)
)
Agentless remote access může snížit tření na koncových bodech, zejména když se uživatelé připojují z neřízených notebooků, tabletů, zařízení dodavatelů nebo uzamčených pracovních stanic. IT týmy však stále potřebují pochopit, kde brána běží, co může a nemůže dělat přístup založený na prohlížeči, a kdy se lépe hodí VPN, RD Gateway, ZTNA nebo VDI.
Pro IT administrátory SMB, MSP a sysadminy není cílem pouze vyhnout se instalacím. Cílem je doručit bezpečné, spravovatelné a nákladově efektivní bez vytváření skrytého operačního rizika.
Co je bezagentový vzdálený přístup?
Definice:
Agentless vzdálený přístup je model vzdálené konektivity, kde uživatel nebo spravovaný koncový bod nevyžaduje přidání trvalého softwarového agenta pro každou přístupovou relaci. V praxi se tento termín používá různými způsoby dodavateli, takže IT týmy by měly objasnit, na co se agentless vlastně vztahuje, než si vyberou platformu.
Bezagentní:
- Některé produkty používají „bezagentní“ k označení, že koncové zařízení uživatele potřebuje pouze prohlížeč.
- Ostatní to používají k označení, že cílový server nebo pracovní stanice nepotřebuje lokálně nainstalovaného agenta.
- Třetí kategorie se týká nástrojů pro monitorování nebo objevování, které dotazují systémy prostřednictvím standardních protokolů namísto nainstalovaných sběračů.
Vzdálený přístup k desktopům a aplikacím:
Pro vzdálenou plochu a doručování aplikací je nejvíce užitečná definice praktická:
agentless vzdálený software snižuje nebo odstraňuje instalaci na straně klienta, zatímco centralizuje přístupový stack na bráně, portálu nebo serveru.
Bezagentní, bezklientní, založené na prohlížeči: Klíčové rozdíly
Tyto jsou příbuzné, ale nejsou totožné.
Agentless vzdálený přístup:
Agentless vzdálený přístup obvykle znamená, že na jedné straně připojení není vyžadován žádný trvalý agent.
Klientský přístup bez klienta:
Bezklientský vzdálený přístup znamená, že uživatel nepotřebuje nativního klienta, zásuvný modul nebo rozšíření.
Webový přístup na dálku:
Přístup k vzdálené ploše založený na prohlížeči znamená, že sezení je doručeno prostřednictvím webového prohlížeče, často používání HTML5 .
Příklad:
Webový bránový přístup k vzdálené ploše je běžným příkladem. Uživatel otevře zabezpečenou URL, autentizuje se, vybere aplikaci nebo plochu a zahájí relaci uvnitř prohlížeče. Brána se stará o překlad protokolu, tok autentizace a směrování relací v pozadí.
Proč je tento termín důležitý pro IT rozhodovací činitele?
Terminologie je důležitá, protože „žádná instalace“ neznamená „žádná infrastruktura“. Služba vzdáleného přístupu založená na prohlížeči stále potřebuje autentizaci, šifrování, mapování identity, zprostředkování relací, přístupové politiky, protokolování a údržbu na straně serveru.
Toto rozlišení je obzvlášť důležité pro správu systémů nebo pro SMB a MSP. Nástroj, který se zdá být jednoduchý pro jednoho uživatele, se může stát obtížným na zabezpečení v rozsahu, pokud postrádá přístup založený na skupinách, konfiguraci relací, vícefaktorovou autentizaci, IP omezení, auditní protokoly, monitorování serveru...
Nejlepší otázka tedy není „Je tento bezagentní?“. Raději se zeptejte: „Kde žije řízení přístupu a jak to IT zabezpečí, monitoruje a podporuje?“
Jak funguje bezagentový vzdálený přístup?
Agentless vzdálený přístup obvykle spoléhá na centrální přístupový bod mezi uživatelem a interním zdrojem. Tento přístupový bod může být webový portál, HTML5 brána pro vzdálenou plochu, RD Gateway, ZTNA broker, VPN koncentrátor nebo relé pro vzdálenou podporu.
- Uživatel se autentizuje do přístupové vrstvy.
- Přístupová vrstva kontroluje identitu, politiku a oprávnění k prostředkům.
- Poté se uživatel připojí k vzdálené aplikaci, plné pracovní ploše, serverové konzoli nebo podpoře.
Tento design snižuje závislost na konfiguraci zařízení uživatele, ale zvyšuje důležitost zpevnění brány a zabezpečení serveru. Pokud je brána vystavena internetu, musí být považována za kritickou výrobní součást.
