Dans cet article je vais vous présenter les avantages à intégrer RES Powerfuse dans un environnement de postes de travail virtuels, et plus particulièrement XenDesktop. Nous verrons que 2 modules de Powerfuse sont très intéressants dans notre cas : la gestion du profil et le module de sécurisation.
Pour faire baisser les couts d'une infrastructure de postes de travail virtuels, beaucoup sont tentés d'utiliser une solution de provisionning mais ceci a des conséquences. En effet le poste est régénéré à chaque redémarrage ou lors de mise a jour de l'image de base soit par un hotfix soit par l'intégration d'un composant applicatif au socle. L'utilisateur perdra alors toutes les données qui ne sont pas stockées dans son profil.
Une autre problématique que j'ai rencontré en clientèle est la nécessité de cloisonner certains postes de travail réservés à des administrateurs/développeurs Offshores externes à la société et basés hors UE. Ce cloisonnement prend alors la forme de restriction tant au niveau des accès réseaux que des applications (y compris intranet ou annuaire par exemple). Powerfuse permet dans le cadre du poste de travail virtuel d'apporter une solution à ces deux problématiques.
En effet, il est tout a fait possible de sauvegarder les données utilisateurs de certaines applications dans ce que Powerfuse appelle le "HomeDrive" et de restaurer ces informations stockées lors du lancement de l'application (et non a l'ouverture de session). Le temps de logon ne se trouve donc pas rallonger, et les données sont disponibles au lancement de l'application. Il permet de rattacher à une application un ensemble de paramètres (imprimantes, mappage réseau, clé de registre, ...). Comme précédemment, ces paramètres ne seront disponibles qu'au lancement de l'application et non lors de l'ouverture de session.
Ce produit permet donc de s'affranchir des problèmes rencontrés avec la gestion classique des profils Windows : Corruptions, lenteurs, écrasement, ...
De plus l'administration de l'image de base de ces postes virtuels s'en trouve facilité puisque les données de cette image et les données applicatives propres de l'utilisateur sont décorrélées.
Citrix a d'ailleurs bien compris ces problématiques de gestion des profils utilisateurs dans un environnement de postes de travail virtuels. Il distribue gratuitement avec les éditions advanced, entreprise et platinum, un outil : Citrix Portable Profile Manager issue du rachat de la solution à Segapo.
Mais Poxerfuse va plus loin et propose d'autres fonctions très utiles. Une autre des fonctionnalités interessantes est le "Subscriber Agent" permettant la remonté dans le poste virtuel d'application du poste client, sans distinction au niveau de l'interface utilisateur que l'application soit installée sur le poste de travail physique ou sur le poste virtuel.
Dans le cas de la nécessité de mettre en place une sécurisation réseau, la mise en place de Firewalls physiques pour cloisonner ces postes s'avère compliqué à mettre en oeuvre :
Il faut alors recenser :
- l'ensemble des services du postes nécessaires à son fonctionnement (Antivirus, télédistribution, service d'inventaire, ...) et ouvrir les routes en fonction.
- l'ensemble des applications nécessitant un accès pour ces utilisateurs et ouvrir les flux en fonction.
A la longue, cette solution s'avère source d'incidents lors d'ajout de serveurs (vers lesquels les routes ne seraient pas ouverte par exemple), et pas forcément flexible (ces utilisateurs Offshore n'ont pas forcément les mêmes besoins en terme d'accès aux applications).
Enfin, en cas d'utilisation de Provisionning Server il est nécessaire de mettre en place un DHCP avec des adresses réseaux qui peuvent donc changer.
Powerfuse propose alors un "firewall" applicatif basé sur le profil de l'utilisateur. Ce firewall ne filtrera donc pas les accès effectués par les services, mais interdira les accès réseaux non préalablement déclarés (fonctionnement par liste blanche). L'outil est très flexible et granulaire car il permet de filtrer ces accès par adresse(s) IP ou nom DNS, port(s) utilisé(s), protocole, process. Puis d'appliquer ces règles en fonction de groupes utilisateurs, noms du poste, critères Active Directory (groupe, OU, ...).
Vous l'avez compris Powerfuse permet en plus de la gestion des problèmes inhérents aux profils Windows classiques de répondre à des besoins de cloisonnement soit vis-à-vis des applications accédées soit vis-à-vis des postes d'une même infrastructures, tout en conservant la flexibilité d'une solution de postes virtualisés.
Responsable d'un contrat de service au forfait portant sur l'exploitation de la banque de détail d'une grande banque francaise.