零信任和安全远程访问服务用于RDS环境
了解零信任原则如何转变安全的远程访问服务,以支持远程桌面服务(RDS)。学习最佳实践、挑战以及RDS-Tools如何通过零信任解决方案帮助保护远程工作。
)
)
称重VDI 针对RDP和RDS 实际上就是在决定每个虚拟机隔离(VDI)和多会话效率(RDS)之间。对于许多中小型企业和中型市场团队来说,降低总拥有成本(TCO)和提高安全性的最快途径是保留RDS,同时增加有针对性的控制。以下是一组决策和实施必要保护的基石,例如安全加固、监控、警报、无障碍打印和紧密的远程支持循环。
您想快速回顾一下VDI、RDP、RDS吗?
- 简要描述
- 使用的好处
简要描述:
VDI 虚拟桌面基础设施 为每个用户在您的数据中心或云中运行一个完整的桌面作为一个隔离的虚拟机,由一个平台进行管理。它在严格隔离、混合操作系统镜像和GPU密集型应用方面表现出色,但运行成本更高且更复杂(镜像、存储、代理)。
RDP(远程桌面协议) 它本身是传输而不是完整的平台或代理。它是微软远程显示协议,负责在客户端和Windows主机之间传输键盘/鼠标和屏幕。值得注意的是,它被RDS(以及许多其他工具)使用。
RDS(远程桌面服务) 发布多会话的Windows应用程序或桌面 会话主机 超过 RDP 它最大限度地提高了 Windows 工作负载的密度和简便性,并且配备合适的安全工具,可以以更低的拥有总成本 (TCO) 满足大多数中小企业和中型市场的需求。
好处和用途:
选择VDI时: 您需要每用户隔离、非Windows镜像、高安全性分段或大规模GPU组。
选择 RDS 时: 大多数用户运行Windows应用程序,您希望实现更高的用户密度和更简单的操作。此外,当您可以通过网关和多因素身份验证等加固措施以及添加监控控制来满足安全性和合规性时,请选择它。
步骤 1:您将如何定义您的需求?
在讨论成本之前,您需要明确一些问题,包括所需的基础设施、与您的领域和业务相关的偏好、安全性和数据保护的程度以及其他具体细节,以便更好地比较和选择VDI和RDS。
- 用户与并发: 任务工作者与知识工作者。您在某一时刻在线用户的最高百分比应该是多少?
- 数据与合规性: 数据是否需要保留在服务器上?您的管辖范围限制是什么?
- 应用程序: 您的公司使用哪些应用程序?您的用户远程访问哪些应用程序,因此需要保护?例如,Office/SaaS 与传统的 Win32…打印工作流程或任何外设呢?
- 网络: 用户“坐”在哪里?延迟、数据包丢失和其他瓶颈在哪里被预期或被认为是关键的?什么时候?
- 特殊群体: 您是否有需要高性能 GPU 或独立软件供应商认证应用程序的工程师、设计师或其他人员?
步骤 2:您可能实际使用的成本模型是什么?
- 创建成本模型计算器
- 你的眼睛看到那些缩写时跳出来了吗?
- 帮助您创建TCO计算器的表格
创建成本模型计算器
使用我们的表格在Excel中创建计算器,并用您自己的数据更新:Windows Server/RDS CALs、会话主机数量、年份、支持百分比以及任何VDI/DaaS费率。它提供了计算第一年资本支出、年度运营支出、三年总拥有成本和三种选项的净现值的指引。
1) RDS (本地),
2) RDS + RDS-Tools,
3) VDI.
你的眼睛看到那些缩写时跳出来了吗?