Přístup na dálku založený na prohlížeči
Přístup k vzdálenému ovládání založený na prohlížeči je jednou z nejběžnějších forem přístupu bez agenta pro koncové uživatele. Prohlížeč se stává uživatelským rozhraním, zatímco brána komunikuje s vzdálenými hostiteli pomocí protokolů, jako jsou protokol vzdálené plochy (RDP), virtuální síťové počítačství (VNC) nebo zabezpečený shell (SSH).
Microsoft Webový klient pro vzdálenou plochu umožňuje uživatelům přístup k administrátorem publikovaným vzdáleným aplikacím a desktopům z kompatibilního prohlížeče. Microsoft také uvádí, že uživatelé potřebují podporovaný prohlížeč a URL poskytnutou administrátorem.
Dalším příkladem je, jak Apache Guacamole popisuje se jako bezklientská brána pro vzdálenou plochu, která podporuje standardní protokoly jako RDP, VNC a SSH, přičemž po instalaci brány nejsou vyžadovány žádné zásuvné moduly ani klientský software.
Pro IT týmy je architektonický vzor jasný: prohlížeč je pouze front-end. Stoh vzdáleného přístupu stále běží na serverech, bránách a identitních systémech.
RDP, RD Gateway a VPN v kontextu
RDP
Protokol vzdálené plochy se běžně používá k poskytování desktopů a aplikací Windows. V zabezpečené architektuře by RDP neměl být přímo vystaven internetu. Místo toho by IT týmy měly umístit vrstvu řízeného přístupu před interními zdroji.
RD Gateway
RD Gateway je rolí brány Microsoftu pro směrování RDP provozu od externích uživatelů k interním Windows zdrojům. Umožňuje vzdáleným uživatelům připojit se přes HTTPS namísto otevírání přímého RDP přístupu k jednotlivým hostitelům.
VPN
Virtuální privátní síť, nebo VPN, používá tunelování a šifrování k rozšíření přístupu k privátní síti přes veřejnou síť. VPN zůstávají užitečné pro přístup na úrovni sítě, ale často poskytují širší konektivitu, než kterou uživatel potřebuje pro jednu aplikaci nebo pracovní plochu.
Nástroje pro účel
Agentless přístup a VPN přístup tedy řeší různé problémy: publikování specifických zdrojů vs rozšiřování dosahu sítě. RD Gateway bezpečně zprostředkovává RDP. Nástroje ZTNA vynucují přístup na úrovni aplikace na základě identity a kontextu.
Kde se nachází brána
V modelu založeném na prohlížeči by měl brána sedět mezi externími uživateli a interními hostiteli relací. Externí uživatelé se připojují k bráně přes HTTPS. Brána se poté připojuje k interním desktopům, aplikacím nebo serverům prostřednictvím schválených interních protokolů.
Toto umístění pomáhá snížit přímou expozici vzdálených hostitelů . Také poskytuje IT jedno místo pro prosazení autentizace, politiky certifikátů, pravidel přístupu a protokolování.
Nicméně, brána se stává vysoce hodnotným cílem. IT týmy by měly chránit ji silnou autentizací, TLS certifikáty, správou záplat, omezeným administrativním přístupem, geo-blokováním tam, kde je to vhodné, a monitorováním.
Jaké jsou hlavní výhody bezagentového vzdáleného přístupu?
Agentless vzdálený přístup je atraktivní, protože snižuje tření pro uživatele a IT administrátory. Výhody jsou nejsilnější, když je scénář přístupu dobře definován, například publikované obchodní aplikace, přístup dodavatelů, příležitostná práce na dálku nebo pracovní postupy podpory.
Méně tření na koncových bodech
Nejviditelnějším přínosem je jednodušší onboarding. Uživatelé nemusí instalovat plného klienta pro vzdálenou plochu, VPN klienta nebo vlastní spouštěč před připojením. To je užitečné pro dodavatele, externí účetní, dočasný personál, studenty, pracovníky v terénu a uživatele BYOD.
Pro IT týmy by mělo méně závislostí na koncových bodech znamenat méně podpůrných tiketů. Přístup založený na prohlížeči také pomáhá, když uživatelé pracují na zařízeních, kde nemohou nainstalovat software, jako jsou uzamčené firemní notebooky nebo sdílené pracovní stanice.
Toto neodstraňuje veškeré riziko na koncových bodech. Zdraví prohlížeče, zařízení a identita uživatele stále hrají roli. Může však snížit provozní zátěž spojenou s udržováním mnoha konfigurací klientů.
