)
)
Достъпът до отдалечени устройства без агент може да намали триенето на крайни точки, особено когато потребителите се свързват от неуправляеми лаптопи, таблети, устройства на изпълнители или заключени работни станции. Въпреки това, ИТ екипите все още трябва да разберат къде работи шлюзът, какво може и какво не може да направи браузърният достъп и кога VPN, RD Gateway, ZTNA или VDI са по-подходящи.
За ИТ администратори на малки и средни предприятия, MSP и системни администратори, целта не е просто да се избегнат инсталации. Целта е да се предостави сигурен, управляем и икономичен дистанционен достъп без създаване на скрит оперативен риск.
Какво е безагентен отдалечен достъп?
Определение:
Безагентният отдалечен достъп е модел на отдалечена свързаност, при който потребителят или управляваният крайен пункт не изисква добавяне на постоянен софтуерен агент за всяка сесия на достъп. На практика терминът се използва по различни начини от доставчиците, така че ИТ екипите трябва да уточнят на какво всъщност се отнася безагентният достъп, преди да изберат платформа.
Безагентен:
- Някои продукти използват "безагентен", за да означават, че устройството на крайния потребител се нуждае само от браузър.
- Други го използват, за да означават, че целевият сървър или работна станция не се нуждае от локално инсталиран агент.
- Третата категория се отнася до инструменти за мониторинг или откритие, които запитват системи чрез стандартни протоколи, а не чрез инсталирани колектори.
Дистанционен достъп до работни станции и приложения:
За отдалечен работен плот и доставка на приложения, най-полезното определение е практично:
безагентен софтуер за отдалечен достъп намалява или премахва инсталацията от страна на клиента, докато централизирането на достъпа се извършва чрез шлюз, портал или сървър.
Безагентен, безклиентски, базиран на браузър: Основни разлики
Тези са свързани, но не са идентични.
Безагентен отдалечен достъп:
Безагентният отдалечен достъп обикновено означава, че не е необходим постоянен агент от едната страна на връзката.
Клиентски без достъп:
Безклиентският отдалечен достъп означава, че потребителят не се нуждае от роден клиент, плъгин или разширение.
Уеб-базиран отдалечен достъп:
Достъпът до отдалечен достъп, базиран на браузър, означава, че сесията се предоставя чрез уеб браузър, често използвайки HTML5 .
Пример:
Уеб-базираната шлюзова система за отдалечен работен плот е често срещан пример. Потребителят отваря сигурен URL, удостоверява се, избира приложение или работен плот и стартира сесия в браузъра. Шлюзът обработва транслацията на протоколи, потока на удостоверяване и маршрутизацията на сесиите зад кулисите.
Защо терминът е важен за ИТ решенията?
Терминологията е важна, защото "без инсталация" не означава "без инфраструктура". Уеб-базирана услуга за отдалечен достъп все още изисква удостоверяване, криптиране, картографиране на идентичности, посредничество на сесии, политики за достъп, регистриране и поддръжка от страна на сървъра.
Тази разлика е особено важна за системната администрация или за малки и средни предприятия (SMB) и доставчици на управляеми услуги (MSP). Инструмент, който изглежда прост за един потребител, може да стане труден за защита в мащаб, ако липсват достъп на групи, конфигурация на сесии, многофакторна автентикация, IP ограничения, одитни журнали, мониторинг на сървъри...
Най-добрият въпрос следователно не е „Този ли е безагентен?“. По-скоро попитайте: „Къде се намира контролът на достъпа и как ИТ ще го осигури, наблюдава и поддържа?“
Как работи безагентен отдалечен достъп?
Безагентният отдалечен достъп обикновено разчита на централен достъп до точка между потребителя и вътрешния ресурс. Тази точка за достъп може да бъде уеб портал, HTML5 шлюз за отдалечен работен плот, RD шлюз, ZTNA брокер, VPN концентратор или реле за отдалечена поддръжка.
- Потребителят се удостоверява на слоя за достъп.
- Достъпният слой проверява идентичността, политиката и разрешенията за ресурси.
- След това свързва потребителя с отдалечено приложение, пълен работен плот, конзола на сървъра или сесия за поддръжка.
Този дизайн намалява зависимостта от конфигурацията на устройството на потребителя, но увеличава значението на укрепването на шлюза и сигурността на сървъра. Ако шлюзът е изложен на интернет, той трябва да се третира като критичен производствен компонент.