或者您只是想要一个提醒?例如,总拥有成本(TCO)。在这里,它是,以及计算器如何应用。
资本支出 = Capital Expenditure
您花费的钱 前期 在长期资产上。在IT中,这些是您购买的。 大写 在资产负债表上并在多年内折旧。
-
在这种情况下的示例:
- 购买与服务器绑定的Windows Server许可证
- 购买永久许可证 RDS高级安全 许可证(一次性,每台服务器)
- 购买物理服务器、存储、GPU
- 会计心情: 今天现金,费用分摊到时间上(折旧/摊销)。
OpEx = 运营支出
重复
日常运营服务的成本。这些影响到
收入报表
在您消费它们的期间。
-
在这种情况下的示例:
- 软件的月度/年度支持与维护
- RDS-Tools 远程支持按每个并发连接每月计费
- VDI/DaaS 每用户平台费用,存储/IO,GPU小时
- 云出口,监控订阅,MFA/IdP 用户费用
- 会计模式:较小的经常性和持续性支出(没有折旧或摊销)。
快速比较
| 支出关系 | 资本支出 | 运营支出 |
|---|---|---|
| 时间 | 预付 | 持续(每月/每年) |
| 会计 | 大写; 报废 | 立即报销 |
| 现金流 | 更大的峰值 | 更顺畅,可预测 |
| 典型项目 | 永久许可证,硬件 | 订阅,支持,云使用 |
| 在我们的表格中 | “第一年资本支出”单元格 | “第一年 / 第二至第三年运营支出”单元格 |
这对您的决定有什么重要性?
- RDS + RDS-Tools 往往偏向于更多一些 资本支出 (适度的永久每服务器许可证) 运营支出 (支持,远程支持席位)。
- VDI/DaaS 通常更重 运营支出 (每用户/月 + 基础设施),更轻的资本支出。
现实检查:确切的处理方式可能因您的会计政策而异(例如,资本化阈值,国际财务报告准则/一般公认会计原则)。在规划时,请考虑 CAPEX = 一次性 ; OPEX = 订阅/使用 .
帮助您创建TCO计算器的项目和表格:
输入
这里是我们认为此计算所需数据的示例:
一般假设 (示例 - 修改为您的统计数据)
用户数量 - 100
峰值并发 (%) - 70
RDS会话主机服务器数量 - 3
分析视野(年) - 3
年度支持(如适用)- 20%
折扣率(净现值(NPV))- 8%
RDS 基础 编辑您的许可证
Windows Server 许可证每台服务器 (CAPEX) - 0
RDS CAL 每用户 (CAPEX) - 0
RD网关 / Broker HA (CAPEX) - 0
每用户每月的 MFA / IdP 成本(运营支出) - 0
RDS ‑ 工具 基本默认值来自 我们的网站 - 根据您的要求进行编辑。
RDS Tools 高级安全版每台服务器价格(资本支出) - 180$
RDS Tools 服务器监控每台服务器的价格(资本支出) - 110$
比例更新和支持(OPEX) - 108.5$
远程支持年度 - 96$
- 每个并发连接每月的远程支持价格(运营支出) - 8$
- 远程支持并发连接数量 - 1
VDI (示例占位符 - 用您的提供商的数字替换)
每用户每月VDI平台许可证(运营支出)- 25美元
每用户每月存储和基础设施(运营支出) - 15美元
每个GPU用户每月的GPU高级费用(运营支出) - 50美元
需要GPU的用户 - 10%
图像管理与运营每年的人力成本(OPEX) - 30000$
总结
| 公制 | RDS(本地) | RDS + RDS‑Tools | VDI |
|---|---|---|---|
| RDS(本地) | |||
| RDS + RDS‑Tools | |||
| VDI | |||
| 第一年资本支出 | |||
| 决策分数(越高越好) | |||
| 加权得分 |
RDS
以下是可能影响您决策并为您提供可比值的项目:
用户
并发
服务器
年
- RDS Native 根据您持有的许可证进行编辑
每台服务器的 Windows Server(资本支出)