Rychlejší přístup pro dodavatele a uživatele BYOD
Agentless vzdálený přístup je obzvlášť užitečný pro přístup třetích stran.
Přístup na základě potřeby a využití
Externí uživatelé často potřebují omezený přístup k určité aplikaci, serveru nebo podpoře. Neměli by mít ve výchozím nastavení široký přístup k síti. Pro manažery hybridní práce platí stejná logika pro zaměstnance, kteří potřebují příležitostný přístup k centralizovaným aplikacím Windows.
Vítejte přizpůsobivost
Prohlížečový portál může publikovat pouze zdroje potřebné pro roli uživatele.
Přístup může být centrálně zrušen, když smlouva skončí nebo se případ podpory uzavře.
Nakonec, a zážitky založené na prohlížeči může být snazší na podporu než nasazení plného VPN a desktopového klienta.
Centralizované řízení přístupu
Agentless vzdálený software může zjednodušit řízení přístupu, když je navržen kolem centrálního portálu. IT týmy mohou přiřazovat aplikace, pracovní plochy a oprávnění podle uživatele nebo skupiny. Mohou také uplatnit politiky pro autentizaci, pracovní hodiny, IP adresy nebo země.
Centralizace je cenná pro MSP, kteří spravují několik zákaznických prostředí. Konzistentní přístupový vzor snižuje variabilitu a usnadňuje dokumentaci.
Podporuje také lepší bezpečnostní kontroly. Místo auditu mnoha koncových klientů se IT může zaměřit na konfiguraci brány, publikované zdroje, oprávnění účtů a protokoly relací.
Jaká omezení by si měly IT týmy uvědomit?
Agentless vzdálený přístup je užitečný, ale, jako u všeho, to není vždy ideální model. Rozhodovatelé by měli pochopit jeho omezení před tím, než nahradí VPN, nativní RDP klienty, agenty vzdálené podpory nebo VDI platformy.
Omezení prohlížeče
Komplexní přístup a manévrovatelnost
Prohlížečová relace nemusí odpovídat plnému zážitku nativního klienta. Podpora více monitorů, pokročilé tisknutí, přesměrování USB, přenos souborů, chování schránky, kvalita zvuku a klávesové zkratky se mohou lišit podle produktu a prohlížeče.
Silný software nebo média a podobně
Někteří uživatelé potřebují vysoce výkonnou grafiku, CAD nástroje, mediální pracovní postupy nebo vstup s nízkou latencí. Těmto uživatelům může lépe vyhovovat nativní klient pro vzdálenou plochu, specializovaný streamingový protokol nebo plná VDI platforma.
Přenosná zařízení, jako jsou chytré telefony a tablety
Mobilní přístup si také zaslouží pozornost. Řešení může fungovat v mobilním prohlížeči, ale to neznamená, že uživatelská zkušenost je vhodná pro každodenní práci. Malé obrazovky, dotykové ovládání a chování externí klávesnice mohou ovlivnit produktivitu.
Mýty o zabezpečení
Agentless automaticky neznamená bezpečné. Špatně nakonfigurovaný webový portál riskuje vystavení autentizačních stránek, zprostředkovatelů relací nebo interních aplikací útoku.
Všechny komponenty teleworking, vzdáleného přístupu a technologií BYOD mělo by být zabezpečeno proti očekávaným hrozbám To zahrnuje klientská zařízení, brány, interní hostitele a kontrolu politiky.
Pro vzdálený přístup by bezpečnost měla zahrnovat vícefaktorovou autentizaci, TLS, minimální oprávnění, zablokování účtu, filtrování IP, ochranu proti hrubé síle, protokolování a opravy. IT týmy by se také měly vyhnout přímému vystavení portu 3389 na Internet.
Obchodní kompromisy mezi výkonem a uživatelskou zkušeností
Přístup na dálku založený na prohlížeči závisí na prohlížeči, bráně, síťové cestě, hostiteli relace a zátěži aplikace. Pomalá relace může pocházet z kteréhokoli z těchto vrstev.
Problémy s výkonem se často projevují jako zpoždění zobrazení, pomalé tisknutí, zpožděné operace se soubory nebo problémy se zvukem. Tyto problémy nejsou vždy způsobeny samotným produktem pro vzdálený přístup. Mohou odrážet kapacitu serveru, šířku pásma, latenci, DNS, kontroly certifikátů nebo přetížené hostitele relací.
