Jak Microsoft Azure může pomoci při práci na dálku

17.4.2020

Vukašin Terzić

azure

Současná globální situace způsobila potřebu umožnit všem zaměstnancům co nejrychleji začít pracovat na dálku. Taková transformace nemusela představovat problém ve firmách, kde práce na dálku a home office bylo možné využívat i předtím. V jiných případech, kde neexistovala firemní kultura nebo to nebylo možné po technické stránce, to mohlo způsobit ztráty nebo ohrozit zdraví zaměstnanců. Proto bylo nutné rychle přijít s řešením.

Požadavky pro práci na dálku se pro každou společnost mohou lišit, ale dovolím si tvrdit, že to většinou znamená, že uživatelé potřebují bezpečně přistupovat k uživatelským účtům, datům a aplikacím. V případě dlouhodobého pobytu uživatelských stanic mimo firemní síť musíme myslet i na jejich řízení a monitoring. Nesmíme dovolit, aby došlo k vypršení hesel a certifikátů. Stanice je potřeba také aktualizovat, monitorovat a spravovat.

Dnes se podíváme, jak Microsoft Azure může pomoci s přístupem k aplikacím, datům a se vzdálenou správou počítačů. Bezpečně a bez nutnosti velké jednorázové investice.

Každá firma se nachází v jiné fázi cloudifikace. Někdo provozuje všechny služby v Azure, někdo má jen synchronizované identity, a někdo v cloudu nemá nic. Microsoft Azure nám nabízí nástroje dostupné odkudkoliv a já věřím, že ve správném propojení s lokální infrastrukturou se část této mobility dostává i tam.

Uživatelské identity a přístupy

Podle mě všechno začíná identitou. Bez dostupné identitní služby se nemůžeme nikam přihlásit a veškerá další snaha končí. S Microsoft Azure můžeme synchronizovat existující identity z lokálního Active Directory do Azure Active Directory, a vytvořit si tak hybridní identitu dostupnou odkudkoliv. Nejen pro naše zaměstnance, ale i pro business partnery a externí dodavatele. Online identity pak snadno použijeme pro Single Sign On do počítačů a aplikací. Další výhodou Azure Active Directory je například i možnost, aby si uživatelé resetovali vlastní heslo pomocí služby Self Service Password Reset. Synchronizované identity pak snadno použijeme i pro kolaborační nástroje jako jsou Office365, SharePoint a Teams.

A diagram that illustrates how our identity and access environment is hybrid, federated, and cloud-synced.

Vícefaktorová autentizace a podmíněné přístupy

Realita je taková, že při rychlé změně pracovních návyků a přípravě nového prostředí nezbyde čas myslet na bezpečnost. Ale než si uvědomíme, že jsme nechali nevyškolené uživatele přistupovat k internetu a firemním aplikacím z nechráněné sítě a bez firewallů, může být pozdě. Pro zapnutí vícefaktorové autentizace pro účty v Azure Active Directory není potřeba stavět žádnou infrastrukturu a je to otázka několika kliknutí. MFA je pak vyžadováno a jako druhý faktor můžeme zvolit ověření v aplikaci nebo SMS/telefon anebo OATH hardware token. Velice rychle tak zvýšíme bezpečnost a práci útočníkům znesnadníme.

Podle mě MFA funguje skvěle v kombinaci s Conditional Access. Můžeme tak omezit kdo a odkud se k aplikacím může připojovat a kdy vyžadovat nebo nevyžadovat MFA.

Related image

Zajištění přístupů do firemní sítě

Pokud bychom všem uživatelům měli zajistit přístup do firemní sítě, může se stát, že lokální síťová infrastruktura náhlé navýšení provozu nezvládne, anebo že to dokonce ani neumí.

Myslím si, že Azure nám může poskytnout velmi flexibilní a vysoce dostupnou síťovou infrastrukturu. Nezáleží na tom, jestli jen od koncového uživatele do Azure nebo až k nám do lokálního prostředí. Velmi rychle tak můžeme propojit všechny uživatele a lokality ze všech koutů světa pomocí Site-To-Site VPN, Point-To-Site VPN, Network Peeringu, Azure ExpressRoute nebo Azure Virtual WAN. Pro zlepšení dostupnosti souborů můžeme využít i Content Delivery Network.

