)
)
Agentless vzdialený prístup môže znížiť trenie na koncových bodoch, najmä keď sa používatelia pripájajú z neadministratívnych prenosných počítačov, tabletov, zariadení dodávateľov alebo uzamknutých pracovných staníc. IT tímy však stále musia pochopiť, kde sa brána nachádza, čo môže a nemôže robiť prístup založený na prehliadači a kedy sa lepšie hodí VPN, RD Gateway, ZTNA alebo VDI.
Pre IT administrátorov SMB, MSP a sysadminov nie je cieľom len vyhnúť sa inštaláciám. Cieľom je dodať bezpečné, spravovateľné a nákladovo efektívne ďalší prístup bez vytvárania skrytého operačného rizika.
Čo je prístup na diaľku bez agenta?
Definícia:
Agentless vzdialený prístup je model vzdialenej konektivity, kde používateľ alebo spravovaný koncový bod nevyžaduje pridanie trvalého softvérového agenta pre každú prístupovú reláciu. V praxi sa tento termín používa rôznymi spôsobmi dodávateľmi, preto by IT tímy mali objasniť, na čo sa agentless skutočne vzťahuje pred výberom platformy.
Bez agenta:
- Niektoré produkty používajú „bezagentový“ na označenie toho, že zariadenie koncového používateľa potrebuje iba prehliadač.
- Iní to používajú na označenie toho, že cieľový server alebo pracovná stanica nepotrebuje lokálne nainštalovaného agenta.
- Tretia kategória sa týka nástrojov na monitorovanie alebo objavovanie, ktoré dotazujú systémy prostredníctvom štandardných protokolov namiesto nainštalovaných zberačov.
Vzdialený prístup k desktopom a aplikáciám:
Pre vzdialenú plochu a doručovanie aplikácií je najpraktickejšia definícia:
softvér bez agenta znižuje alebo odstraňuje inštaláciu na strane klienta, pričom centralizuje prístupový stack na bráne, portáli alebo serveri.
Agentless, bezklientský, založený na prehliadači: Kľúčové rozdiely
Tieto súvisia, ale nie sú identické.
Agentless vzdialený prístup:
Agentless vzdialený prístup zvyčajne znamená, že na jednej strane pripojenia nie je potrebný trvalý agent.
Bezklientský vzdialený prístup:
Bezklientský vzdialený prístup znamená, že používateľ nepotrebuje natívneho klienta, zásuvný modul alebo rozšírenie.
Prístup na diaľku cez prehliadač:
Prístup na diaľku založený na prehliadači znamená, že relácia je poskytovaná prostredníctvom webového prehliadača, často používanie HTML5 .
Príklad:
Bázový bránový prístup k vzdialenému desktopu je bežným príkladom. Používateľ otvorí zabezpečenú URL, autentifikuje sa, vyberie aplikáciu alebo desktop a spustí reláciu v prehliadači. Brána spravuje preklad protokolu, tok autentifikácie a smerovanie relácie v pozadí.
Prečo je tento termín dôležitý pre IT rozhodovateľov?
Terminológia je dôležitá, pretože „žiadna inštalácia“ neznamená „žiadna infraštruktúra“. Služba vzdialeného prístupu založená na prehliadači stále potrebuje autentifikáciu, šifrovanie, mapovanie identity, sprostredkovanie relácií, prístupové politiky, protokolovanie a údržbu na strane servera.
Toto rozlíšenie je obzvlášť dôležité pre správu systémov alebo pre SMB a MSP. Nástroj, ktorý sa zdá byť jednoduchý pre jedného používateľa, sa môže stať ťažkým na zabezpečenie v rozsahu, ak mu chýbajú prístup založený na skupinách, konfigurácia relácií, viacfaktorová autentifikácia, obmedzenia IP, audítorské záznamy, monitorovanie servera...
Najlepšia otázka teda nie je „Je tento bezagentový?“. Namiesto toho sa pýtajte: „Kde žije kontrola prístupu a ako ju IT zabezpečí, monitoruje a podporí?“
Ako funguje prístup bez agenta?