每用户RDS CAL(资本支出)
RD GW/经纪人 HA (资本支出)
每用户每月多因素认证(OPEX)
第一年资本支出(本地)
第一年运营支出(本地)
每年 2 3 OPEX(本地)
3年总拥有成本(本地)
NPV 3年(本地)
- RDS + RDS Tools (根据需要完整数据)
高级安全资本支出
服务器监控资本支出
远程支持运营支出(每年)
RDS 更新与支持运营支出(每年)
第一年资本支出(RDS + Tools)
第一年运营支出(RDS + Tools)
每年 2 3 OPEX(RDS + Tools)
3年总拥有成本(RDS + Tools)
NPV 3年(RDS + Tools)
VDI
这里与之相似 VDI 这可能在表格中看起来像这样:
| 项目 | 值 |
|---|---|
| 用户 | 0 |
| 年 | 0 |
| 每用户每月VDI平台 | 0 |
| 每用户每月基础设施 | 0 |
| 每个 GPU 用户每月的 GPU 费用 | 0 |
| % GPU 用户 | 0 |
| 每年图像管理与操作 | 0 |
| 第一年资本支出(VDI) 第一年运营支出(VDI) | 0 |
| 每年 2-3 年的运营支出(VDI) | 0 |
| 3年总拥有成本(VDI) | 0 |
| NPV 3年(VDI) | 0 |
决策矩阵
最后,这里是决策矩阵可能的样子和内容。当然,再次强调,数值将取决于您输入的内容和上述计算结果。
| 标准 | 重量 | 定义 | RDS(本地) | RDS + RDS‑Tools | VDI |
|---|---|---|---|---|---|
| 成本(越低越好) | 0.35 | 3年净现值总拥有成本(相对) | |||
| 安全性 | 0.25 | 控制, MFA/网关, IP/地理, 勒索软件检测 | 3 | 5 | 5 |
| 用户体验 | 0.25 | 应用性能、打印、远程支持体验 | 3 | 4 | 4 |
| 操作 | 0.15 | 图像管理、监控、警报、帮助台效率 | 3 | 5 | 3 |
| 加权得分 | - | - | - | ||
| 总计 | - | - | - |
RDS-Tools在这个计算中适合什么位置?
- 主动安全 每台服务器的永久许可证。检查 RDS高级安全 了解更多功能。
- 定价灵活性 用于投资或预算:每台服务器、永久(包括1年更新/支持)或订阅。
- 服务器和网站监控 与 实时数据和警报 (每台服务器,永久或订阅)
- Remote Support 对于帮助台:订阅从每个并发连接的低月费开始。
尝试一些计算以测试“50–300用户场景”如何 RDS + RDS-Tools 在三年总拥有成本(TCO)上超越VDI,同时缩小大多数非GPU用户的安全性和用户体验差距。
步骤 3:如何使“风险与安全”评分可衡量?
这些对于顺利运营至关重要,因此请避免忽视它们。为了量化风险和安全方面,尝试为控制的四个广泛领域中的每一个分配0-5的分数,然后计算您的风险降低总值。
- 暴露表面: 网关 + MFA、IP/GEO 限制和暴力破解防御。将这些映射到 RDS高级安全 黑客IP, 地理过滤 暴力破解防御,工作时间规则).
- 勒索软件响应与安全会话: 启用即时勒索软件检测和锁定选项。
- 受信任的设备和权限: 实施每用户控制以降低内部和意外风险。
- 操作可见性: 实时监控,性能仪表板,警报和可导出日志。
评分你的 当前 状态和您的 目标 状态(带工具)。增量是您量化的安全提升。
步骤 4:性能与用户体验,或者用户对此的评价?
- 会话密度与隔离: RDS多会话为任务或办公室用户提供强大的密度;将VDI保留用于严格隔离或GPU需求(子集)。
- 更快的帮助台循环: 嵌入式远程控制 通过其文件传输、聊天、有人值守或无人值守等功能,缩短用户问题的平均解决时间。
一个进一步的用户体验想法是实现无驱动程序,以消除打印机驱动程序不匹配和脆弱的重定向。注意提供此类解决方案的品牌。
步骤5:为什么选择决策矩阵?