Достъп до отдалечен работен плот чрез браузър
Достъпът до браузър на базата на отдалечен достъп е една от най-разпространените форми на достъп без агент за крайни потребители. Браузърът става потребителски интерфейс, докато шлюзът комуникира с отдалечени хостове, използвайки протоколи като Протокол за отдалечен работен плот (RDP), Виртуално мрежово компютриране (VNC) или Сигурен шел (SSH).
Майкрософт Уеб клиент за отдалечен работен плот позволява на потребителите да получават достъп до отдалечени приложения и работни станции, публикувани от администратора, от съвместим браузър. Microsoft също така отбелязва, че потребителите се нуждаят от поддържан браузър и URL адреса, предоставен от администратора.
Друг пример е как Apache Guacamole описва се като безклиентска шлюз за отдалечен работен плот, който поддържа стандартни протоколи като RDP, VNC и SSH, без да са необходими приставки или клиентски софтуер след инсталирането на шлюза.
За ИТ екипите архитектурният модел е ясен: браузърът е само предният край. Стекът за отдалечен достъп все още работи на сървъри, шлюзове и системи за идентичност.
RDP, RD Gateway и VPN в контекст
RDP
Протоколът за отдалечен работен плот обикновено се използва за предоставяне на Windows работни станции и приложения. В сигурна архитектура RDP не трябва да бъде изложен директно на интернет. Вместо това ИТ екипите трябва да поставят контролирано ниво на достъп пред вътрешните ресурси.
RD Gateway
RD Gateway е ролевата функция на Microsoft за маршрутизиране на RDP трафик от външни потребители към вътрешни Windows ресурси. Тя позволява на отдалечени потребители да се свързват чрез HTTPS, вместо да отварят директен RDP достъп до всеки хост.
VPN
Виртуалната частна мрежа, или VPN, използва тунелиране и криптиране, за да разшири достъпа до частна мрежа през публична мрежа. VPN-ите остават полезни за достъп на ниво мрежа, но често предоставят по-широка свързаност, отколкото потребителят се нуждае за едно приложение или работен плот.
Инструменти за цел
Достъп без агент и VPN достъп следователно решават различни проблеми: публикуване на специфични ресурси срещу разширяване на обхвата на мрежата. RD Gateway посредничи за RDP по сигурен начин. ZTNA инструментите налагат достъп на ниво приложение въз основа на идентичност и контекст.
Където се намира шлюзът
В браузерна базирана модел, шлюзът трябва да бъде между външни потребители и вътрешни хостове на сесии. Външните потребители се свързват със шлюза чрез HTTPS. След това шлюзът се свързва с вътрешни десктопи, приложения или сървъри чрез одобрени вътрешни протоколи.
Тази позиция помага намаляване на директната експозиция на отдалечени хостове Това също дава на ИТ едно място за прилагане на удостоверяване, политика за сертификати, правила за достъп и регистриране.
Въпреки това, шлюзът става цел с висока стойност. ИТ екипите трябва да го защитят с надеждна автентикация, TLS сертификати, управление на пачове, ограничен административен достъп, гео-блокиране, когато е уместно, и мониторинг.
Какви са основните предимства на безагентския отдалечен достъп?
Достъпът до агенти без агент е привлекателен, тъй като намалява триенето за потребителите и ИТ администраторите. Ползите са най-силни, когато сценарият за достъп е добре дефиниран, като публикувани бизнес приложения, достъп на изпълнители, случайна работа от разстояние или работни потоци за поддръжка.
По-малко триене на крайни точки
Най-видимата полза е по-простото въвеждане. Потребителите не трябва да инсталират пълен клиент за отдалечен работен плот, клиент за VPN или персонализиран стартер преди свързване. Това е полезно за изпълнители, външни счетоводители, временно наети служители, студенти, полеви работници и потребители на BYOD.
За ИТ екипите по-малкото зависимости от крайни точки трябва да означава по-малко заявки за поддръжка. Достъпът чрез браузър също помага, когато потребителите работят от устройства, на които не могат да инсталират софтуер, като заключени корпоративни лаптопи или споделени работни станции.
