Home Office verspricht Business Continuity
Ausgangssituation
Generell stehen Unternehmen weltweit vor der Aufgabe, ihre „Business Continuity“ aufrecht zu erhalten. Aufgrund der aktuellen Pandemie gewinnt diese Aufgabenstellung an Brisanz, gilt es doch für die Verantwortlichen, zusätzlich die Sicherheit und Gesundheit für ihre Mitarbeiter zu gewährleisten.
Somit erhält die schnelle Umsetzung von Business Continuity-Plänen in den meisten Organisationen oberste Priorität, um die wirtschaftlichen Auswirkungen möglichst gering zu halten. In diesem Kontext avanciert die Telearbeit zur wichtigsten Trumpfkarte – die Angestellten und Freiberufler werden aufgefordert, von zu Hause aus zu arbeiten.
Doch was sich so einfach formulieren lässt, erweist sich für die IT-Verantwortlichen oftmals als eine wahre Herkulesaufgabe: müssen sie doch sicherstellen, dass die vorhandene IT-Infrastruktur dem Ansturm von Remote-Arbeitsplätzen gewachsen ist. Aus den bisherigen Praxiserfahrungen über alle Unternehmen hinweg gehen Experten davon aus, dass die Nachfrage nach Remote Access-Kapazität um das 3- bis 4-fache ansteigt, wenn plötzlich nahezu 100 Prozent der Belegschaft vom heimischen Schreibtisch auf benötigte Daten und Anwendungen zugreifen müssen.
Bedarf an Telearbeit bleibt bestehen
Eine solch immense Skalierbarkeit wird zur Herausforderung ohne entsprechende Vorbereitungszeit. Auch wenn in einer Organisation adäquate Notfallpläne definiert sind, so ist es doch fraglich, ob dieses Ausmaß der Reaktionsfähigkeit auf derartig einschneidende Ereignisse vorhergesehen wurde und demnach die vorhandene Technologie entsprechend skaliert.
Eine valide Strategie zur Einführung von vielen Remote-Arbeitsplätzen sollte die wesentlichen Fragen beantworten:
- Werden alle Mitarbeiter in der Lage sein, aus der Ferne auf ihre Anwendungen zuzugreifen?
- Wie kann der Mitarbeiter seine Arbeit im Home Office verrichten?
- Wird alles so wie gewohnt funktionieren?
- Kann das IT-Team von zu Hause die notwendige Unterstützung leisten?
- Welche Auswirkungen hat Teleworking auf das Zuverlässigkeits- und Sicherheits-Niveau?
- Wie wird die Zugriffsgeschwindigkeit der Benutzer aussehen und damit ihre Produktivität?
- Wie können die IT-Verantwortlichen schnell genug die IT-Umgebung skalieren lassen, um die nötigen Ressourcen bereitzustellen?
- Falls ein Unternehmen noch keine Home Office-Infrastruktur im Einsatz hat: Wie schnell kann es diese Architektur aufbauen?
- Ist der neue Arbeitsweg dann auch flexibel genug, um die Business-Anforderungen komplett zu erfüllen?
Damit sollten die wichtigsten Komponenten des digitalen Arbeitens angesprochen sein, die notwendig sind, um die Handlungsfähigkeit im laufenden Geschäftsbetrieb sicherzustellen und das Home Office zum Teil der traditionellen Büroumgebung werden lassen.
Themen im Überblick
- Business Continuity mit Citrix
- Generelle Optionen für den Remote-Zugriff von Citrix
- Das Kernprodukt: Citrix Virtual Apps and Desktops, CVAD
- Das Basisprotokoll: die Citrix HDX-Technologien
- Integrierter Remote PC Access
- Die Frage nach günstigen Endgeräten
- Citrix Managed Desktops (DaaS; Desktop as a Service)
- Klassische Anwendungsfälle für Business Continuity
Business Continuity mit Citrix
Der Aufbau einer zuverlässigen Home Office-Infrastruktur darf keineswegs so aussehen, dass die Anwender ihren Firmen-PC einpacken, ihn dann im Home Office anschließen und anschließend eine VPN-Verbindung ins Firmennetzwerk aufbauen. Das wäre eine regelrechte Katastrophe in puncto Security: Denn der Arbeitgeber bzw. der IT-Verantwortliche hat keinerlei Kontrolle mehr, was der Mitarbeiter mit den Daten im Home Office anstellt und welche „unerlaubten“ Applikationen zum Einsatz kommen.