除了帮助您清晰地做出明智的选择,决策矩阵确实可以派上用场,例如支持您解释所做选择的论点。
加权:
这里是一个示例,说明您可能如何决定将重要性分配给不同领域:成本 35% | 安全 25% | 用户体验 25% | 运营 15%。这在很大程度上取决于您的业务领域和内部需求。
完成后,对每个选项进行0-5的评分;乘以权重;总分最高者获胜。
| 选项 | 成本 (35%) | 安全 (25%) | 用户体验 (25%) | Ops (15%) | 加权总计 |
|---|---|---|---|---|---|
| RDS(本地) | 低 | 中等(网关+多因素认证) | 好 | 好 | - |
| RDS + RDS-Tools | 低–中 | 高(IP/地理位置、暴力破解、勒索软件、受信任设备) | 高(可靠、安全、远程支持的好处) | 高(监控,警报) | 可能的赢家 |
| VDI | 中高 | 高(每个虚拟机隔离) | 高 | 中等(图像管理开销) | 取决于GPU用户 |
一些推荐的蓝图
如果灵感或时间不足,这里有一些可用作蓝图的基本设置示例。
小型IT团队(≤100用户)
- 加固的RDS 与 RD 网关 + MFA。
- 添加 RDS高级安全 用于IP/GEO阻止、暴力破解防御、勒索软件检测、受信任设备。
- 添加 RDS服务器监控 实时可见性和警报。
- 通过提供帮助 RDS远程支持 (无人值守支持)。
大规模任务工作者(100–500 用户)
- 带有 Broker HA 和负载均衡的 RDS 农场;标准化黄金主机映像。
- 监控容量和会话与 RDS服务器监控 自动化警报和 导出支持日志 .
- 强制执行 Advanced Security 组织范围内的政策;每月审查报告。
3) 工程师或设计师(子集)
- 混合: 保持大多数用户在加固的 RDS + tools 上;如果需要,将 GPU 组放在 VDI/DaaS 上。
- 继续使用 RDS-Tools 在RDS方面进行安全、监控和支持
30-60-90天推广计划(复制/粘贴计划)
第1–30天(基础)
- 库存暴露;确保 RD 网关 + MFA。
- 部署 RDS高级安全 在面向互联网的/代理/会话主机上;启用黑客IP、地理位置、暴力破解、工作时间、勒索软件、受信任设备。
- 站起来 RDS服务器监控 并调整初始警报/仪表板。
31–60天(规模与运营)
- 扩展到所有主机;从监控中设置每月安全/操作报告。
- 滚动 RDS远程支持 帮助台;为管理的终端建立无人值守访问。
第61–90天(优化)
- 容量调优和图像卫生。
- 季度桌面会议:勒索软件响应与账户锁定应急预案(使用高级安全 + 监控数据)。
常见问题解答
VDI是否比RDS“更安全”?
这取决于 哪个 您正在比较的RDS。普通RDS可能在隔离方面滞后,但 RDS + RDS高级安全 (IP/GEO 阻止,暴力破解防御,) 勒索软件检测 可信设备) 加上网关/MFA 大幅降低了大多数中小企业/中型市场案例的风险。
RDS-Tools 是否取代远程访问?
No. RDS-Tools 增强了您的 Microsoft RDS 堆叠(安全、监控、打印、远程支持)。保持您现有的 RDS 访问模型;添加您缺失的控制和可见性。
我可以在不将用户发送到第三方查看器的情况下支持他们吗?
是的。 RDS远程支持 提供加密的屏幕控制、聊天、文件传输和必要时的无人值守访问。
结论
VDI 和 RDS 都提供 Windows 工作区,但解决不同的问题。如果您只需要严格的用户隔离、多样的镜像或大量的 GPU 工作负载,尽管成本更高且操作复杂,VDI 仍然值得投资。如果大多数用户运行标准的 Windows 应用程序,RDS 提供更高的密度和更简单的操作。您应该适当地保护它(网关 + MFA),增加监控和远程支持,包括在需要时提供无驱动打印,以在更低的总拥有成本下弥补大多数安全和用户体验的差距。
对于许多团队, 务实的答案是 混合 保持大多数用户在强化的RDS上,使用RDS-Tools,并将VDI保留给真正需要它的小众团队。根据用户组合和风险的变化,每季度或每年重新评估。
RDS远程支持免费试用
从/到macOS和Windows PC的经济高效的出席和不出席远程协助。
)
)
)
