Cosa è meglio per i lavoratori remoti: VDI o VPN?

A causa delle restrizioni che le aziende hanno attuato in risposta ai recenti eventi, la maggior parte degli impiegati nel mondo sta ora lavorando da casa, e i reparti IT si stanno affannando a capire come sostenere il massiccio aumento dei lavoratori da remoto (vedere il post sul blog VMware con suggerimenti per la pianificazione e i primi passi da fare).

Una delle domande che si sono poste ripetutamente è: “In questo scenario di continuità aziendale in cui tutti cercano di lavorare da casa, cosa è meglio? VDI o VPN?” Purtroppo la risposta è complessa. In questo post, verranno analizzate queste opzioni per aiutarvi a fare la vostra scelta.

Che cosa significa “VDI contro VPN”?

La maggior parte degli impiegati oggi usano per il loro lavoro computer basati su Windows, sia che si tratti di computer desktop, computer portatili (che possono essere utilizzati in ufficio, a casa o in viaggio), o desktop remoti/virtuali (sia VDI che RDSH) dove il desktop Windows dell’utente funziona come una macchina virtuale in un data center da qualche parte (sia on-premises che nel cloud). La domanda “VDI contro VPN” significa in realtà: “Quando i miei utenti lavorano da casa, devo fornire un desktop virtuale remoto al quale possono accedere da qualsiasi tipo di dispositivo? (VDI) Oppure, dovrei procurargli un computer portatile che esegue tutto localmente su di esso e poi farli ricollegare all’ufficio attraverso la VPN per accedere ai loro file, applicazioni, ecc.? (VPN)”

Prima di poter rispondere quale sia la soluzione “migliore”, o quale opzione “dovreste” scegliere, pensate a come definire cosa sia “migliore”.

Per esempio, la soluzione migliore è quella che…

• E’ la più veloce da distribuire?
• E’ la più facile da installare?
• E’ la più economica da installare?
• Ha la migliore esperienza utente?
• Funzionerà per la maggior parte degli utenti?
• Fornirà la migliore sicurezza?

Non si può dire “sì” a tutte queste. È come quel vecchio detto commerciale: “Veloce, economico e facile: puoi averne solo due dei tre”.
E’ anche impossibile dire solo VDI o VPN, poiché la risposta per ciascuno potrebbe essere VDI o VPN a seconda della vostra situazione specifica. Al fine di pensare a quale sia più sensato per voi, considerate le seguenti domande:

• Quali applicazioni avete bisogno di supportare? Sono tutte applicazioni web o applicazioni Windows?
• È tutto on-premises, o avete apps in cloud o SaaS?
• Avete già esperienza con la VDI, e avete già fatto questa progettazione? C’è un ambiente VDI già funzionante che potete espandere?
• Avete già esperienza nella gestione di laptop Windows remoti (al di fuori del firewall) e avete già fatto questa ingegnerizzazione?
• I vostri utenti hanno già dei portatili che porteranno a casa o bisognerà trovare nuovi dispositivi? (Se nuovi, li fornirete voi o gli utenti?)
• Come gestite i computer portatili oggi? Legacy SCCM, AD e GPO? O con una moderna piattaforma unified endpoint management basata sul cloud?
• Avete già una VPN? Avete abbastanza licenze per tutti i vostri utenti remoti?
• Avete abbastanza larghezza di banda per i vostri utenti remoti? Avete pensato a come cambieranno le vostre esigenze di larghezza di banda? (ad esempio, se la VDI era solo interna, ma ora verrà utilizzata per i lavoratori da remoto, potete supportare tutto questo aumento del traffico internet aziendale?)
• Ci sono cose “facili” da fare per liberare la larghezza di banda Internet aziendale? (ad es. abilitare lo split tunneling per gli utenti VPN).
• I vostri “altri” componenti dell’infrastruttura funzionano meglio con un’opzione rispetto all’altra?
• Ci sono requisiti normativi che dettano determinate decisioni tecnologiche? (ad esempio, una normativa che stabilisce che i dati dei clienti non possono essere memorizzati localmente su un dispositivo, ecc.)

Si può scoprire che si finisce per avere un mix di entrambe le cose. Ci potrebbero essere alcuni utenti o luoghi in cui il percorso VDI ha più senso e altri in cui l’opzione VPN è migliore.

