Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.


IT management

Aankondiging VMware op EUC-gebied

Nieuwsgierig naar de laatste aankondigingen vanuit VMware?

VMware Horizon 7
Afgelopen woensdag (10 februari) kondigde VMware in Europa via een online event de nieuwste ontwikkelingen aan op het gebied van End User Computing (EUC). Deze aankondiging was al weken het onderwerp van gesprek op diverse sociale media, omdat VMware bekend staat om zijn voortvarendheid.

De verwachtingen zijn meer dan waar gemaakt, de nieuwe VMware Horizon omvat veel verbeteringen en zal de manier van werken totaal veranderen. Laten we bij het begin beginnen; dit is er in hoofdlijnen aangekondigd:

  • VMware instant clones
  • VMware Blast Extreme
  • VMware UEM 9
  • Certificate based authentication
  • DMZ based authentication met Access points
  • AMD multiuser support voor vDGA
  • Intel vDGA support
  • URL content redirection
  • Flash redirection (Tech preview)
  • App volumes 3.0

Indien we alleen al naar de eerste vijf punten kijken, dan wordt direct duidelijk dat dit een grote aankondiging is. Ik neem u hieronder mee in wat deze ontwikkelingen voor u kunnen betekenen.

VMware instant clones
Een aantal jaren terug heeft VMware project Fargo aangekondigd, dit was tijdens VMworld 2014. U kunt dit hier nalezen. Project Fargo is nu verder ontwikkeld tot instant clones. De functionaliteit was reeds in VMware vSphere 6 aanwezig, maar nog niet voor de VDI-omgeving beschikbaar. Het concept betreft Forking, in-memory cloning van een virtuele machine waarbij het geheugen en de harde schijf van de virtuele machine gebruikt worden voor een nieuwe virtuele machine. Klinkt ingewikkeld, maar het komt er op neer dat er heel snel, in luttele seconden, een kopie gemaakt kan worden van een virtuele machine.

Waarom is dit belangrijk? U VDI-omgeving bestaat uit een x aantal desktops. Om er voor te zorgen dat er in de ochtend voldoende aanwezig zijn worden er op voorhand 100, 200 klaargezet. Medewerkers die komen werken maken gebruik van deze desktops, zijn er te weinig dan worden er meer uitgerold. Dit uitrollen kost tijd vanwege het proces dat dit uitvoert.

Overdag komen er virus scanner updates uit maar die kunt u niet toepassen op de desktops omdat de desktop pool hiervoor moet worden aangepast (virus scanner updates is maar 1 voorbeeld). Met instant clones is er geen desktop pool uitgerold en is er slechts een enkele virtuele machine die als basis zal dienen, het golden image.

Zodra een medewerkers een desktop aanvraagt wordt deze op basis van deze virtuele machine, het golden image, gebouwd. medewerkers twee komt binnen, exact hetzelfde vindt plaats. U installeert een virus scanner update en alle medewerkers die hierna een desktop aanvragen krijgen deze op basis van de virtuele machine+virus scanner update. De desktop pool is dus flexibel geworden en elke desktop wordt opgebouwd met het image dat er op dat moment is.

Bij het afmelden van een desktop wordt de desktop niet meer ge-refresht maar vernietigt. De volgende aanvraag maakt namelijk wederom gebruik van dat ene golden image dat u constant kunt bijwerken. VDI desktop beheer eenvoudig, u gebruiker altijd voorzien van de laatste software en updates. Mooier kunnen we het niet maken, makkelijker eigenlijk ook niet.

Blast Extreme
VMware gebruikt voor de ontsluiting naar de VDI desktops en applicaties protocollen, die mogelijk wordt geboden om of RDP of PCoIP of Blast te gebruiken. De eerste twee zijn protocollen waarbij een cliënt nodig is en Blast is het HTML5 protocol, clientless.

Vanaf Horizon 7 is Er Blast Extreme, dit protocol is zover door ontwikkeld dat het zoals dat in het Engels heet “Feature-parity” heeft met PCoIP. In goed Nederlands zeggen we dan, het heeft dezelfde functionaliteit als PCoIP.

Waarom is dit een belangrijke aankondiging? PCoIP is geen protocol waarbij een cliënt nodig is, een stukje software op de werkplek om de verbinding te kunnen maken. Dit beperkt de flexibiliteit met werkplekken omdat het voor VMware niet mogelijk is te garanderen dat de software voor alle platformen altijd identiek werkt. PCoIP is namelijk een protocol van Terradici en VMware ontwikkeld al een tijdje in een eigen versie ervan.

Door in te zetten om Blast Extreme heeft VMware een eigen, cliënt onafhankelijk protocol in handen waarmee ze elk platform kunnen ondersteunen. De enige eis aan een werkplek is dat de browser HTML5 moet ondersteunen. U medewerkers kunnen met Blust Extreme vanaf elke werkplek wereldwijd werken, geen rare VPN tunneltjes of andere trucages om remote werken mogelijk te maken, web-based werken met alle functionaliteit is mogelijk.

Blast Extreme gaat daarnaast voor de externe verbinding een poort delen met PCoIP zodat er vanuit de access points minder poorten open gezet dienen te worden. Samen met gebruik van de Access Points scheelt dat drie tot vier poorten t.o.v. eerdere versie, een goede ontwikkeling.

