Czy w jeden tydzień można uruchomić system bezpiecznego i wydajnego udostępniania aplikacji oraz firmowych zasobów wszystkim pracownikom niezależnie od ich lokalizacji i wykorzystywanych urządzeń? Przedstawiciele firmy Chaos Gears należącej do grupy Passus SA twierdzą, że tak prezentując wdrożenie Amazon WorkSpaces w ACCO Brands.

„Przy wykorzystaniu usług dostępnych w chmurze można zbudować system umożliwiający natychmiastową reakcję na sytuacje kryzysowe, w których trudno jest zachować ciągłość działania biznesu, opierając się na klasycznych rozwiązaniach” mówi Konrad Dudek, prezes Chaos Gears

.

Rozwiązanie umożliwiło firmie ACCO Brands zabezpieczenie się na wypadek awarii lub niedostępności desktopów w 40 oddziałach znajdujących się na obszarze EMEA, które zatrudniają około 2500 pracowników. W celu zapewnienia optymalnej komunikacji sieciowej i najniższych możliwych opóźnień transmisji wybrano europejski region AWS wykorzystujący centrum danych zlokalizowane we Frankfurcie.

Jak wygląda usługa Amazon WorkSpaces

Na rynku dostępnych jest wiele systemów pozwalających na stworzenie infrastruktury VDI (Virtual Desktop Infrastructure). Najczęściej jest to oprogramowanie instalowane w firmowym centrum danych. Natomiast Amazon opracował chmurowy system Amazon WorkSpaces, który umożliwia szybkie, bezpieczne i wydajne zorganizowanie pracy zdalnej.

Jest to usługa DaaS (Desktop as a Service) działająca podobnie jak VDI (Virtual Desktop Infrastructure), ale nie wymagająca wdrażania i utrzymania w firmowym centrum danych oprogramowania i serwerów obsługujących VDI oraz łączy sieciowych zapewniających wymaganą przepustowość.

Tego typu rozwiązanie ma wiele zalet. W szczególności umożliwia szybkie i elastyczne tworzenie nowych stanowisk pracy oraz pełni rolę systemu DR (Disaster Recovery) dla infrastruktury desktopów wykorzystywanych nie tylko w biurach działających w firmie i jej oddziałach, ale również przez pracowników zdalnych.

Istotną cechą rozwiązania Amzon Webservices jest dostępność aplikacji klienckiej tej usługi na niemal każdy użytkowany powszechnie system operacyjny. Wspierane obecnie są:

• Microsoft Windows
• Linux
• Apple MacOS
• Chrome OS
• Android
• Apple iOS

A w przypadku braku możliwości instalacji klienta, dostęp do Amazon Workspaces można zrealizować za pomocą przeglądarki internetowej.

Amazon Workspaces

• Bezpieczna praca na każdym sprzęcie z dowolnego miejsca.
• Wydajny dostęp do aplikacji i zasobów firmy.
• 30 minut trwa utworzenie nowego stanowiska pracy.
• brak początkowej inwestycji w sprzęt I oprogramowanie (opłaty w modelu Pay as you go)

W ogólności usługa Amazon WorkSpaces polega na utworzeniu w chmurze obrazu wirtualnego komputera PC wyposażonego w aplikacje i dostęp do firmowych zasobów zgodny z indywidualnymi potrzebami i uprawnieniami użytkownika. Każdy pracownik, po zalogowaniu się, uzyskuje dostęp do przygotowanego w ten sposób środowiska pracy, którego parametry są automatycznie dopasowywane do wykorzystywanego urządzenia, komputera PC, laptopa, tabletu lub smartfona.

Jest to rozwiązanie przydatne w wielu sytuacjach, na przykład:

• Jeśli pojawi się jakiś kryzys, na przykład pandemia koronawirusa, każdy pracownik ma stały dostęp do swojego środowiska pracy niezależnie czy będzie w biurze, domu czy innej dowolnej lokalizacji. I to bez potrzeby wprowadzania zmian i rekonfiguracji systemu.
• Jeżeli zdarzy się pożar w którym zniszczone zostaną fizyczne stanowiska pracy, to pracownicy bez problemu mogą dalej pracować w innej lokalizacji wykorzystując firmowy lub prywatny sprzęt.
• Gdy firma zatrudnia pracowników sezonowych lub kontraktowych to utworzenie dla nich na krótki okres wirtualnych stanowisk pracy z odpowiednio określonymi uprawnieniami jest bardzo łatwe.

Usługi Amazon WorkSpaces są praktycznie dostępne w kilkadziesiąt minut po założeniu konta w AWS. Konsola administracyjna oferuje funkcje pozwalające na zarządzanie systemem i bezpieczeństwem oraz umożliwia jego łatwe skalowanie – po zdefiniowaniu i utworzeniu nowego stanowiska pracy jest ono dostępne dla użytkownika po kilkunastu minutach.