A picture containing drawing Description automatically generated

Usnadnění přístupů k firemním aplikacím

Co opravdu doporučuji, je kombinace Microsoft Azure s Azure AD. Je to skvělý způsob, jak uživatelům zajistit přístup k aplikacím. Pokud využíváme SaaS aplikace třetích stran, tak k nim pravděpodobně přistupujeme přes internet, a můžeme je používat i při práci z domu. Ovšem pokud bychom tyto aplikace zaregistrovali do Azure AD, zajistíme uživatelům možnost SSO s existující identitou a aplikaci pak můžeme zobrazit na seznamu firemních aplikací.

Stejně tak do Azure AD můžeme přidat aplikaci hostovanou v on-premises prostředí. Tady je potřeba dávat pozor, abychom aplikaci do internetu publikovali především bezpečně. Integrace s Azure AD nám umožní využití Azure MFA a Conditional Access. Pokud pro přístup nechceme stavět složité VPN anebo DMZ, tak před aplikaci můžeme postavit Azure Application Proxy. Zajistíme tak bezpečný přístup k on-premises aplikaci všem zaměstnancům.

A screenshot of a cell phone Description automatically generated

Windows Virtual Desktop

Nastavení počítače a seznam aplikací se liší v každé firmě a na každé pozici. Developer k práci potřebuje jiné aplikace než účetní. Pomocí Azure Windows Virtual Desktop můžeme rychle zajistit přístup k plně virtualizovaným stanicím nebo aplikacím v Azure bez nutnosti připravovat a konfigurovat gateway servery a služby jako jsou Remote Desktop Services. Windows 10 stanice nebo i Windows 7 s prodlouženou podporou můžeme instalovat i z vlastní image, která už obsahuje všechny požadované aplikace. Developer a účetní se tak mohou přihlásit pomocí Azure AD účtu na stanici a získat přístup do celého prostředí, které k práci potřebují. Podle mě je to velmi rychlý a finančně efektivní způsob, jak zajistit kontinuitu práce. Přitom uživatelům nemusíme zajištovat VPN, nebo stavět další infrastrukturu.

Přístup k souborům

Microsoft SaaS služby, jakou jsou SharePoint, OneDrive a Microsoft Teams usnadňují správu a přístup k firemním datům. Pokud máme i data, která skladujeme pouze na lokálních serverech, bude složitější zajistit přistup uživatelům mimo firemní síť. Migrace do SharePoint Online by mohlo být řešení, ale vyžaduje to plánování a velké změny v prostředí. Naštěstí Microsoft Azure nabízí službu Azure Files. Nastavení synchronizace lokálního File Serveru do Azure je velmi jednoduché. Přitom můžeme zachovat strukturu dat, přístupová práva i funkčnost share-dependent aplikací a zároveň umožnit uživatelům přistupovat k souborům odkudkoliv.

Infrastruktura pro nové služby a aplikace

Pokud dokončujete naplánované projekty nebo reagujete na zvýšenou poptávku a potřebujete zajistit nové servery nebo rozšířit infrastrukturu, mohou se vás dotknout současná omezení a nemusí to být snadné. Doba dodání se může prodloužit nebo vám nebude umožněn přístup do datového centra. Microsoft Azure umožnuje rychlé vytvoření jakéhokoliv počtu serverů, sítí, databází nebo disků pro vaše projekty. A nemusíte je tam trvale nechávat. Pokud servery, které již máte objednané nakonec dorazí, všechno z Azure je možné s minimálním výpadkem migrovat do on-premises.

A close up of a sign Description automatically generated

Správa stanic

V situaci, když jsou pracovní stanice dlouhodobě mimo firemní síť, může dojít k vypršení hesel a certifikátů, a uživatelé tak ztratí přístup. Na stanice nebudeme mít možnost doručit nová nastavení a aktualizace. Microsoft Intune je služba, která nám všechny tyto problémy vyřeší. Počítače můžeme spravovat přes internet bez nutností propojení do firemní sítě. Doručíme tak na ně aktualizace i nová nastavení. A jestli pro správu počítačů používáme SCCM, tak existuje i co-management mode, a můžeme tak využívat to nejlepší z obou technologií.

Jak vidíte, Microsoft Azure nám nabízí velké množství nástrojů pro urychlení digitální transformace a umožnění práce na dálku. Nemyslím si, že cesta do cloudu je jediné řešení. Existují i jiná řešení a doporučuji zvážit všechny možnosti. Podle mne, pokud již máte Azure AD tenant a Office365, využití Microsoft Azure může být ten nejrychlejší způsob, jak se se situací vypořádat, a přitom mít jistotu, že to řešení je spolehlivé a bezpečné.