VMware UEM 9
VMware heeft een jaar geleden het Nederlandse Immidio overgenomen, het zal u niet zijn ontgaan…

Initieel is vooral gewerkt aan het integreren van de software met de VMware producten maar met versie 9 zijn er naast de integratie ook nieuwe ontwikkelingen te melden. De belangrijkste verbetering zijn;

  • Applicatie security
  • PcoIP policies
  • Folder redirection
  • Integratie met ThinApp
  • Condities
  • Applicatie security

User environment Management is voor PQR en u als onze klant gesneden koek, we doen dit al jaren en weten waarom het nuttig en krachtig is. Voor VMware, Citrix en Microsoft is het niet zo gesneden koek, daar werd vooral gedacht in profiel management, totaal iets anders. VMware heeft dit ingezien en daarom Immidio gekocht. Vergeleken met RES en Appsense had Immidio wel een probleem, vanwege het ontbreken van een security module,kon niet afdwingen wie welke applicatie mocht starten.

Met de aankondiging van UEM 9 in Horizon 7 is dat verleden tijd, de security module is aanwezig in UEM. Standaard, nadat de module is aangezet, zijn alleen de programma’s in de program folder en in Windows toegankelijk. Met specifieke configuratie kunnen ook die verder worden beperkt zodat op basis van context kan worden bepaalde wie welke applicatie mag starten en zien. Dit zorgt er direct voor dat VMware een serieuze speler is op de UEM markt en vooral omdat het gebundeld zit in licenties die u toch al koopt.

PCoIP policies
Voorheen waren policies van PCoIP alleen via het View management console te regelen, globaal of per pool. Vanaf nu zijn deze policies vanuit UEM te beheren, policies op basis van context van. de gebruiker exact zoals u verwacht van een dynamische desktopomgeving.

Policies die u kunt beheren zijn;

  • USB Redirection
  • Printing
  • PCoIP profile (bandbreedte)
  • Clipboard
  • Client drive redirection
  • Folder redirection

Vanaf versie 9 is het mogelijk om folder redirection met UEM op basis van de gebruikerscontext aan te bieden. Dit was een functionaliteit die nog niet geboden werd in de eerdere versies. Natuurlijk kunt u dit met GPO’s doen maar een GPO is niet context-aware en past zich niet aan zodra de gebruiker van werkplek wisselt.

ThinApp integratie
ThinApp integratie hoor ik u denken, ik heb geen ThinApp update voorbij zien komen. Thinapp is enige tijd terug ge-update, de functionaliteit die nu wordt aangekondigd zat in die release maar was nog niet beschikbaar.

Met Horizon 7 en UEM 9 kunt u alle UEM gerelateerde zaken binnen een ThinApp package volledig beheren. U hoeft hierbij geen rare scripts of zaken te regelen het werkt direct. UEM zaken waaraan u moet denken zijn drive mappings, user settings enzovoorts, het enige dat een vereiste is, is dat het package de laatste Thinapp versie is.

Condities
VMware UEM 9 heeft een aantal condities toegevoegd waardoor u meer mogelijkheden heeft om de context van de gebruiker te bepalen. een belangrijke hierin is her gebruik van de vluchtige variable omgeving die VDI geeft. Mogelijk heeft u als een gekeken wat er allemaal tijdelijk als variabele wordt aangeboden (u kunt dit zien via de command prompt) maar deze gegevens kunt u nu gebruik binnen u UEM omgeving

Certificate based authentication
Iedereen die zich aanmeld op een desktop doet dit met een gebruikersnaam, een password en soms met een extra token. Het probleem hierbij is dat elke communicatie altijd maar tussen twee punten plaats vindt en dus niet optimaal te beveiligen is. een wachtwoord is sowieso niet veilig omdat veel wachtwoorden redelijk eenvoudig te herleiden dan wel te hacken zijn.

VMware heeft met Horizon 7 een oplossing voor dit probleem, de samenwerking en intergratie met Airwatch komt hier om de hoek kijken. VMware biedt Certificate based authentication, een moeilijk klinkende term die ik ga proberen simpel uit te leggen. VMware gebruikt hierbij Identity manager.

Een gebruiker authentiseert zich tegen de identity manager

  • Via RADIUS, SecureID of Biometrische authenticate wordt de gebruiker geautoriseerd
  • Een gebruiker kan nu een desktop of een applicatie selecte
  • De desktop of applicatie wordt nu gestart met de hiervoor vastgesteld identiteit van de gebruiker
  • De connection broker valideert de gebruiker met de identity manager

En dan komt het mooie….

  • Een tijdelijk certificaat wordt aangevraagd bij de interne Certificate Authority (CA)
  • Dit certificaat wordt aan de Windows desktop gepresenteerd om in te loggen
  • De sessie wordt nu op basis van dit certificaat vanaf de medewerkers zijn werkplek geïnitieerd.
  • en de gebruiker is aangemeld zonder dat zijn gegevens het netwerk over en weer gaan. Alles op basis van een certificaat.

Access Point
Het laatste in deze blog; de Access point. Zoals u wellicht weet heeft VMware afgelopen jaar een vervanger voor de security server uitgebracht. Access point is een hardened Linux appliance die stateless in het DMZ draait.

Vanaf Horizon 7 is het authenticeren, wat voorheen in het LAN plaats vond via de connectie server aangepast. Authenticatie van de gebruiker op basis van RADIUS en RSA SecureID kan vanaf Horizon 7 in het DMZ worden afgehandeld. Dit was een groot minpunt van vorige versies maar is nu verleden tijd. Authenticatie vindt plaats waar het plaats moet vinden, in het DMZ.

Rob Beekmans
Senior Consultant PQR

Meer berichten

De ideale locatie voor een bedrijfsuitje; 10 inspirerende…

Veiligheidsimplicaties van Zwermintelligentie in IT…

Redenen waarom datavernietiging door een gecertificeerde…

1 van 1.528