Von jeder Lokation weltweit mit jedem Endgerät auf die Applikationen im Rechenzentrum oder auf virtuelle Desktops zugreifen – z.B. auf einen vollwertigen Windows-10-Desktop: Diese Anforderungen lassen sich mit den von Citrix verfügbaren Infrastruktur-Lösungen umsetzen. Dabei wird der Verbindungsweg selbst abgesichert und verschlüsselt.
Funktionen wie etwa die sichere Authentifizierung werden ebenso unterstützt, wie eine umfassende Endpoint-Analyse: Sie klärt, ob der Virenschutz beim Endanwender aktuell genug ist. Nur wenn das der Fall ist, darf eine Verbindung ins Rechenzentrum aufgebaut werden, sonst geht es zum Beispiel in die Quarantäne. Dazu kommen noch Monitoring-Lösungen, um jederzeit konkrete Aussagen über den Verkehr und den Zustand der Infrastruktur treffen zu können.
Es spielt keine Rolle, über welchen Netzwerkpfad der Benutzer auf die Daten und Applikationen in der Zentrale zugreift: Das darf eine klassische DSL-Leitung sein, aber auch die Protokolle SD-WAN und MPLS (Multi-Protocol Label Switching) finden Unterstützung. Wer sich mit einem mobilen Endgerät einwählen will, der kann das über LTE oder gar 5G-Netze machen. In einigen Gegenden sind womöglich nur 128 kbit/s-Anbindungen im Einsatz – auch die lassen sich verwenden.
Generelle Optionen für den Remote-Zugriff von Citrix
Auch im Data Center ist eine entsprechende Infrastruktur notwendig. Sie muss all diese verschiedenen Arten der Zugangswege unterstützen. Hier sind Funktionalitäten wie Firewalls und Application Delivery Controller (ADC) mit Lastverteilungs-Optionen gefragt.
Im Bereich der Serverfarmen sind vor allem die Terminalserver zu nennen. Dabei handelt es sich um Windows-basierte Server, auf denen die Anwendungen der Endbenutzer installiert sind. Das hat den Vorteil, dass die Applikationen im Rechenzentrum bleiben und nicht auf dem Endgerät installiert werden müssen. Damit haben die IT-Verantwortlichen wesentlich mehr Kontrolle über die eingesetzten Programme.
Ähnliches gilt auch für die virtuellen Desktops (Virtual Desktop Infrastructure, VDI) und den von Microsoft neu vorgestellten Windows Virtual Desktop (WVD). Damit wird seitens Citrix alles als Plattform unterstützt, was heutzutage in der Microsoft-Welt bekannt ist: VDI, Remote Desktop Session Host, Terminalserver. Des Weiteren besteht auch eine große Wahlfreiheit bei den Betriebssystemen: Linux-basierte Applikationen oder Desktops werden zusätzlich supportet.
Bei der Auswahl der Endgeräte bestehen ebenfalls viele verschiedene Optionen, wie etwa der Browser-basierte Webzugriff. In diesem Fall muss der Anwender nichts auf seinem System installieren, der Zugriff auf die Anwendungen läuft über den Browser.
Eleganter und mit mehr Funktionalität lässt sich die Verbindung über die Workspace App (ehemals Citrix Receiver) aufbauen. Diese Software muss der Anwender auf seinem Endgerät installiert haben.
Als weitere Option gibt es den Remote PC Access. Damit steht eine Variante zur Verfügung, die besonders dann passt, wenn man nicht die nötigen Ressourcen im Rechenzentrum vorrätig hat. In einem derartigen Szenario lässt sich auch der Arbeitsplatz-PC des Anwenders im Unternehmens nutzen. Der Zugriff darauf – quasi eine Art der Fernsteuerung – wird über das Protokoll von Citrix hergestellt.
Das Kernprodukt: Citrix Virtual Apps and Desktops, CVAD
Bei Citrix Virtual Apps and Desktops (CVAD) handelt es sich um das Kernprodukt – es ist allerdings in verschiedenen Ausprägungen verfügbar. Wer alles selbst und im eigenen Rechenzentrum betreiben möchte, der kann auf das Do-It-Yourself-Modell (DIY-Modell; links im Bild) zurückgreifen.
Dabei verbleibt sowohl die IT-Infrastruktur, als auch alles was nötig ist, um auf sie zuzugreifen, im unternehmenseigenen Rechenzentrum. Dazu gehören alle Komponenten und Ressourcen, um die Applikationen dort zu betreiben: die Terminalserver, die virtuellen Desktops, die Daten – alles wird im Rechenzentrum von der IT-Abteilung des Unternehmens selbst betrieben und verwaltet (oder vom Outsourcing-Partner der Organisation).