Agentless vzdialený prístup zvyčajne závisí od centrálneho prístupového bodu medzi používateľom a interným zdrojom. Tento prístupový bod môže byť webový portál, HTML5 vzdialený desktopový brána, RD brána, ZTNA broker, VPN koncentrátor alebo relé vzdialenej podpory.
- Používateľ sa autentifikuje do prístupovej vrstvy.
- Prístupová vrstva kontroluje identitu, politiku a oprávnenia k zdrojom.
- Potom pripojí používateľa k vzdialenej aplikácii, plnej pracovnej ploche, serverovej konzole alebo podpore.
Tento dizajn znižuje závislosť na konfigurácii používateľského zariadenia, ale zvyšuje dôležitosť zabezpečenia brány a servera. Ak je brána vystavená internetu, musí sa považovať za kritickú produkčnú súčasť.
Prístup na diaľku cez prehliadač
Prístup na diaľku založený na prehliadači je jednou z najbežnejších foriem prístupu bez agenta pre koncových používateľov. Prehliadač sa stáva používateľským rozhraním, zatiaľ čo brána komunikuje s diaľkovými hostiteľmi pomocou protokolov ako Protokol vzdialenej plochy (RDP), Virtuálne sieťové počítanie (VNC) alebo Bezpečný shell (SSH).
Microsoft Webový klient pre vzdialenú plochu umožňuje používateľom pristupovať k vzdialeným aplikáciám a desktopom publikovaným administrátorom z kompatibilného prehliadača. Microsoft tiež uvádza, že používatelia potrebujú podporovaný prehliadač a URL poskytnutú administrátorom.
Ďalším príkladom je, ako Apache Guacamole popisuje sa ako bezklientová brána pre vzdialenú plochu, ktorá podporuje štandardné protokoly ako RDP, VNC a SSH, bez potreby doplnkov alebo klientského softvéru po nainštalovaní brány.
Pre IT tímy je architektonický vzor jasný: prehliadač je len front-end. Zásobník vzdialeného prístupu stále beží na serveroch, bránach a identifikačných systémoch.
RDP, RD Gateway a VPN v kontexte
RDP
Protokol vzdialenej plochy sa bežne používa na poskytovanie desktopov a aplikácií Windows. V zabezpečenej architektúre by RDP nemal byť priamo vystavený internetu. Namiesto toho by IT tímy mali umiestniť kontrolovanú prístupovú vrstvu pred interné zdroje.
RD Gateway
RD Gateway je brána Microsoftu pre smerovanie RDP prevádzky od externých používateľov k interným Windows zdrojom. Umožňuje vzdialeným používateľom pripojiť sa cez HTTPS namiesto otvorenia priameho RDP prístupu k každému hostiteľovi.
VPN
Virtuálna privátna sieť, alebo VPN, využíva tunelovanie a šifrovanie na rozšírenie prístupu k privátnej sieti cez verejnú sieť. VPN zostávajú užitočné pre prístup na úrovni siete, ale často poskytujú širšie pripojenie, než aké používateľ potrebuje pre jednu aplikáciu alebo desktop.
Nástroje na účel
Agentless prístup a prístup VPN preto riešia rôzne problémy: publikovanie konkrétnych zdrojov vs rozšírenie dosahu siete. RD Gateway bezpečne sprostredkováva RDP. Nástroje ZTNA vynucujú prístup na úrovni aplikácie na základe identity a kontextu.
Kde sa nachádza brána
V modely založenom na prehliadači by mal brána sedieť medzi externými používateľmi a internými hostiteľmi relácií. Externí používatelia sa pripájajú k bráne cez HTTPS. Brána sa potom pripája k interným desktopom, aplikáciám alebo serverom prostredníctvom schválených interných protokolov.
Toto umiestnenie pomáha znižte priamu expozíciu vzdialených hostiteľov . Taktiež poskytuje IT jedno miesto na vynucovanie autentifikácie, politiky certifikátov, pravidiel prístupu a protokolovania.
