Segurança e compliance no ambiente de home office: VDI vs IDV

O paradigma do isolamento imposto pela crise do COVID-19 está mudando permanentemente a forma de trabalhar e estudar.

Muitos funcionários e alunos passaram a trabalhar ou aprender em casa, incentivados por suas empresas e escolas que reconheceram não apenas a necessidade imediata, mas também os benefícios do ambiente de home-office, por vários motivos.

Essas mudanças devem permanecer como o novo “normal” em regime de tempo integral ou parcial. Isso traz um novo desafio para o setor de TI: como fornecer aos usuários remotos os recursos de TI de que precisam, em casa.

Analisando os recursos mais fundamentais (computador, sistemas e aplicativos), como fornecer e gerenciar esses recursos garantindo segurança, confiabilidade, desempenho, compatibilidade, de uma forma que funcionários, alunos, professores possam trabalhar em casa como fariam dentro do ambiente da organização? E como fazer essa mudança de maneira rápida e tranquila, com os mínimos custos, interrupções e esforço?

Como os administradores de TI devem enfrentar esse desafio, para chegar a uma solução viável para um aumento tão abrupto no número de usuários remotos, eles olham para as tecnologias disponíveis no mercado. Aqui, abordaremos dois conceitos diferentes, VDI/DaaS e o conceito IDV implementado por Phantosys.

VDI / Desktop como Serviço

Como um ambiente baseado em servidor, os sistemas e software são hospedados em um data center ou provedor de nuvem, e os usuários acessam esses recursos através de um terminal (Thin-client) através da Internet. Essa solução é chamada de VDI (Virtual Desktop Infrastructure) e sua oferta baseada em nuvem, muitas vezes chamada de DaaS (Desktop as a Service).

A intensa promoção de marketing de grandes marcas de TI, o senso de urgência devido à crise da Covid e a falta de alternativas conhecidas têm empurrado os tomadores de decisão para essa drástica transição. Um problema é que testar essas soluções com um número significativo de usuários em um cenário real é complicado ou até inviável, devido aos requisitos técnicos e ao esforço para a configuração inicial. E, uma vez feita a transição, seria difícil e caro voltar para um ambiente baseado em PC, mesmo que os custos sejam mais altos e a experiência do usuário seja pior do que o previsto.

A experiência mostra que o equilíbrio entre os prós e os contras dessa abordagem depende do caso, mas, claramente, ela implica em trade-offs acarretando inconvenientes e perdas operacionais, problemas de compatibilidade e limitações de desempenho, e depende muito da infraestrutura de back-end e do cliente, e das conexões de rede.

O custo geral dessa escolha não é fácil e direto de ser determinado, devido a componentes “ocultos” ou custos imprevisíveis que só podem ser adicionados posteriormente de acordo com as mudanças nas demandas. Por exemplo, o preço de um sistema cliente de baixo custo com funcionalidade limitada é muito mais baixo do que o custo para atingir um nível de desempenho que pode se comparar à média de um computador pessoal atual. Na maioria das vezes, os usuários têm necessidades diferentes ao longo de um período, para executar tarefas diferentes. Portanto, um cliente VDI básico ou instância DaaS pode ser suficiente para trabalhar com um pacote de escritório e aplicativos hospedados na nuvem, mas não para muitas outras tarefas, especialmente quando gráficos, vídeos e aplicativos de comunicação são necessários.

Embora os fornecedores de soluções VDI / DaaS o promovam como uma substituição de PC econômica com a conveniência de ser acessível de qualquer lugar por qualquer dispositivo, na realidade, não é tão simples (ou econômico) adaptar usuários e migrar sistemas locais para sistemas acessados remotamente.

Este é um fato: mesmo quem promove soluções VDI/DaaS não deixam de usar sistema operacional local, aplicativos e arquivos em seus Notebooks/PCs.

Phantosys / IDV (Intelligent Desktop Virtualization)

A tecnologia de virtualização aplicada por Phantosys foi desenvolvida desde meados da década de 2000, mas foi muito mais tarde quando o mercado empresarial de TI reconheceu a necessidade de evoluir além do conceito comum de computação baseada em servidor, como a única resposta para melhor gerenciamento e segurança, e começou a dar atenção a novas soluções usando uma abordagem diferente. Algumas referências: InfoworldTechRepublic.

Sendo um dos desenvolvedores mais influentes de plataformas de computação, a Intel publicou o que ela chamou de “evolutionary framework called Intelligent Desktop Virtualization, or IDV — in which the overall system of managing user computing is made significantly more intelligent”.

De acordo com a visão da Intel, “IDV maximizes the user experience while also giving IT professionals the control they need — all within an economically viable framework”. Nesse conceito, 3 princípios são apresentados como fundamentais:

  • Princípio 1: Gerenciar de forma centralizada, com execução local
  • Princípio 2: Entregar imagens (de sistemas) em camadas de forma inteligente
  • Princípio 3: Utilizar gerenciamento nativo do dispositivo

Phantosys é uma combinação perfeita para todos esses princípios e adiciona vários outros recursos de segurança importantes, como controle de acesso a disco e criptografia, bloqueio de dispositivos, controle de configurações de IP, backup automático de sistemas, recuperação instantânea, entre outras funções. Fácil e rápido de implantar em larga escala sem necessidade de mudanças de equipamentos e infraestrutura, Phantosys certamente vale um teste para qualquer empresa, mas especialmente aquelas que precisam de um sistema de gerenciamento eficaz para usuários em home-office, com o mínimo esforço e custos.