Bei der Methode zwei (in der Mitte der Grafik dargestellt) kommt eine SaaS-Variante zum Einsatz: die Citrix Cloud. Dabei wird von Citrix die Infrastruktur (also die Virtual Apps and Desktop Services sowie der Citrix Gateway Service) als Service zur Verfügung gestellt. Die Verwaltung dieser Citrix Cloud wird bei Citrix vorgenommen, das Anwenderunternehmen muss dann nur die zugehörige Subscription – also das Abo – bezahlen.
Die komplette Citrix Cloud s wird von Citrix aktualisiert respektive gepatched. Das IT-Personal des Anwenderunternehmens kann die üblichen Administrations-Tools und Werkzeuge verwenden, um die eigenen Bestandteile der Umgebung zu verwalten. Das führt zu einer Wahlfreiheit bei den Ressourcen: Terminalserver, virtuelle Desktops. Das Anwenderunternehmen entscheidet, wo es seine Ressourcen betreiben möchte: sei es im eigenen Rechenzentrum oder – im Falle einer hybriden IT-Infrastruktur – bei einem Cloud-Partner.
Die dritte und neueste Variante ist der Citrix Managed Desktop (rechts in der Grafik) – ein Desktop as a Service-Angebot. Es basiert auf dem Virtual Apps and Desktop Service und dem Citrix Gateway Service (also der Citrix Cloud). Damit wird auch der Einsatz des Windows Virtual Desktops möglich. Dabei ist die Azure Cloud ein zentraler Bestandteil, denn der Windows Virtual Desktop kann ausschließlich aus Azure bezogen werden. Unternehmen können das allerdings mit den Daten im eigenen Rechenzentrum und dem eigenen Active Directory verbinden.
Generell sind die Lösungen von Citrix so konzipiert, dass ein extrem hybrides Modell zum Einsatz kommen kann: Ein Unternehmen kann die verschiedensten Cloud Provider in diese Lösung einbinden: AWS, Google Cloud Platform, Azure, VMware Cloud und Oracle Cloud sind dabei zu nennen. Zudem werden Private Clouds unterstützt, wie auch Hypervisor-Technologien (Citrix Hypervisor, Hyper-V, vSphere und AHV) und die Appliances aus dem HCI-Umfeld (Hyper-Converged Infrastructure wie Nutanix)
Technik des Windows Virtual Desktop (WVD)
Ein weiterer großer Pluspunkt in Sachen Kosten und Skalierbarkeit ist Windows 10 Multisession, die erste echte Multi-Client Windows-Version. Wollte man früher eine derartige Lösung realisieren, war man auf eine Variante des Windows Server angewiesen, was eine Vielzahl an Problemen nach sich zog: Viele Applikationen lassen sich schlichtweg nicht auf einem Server-Betriebssystem installieren, oder man muss ihnen vormachen, sie laufen auf einem „normalen“ Windows Client (also einem Desktop Windows-System).
Windows 10 Multisession macht dagegen den parallelen Betrieb mehrerer regulärer Windows- Sitzungen möglich, und Unternehmen profitieren von einem vorteilhaften Lizenzierungsmodell. Auch für Windows-7-Nutzer bietet WVD einen markanten Vorteil: Wer auf Windows 7 (noch) nicht verzichten kann, der erhält bei einer Migration auf WVD für die nächsten drei Jahre kostenfrei weiterhin alle Sicherheits-Updates für seine virtuellen Maschinen mit Windows 7.
Zudem wurde viel an der Optimierung des Benutzer-Interfaces von Office365 innerhalb von Windows Virtual Desktop getüftelt. Da im Prinzip jede Anmeldung bei WVD wie die erste Anmeldung auf dem System wäre, würde etwa das Öffnen von Outlook bei sehr großen Postfächern aufgrund des fehlenden Caches sehr lange dauern. Dies wurde recht elegant durch die Speicherung des Nutzerprofils auf einem SMB-Speicherbereich gelöst.