Avšak brána sa stáva cenným cieľom. IT tímy by ju mali chrániť silnou autentifikáciou, TLS certifikátmi, správou záplat, obmedzeným administratívnym prístupom, geografickým blokovaním tam, kde je to vhodné, a monitorovaním.
Aké sú hlavné výhody prístupu bez agenta?
Agentless remote access je atraktívny, pretože znižuje trenie pre používateľov a IT administrátorov. Výhody sú najvýraznejšie, keď je scenár prístupu dobre definovaný, ako sú publikované obchodné aplikácie, prístup dodávateľov, občasná práca na diaľku alebo podporné pracovné toky.
Menej trenia na koncových bodoch
Najviditeľnejšou výhodou je jednoduchšie zavádzanie. Používatelia nemusia pred pripojením inštalovať plného klienta vzdialenej plochy, klienta VPN alebo vlastný spúšťač. To je užitočné pre dodávateľov, externých účtovníkov, dočasný personál, študentov, pracovníkov v teréne a používateľov BYOD.
Pre IT tímy by malo menej závislostí na koncových bodoch znamenať menej podporných tiketov. Prístup cez prehliadač tiež pomáha, keď používatelia pracujú na zariadeniach, kde nemôžu nainštalovať softvér, ako sú uzamknuté firemné prenosné počítače alebo zdieľané pracovné stanice.
Toto neodstráni všetky riziká koncových bodov. Zdravie prehliadača, zariadenia a identita používateľa sú stále dôležité. Môže to však znížiť prevádzkovú záťaž spojenú s udržiavaním mnohých konfigurácií klientov.
Rýchlejší prístup pre dodávateľov a používateľov BYOD
Agentless vzdialený prístup je obzvlášť užitočný pre prístup tretích strán.
Prístup na základe potreby a používania
Externí používatelia často potrebujú obmedzený prístup k určitej aplikácii, serveru alebo podpore. Nemali by automaticky dostávať široký prístup k sieti. Pre manažérov hybridnej práce platí rovnaká logika pre zamestnancov, ktorí potrebujú občasný prístup k centralizovaným aplikáciám Windows.
Vitajte prispôsobivosť
Prehliadačový portál môže zverejniť iba zdroje potrebné pre rolu používateľa.
Prístup môže byť centrálne odobratý, keď zmluva skončí alebo sa prípad podpory uzavrie.
Nakoniec, a prehliadačová skúsenosť môže byť jednoduchšie na podporu ako plné nasadenie VPN a desktopového klienta.
Centralizované riadenie prístupu
Agentless vzdialený softvér môže zjednodušiť kontrolu prístupu, keď je navrhnutý okolo centrálneho portálu. IT tímy môžu priradiť aplikácie, pracovné plochy a oprávnenia podľa používateľa alebo skupiny. Môžu tiež uplatniť politiky pre autentifikáciu, pracovné hodiny, IP adresy alebo krajiny.
Centralizácia je cenná pre MSP, ktoré spravujú niekoľko zákazníckych prostredí. Konzistentný prístupový vzor znižuje variabilitu a uľahčuje dokumentáciu.
Podporuje tiež lepšie bezpečnostné kontroly. Namiesto auditu mnohých koncových klientov sa IT môže zamerať na konfiguráciu brány, publikované zdroje, povolenia účtov a protokoly relácií.
Aké obmedzenia by mali IT tímy pochopiť?
Agentless vzdialený prístup je užitočný, ale, ako pri všetkom, nie je vždy ideálnym modelom. Rozhodovatelia by mali pochopiť jeho obmedzenia predtým, ako nahradia VPN, natívne RDP klienty, agentov vzdialenej podpory alebo VDI platformy.
Obmedzenia prehliadača
Komplexný prístup a manévrovateľnosť
Prehliadačová relácia nemusí zodpovedať plnej skúsenosti natívneho klienta. Podpora viacerých monitorov, pokročilé tlačenie, USB presmerovanie, prenos súborov, správanie schránky, kvalita zvuku a klávesové skratky sa môžu líšiť v závislosti od produktu a prehliadača.