Това не премахва всички рискове за крайни точки. Здравето на браузъра, устройството и идентичността на потребителя все още имат значение. Въпреки това, може да намали оперативната тежест от поддържането на много клиентски конфигурации.
По-бърз достъп за изпълнители и потребители на BYOD
Достъп без агент е особено полезен за достъп от трети страни.
Достъп на базата на нужда и употреба
Външните потребители често имат нужда от ограничен достъп до конкретно приложение, сървър или сесия за поддръжка. Те не трябва да получават широк достъп до мрежата по подразбиране. За мениджърите на хибридна работа, същата логика важи и за служителите, които имат нужда от случайно достъп до централизирани Windows приложения.
Добре дошли адаптивност
Браузърният портал може да публикува само ресурсите, необходими за ролята на потребителя.
Достъпът може да бъде отнет централизирано, когато договорът изтече или случаят за поддръжка бъде затворен.
Накрая, един базирано на браузър изживяване може да бъде по-лесно за поддръжка от пълно VPN и внедряване на клиент за работен плот.
Централизирано управление на достъпа
Безагентният софтуер за отдалечен достъп може да опрости контрола на достъпа, когато е проектиран около централен портал. ИТ екипите могат да назначават приложения, работни станции и разрешения по потребител или група. Те също могат да прилагат политики за удостоверяване, работно време, IP адреси или държави.
Централизацията е ценна за MSP, управляващи няколко клиентски среди. Последователният модел на достъп намалява вариацията и улеснява документирането.
Също така поддържа по-добри прегледи на сигурността. Вместо да одитира много крайни клиенти, ИТ може да се фокусира върху конфигурацията на шлюза, публикуваните ресурси, разрешенията за акаунти и дневниците на сесиите.
Кои ограничения трябва да разберат ИТ екипите?
Достъпът до отдалечени системи без агент е полезен, но, както при всичко, не е винаги идеалният модел. Лицата, вземащи решения, трябва да разберат ограниченията му, преди да заменят VPN, местни RDP клиенти, агенти за отдалечена поддръжка или VDI платформи.
Ограничения на браузъра
Всеобхватен достъп и маневреност
Сесията на браузъра може да не съвпада с пълното изживяване на местен клиент. Поддръжката на множество монитори, разширеното печатане, USB пренасочването, преносът на файлове, поведението на клипборда, качеството на звука и клавишните комбинации могат да варират в зависимост от продукта и браузъра.
Мощен софтуер или медийни нужди и подобни
Някои потребители се нуждаят от графика с висока производителност, CAD инструменти, медийни работни потоци или вход с ниска латентност. Тези потребители може да бъдат по-добре обслужвани от нативен клиент за отдалечен работен плот, специализиран стрийминг протокол или пълна VDI платформа.
Портативни устройства като смартфони и таблети
Мобилният достъп също изисква внимание. Решението може да работи в мобилен браузър, но това не означава, че потребителското изживяване е подходящо за ежедневна работа. Малките екрани, докосването и поведението на външната клавиатура могат да повлияят на производителността.
Неправилни схващания за сигурността
Безагентният не означава автоматично сигурен. Лошо конфигуриран уеб портал рискува да изложи страници за удостоверяване, сесийни брокери или вътрешни приложения на атака.
Всички компоненти на телекомуникации, дистанционен достъп и технологии BYOD трябва да бъде защитен срещу очаквани заплахи Това включва клиентски устройства, шлюзове, вътрешни хостове и контрол на политиките.
За отдалечен достъп, сигурността трябва да включва многофакторна автентикация, TLS, минимални права, заключване на акаунта, филтриране на IP, защита от брутфорс, регистриране и актуализиране. ИТ екипите също трябва да избягват да излагат порт 3389 директно на интернет.
Търговски компромиси между производителност и потребителско изживяване
Достъпът до отдалечен достъп, базиран на браузър, зависи от браузъра, шлюза, мрежовия път, хоста на сесията и натоварването на приложението. Бавната сесия може да произтича от който и да е от тези слоеве.
Проблемите с производителността често се проявяват като забавяне на дисплея, бавно печатане, забавени файлови операции или проблеми с аудиото. Тези проблеми не винаги са причинени от самия продукт за дистанционен достъп. Те могат да отразяват капацитета на сървъра, пропускателната способност, латентността, DNS, проверки на сертификати или претоварени хостове на сесии.