Das Basisprotokoll: die Citrix HDX-Technologien
Bei allen Remote-Zugriffen geht es um eine zentrale Frage: Wie baut der Anwender eine möglichst performante Verbindung zu den Applikationen und den Daten auf? Die Lösung seitens Citrix lautet: über das HDX-Protokoll. Es garantiert einen Zugriff ohne Wartezeiten, so dass die Anwender damit zufrieden arbeiten können (Stichwort User Experience). Im Idealfall bemerken die User nicht einmal, ob sie lokal auf ihrem System arbeiten oder ob sie via HDX mit einem Terminalserver in einem entfernten Rechenzentrum verbunden sind.
Citrix hat viel Entwicklungsaufwand spendiert, so dass auch mittlerweile eine Vielzahl von Peripheriegeräten angebunden werden kann. Es gilt bei HDX die Vorgabe, jedes Gerät über jedes Netzwerk ansprechen zu können – das HDX-Protokoll stellt sich auf die jeweiligen Gegebenheiten optimal ein. Im Bereich der Multimedia-Performance sind weitere Optimierungen enthalten, um Collaboration-Lösungen wie Microsoft Teams bestmöglich betreiben zu können.
Weitere Punkte: die Orchestrierung der Ressourcen – es sollte alles möglichst automatisiert bereitgestellt werden können, und zudem ist noch die Grafikbeschleunigung sehr wichtig. Dabei werden auch Grafikkarten unterstützt, die sozusagen im Hypervisor eingebaut sind. Das bietet eine hohe 3D-Performance (Stichwort: HDX3D).
Der zentrale Client mit Anbindung an das HDX-Protokoll ist die Citrix Workspace App. Sie ist für die gängigsten Betriebssysteme verfügbar: MacOS, iOS, Windows, Chrome, Android und Linux.
Integrierter Remote PC Access
Ein wichtiger Anwendungsfall im derzeitigen Trend-Bereich Home Office ist der Integrated Remote PC Access. Dabei handelt es sich um den einfachsten Ansatz, um den Remote-Zugriff aus dem Home Office zu ermöglichen.
Der Endanwender ist hier in der Lage, über seinen heimischen Rechner auf seinen Arbeitsplatz-PC im Unternehmen zuzugreifen. Das lässt sich zudem automatisieren: Wenn man den System Center Configuration Manager als Verwaltungs-Tool in seiner Windows-Umgebung nutzt, kann man den Arbeitsplatz-PC aus der Ferne via „Wakeup on LAN“ hochfahren lassen. Anschließend wird über das HDX-Protokoll auf den PC im Unternehmen – natürlich abgesichert auf Netzwerkebene – zugegriffen. Der große Vorteil: Das Arbeiten erfolgt Bandbreiten-schonender als beim klassischen Remote Desktop Protocol (RDP), das zudem Sicherheitsrisiken hat.
Außerdem gibt es beim RDP über einen VPN-Tunnel einen gewissen Kontrollverlust in Bezug auf das, was alles zwischen dem Rechenzentrum und dem Endanwender ausgetauscht wird. Da erweist sich der Remote PC Access als eine bessere Alternative zum RDP.
Die Frage nach günstigen Endgeräten
Es lassen sich die normalen Arbeitsplatz-PCs oder Thin Clients einsetzen. Doch mittlerweile haben sich deutliche günstigere Optionen etablieren können. Sehr günstig ist die Samsung DEX-Variante: Der Anwender nutzt sein mobiles Endgerät, legt es in die Docking Station und kann dann über die Workspace App via Tastatur, Maus und Monitor zuhause arbeiten – sprich das Handy fungiert als Thin Client.
Eine weitere günstige Lösung ist der Citrix Ready Workspace Hub: Er hat einen Rasberry PI unter der Haube und ist für HDX optimiert. Zu einem Preis von etwa 80 Euro ist auch die Workspace App integriert.
Günstige Notebooks und Tablets, die mit Windows 10 S ausgestattet sind, sind eine weitere Option. Das „S“ bedeutet, dass man keine eigenen Windows-Anwendungen installieren, sondern nur mit den Apps aus dem Windows Store arbeiten kann. Dazu gibt es eine Workspace App for HTML5, die über die Universal Store-Plattform zu beziehen ist. Eine weitere Alternative ist der Einsatz von günstigen Chromebooks, hier gibt es eine Workspace App for Android on Chrome OS.
Citrix Managed Desktops (DaaS; Desktop as a Service)
Beim Desktop as a Service steht der Windows Virtual Desktop im Vordergrund. Dazu kommen das HDX-Protokoll und eine optimierte Anbindung an das Rechenzentrum und an die Azure Cloud. Damit ist der Einsatz mit den Applikationen und Daten im eigenen Rechenzentrum machbar. Der Vorteil dieser Lösung ist die schnelle Umsetzbarkeit. In wenigen Minuten ist eine derartige Konfiguration ans Laufen gebracht. In Sachen Abrechnung wird Flexibilität großgeschrieben: Es stehen verschiedene Optionen bereit, auch eigene Azure-Kapazitäten können eingebracht werden.