Toto je důvod, proč je monitorování důležité. Pokud IT týmy nemohou vidět CPU, paměť, disk, počet relací a aktivitu uživatelů, stává se odstraňování problémů hádankou.
Kontrolní seznam rozhodnutí pro bezagentní vzdálený přístup
Před výběrem architektury bezagentového vzdáleného přístupu by měly IT týmy zmapovat případ použití, úroveň rizika a požadovanou uživatelskou zkušenost.
| Otázka | Zvolte přístup bez agenta nebo na bázi prohlížeče, když | Zvažte jiný model, když |
|---|---|---|
| Kdo se připojuje? | Dodavatelé, uživatelé BYOD, příležitostní uživatelé nebo externí partneři | Uživatelé s vysokými nároky potřebují plnou integraci pracovních stanic. |
| Co potřebují? | Jedna aplikace, jedna plocha nebo omezená sada zdrojů | Je vyžadován široký přístup k síti |
| Jaká kontrola koncových bodů existuje? | Zařízení nejsou spravována nebo jsou uzamčena | Zařízení spravovaná společností mohou spouštět nativní klienty. |
| Jaká bezpečnost je vyžadována? | MFA, HTTPS, přístup na základě skupin a protokolování jsou dostatečné | Je vyžadována postavení zařízení, pokročilý podmíněný přístup nebo úplná izolace. |
| Jaký výkon je potřeba? | Aplikace Office, ERP, CRM nebo starší aplikace Windows | CAD, video, grafika nebo velmi nízkolatenční pracovní postupy |
| Jak to podpoří IT? | Centrální portál a monitorování jsou k dispozici | IT potřebuje trvalou neomezenou kontrolu koncových bodů. |
Tento kontrolní seznam pomáhá oddělit pohodlí od architektury. Přístup bez agenta je nejsilnější, když IT chce publikovat řízené zdroje uživatelům bez široké expozice v síti.
Jaké jsou alternativy k softwaru pro vzdálený přístup bez agenta založené na prohlížeči?
Agentless vzdálený přístup není jedinou produktovou kategorií. Překrývá se s několika technologiemi, z nichž každá má různé silné stránky.
HTML5 RDP brány
HTML5 RDP brány dodat Windows desktop nebo aplikace prostřednictvím prohlížeče. Jsou užitečné pro centralizované dodávání aplikací Windows, publikování starších aplikací a přístup pro dodavatele.
Hlavní výhodou je jednoduchost pro uživatele, zatímco hlavní výzvou je zajistit, aby byl brána zabezpečená, monitorovaná a schopná podporovat očekávané pracovní zátěže.
Tento model je často silně vhodný pro SMB, které potřebují publikaci aplikací bez složitosti na úrovni Citrix.
VPN, ZTNA a VDI
VPNs rozšířit přístup k síti. Zůstávají užitečné pro administrátory, propojení mezi lokalitami a případy, kdy uživatelé potřebují několik interních služeb. Nicméně, VPN mohou poskytnout více přístupu, než je nutné, pokud nejsou politiky přísně vymezeny.
Zero Trust Network Access , nebo ZTNA, se zaměřuje na přístup založený na identitě k určitým aplikacím spíše než na síťové segmenty. ZTNA může být účinné pro přístup třetích stran a soukromé webové aplikace, ale nemusí nahradit plný vzdálený desktop nebo doručování aplikací Windows.
Virtuální desktopová infrastruktura nebo VDI centralizuje plné desktopové prostředí. VDI je silný pro standardizované podnikové desktopy, ale může být drahý a složitý pro SMB, které potřebují pouze publikovat několik aplikací Windows.
Nástroje pro vzdálenou podporu
Nástroje pro vzdálenou podporu a technickou asistenci řeší jiný problém. Umožňují agentům podpory zobrazit nebo ovládat zařízení koncového uživatele pro odstraňování problémů, školení nebo údržbu.
Některé pracovní postupy vzdálené podpory jsou iniciovány prohlížečem, ale neobsluhovaná údržba může stále vyžadovat nainstalovanou komponentu nebo trvalou konfiguraci. Spíše než slabost to jednoduše odráží jiný případ použití.
IT týmy by měly oddělit přístup k aplikacím od přístupu k podpoře. Zaměstnanci potřebují kontrolovaný přístup k obchodním aplikacím. Podporující agenti potřebují bezpečné nástroje k pomoci uživatelům a údržbě zařízení.
Jak TSplus splňuje potřeby bezagentového vzdáleného přístupu
TSplus se zaměřuje na praktický střední prostor pro SMB a MSP: bezpečný vzdálený přístup a doručování aplikací bez nákladů a složitosti velkých VDI platforem.