Embora não tenha havido quase nenhuma promoção de marketing, ao longo de sua história de desenvolvimento de 15 anos, Phantosys vem ganhando participação de mercado consistente, ano após ano, com mais de 2 milhões de dispositivos gerenciados em mais de 6.000 empresas, em vários países. É considerada uma ótima opção de sistema seguro para usuários em frequente movimento, por sua arquitetura de virtualização que permite o gerenciamento centralizado de sistemas totalmente autônomos, em qualquer tipo de PC ou Notebook.

Funcionários podem usar seu próprio Notebook / PC para acessar sistemas e dados fornecidos pelo departamento de TI da empresa, e alunos podem acessar sistemas prontos para uso fornecidos por universidades e escolas, incluindo software aplicativos especializados. Em ambos os casos, esses usuários podem realizar seu trabalho em um sistema totalmente isolado (através dos discos virtuais Phantosys) diretamente em seus computadores, mas sem qualquer conexão a sistemas pessoais instalados no mesmo computador.

Os usuários Phantosys logo esquecem ou até mesmo desinstalam o SO local do seu PC/Notebook, uma vez que comprovam que os sistemas fornecidos por Phantosys são completamente autônomos, seguros, facilmente atualizados e recuperáveis ​​instantaneamente, e têm o mesmo desempenho de um SO local padrão.