Vor einiger Zeit hat Microsoft untersucht, wie sich das Modell der Remote Desktop Services (also alles, was im Kontext des Terminalservers existiert) weiter entwickeln lässt. Im Client-Betriebssystem Windows 10 gibt es eine Vielzahl von Komponenten, die man bei einem Server-Betriebssystem nicht benötigt, zum Beispiel Cortana oder den Windows Store. Das wollte man effizient machen und zudem mit der Nutzung von Office 365 kombinieren.
Nach diesen Vorgaben hat Microsoft einen Azure-Service konzipiert, über den dieser Windows Virtual Desktop (WVD) zur Verfügung gestellt werden kann. Das heißt, es kommt eine virtuelle Maschine zum Einsatz, die Stand heute nur aus Azure bezogen werden kann. Um diesen WVD nutzen zu können, benötigt man lediglich eine entsprechende Lizenz von Microsoft – zum Beispiel eine M365 E3-Lizenz.
Dafür hat man das Nutzungsrecht, um z.B. einen Windows 10 Multiuser (das ist der Windows Virtual Desktop in Azure) zu nutzen. Dazu kommt noch der Azure-Verbrauch, den Microsoft mit dem Anwenderunternehmen abrechnet. Die Abrechnung kann aber auch komplett über Citrix erfolgen, wenn man Citrix Managed Desktops nimmt. Dann bekommt das Anwenderunternehmen nur eine Rechnung für die gesamte Konfiguration.
Als interessanter Nebeneffekt gibt es im Rahmen des WVD auch die Option, eine virtuelle Maschine (VM) mit Windows 7 oder Windows Server 2008 R2 in Azure nutzen zu können – und zwar mit den Extended Security Updates. Das ist derzeit die einzig supportete Variante, um Windows 7 / Windows Server 2008 R2 betreiben zu können.
Wer sich für den Citrix Managed Desktop entscheidet, der profitiert aber auch von weiteren Vorteilen: Damit wird der WVD „Hybrid Cloud-fähig“. Das lässt sich mit dem WVD-Angebot von Microsoft nicht umsetzen. Damit besteht die Möglichkeit, den Citrix Managed Desktop parallel zu den bestehenden Terminalserver-Instanzen und den eigenen VDI-Lösungen eines Unternehmens zu verwenden und alles unter einer einheitlichen Oberfläche zu verwalten. Auch das Thema Security wird mit den Funktionalitäten aus der Citrix-Welt aufgewertet – wie zum Beispiel die App Protection.
Klassische Anwendungsfälle für Business Continuity
Die vier folgenden, beispielhaften Anwendungsfälle zum Themenumfeld Business Continuity haben das Ziel, den Mitarbeitern Zugriffslösungen zu bieten, die sich mit den Technologien von Citrix umsetzen lassen. Es handelt sich dabei um die folgenden Optionen:
- Lokales Gateway: Die Komponente Citrix ADC bietet den sicheren Zugriff auf die Applikationen und Desktops. Er kann aber auch als Gateway für Web-Applikationen dienen. Ergänzt mit SD-WAN lässt sich das auch einsetzen, um andere Standorte oder Rechenzentren effizient anzubinden.
- Erweiterung von Citrix Virtual Apps and Desktops (CVAD): Wer bereits CVAD einsetzt, der kann in der aktuellen Situation diese Infrastruktur nutzen und sie ausbauen, um zum Beispiel mehr Mitarbeiter ins Home Office zu schicken. Dazu müsste man entweder weitere Lizenzen kaufen oder im Mietmodell weitere Ressourcen zusätzlich beziehen.
- Remote PC Access: Damit wird die Nutzung der vorhandenen PC-Arbeitsplätze im Unternehmen über den VDA möglich – das ist der Agent, der auf dieses System aufgespielt wird, um diese Remote PCs extern verfügbar zu machen.
- Citrix Cloud Services: Das ist die perfekte Wahl für Unternehmen, die noch keine CVAD-Umgebung im eigenen Data Center im Einsatz haben. Der Bezug dieser Funktionalitäten aus der Citrix Cloud als Service führt schnell zu einem guten Ergebnis.