TSplus Remote Access: pro aplikace a publikování na ploše
TSplus Remote Access umožňuje IT týmům publikovat plné vzdálené plochy nebo jednotlivé aplikace Windows prostřednictvím zabezpečeného webového portálu. Uživatelé mohou buď přistupovat k centralizovaným nástrojům z prohlížeče prostřednictvím klienta HTML5, nebo využít alternativní režimy připojení, kde je nativní zážitek vhodnější.
Tato flexibilita je důležitá, protože ne každý uživatel potřebuje stejnou metodu přístupu. Dodavatelé mohou potřebovat pouze přístup k jedné aplikaci prostřednictvím prohlížeče. Interní zaměstnanci mohou preferovat zážitek ve stylu RemoteApp. Pokročilí uživatelé mohou potřebovat plnou pracovní plochu.
TSplus Remote Access pomáhá IT týmům webově zpřístupnit starší aplikace Windows, aniž by je museli přepisovat. Pro malé a střední podniky je to často nejpřímější cesta k modernímu vzdálenému přístupu: centralizovat aplikaci, bezpečně ji publikovat a kontrolovat, kdo se může připojit.
Odstraňování problémů s RDP nebo publikováním aplikací pro vzdálené uživatele? Získejte vedenou ukázku of TSplus Remote Access.
TSplus Advanced Security a MFA: pro zabezpečené aplikační servery a přístup
Agentless vzdálený přístup by měl být vždy spojen s silnými bezpečnostními opatřeními.
360° Bezpečnost zjednodušeně
TSplus Advanced Security pomáhá chránit veřejně přístupná prostředí pro vzdálený přístup pomocí funkcí, jako je ochrana proti hrubé síle, filtrování IP a politiky ochrany koncových bodů.
MFA doplněk pro zvýšení bezpečnosti přihlášení
Doplňkový modul TSplus MFA posiluje bezpečnost identity vyžadováním dalšího autentizačního faktoru. To je obzvlášť důležité, když se uživatelé připojují z neřízených zařízení nebo externích sítí.
Společně tyto kontroly pomáhají snižovat běžná rizika vzdáleného přístupu: útoky na přihlašovací údaje, neoprávněné geografické oblasti, opakované neúspěšné přihlášení a příliš vystavené vstupní body.
TSplus Server Monitoring a Remote Support
Jednoduché monitorování serveru a sítě v reálném čase
TSplus Server Monitoring poskytuje IT týmům přehled o zdraví serverů, webových stránkách, aplikacích a aktivitě uživatelů. To pomáhá administrátorům odhalit přetížené hostitele relací, degradaci výkonu a abnormální používání vzdáleného přístupu, než uživatelé nahlásí rozsáhlé problémy.
Vzdálená podpora v celé jednoduchosti
TSplus Remote Support doplňuje vzdálený přístup o asistenci s přítomností a bez přítomnosti. Podpůrné týmy mohou řešit problémy uživatelských zařízení, pomáhat vzdáleným zaměstnancům a udržovat koncové body, aniž by míchaly pracovní postupy podpory s publikováním aplikací.
Jednodušší architektura a plynulost v řízení
Pro MSP, systémové administrátory a poskytovatele SaaS nebo DaaS tyto produkty spojují, aby vytvořily softwarový balík bez námahy a tření. Publikujte podnikové aplikace na webu, chraňte servery a přístupovou vrstvu, sledujte zdraví infrastruktury a umožněte agentům rychle řešit problémy uživatelů odkudkoli.
Závěr
Agentless vzdálený přístup může zjednodušit vzdálenou práci přístup dodavatele a doručování aplikací, ale nemělo by to být hodnoceno pouze jako funkce „bez instalace“. IT týmy musí pochopit celou architekturu: prohlížeč, bránu, identitu, hostitele relace, bezpečnostní kontroly a monitorování.
Pro mnoho týmů je nejlepší přístup ne těžká platforma VDI nebo široká VPN. Portál pro vzdálený přístup založený na prohlížeči, chráněný silnou autentizací a centrálně monitorovaný, může poskytnout správnou rovnováhu mezi použitelností, bezpečností a kontrolou nákladů.
Pomozte svému IT dosáhnout rovnováhy s TSplus a škálovat vzdálený přístup s lepší návratností investic. Promluvte si se specialistou na TSplus.
TSplus Bezplatná zkušební verze vzdáleného přístupu
Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud
)
)
)