Това е причината, поради която мониторингът е важен. Ако ИТ екипите не могат да видят CPU, памет, диск, брой сесии и активност на потребителите, отстраняването на проблеми става на принципа на догадките.
Списък с решения за безагентски отдалечен достъп
Преди да изберат архитектура за безагентен отдалечен достъп, ИТ екипите трябва да картографират случая на употреба, нивото на риск и необходимото потребителско изживяване.
| Въпрос | Изберете безагентен или базиран на браузър достъп, когато | Обмислете друг модел, когато |
|---|---|---|
| Кой се свързва? | Контрактори, потребители на BYOD, случайни потребители или външни партньори | Потребителите с високи изисквания се нуждаят от пълна интеграция на работната станция |
| Какво им е нужно? | Едно приложение, един работен плот или ограничен набор от ресурси | Необходим е широк достъп до мрежата |
| Какъв контрол на крайни точки съществува? | Устройствата не са управлявани или са заключени | Корпоративно управляваните устройства могат да изпълняват местни клиенти |
| Каква сигурност е необходима? | MFA, HTTPS, достъп и регистриране на базата на групи са достатъчни | Изисква се поза на устройството, разширен условен достъп или пълна изолация. |
| Каква производителност е необходима? | Офис приложения, ERP, CRM или наследствени Windows приложения | CAD, видео, графика или много нисколатентни работни потоци |
| Как ще го поддържа ИТ? | Централният портал и мониторингът са налични | ИТ нуждае се от постоянен контрол на неуправлявани крайни точки |
Този контролен списък помага да се отдели удобството от архитектурата. Достъпът без агент е най-силен, когато ИТ иска да публикува контролирани ресурси на потребители без широко мрежово излагане.
Какво ще кажете за алтернативи на базата на браузър за безагентен софтуер за отдалечен достъп?
Достъп до отдалечен компютър без агент не е единствена категория продукт. Той се припокрива с няколко технологии, всяка от които има различни предимства.
HTML5 RDP шлюзове
HTML5 RDP шлюзове доставят Windows десктопи или приложения чрез браузър. Те са полезни за централизирана доставка на Windows приложения, публикуване на наследствени приложения и достъп на изпълнители.
Основното предимство е простотата за потребителя, докато основното предизвикателство е да се осигури, че портата е сигурна, наблюдавана и способна да поддържа очакваните натоварвания.
Този модел често е подходящ за малки и средни предприятия, които се нуждаят от публикуване на приложения без сложността на Citrix.
VPN, ZTNA и VDI
VPN мрежи разширяване на мрежовия достъп. Те остават полезни за администратори, свързаност между сайтове и случаи, в които потребителите се нуждаят от няколко вътрешни услуги. Въпреки това, VPN мрежите могат да предоставят повече достъп, отколкото е необходимо, ако политиките не са строго определени.
Достъп до мрежа с нулево доверие или ZTNA, се фокусира върху достъпа, основан на идентичност, до конкретни приложения, а не до мрежови сегменти. ZTNA може да бъде ефективен за достъп на трети страни и частни уеб приложения, но може да не замени пълното дистанционно работно пространство или доставката на Windows приложения.
Виртуална десктоп инфраструктура или VDI, централизират пълни настолни среди. VDI е мощен за стандартизирани корпоративни настолни компютри, но може да бъде скъп и сложен за малки и средни предприятия, които само трябва да публикуват няколко Windows приложения.
Инструменти за дистанционна поддръжка
Инструментите за дистанционна поддръжка и техническа помощ решават различен проблем. Те позволяват на агентите за поддръжка да виждат или контролират устройство на крайния потребител за отстраняване на проблеми, обучение или поддръжка.
Някои работни потоци за дистанционна поддръжка се инициират от браузъра, но ненаблюдаваната поддръжка все още може да изисква инсталиран компонент или постоянна конфигурация. Вместо слабост, това просто отразява различен случай на употреба.
ИТ екипите трябва да разделят достъпа до приложения от достъпа до поддръжка. Служителите се нуждаят от контролиран достъп до бизнес приложения. Агентите за поддръжка се нуждаят от сигурни инструменти, за да помагат на потребителите и да поддържат устройствата.
