DaaS – Der moderne, flexible Arbeitsplatz von «Überall»
Was ist DaaS?
Mit einer virtuellen Desktop-Infrastruktur (VDI) stellt der Kanton Luzern «Desktops as a Service» (DaaS) zur Verfügung, welche auf einer zentralen Server-Infrastruktur in den Rechenzentren des Kantons betrieben werden. Damit kann von einem beliebigen Endgerät mit Internet- oder Netzwerkverbindung ein vollwertiger virtueller Arbeitsplatz gestartet und verwendet werden.
Warum VDI beim Kanton Luzern?
Mit dem Projekt «Einführung VDI» werden verschiedene Zielsetzungen angegangen:
Dazu zählt die Reduktion von Supportkosten für Endbenutzerinnen und Endbenutzer, die vereinfachte Verwaltung von Endgeräten an entfernten Standorten, die Verbesserung der Daten- und Anwendungssicherheit sowie die Unterstützung neuer Arbeitsweisen wie BYOD (Bring your own Device) und HomeOffice.
Die Verwendung von VDI stiftet folgenden Nutzen:
- Aus betrieblicher Sicht kann nahezu die gesamte Administration der Arbeitsgeräte zentralisiert werden: Updates müssen nicht mehr auf hunderten Geräten, sondern nur noch auf wenigen sogenannten Images durchgeführt werden.
- Die Prozesse für die Bereitstellung eines Desktops lassen sich in hohem Masse automatisieren.
- Skalierbarkeit: Bei Bedarf können innert kürzester Zeit hunderte von virtuellen Desktops bereitgestellt werden.
- VDI unterstützt den Mobil- und Remote-Zugriff. Der standardisierte Desktop kann überall von nahezu jedem Endgerät aufgerufen werden.
- Für temporäre und externe Mitarbeitende müssen keine physischen Geräte mehr beschafft und unterhalten werden.
- Die eingesetzten Prozessoren und der verwendete SSD Storage sowie die zur Verfügung gestellte Memory-Kapazität ermöglichen eine hohe Systemperformance. Auch grafisch anspruchsvolle Anwendungen bieten so ein positives Benutzererlebnis.
- Durch den dedizierten virtuellen Windows 10 Arbeitsplatz werden Anwendungen und Einstellungen flexibel pro Benutzer, analog einem physischen Arbeitsplatz vorgenommen.
- Sicherheitstechnisch kann der Zugriff auf die Kantonsdaten von nicht kantonal betriebenen Endgeräten (BYOD) gewährleistet werden: Programme und Daten verbleiben dabei immer in den kantonalen Rechenzentren.
- LifeCycle und Ablösung der bestehenden Terminal Services mit Virtual Desktops.
HCI als zentrale Server-Infrastruktur
Für den Betrieb der virtuellen Desktops wird eine dedizierte Hyper Converged Infrastructure (HCI) eingesetzt.
Hyperkonvergente Infrastrukturen (HCI) kombinieren gängige Rechenzentrum-Hardware unter Verwendung lokal angebundener Speicherressourcen mit intelligenter Software zu flexiblen Bausteinen. Diese Bausteine ersetzen traditionelle Infrastrukturen, die aus separaten Servern, Speichernetzwerken und Speicherarrays bestehen.
HCI vereint den gesamten Stack des Rechenzentrums, einschliesslich Rechenleistung, Speicher, Speichernetzwerk und Virtualisierung.
Vorteile
- Schlüsselfertige Infrastruktur
- Schnelle Bereitstellung
- Skalierbarkeit
- Performance
- Verfügbarkeit
- Zentrales Management
Die HCI-Umgebung vereint die klassische Hypervisor-Umgebung mit einer Software Defined Storage-Lösung. Die Administration wird in hohem Masse vereinfacht und ist für alle Komponenten (Hypervisor, Storage, VMs) über eine zentrale Administrationsoberfläche verwaltbar. Einsatz von GPUs ist in dieser Lösung ebenfalls möglich. Die Erweiterbarkeit der HCI Infrastruktur ist ebenfalls kostenneutral im Vergleich zu Legacy Lösungen.
Mit dieser dedizierten Infrastruktur für die VDI-Lösung wird zudem eine physische Trennung der virtuellen Clients zu den Server- und Storage-Datensystemen erreicht.
Sicherheitskonzept
Die VDI-Lösung bietet mit verschiedenen Mitteln die Möglichkeit, die Informatiksicherheitsverordnung umzusetzen. Diese Regeln können auf verschiedene Endgeräte oder auch Benutzergruppen angewendet werden. Sicherheitsrelevante Zugriffe können zentral gesperrt oder auch mit Ausnahmen genehmigt werden. Der Datenabfluss kann mittels Unterbindung (z.B. «Copy&Paste» oder «Client Drive Redirecting») oder Zugriff auf Drucker eingeschränkt werden. Ferner trägt der Einsatz von modernen Verschlüsselungsprotokollen, Geo-IP und IP-Reputation-Listen auf den Gateways zur Erhöhung der Sicherheit bei. Mit diesen Massnahmen können der Einsatz der VDI-Lösung und der Zugriff auf interne Applikationen auf einem hohen Sicherheitsniveau garantiert werden.
Das eingesetzte zentrale Logging kann bei Störungen oder auch im Falle eines Angriffs auf die Infrastruktur helfen, Fehlerquellen zu finden, zu identifizieren und zu beheben.
Mittels Zonierung wird im Netzwerk sichergestellt, dass keine unbefugten Zugriffe auf einzelne Infrastrukturkomponenten möglich sind. Zugriffe der Benutzerinnen und Benutzer werden intern wie externüber die Web Application Firewall authentifiziert und mittels SAML-Protokoll am Gateway über Gruppen autorisiert. Bei externen Zugriffen erfolgt zusätzlich zur Prüfung von Benutzername und Passwort eine 2-Faktor-Authentifizierung.