия может быть развернута только на ваших серверах.
Так как задача, которую мы решаем при ответе на поставленный вопрос, сводится к минимуму действий с максимальной безопасностью.
А при использовании бесплатного варианта неизбежны проблемы, которые отнимут у вашей команды информационной безопасности много времени.
Однако у нас также есть облачное решение Wyse Management Suite Cloud, которое существует уже давно — сейчас оно управляет более чем миллионом рабочих мест. 
Его нельзя приобрести напрямую, но с платной версией Wyse Management Suite Pro вы получаете Cloud бесплатно.
Лицензии выдаются в том же личном кабинете, который используется для управления устройствами.
Для тестирования конфигурации можно использовать WMS, развернутую внутри сети, а затем просто перенести эту конфигурацию тонких клиентов в облако.
Важное преимущество Wyse Management Suite Pro и Cloud в сочетании с тонкими клиентами Dell Technologies — это не только возможность управлять самой ОС, приложениями и настройками, но и управление BIOS. Таким образом, полностью исключается внешний доступ к ПК такими способами, как загрузка с внешнего устройства или изменение административных ролей.
Вот так выглядит консоль управления через браузер.
В случае с WMS Pro и Cloud для удобства администраторов также можно развернуть мобильное приложение.
И, пожалуй, это все, что мы хотели вам сегодня сказать.
Если у вас есть вопросы по теме, мы постараемся ответить в комментариях.
А если вдруг после прочтения материала у вас возникнет желание попробовать или реализовать какое-то из описанных решений, то ждем вас в личных сообщениях – мы оперативно свяжем вас с ответственными людьми, и они все организуют. Спасибо за внимание! Теги: #vmware #it-инфраструктура #Системное администрирование #vdi #тонкий клиент #Удаленная работа #удаленный доступ #workspace one #vmware Horizon #dell Technologies #нулевой клиент #Wyse ThinOS
-
Сохранение Мозга Со Всеми Его Синапсами
19 Oct, 24 -
Angry Birds В Кино: Первый Трейлер
19 Oct, 24 -
Html5 Комикс
19 Oct, 24