Silný softvér alebo médiá a podobne
Niektorí používatelia potrebujú vysokovýkonné grafiky, CAD nástroje, mediálne pracovné toky alebo nízkolatenčný vstup. Títo používatelia môžu byť lepšie obslúžení natívnym klientom vzdialenej plochy, špecializovaným streamovacím protokolom alebo plnou VDI platformou.
Ručné zariadenia, ako sú smartfóny a tablety
Mobilný prístup si tiež vyžaduje pozornosť. Riešenie môže fungovať v mobilnom prehliadači, ale to neznamená, že používateľský zážitok je vhodný na každodennú prácu. Malé obrazovky, dotykové ovládanie a správanie externých klávesníc môžu ovplyvniť produktivitu.
Mýty o bezpečnosti
Agentless neznamená automaticky bezpečné. Zle nakonfigurovaný webový portál riskuje vystavenie autentifikačných stránok, reláciových brokerov alebo interných aplikácií útoku.
Všetky komponenty telepráce, vzdialeného prístupu a technológií BYOD malo by byť zabezpečené proti očakávaným hrozbám Toto zahŕňa klientské zariadenia, brány, interné hostiteľské systémy a kontrolu politík.
Pre vzdialený prístup by mala bezpečnosť zahŕňať viacfaktorovú autentifikáciu, TLS, minimálne oprávnenie, zablokovanie účtu, filtrovanie IP, ochranu proti hrubej sile, protokolovanie a opravy. IT tímy by sa mali tiež vyhnúť priamemu vystaveniu portu 3389 na Internet.
Obchodné kompromisy medzi výkonom a používateľskou skúsenosťou
Prístup na diaľku založený na prehliadači závisí od prehliadača, brány, sieťovej cesty, hostiteľa relácie a pracovného zaťaženia aplikácie. Pomalá relácia môže pochádzať z ktoréhokoľvek z týchto vrstiev.
Problémy s výkonom sa často prejavujú ako oneskorenie zobrazenia, pomalé tlačenie, oneskorené operácie s súbormi alebo problémy so zvukom. Tieto problémy nie sú vždy spôsobené samotným produktom vzdialeného prístupu. Môžu odrážať kapacitu servera, šírku pásma, latenciu, DNS, kontroly certifikátov alebo preťažené hostiteľské relácie.
Toto je dôvod, prečo je monitorovanie dôležité. Ak IT tímy nemôžu vidieť CPU, pamäť, disk, počet relácií a aktivitu používateľov, riešenie problémov sa stáva hádaním.
Kontrolný zoznam rozhodnutí pre prístup bez agenta
Pred výberom architektúry bez agenta pre vzdialený prístup by mali IT tímy zmapovať prípad použitia, úroveň rizika a požadovanú používateľskú skúsenosť.
| Otázka | Vyberte prístup bez agenta alebo na báze prehliadača, keď | Zvážte iný model, keď |
|---|---|---|
| Kto sa pripája? | Dodávatelia, používatelia BYOD, príležitostní používatelia alebo externí partneri | Používatelia s vysokými nárokmi potrebujú plnú integráciu pracovnej stanice |
| Čo potrebujú? | Jedna aplikácia, jedna pracovná plocha alebo obmedzená sada zdrojov | Je potrebný široký prístup k sieti |
| Aká kontrola koncových bodov existuje? | Zariadenia nie sú spravované alebo sú uzamknuté | Firemne spravované zariadenia môžu spúšťať natívne klienty |
| Aká bezpečnosť je potrebná? | MFA, HTTPS, prístup na základe skupín a protokolovanie sú dostatočné | Vyžaduje sa postoj zariadenia, pokročilý podmienený prístup alebo úplná izolácia. |
| Aký výkon je potrebný? | Office aplikácie, ERP, CRM alebo staršie aplikácie Windows | CAD, video, grafika alebo veľmi nízkolatenčné pracovné toky |
| Ako to IT podpora zabezpečí? | Centrálny portál a monitorovanie sú k dispozícii | IT potrebuje trvalú nepretržitú kontrolu koncových bodov. |
Tento kontrolný zoznam pomáha oddeliť pohodlie od architektúry. Prístup bez agenta je najefektívnejší, keď IT chce zverejniť kontrolované zdroje používateľom bez širokej expozície v sieti.