Opłaty za korzystanie z usługi są uiszczane miesięcznie za wykorzystywane zasoby, czyli w modelu pay as you go. Dostępne są dwie opcje: AlwaysON (za miesiąc użytkowania jednego stanowiska) lub AutoStop (rozliczanie za liczbę godzin pracy).

AWS nie ma na razie centrów danych w Polsce. W Europie firma utworzyła trzy regiony obsługujące użytkowników zlokalizowane w Irlandii, Londynie i Frankfurcie. Jak jednak wykazały praktyczne testy przeprowadzone przez Chaos Gears, do komfortowej obsługi użytkownika typowych aplikacji wystarcza przepustowość do 1 Mb/s oraz opóźnienia nie przekraczające 100 ms. Są to naprawdę niewielkie wymagania, które w większości przypadków można łatwo spełnić.

Jeśli użytkownik musi korzystać z bardziej zaawansowanych aplikacji graficznych lub wideo, to oczywiście wymagania na przepustowość łącza są większe i mogą sięgać 300 Mb/s.

Należy zauważyć, że wirtualne desktopy nie obsługują lokalnych kamer wideo oraz dysków pendrive, co czasem może być nie wygodne, ale z drugiej strony zapewnia większy poziom bezpieczeństwa.

Połączenia z chmurą są szyfrowane, dotyczy to zarówno przesyłania danych, wideo, jak i informacji uwierzytelniających użytkownika. Szyfrowanie danych przechowywanych w chmurowej pamięci masowej AWS jest oferowane jako opcja.

Jeśli chodzi o zabezpieczenia połączeń między chmurą AWS, a firmowym centrum danych to dostępne są trzy opcje. Można skorzystać z usługi AWS Direct Connect, AWS VPN Gateway (tunel IPSec) lub innych usług VPN oferowanych przez niezależne firmy.

Do uwierzytelniania użytkowników można skorzystać z usług AWS Directory Services, interfejsu AWS AD Connector pozwalającego na stosowanie Microsoft Active Directory, systemu wieloskładnikowego uwierzytelniania MFA integrowanego przy zastosowaniu serwera RADIUS, a jeśli firma ma certyfikat CA to możliwe jest jego wykorzystanie do autoryzacji dostępu.

Dodatkowe elementy wdrożenia

Ale jeśli uruchomienie systemu Amazon WorkSpaces trwa kilkadziesiąt minut, to można zapytać dlaczego wdrożenie w ACCO Brands trwało tydzień.

Konrad Dudek, prezes Chaos Gears wyjaśnia, że w przypadku tego wdrożenia do zapewnienia wymaganych przez ACCO Brands parametrów systemu niezbędna okazała się integracja dodatkowych elementów.

Do zapewnienia wysokiej jakości i wydajności połączeń między centrami danych ACCO Brands oraz chmurą AWS wykorzystano oferowaną przez firmę Silver Peak jako usługa sieć SD-WAN. Rozwiązanie Silver Peak stosuje mechanizmy kompresji i deduplikacji danych oraz minimalizacji opóźnień dzięki optymalizacji tras przesyłania ruchu.

Oprócz tego Chaos Gears zintegrował mechanizmy uwierzytelniania Amazon z wykorzystywaną przez ACCO Brands usługą Microsoft AD (Active Directory), a także systemem wieloskładnikowego uwierzytelniania Cisco DUO oferowanym jako chmurowa usługa nie wymagająca instalacji urządzeń sprzętowych.

Dodatkowo, dla zwiększenia bezpieczeństwa przez monitorowanie ruchu internetowego, w tym szyfrowanych połączeń SSL, wykorzystana została brama Web Security Gatway firmy Zscaler. Pozwala ona na zabezpieczenie oddziałów firmy i zdalnych użytkowników bez zmniejszenia wydajności aplikacji chmurowych, umożliwia automatyczne tworzenie tuneli transmisji z tysiącami różnych urządzeń i łatwą integrację z Silver Peak SD-WAN.

„Jestem pod wrażeniem szybkości wdrożenia. Przedwdrożeniowy test systemu „proof of concept” trwał tydzień, a po uzyskaniu pozytywnej oceny, Chaos Gears przystąpiło do jego wdrożenia i integracji z infrastrukturą wykorzystywaną przez ACCO Brands, co zajęło kolejny tydzień i system zaczął być wykorzystywany produkcyjnie” mówi Michał Cieplak, Service Delivery Director w firmie ACCO Brands.

„Przede wszystkim użytkownicy bardzo dobrze ocenili to rozwiązanie. Nie mają problemów z podłączeniem się do wirtualnego desktopa za pomocą laptopa, tabletu i smartfona” dodaje Michał Cieplak.