Uso della VDI per i lavoratori remoti

In primo luogo, la frase “VDI” ha tradizionalmente descritto uno scenario in cui un utente accede da remoto ad un desktop basato su Windows 10 che gira come VM su un server nel vostro datacenter. Tuttavia, ai fini di questa conversazione, dovremmo ampliare la nostra definizione di VDI per includere qualsiasi scenario in cui un utente si connette a un desktop Windows da un dispositivo client casuale. Quindi, oltre alla VDI tradizionale, potrebbero anche esserci le tecnologie VDI o RDSH in esecuzione nel cloud che si pagano come servizio (DaaS, Microsoft WVD, ecc.).

Le tecnologie VDI hanno diverse caratteristiche interessanti (si noti che sono stati scritti interi libri su questo, quindi ne sto solo evidenziando selettivamente alcune che sono più rilevanti):

• Non importa che tipo di dispositivo abbia l’utente a casa. Può essere un moderno computer Windows, un tower di dieci anni trovato nel seminterrato, un iPad, il Chromebook del figlio, un vecchio MacBook, ecc.
• Per connettersi a un desktop VDI non è necessaria alcuna competenza “informatica” a casa dell’utente. Basta indicargli una pagina web e fargli fare il login, e potrà accedere al suo desktop aziendale Windows completo in pochi minuti.
• Sicurezza “integrata”, poiché tutte le applicazioni e i dati rimangono sui server in ufficio o nel cloud, quindi non dovete preoccuparvi di ciò che potrebbe essere salvato sul dispositivo di casa di un utente, il che significa che non dovete preoccuparvi di cosa possa essere perso o rubato, ecc.

Anche la VDI ha alcuni svantaggi:

• Ingegnerizzare e costruire un ambiente VDI è complesso. Se attualmente non si dispone di VDI, sarà necessario ricorrere agli esperti giusti per aiutarvi a progettare, e questo potrebbe richiedere troppo tempo.
• I vostri utenti da casa avranno bisogno di connessioni internet decenti per poter lavorare.
• La VDI richiede più larghezza di banda e potenza di server per i display più grandi e i monitor multipli. Gli utenti che normalmente lavorano in questo modo potrebbero avere un’esperienza peggiore attraverso la VDI.
• Non tutte le applicazioni funzionano bene attraverso la connessione remota del desktop VDI. Le applicazioni per audio/video-conferenze sono notoriamente impegnative per la VDI e, ironia della sorte, questi sono i tipi di applicazioni più utilizzati dai dipendenti che lavorano da casa (anche se gli utenti esperti di tecnologia possono partecipare alle riunioni dai loro iPhone o iPad e non attraverso i loro desktop VDI di Windows).
• Se avete già la VDI che usate dal vostro ufficio (evviva!), e poi pensate: “Fantastico, ora lo userò per gli utenti da casa”, potreste incorrere in limitazioni di larghezza di banda con la connessione internet del vostro ufficio aziendale.
• La VDI può essere costosa perché è necessario tutto l’hardware del server per eseguire tutti i desktop degli utenti. Quindi, se avete già comprato dei portatili per gli utenti, ma poi loro usano quei portatili per accedere alla VDI, è come se pagaste due volte per ogni desktop.

Utilizzo di una VPN per i lavoratori remoti

L’opzione “VPN” significa essenzialmente che gli utenti utilizzano i normali computer portatili a casa, e le applicazioni che utilizzano sono installate localmente su questi portatili. Poi per le cose di cui hanno bisogno dall’ufficio (file sharing, sistemi aziendali e database, ecc.) si collegano alla VPN per accedere alla rete aziendale.

Anche in questo caso, ci sono molti aspetti interessanti, tra cui:

• Se i vostri utenti hanno già dei portatili aziendali, in sostanza non dovete “fare” nulla. Basta dire ai vostri utenti di portare i loro portatili a casa e iniziare a lavorare.
• Questa opzione non richiede molte impostazioni o acquisti di back end (per esempio, non avete bisogno di costosi server VDI o di pagare più di 30 dollari al mese per ogni utente per il DaaS). Tutto il “lavoro” viene svolto sui portatili.

Ci sono anche alcuni aspetti negativi dell’opzione VPN:

• Dal momento che tutte le vostre applicazioni verranno eseguite localmente su un laptop a casa di un utente, dovete capire come fare ad installarle e come tenerle aggiornate.
• Che cosa succede se il portatile dell’utente è troppo vecchio e non può eseguire tutte le applicazioni? E se si tratta di un Mac?
• Qualsiasi dato o file con cui l’utente lavora sarà copiato localmente sul suo computer di casa. Sei d’accordo?
• Una VPN mette il laptop dell’utente sulla rete aziendale, anche se è a casa. Che cosa significa questo per Patch Tuesday, dove si potrebbe avere la propria infrastruttura di distribuzione del software (WSUS, server di distribuzione, BranchCache, P2P, ecc)? La vostra VPN e il vostro internet aziendale saranno in grado di gestire tutte le patch che passano attraverso la rete aziendale verso i vostri utenti? Gli utenti non su VPN riceveranno anche gli aggiornamenti?
• Per gli utenti che non hanno computer portatili aziendali, può essere molto impegnativo far funzionare un computer portatile nuovo di zecca con tutto installato e configurato quando l’utente è al 100% a casa e il portatile non è mai arrivato in ufficio.
• Se avete bisogno di procurarvi nuovi laptop per i vostri utenti, la vostra immagine esistente del disco di  Windows funzionerà per loro? Quanto tempo e effort sarà necessario? E cosa succede se tutti i vostri utenti si ritrovano con marche e modelli diversi? Sarete mai in grado di far installare e far funzionare tutto in remoto?

Detto questo, possiamo fare le seguenti asserzioni.

Ad esempio, l’affermazione che è difficile configurare un nuovo laptop da remoto è vera solo se si utilizzano strumenti PCLM legacy (Microsoft SCCM, GPO, on-prem AD, VPN, ecc.). Se si dispone di una moderna piattaforma di gestione (VMware Workspace ONE, ecc.), è possibile sfruttare le moderne capacità di Windows 10 basate sul cloud per consentire agli utenti di effettuare facilmente il  self-enroll dei propri laptop, anche quelli nuovi acquistati nei negozi locali dagli utenti. I laptop automaticamente scaricano, si configurano e si mantengono aggiornati e sicuri, il tutto tramite cloud.

È fantastico! Ma è necessario aver già fatto il lavoro di progettazione e di configurazione per facilitare tutto questo. Quindi, se state eseguendo la migrazione, o se è già stata eseguita, della gestione fisica del vostro PC Windows 10 su Workspace ONE UEM, allora potete usare questo, e siete pronti.

Ma se avete ancora l’SCCM e niente di moderno, allora non c’è davvero alcun modo in cui potete usare quello che avete per integrare i vari computer che si trovano nelle case delle persone. (Alcuni clienti stanno configurando ora nuovi ambienti di Workspace ONE UEM basati su SaaS per integrare  nuovi computer portatili Windows 10 e Mac remoti, mantenendo il vecchio ambiente SCCM per tutti i loro portatili esistenti che lo utilizzano).

E gli utenti che non hanno computer a casa?

Molti impiegati non hanno computer portatili aziendali, quindi se questi lavoratori hanno bisogno di lavorare da casa, bisogna pensare a quali opzioni scegliere:

• Compri loro un dispositivo e glielo spedisci a casa.
• Dite loro di usare qualsiasi computer che hanno già.
• Dite loro di andare su Amazon, Walmart, ecc. e di comprare un nuovo computer portatile.
• Dite loro di usare il loro telefono o tablet.

Allora, cosa scegliere?

L’argomento più importante per decidere se scegliere la VDI o la VPN, secondo me, è: “Quale opzione tecnologica ti è più comoda? Dove hai speso il maggior effort?”

Sia un desktop VDI che un portatile fisico richiedono molta ingegneria per funzionare. Con la VDI, bisogna pensare ai server, agli IOPS, alle immagini disco, al layering delle applicazioni, alla stampa, ai profili utente, ai tempi di login, al numero di monitor, alle GPU, ai pixel e alla larghezza di banda, agli aggiornamenti dei client, ecc. Su questo sono stati scritti interi libri e le persone (come me!) dedicano decenni della loro vita a capire tutto questo.

Ma lo stesso vale per i portatili Windows che si connettono tramite l’opzione VPN. Gli architetti desktop passano mesi o anni a progettare l’immagine, a pensare a come le applicazioni vengono installate e configurate, a come impostare tutti gli strumenti di sicurezza, la crittografia del disco, il monitoraggio, le patch del software e gli aggiornamenti, i tunnel VPN e molte altre cose.

Quindi, la mia breve risposta sarebbe: “Bisognerebbe scegliere la soluzione con cui ci si sente più a proprio agio”. Se non avete mai fatto VDI prima d’ora, a meno che non riusciate a trovare un ottimo partner di consulenza, non sarebbe facile consigliare di entrare in VDI in una sorta di emergenza.

Lo stesso vale per le VPN e i computer portatili. Se la vostra unica esperienza nella gestione di dispositivi Windows si basa su quelli che si trovano nel vostro ufficio, allora la gestione di laptop remoti sarà piuttosto stressante date le sfide create dalla quarantena.

Fonte: VMware