Ako sú na tom alternatívy bez agenta založené na prehliadači k vzdialenému softvéru?
Agentless vzdialený prístup nie je jediná produktová kategória. Prekrýva sa s viacerými technológiami, z ktorých každá má rôzne silné stránky.
HTML5 RDP brány
HTML5 RDP brány dodať Windows desktopy alebo aplikácie prostredníctvom prehliadača. Sú užitočné pre centralizované dodávanie Windows aplikácií, publikovanie starších aplikácií a prístup pre dodávateľov.
Hlavnou výhodou je jednoduchosť pre používateľa, zatiaľ čo hlavnou výzvou je zabezpečiť, aby bol brána bezpečná, monitorovaná a schopná podporovať očakávané pracovné zaťaženia.
Tento model je často silným riešením pre SMB, ktoré potrebujú publikovanie aplikácií bez zložitosti na úrovni Citrix.
VPN, ZTNA a VDI
VPNs rozšíriť prístup k sieti. Zostávajú užitočné pre administrátorov, pripojenie medzi lokalitami a prípady, keď používatelia potrebujú niekoľko interných služieb. Avšak, VPN môžu poskytnúť viac prístupu, ako je potrebné, ak nie sú politiky presne definované.
Prístup k sieti s nulovou dôverou , alebo ZTNA, sa zameriava na prístup založený na identite k konkrétnym aplikáciám namiesto sieťových segmentov. ZTNA môže byť účinné pre prístup tretích strán a súkromné webové aplikácie, ale nemusí nahradiť plný vzdialený desktop alebo dodávku aplikácií Windows.
Virtuálna desktopová infraštruktúra , alebo VDI, centralizuje plné desktopové prostredia. VDI je silný pre štandardizované podnikové desktopy, ale môže byť nákladný a zložitý pre SMB, ktoré potrebujú iba publikovať niekoľko aplikácií Windows.
Nástroje na vzdialenú podporu
Nástroje na vzdialenú podporu a technickú pomoc riešia iný problém. Umožňujú agentom podpory zobraziť alebo ovládať zariadenie koncového používateľa na diagnostiku, školenie alebo údržbu.
Niektoré pracovné postupy vzdialenej podpory sú iniciované prehliadačom, ale nepretržitá údržba môže stále vyžadovať nainštalovanú súčasť alebo trvalú konfiguráciu. Namiesto slabosti to jednoducho odráža iný prípad použitia.
IT tímy by mali oddeliť prístup k aplikáciám od prístupu k podpore. Zamestnanci potrebujú kontrolovaný prístup k obchodným aplikáciám. Podporní agenti potrebujú bezpečné nástroje na pomoc používateľom a údržbu zariadení.
Ako TSplus spĺňa potreby prístupu bez agenta
TSplus sa zaoberá praktickým stredným riešením pre SMB a MSP: bezpečný vzdialený prístup a dodávka aplikácií bez nákladov a zložitosti veľkých platforiem VDI.
TSplus Remote Access: pre aplikácie a publikovanie na ploche
TSplus Remote Access umožňuje IT tímom publikovať plné vzdialené pracovné plochy alebo jednotlivé aplikácie Windows prostredníctvom zabezpečeného webového portálu. Používatelia môžu buď pristupovať k centralizovaným nástrojom z prehliadača prostredníctvom klienta HTML5, alebo využiť alternatívne režimy pripojenia, kde je natívny zážitok vhodnejší.