Как TSplus отговаря на нуждите от безагентен отдалечен достъп
TSplus предлага практичното средно решение за малки и средни предприятия (SMB) и доставчици на управляеми услуги (MSP): сигурен отдалечен достъп и доставка на приложения без разходите и сложността на големите VDI платформи.
TSplus Remote Access: за приложение и публикуване на настолни документи
TSplus Remote Access позволява на ИТ екипите да публикуват пълни дистанционни работни станции или индивидуални Windows приложения чрез сигурен уеб портал. Потребителите могат да получат достъп до централизирани инструменти от браузър чрез HTML5 клиента или да използват алтернативни режими на свързване, където опитът, подобен на нативен, е по-подходящ.
Тази гъвкавост е важна, защото не всеки потребител се нуждае от един и същ метод на достъп. Подизпълнителите може да се нуждаят само от достъп до едно приложение чрез браузър. Вътрешният персонал може да предпочита опит в стил RemoteApp. Мощните потребители може да се нуждаят от пълен десктоп.
TSplus Remote Access помага на ИТ екипите да уеб-активират наследствени Windows приложения, без да ги пренаписват. За малките и средни предприятия, това често е най-прекият път към съвременния отдалечен достъп: централизиране на приложението, публикуване на сигурно и контролиране на това, кой може да се свърже.
Отстраняване на проблеми с RDP или публикуване на приложения за отдалечени потребители? Получете ръководена демонстрация на TSplus Remote Access.
TSplus Advanced Security и MFA: за сигурни приложения и достъп
Достъп до отдалечен компютър без агент винаги трябва да бъде съчетан с надеждни мерки за сигурност.
360° Сигурност, направена лесно
TSplus Advanced Security помага за защита на публично достъпни среди за отдалечен достъп с функции като защита от брутфорс атаки, филтриране на IP адреси и политики за защита на крайни точки.
MFA добавка за допълнителна безопасност при влизане
Добавката TSplus MFA засилва сигурността на идентичността чрез изискване на допълнителен фактор за удостоверяване. Това е особено важно, когато потребителите се свързват от неуправляеми устройства или външни мрежи.
Заедно, тези контроли помагат за намаляване на общите рискове при отдалечен достъп: атаки с удостоверения, неразрешени географии, многократни неуспешни входове и прекалено изложени входни точки.
TSplus Server Monitoring и Remote Support
Просто наблюдение на сървъри и мрежи в реално време
TSplus Server Monitoring дава на ИТ екипите видимост върху здравето на сървърите, уебсайтовете, приложенията и активността на потребителите. Това помага на администраторите да открият претоварени хостове на сесии, влошаване на производителността и необичайна употреба на Remote Access, преди потребителите да докладват за широко разпространени проблеми.
Отдалечена поддръжка с лекота
TSplus Remote Support допълва отдалечения достъп с присъствена и непристъпен помощ. Поддържащите екипи могат да отстраняват проблеми с потребителските устройства, да помагат на отдалечени служители и да поддържат крайни точки, без да смесват работните потоци за поддръжка с публикуването на приложения.
По-проста архитектура и гъвкавост в управлението
За MSP, системни администратори и доставчици на SaaS или DaaS, тези продукти се комбинират, за да създадат софтуерен пакет без трудностите и триенето. Публикувайте бизнес приложения в мрежата, защитете сървърите и слоя за достъп, проследявайте здравето на инфраструктурата и позволявайте на агентите бързо да решават проблеми на потребителите от всяко място.
Заключение
Достъп без агент може оптимизиране на дистанционната работа достъп на изпълнители и доставка на приложения, но не трябва да се оценява само като функция „без инсталация“. ИТ екипите трябва да разберат цялата архитектура: браузър, шлюз, идентичност, хост на сесия, контрол на сигурността и мониторинг.
За много екипи най-добрият подход не е тежка VDI платформа или широка VPN. Уеб базиран портал за дистанционен достъп, защитен с надеждна автентикация и централизирано наблюдение, може да осигури правилния баланс между удобство, сигурност и контрол на разходите.
Помогнете на вашия ИТ да постигне този баланс с TSplus и да мащабира отдалечения достъп с по-добра възвръщаемост на инвестицията. Говорете с специалист по TSplus.
TSplus Remote Access Безплатен Пробен период
Краен алтернативен вариант на Citrix/RDS за достъп до десктоп/приложения. Сигурен, икономичен, локален/облачен.
)
)
)