Operação Normal

Recuperação de Desastres

Uma comparação entre Phantosys e VDI/DaaS para ambientes de home-office

 Phantosys IDVVDI ou DaaS
Sistema de desktop e aplicativosReside no dispositivo do usuário. Mesmo se a rede ou o servidor estiver inativo, os sistemas em cache local permanecem totalmente funcionais.Reside nos servidores do Data Center ou no provedor de nuvem. Se o serviço do lado do servidor ou a conexão ficam instáveis ou inativos, os usuários não poderão realizar nenhum trabalho.
Hábitos e transição do usuárioSem transição nos hábitos do usuário ou mudança de operação em comparação com sistemas locais.Mudança nos hábitos do usuário e treinamento necessário para acessar desktops remotos, comandar funções e configurações do lado do cliente.
Seleção de sistemaO mecanismo exclusivo de armazenamento de imagens de disco em camadas permite que os usuários escolham e inicializem sistemas totalmente diferentes (como Win10, Win7, Linux) ou variações da mesma camada de imagem de sistema (contendo softwares básicos como Office ou ambientes com software de Engenharia/CAD por exemplo), todos dentro do mesmo sistema de gerenciamento, sem nenhum custo extra. Além disso, podem alternar facilmente para uma versão atualizada do sistema operacional / software ou voltar para uma versão anterior, apenas com uma simples reinicialização.Capacidade limitada de seleções. dependendo do suporte fornecido pelo fornecedor de VDI ou provedor de DaaS. Quanto mais seleções forem oferecidas ao usuário, maior será o custo .
Uso de banda da InternetO uso de sistemas locais em cache evita a necessidade de transferências de rede entre o servidor IDV e o cliente, portanto, toda a largura de banda fica disponível para o acesso do usuário aos conteúdos da Internet. Os sistemas customizados em compliance pela administração de TI e fornecidos através do ambiente Phantosys garantem a segurança adequada.A conexão de banda larga com a Internet é a única maneira de um usuário acessar sua área de trabalho e aplicativos. Portanto, desempenho, segurança e confiabilidade dependem de 2 conexões diferentes, da casa do usuário ao provedor de desktop virtual e, a partir desse ponto, à rede e aos recursos da Internet.
PerformanceAlto desempenho, SEM DELAY em gráficos, streaming de vídeo / áudio. Todos os sistemas e aplicativos de software usam recursos de computação locais, da mesma forma que um sistema desktop independente. A maioria dos PCs/Notebooks modernos possui CPU e placa gráfica potentes, memória RAM com sobra, SSD de alta velocidade, que podem ser usados ​​em sua capacidade total sem quaisquer restrições.O desempenho depende de vários fatores, incluindo recursos do lado do servidor, conexões / latência de rede, protocolo de desktop remoto, etc. Por isso os “pacotes de desempenho” DaaS costumam ser 4-5 vezes mais caros e, ainda assim, insuficientes para muitos aplicativos. Se o usuário tiver um computador de bom desempenho, todo esse poder de processamento local será desperdiçado ao usar desktops remotos.
Uso de periféricosNenhuma mudança na configuração ou uso de quaisquer periféricos, como impressoras, scanners, webcams, dispositivos de áudio ou qualquer outro. Os sistemas Phantosys se conectam a dispositivos locais exatamente da mesma forma que um sistema local.Problemas de compatibilidade para muitos periféricos e aplicativos necessários. Não apenas um desafio para implementar soluções alternativas, mas também sujeito a ser afetado por alterações e atualizações . Para usuários de home office, isso pode ser difícil de gerenciar.
Requisitos de licença específicosExige apenas licenciamento comum por volume porque os sistemas e aplicativos são executados em computadores locais, não em servidores.Os requisitos de licença adicionais podem incluir licenças de acesso aos sistemas desktop remotos, serviços de login seguro, software de comunicação específico para desktop remoto, e assim por diante.
Segurança de redePhantosys pode gerenciar e bloquear a configuração de IP para o computador desde sua inicialização, mesmo antes de um sistema ser selecionado para boot. Os sistemas fornecidos por Phantosys podem ser configurados para usar uma configuração de IP exclusiva para corresponder às políticas de segurança da organização.A configuração de rede do SO local (usado para acessar os desktops remotos) não faz parte do escopo VDI ou DaaS .
Segurança do sistema localOs usuários apenas ligam seus computadores e o sistema virtualizado (gerenciado e seguro) será inicializado tal como um SO local. E, se eles tiverem um sistema pessoal instalado em seu computador, ao ligar eles podem escolher inicializar o SO pessoal ou os sistemas virtualizados fornecidos por Phantosys. Depois que o sistema escolhido está em execução, fica totalmente isolado dos outros sistemas, que permanecem invisíveis e inacessíveis.Ao usar seus computadores em home-office, a maneira de um usuário acessar seu sistema VDI/DaaS é por meio de uma sessão de desktop remoto iniciada a partir do seu sistema operacional local. Ainda existe portanto a necessidade de um sistema operacional local funcional, geralmente não gerenciado pela empresa/escola, o que ainda representa um risco de segurança. E, como seu sistema operacional local ainda está disponível quando o desktop remoto está em execução, a maioria dos usuários continuará a realizar várias tarefas em seu sistema operacional local devido a limitação de desempenho ou compatibilidade de sistemas remotos.
MobilidadeComo os sistemas Phantosys são armazenados em cache em cada Notebook/PC, eles podem ser usados ​​de forma autônoma em qualquer lugar: em casa, na empresa/escola, durante as viagens, não importando se houver conexão com a Internet.A mobilidade depende sempre da disponibilidade de uma conexão confiável com a Internet.
Vazamento de informaçõesPhantosys tem a opção de bloquear portas, Wi-Fi, Bluetooth, discos locais e dispositivos de mídia (como drives USB), para evitar vazamento de dados e contaminação por malware .O acesso a dispositivos locais pode ser bloqueado.
Roubo de dadosMesmo quando os dados são armazenados em um sistema Phantosys ou disco de dados utilizando cache local, como esses conteúdos não são armazenados em um disco/partição regular, eles não podem ser acessados ​​externamente. Isso significa que os dados estão sempre seguros, mesmo se um dispositivo for roubado.Os dados estão no data center ou na nuvem. O usuário só tem acesso de acordo com seus privilégios.
Riscos do lado do servidorMesmo que um servidor Phantosys seja comprometido, isso não afetará os sistemas dos usuários, porque eles usam discos virtuais sincronizados com o armazenamento local de cada computador, que podem ser recuperados instantaneamente em cada computador individualmente, não importando o conteúdo que eles armazenem (SO Windows, SO Linux , ou dados). A segurança básica é suficiente porque os sistemas e dados estão espalhados nos dispositivos clientes.Um grande problema técnico ou ataque aos recursos do lado do servidor pode resultar em uma interrupção grave para qualquer organização que optou por migrar todos os seus sistemas e dados de seus computadores individuais para um site / serviço central. Camadas adicionais de segurança de nível corporativo devem ser incluídas para proteger toda a infraestrutura de desktop, o que aumenta os custos.
Recuperação de clienteOs modos de recuperação manual ou a cada reinicialização estão disponíveis para os discos virtuais Phantosys, e essas opções podem ser gerenciadas no servidor e no cliente. Uma estratégia ideal para home-office é definir o disco do sistema para recuperação automática e o disco de dados para recuperação manual, restaurável para o último snapshot local.Os conceitos de discos persistentes e não persistentes em máquinas virtuais podem ser aplicados, mas os usuários não têm recursos para recuperação sob demanda.
Backup de dadosImagens inteiras de discos podem ser copiadas para o servidor, ou backups de dados podem ser executados por várias opções de aplicativos contidos nos sistemas gerenciados.O backup de dados é automatizado.
Custos totaisA configuração é simples, quase sem alterações para computadores clientes ou infraestrutura, e há opções flexíveis de implantação para atender a diferentes cenários. Um servidor básico ou mesmo um PC comum pode gerenciar centenas de clientes, facilmente agrupados para gerenciar milhares. Com Phantosys, o TCO realmente se trata apenas da assinatura da licença. Sem custos ocultos!Basta olhar para uma proposta de VDI ou DaaS e tentar entender todos os componentes de preços … Uma coisa é clara: qualquer taxa ou assinatura está vinculada a limites (em capacidade de computação, armazenamento e tráfego de rede), o que torna difícil prever os custos reais . A configuração é bastante complexa e requer serviços de alto custo para implantação e manutenção.