Táto flexibilita je dôležitá, pretože nie každý používateľ potrebuje rovnakú metódu prístupu. Dodávatelia môžu potrebovať iba prístup k jednej aplikácii cez prehliadač. Interní zamestnanci môžu preferovať skúsenosť v štýle RemoteApp. Pokročilí používatelia môžu potrebovať plnú pracovnú plochu.
TSplus Remote Access pomáha IT tímom webovo sprístupniť staré aplikácie Windows bez ich prepisovania. Pre malé a stredné podniky je to často najpriamejšia cesta k modernému vzdialenému prístupu: centralizovať aplikáciu, bezpečne ju publikovať a kontrolovať, kto sa môže pripojiť.
Riešenie problémov s RDP alebo publikovaním aplikácií pre vzdialených používateľov? Získajte vedenú ukážku of TSplus Remote Access.
TSplus Advanced Security a MFA: pre zabezpečené aplikačné servery a prístup
Agentless vzdialený prístup by mal byť vždy spárovaný s silnými bezpečnostnými opatreniami.
360° Bezpečnosť bez komplikácií
TSplus Advanced Security pomáha chrániť verejné prostredia vzdialeného prístupu s funkciami, ako sú ochrana pred hrubou silou, filtrovanie IP a politiky ochrany koncových bodov.
MFA doplnok pre dodatočnú bezpečnosť prihlásenia
Doplnok TSplus MFA posilňuje bezpečnosť identity vyžadovaním dodatočného autentifikačného faktora. To je obzvlášť dôležité, keď sa používatelia pripájajú z neadministratívnych zariadení alebo externých sietí.
Spoločne tieto kontroly pomáhajú znižovať bežné riziká vzdialeného prístupu: útoky na poverenia, neoprávnené geografické oblasti, opakované neúspešné prihlásenia a nadmerne vystavené vstupné body.
TSplus Server Monitoring a Remote Support
Jednoduché monitorovanie serverov a sietí v reálnom čase
TSplus Server Monitoring poskytuje IT tímom prehľad o zdraví servera, webových stránkach, aplikáciách a aktivite používateľov. To pomáha administrátorom odhaliť preťažené hostiteľské relácie, zhoršenie výkonu a abnormálne používanie vzdialeného prístupu skôr, než používatelia nahlásia rozsiahle problémy.
Jednoduchá vzdialená podpora
TSplus Remote Support dopĺňa vzdialený prístup s asistenciou s prítomnosťou a bez prítomnosti. Podporné tímy môžu riešiť problémy s používateľskými zariadeniami, pomáhať vzdialeným zamestnancom a udržiavať koncové zariadenia bez miešania pracovných tokov podpory s publikovaním aplikácií.
Jednoduchšia architektúra a plynulosť v správe
Pre MSP, systémových administrátorov a poskytovateľov SaaS alebo DaaS tieto produkty kombinujú, aby vytvorili softvérový balík bez námahy a trenia. Publikujte obchodné aplikácie na webe, chráňte servery a prístupovú vrstvu, sledujte zdravie infraštruktúry a umožnite agentom rýchlo riešiť problémy používateľov z akéhokoľvek miesta.
Záver
Agentless vzdialený prístup môže zjednodušiť prácu na diaľku prístup dodávky aplikácií a dodávka aplikácií, ale nemalo by sa to hodnotiť len ako funkcia „bez inštalácie“. IT tímy musia pochopiť celú architektúru: prehliadač, bránu, identitu, hostiteľa relácie, bezpečnostné kontroly a monitorovanie.
Pre mnohé tímy je najlepším prístupom nie ťažká VDI platforma alebo široká VPN. Portál pre vzdialený prístup založený na prehliadači, chránený silnou autentifikáciou a centrálne monitorovaný, môže poskytnúť správnu rovnováhu medzi použiteľnosťou, bezpečnosťou a kontrolou nákladov.
Pomôžte svojmu IT dosiahnuť rovnováhu s TSplus a škálovať vzdialený prístup s lepšou návratnosťou investícií. Porozprávajte sa so špecialistom TSplus.
TSplus Bezplatná skúšobná verzia vzdialeného prístupu
Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud
)
)
)
