Mettre en place une solution de travail à distance (RemoteOffice / Remoteworking) 1/2

La crise sanitaire actuelle nous force à nous poser un tas de questions, à repenser l’accès des collaborateurs aux outils qui leur permettront d’effectuer leur travail de façon soit partielle soit complète afin de maintenir un niveau d’activité et faire vivre les entreprises.

C’est un blog difficile à écrire car la situation est particulière et j’ai reçu beaucoup d’emails concernant le types de solutions possibles et ce qu’il fallait faire pour donner accès aux outils de l’entreprise aux collaborateurs afin d’assurer au minimum une activité minimale et assurer la survie des entreprises. Je vais essaye de faire simple et court quand aux différentes possibilité qui s’offrent aussi bien au PME qu’aux plus grosses entreprises.

Ce ne sera pas un blog technique, mais plutôt un aperçu des solutions prédominantes qu’il faut avoir en tête quand on pense à déployer / mettre en place ce type de solution.

Le point commun de toutes ces solutions est de donner accès à l’information et aux outils nécessaires au traitement de celle ci et la sécurité des accès à l’environment de travail. Ce sont deux curseurs que chaque entreprise choisira de positionner et de faire varier ensuite à volonté.

Voici donc un blog exhaustif, avec mon experience des solutions envisageables. Il va de soit que chaque entreprise étant différente, ayant une infrastructure différente et un besoin différent, l’existant et le but à atteindre sont à prendre en compte lors d’un tel choix.

Nouvelle infrastructure
Gateway / VPN avec une infrastructure déjà existante
Cloud Hybrid
Bursting / Cloud Bursting
Cloud tout court

Nouvelle infrastructure

Cas d’usage

Vous avez un datacenter, une salle serveur et vous avez de la place et la capacité de “construire” et héberger une quantité de machine qui correspondra à vos besoin et la capacité d’accueil envisagée. Ce cas d’usage permet de répondre à la crise et peut éventuellement être démantelé à la fin ou remanié pour être adapté à un usage différent.

Mettre en place une nouvelle infrastructure d’accès

La mise en place de ce type d’infrastructure nécessite une connaissance de l’entreprise, une cartographie des applications critiques et de la population des collaborateurs qui devront y accéder. Ce déploiement peut se faire rapidement, y compris dans le contexte de grand compte avec les commissions de changement, passage en CAB etc à partir du moment ou tout à été pensé et définit à l’avance. La documentation de la mise en place et de l’exploitation de cette nouvelle plateforme sera un point critique pour les personnes devant exploiter, administrer et maintenir cette infrastructure somme toute différente d’une infrastructure “classique”

Points importants

Avoir la capacité d’hébergement de nouvelle machines / serveurs
Choisir les applications à mettre à disposition et la population visée
Sécurisé l’accès externe

Gateway / VPN avec une infrastructure déjà existante

Cas d’usage

Vous avez déjà une infrastructure type RDS et/ou VDI (Microsoft/vmware/Citrix) en interne mais il vos manque le composant pour donner l’accès aux collaborateurs depuis l’extérieur.

Vous n’avez pas d’infrastructure d’accès en interne mais donner accès aux collaborateurs depuis l’extérieur avec un matériel (portable, tablette etc) est la politique choisie dans votre entreprise.

Mettre en place “l’ouverture” vers une infrastructure d’accès

Mettre en place un “pont” pour donner accès aux ressources de l’entreprise est simple, reste à savoir comment faire pour accéder à quel type d’information. Plusieurs scénarios peuvent alors se dessiner :

Vous avez une infrastructure d’accès et dans ce cas une passerelle à positionner dans votre SI sera la meilleure solution. Bien entendu en fonction de l’infrastructure. Typiquement un HA proxy qui servira de gateway sera mis en place, en simple ou double hop en fonction du scénario choisi. (Citrix ADC Gateway par ex). Cette solution est la plus populaire car elle peut s’affranchir de la maitrise du poste client qui se connectera allant même jusqu’à permettre une connexion “clientless” via le navigateur en HTML5

Sinon un pont VPN sera alors à mettre en place pour authoriser l’accès au SI comme si les collaborateurs étaient connectés au LAN de l’entreprise (plusieurs options s’offrirons tel qu’une plage IP dédiée, des conditions d’accès et d’établissement de ce pont VPN. Cette option est de moins en moins “populaire” car l’installation d’un client VPN est parfois trop contraignante pour les utilisateurs et le nombre d’OS supporté souvent limité.