Secure Virtual Desktops 2015 Edition

Llevamos ya casi 10 años esperando el desenlace de Escritorios Virtuales (VDI) a nivel Enterprise!!!

Como soporte a este movimiento, creo firmemente que “el momento ha llegado”, y aunque esto ha sido algo que ya hemos prometido en el pasado, pero ahora hay cinco (5) ingredientes que me llevan al límite a decir que ya es el momento de la verdad debido a que contamos con:

1- Seguridad

2- Flexibilidad

3- Estandarización

4- Escalabilidad

5- Alta Disponibilidad

 

1- Seguridad en Ambientes de Escritorios Virtuales:

Actualmente VMware, en conjunto con Trendmicro, ofrece la posibilidad de utilizar el stack de redes virtuales entregado bajo VMware’s NSX en conjunto con Trendmicro’s Deep Security para proteger el ambiente de desktops virtuales bajo VMware Horizon 6.1. Esto sucede a nivel de firewall capa 4 sobre el kernel (nivel hipervisor) y permite entregar toda clase de servicios de red seguros (desde capa 3 a 7 ) incluyendo: Balanceo de Cargas (LB), DHCP, NAT, Firewall, Intrusion Detection / Intrusion Prevention, Anti-Malware, Integrity Monitoring y Web Reputation todo sobre un ambiente de seguridad definido a través de políticas mediante una consola unificada ( Micro-segmentation en capa 7) que incluso permite administrar la operación Cloud del Cliente, bajo las mismas políticas definidas localmente. Esto significa que el escritorio generado bajo Horizon + NSX/Trendmicro, va contar con aspectos de seguridad, aislamiento, privacidad, y control a nivel granular, igualando y en muchos casos mejorando lo visto hasta ahora a nivel de Desktop físico.

NSX-Horizon2

Este ambiente seguro se puede extender ahora al ambiente Móvil, logrando un control adicional de la seguridad para aquellos usuarios móviles que prefieren el tablet y el smart-phone para acceder al ambiente virtual, controlado por el componente de Mobile Device Management (MDM) bajo AirWatch, conectando directamente el usuario móvil a las redes previamente creadas bajo NSX. De acuerdo a Noah Wasmer -EUC strategy VP @ VMware- explica que “AirWatch ya posee una capacidad de generar un tunel VPN con tráfico encriptado hacia el Datacenter, sin embargo, no habia antes de contar con la integración con NSX, de la manera de controlar granularmente este acceso al Datacenter”. Desde el punto de vista de control de acceso basado en políticas, el microsegmento definido bajo N SX puede limitar al usuario a sólo acceder lo que ese aplicativo/desktop tenga acceso a nivel Datacenter.

En su momento, esta integración va generar un acercamiento entre áreas normalmente a distinto nivel organizacional, sea Seguridad, Redes y/o Infraestructura a dos niveles: servidores y desktops en una organización que típicamente no mezcla estos componentes, llegó el momento de la Verdad!

NSX-Horizon

2- Flexibilidad:

Es importante lograr que el usuario pueda escoger el método de acceso y sea flexible que el usuario pueda escoger si desea ir Móvil o Desktop, o la combinación de ambas maneras.

“Persistencia es una medida sobre el tiempo” – Harry Labana
Llevando esta afirmación a nivel de servicios, cuanto dura un desktop antes de resintalarlo, sea por best practice ó porque está corrupto? En caso de nunca reinstalar un desktop… se volverá un VDI poco práctico al no tener forma de administrarlo similar a lo que ocurre hoy en un PC físico sin control? por qué no dejarlo físico entonces?

Persistencia es una manera falsa de darle sentido de seguridad a un ambiente compartido. Si el desktop fuese 100% intocable, estariamos hablando de un desktop tan inseguro como el PC físico actual! Debemos llegar a un punto de equilibrio Seguridad vs Administración de datos y configuraciones… una solución que sea flexible para que el usuario la acepte.

3- Estandarización:

El lograr que un usuario interactue con sus documentos y preferencias como usuario, independiente de si el tipo de desktop es persistente o no, es vital para lograr que acepten finalmente utilizar VDI a nivel Enterprise. Esto lo hemos logrado utilizando herramientas bien sea las propias de VMware ó de terceros (AppSense y Liquidware Labs).

Adicionalmente, es importante que los desktops comiencen a estandarizarse desde el mismo momento que se identifique que un proyecto de VDI es viable. Para ello contamos con dos herramientas importantes de implementar sobre el mundo físico, proveídas por VMware en dos productos: Horizon Mirage y Horizon FLEX. Mirage permite generar y controlar las imágenes de desktops y laptops físicos incluyendo drivers de red e impresoras que deban ser definidas a nivel de cada imagen (se termina con una hemeroteca de imágenes a nivel de cada marca, Dell, HP, Lenovo, etc con los drivers adecuados). Esta imagen puede ser enviada a través de la red encima de cada dispositivo se desee estandarizar, permitiendo incluso migraciones hacia windows 7/8 de manera transparente. A nivel de FLEX, se incluyen dos niveles: server y clientes, sean Mac o PCs, soportando la estrategia de Bring your own Device (BYOD). BYOD permite contar con la estrategia para recibir trabajadores temporales, grupos de desarrollo y entrenamiento cuyas imágenes bajo VDI no son compatibles o no son fácil de implementar.

4- Escalabilidad:

Es importante lograr el factor Costo vs Beneficio a nivel de implementación. En estos casos, hemos logrado el balance perfecto utilizando esquemas no disponibles antes como lo es el poder escalar utilizando ambientes híbridos sea a nivel SAN o nivel de servidores locales mediante combinaciones SSD/SAS, 100% SSD, ó utilizando memoria RAM del servidor como datastore.

5- Alta Disponibilidad:

Visto desde dos puntos de vista: a) Poder recuperarnos rápidamente ante fallos, logrando el SLA requerido por Gerencia y b) Obtener diversos puntos de recuperación disponibles para el Usuario, sea backup a un repositorio central y a repositorios distribuidos geográficamente

Post Author: Fernando Escobar

CTO Ambassador (VMware’s Office of the CTO), VMware vExpert Cloud, VMware vExpert core, SDDC Trusted Advisor, Cloud Architect

Leave a Reply