Publiceret: 4/16/2013
Visninger: 12
Bedøm casen:

AVE CZ AVE CZ: Naši uživatelé jsou všude na internetu jako v kanceláři

Společnost AVE CZ odpadové hospodářství je třetím největším soukromým podnikem v oblasti odpadového hospodářství v ČR. Prostřednictvím 50 poboček obsluhuje zhruba 1,3 milionu obyvatel České republiky a 26 tisíc živnostníků a průmyslových klientů. 150 z celkových 400 uživatelů přitom tvoří mobilní uživatelé s notebooky, kteří potřebují často pracovat s podnikovými aplikacemi i mimo kancelář. Nově jim to umožňuje technologie Microsoft DirectAccess dostupná ve Windows 7 a Windows Server 2008 R2.

Situace

Mobilita uživatelů je důležitá
AVE CZ odpadové hospodářství má 50 lokálních poboček a pracuje také pro velké množství průmyslových klientů a živnostníků, které obsluhují obchodníci přímo v místě jejich působení. Celkově tak ve firmě pracuje na 150 uživatelů, kteří pravidelně využívají vzdáleného přístupu do podnikové sítě a k podnikovým aplikacím. Vedle již zmiňovaných obchodníků jsou to také projektoví manažeři a vyšší i střední management. Vzdálený přístup k podnikové IT infrastruktuře pak uživatelům zajišťuje zejména přístup k firemnímu e-mailu, podnikovému unified communications řešení postaveném na Microsoft Office Communications Server, intranetu a podnikovému systému, který pro firmu zajišťuje mateřská společnost z Rakouska. Manažeři i obchodníci tak mohou vždy pracovat s aktuálními údaji, ať již jsou v kanceláři, u zákazníka či na služební cestě v zahraničí.

Obchodní cíle

Původní řešení mělo příliš kompromisů a rizik
Vzdálený přístup do podnikové sítě firma zavedla již v roce 2005. Využívala k němu VPN řešení, které ji nabídl poskytovatel internetové konektivity, který jej také spravoval. Díky tomu však bylo poměrně problematické do VPN přístupu zařazovat nové aplikace i uživatele, neboť firma nad použitým VPN řešením neměla přímou kontrolu. Navíc původní VPN řešení pracovalo na uživatelských stanicích s vlastní klientskou aplikací. Z pohledu uživatele to vypadalo tedy tak, že nejprve bylo nutné přihlásit se na notebooku do Windows, následně se připojit k internetu, poté spustit VPN klientskou aplikaci, přihlásit se do VPN, a teprve poté bylo možné spustit požadovanou firemní aplikaci. Problém byl však v tom, že ke každé firemní aplikaci (e-mailu, unified communcations, intranetu, podnikovému informačnímu systému, atd.) se bylo vždy nutné přihlašovat zvlášť. Uživatel si tak musel pamatovat své přihlašovací údaje a musel je zadávat po každém spuštění znovu, i když si během jedné VPN relace náhodou vypnul poštovního klienta a poté si ho znovu spustil.

Z pohledu IT oddělení zde navíc existovalo ještě jedno velké ALE – původní řešení totiž nijak nerozlišovalo fyzický stroj, který se k VPN připojoval. Pokud si tak zaměstnanec, i přesto, že to interní směrnice přísně zakazovaly, nainstaloval VPN klienta třeba na svůj domácí počítač a přihlásil se z něj k podnikové VPN svými přihlašovacími údaji, systém ho pustil do sítě. Podniková síť tak díky nezodpovědnému přístupu některých uživatelů byla při původním řešení vzdáleného přístupu vystavena dvěma typům rizik, které plynuly z toho, že se k ní mohli přihlásit i naprosto nezabezpečené počítače, bez antivirového software, bez aktualizovaného operačního systému, atd. Prvním rizikem bylo zatažení škodlivého software do podnikové sítě. Toto riziko naštěstí efektivně odstraňoval zvolený bezpečnostní software, který veškeré infekce dokázal včas zastavit. Druhým rizikem však byl fakt, že domácí počítače uživatelů mohli být infikovány spywarem či keyloggerem, který by zaznamenal přihlašovací údaje uživatele do VPN i do podnikových aplikací. Proti však nešlo efektivně bojovat.

Zvýšení bezpečnosti vzdáleného přístupu bylo nutností
IT oddělení AVE CZ odpadové hospodářství se proto v roce 2009, po zaznamenání několika nedovolených instalací VPN klientů na domácí počítače ze strany zaměstnanců, rozhodlo situaci rázně vyřešit a nasadit vlastní profesionální řešení pro vzdálený přístup uživatelů, které by definitivně zamezilo přístupu z jiných než firemních počítačů a notebooků, a umožnilo by firmě výrazně snazší správu VPN než dosavadní outsourcované řešení. Firma zprvu zvažovala nákup ne zrovna levného komerčního řešení od společnosti, která se specializuje právě na oblast bezpečnosti a vzdáleného přístupu uživatelů. Následně jej však díky rozhodnutí nasadit Microsoft Windows Server 2008 R2 a Windows 7 přehodnotila. Tato kombinace serverového a desktopového operačního systému totiž automaticky nabízí možnost bezplatného využití technologie Microsoft DirectAccess. Microsoft DirectAccess přitom z pohledu uživatele i administrátora staví vzdáleně připojené počítače na identickou úroveň jako ty připojené přímo do sítě. S DirectAccess není třeba instalovat ani spouštět žádnou dodatečnou aplikaci, není třeba se nikam zvlášť přihlašovat a hlavně ani z pohledu vzdálené správy není třeba nic měnit. Vzdálený uživatel se přihlašuje klasicky přímo do domény Active Directory a jsou na něj aplikovány všechny skupinové politiky i bezpečnostní omezení. Navíc je možné takový vzdálený počítač, stejně jako při jeho fyzické přítomnosti v podnikové síti, snadno spravovat prostřednictvím nástrojů pro systémovou správu jako Microsoft System Center Configuration Manager, který AVE CZ odpadové hospodářství taktéž využívá. I vzdálení uživatelé se tak dostanou k vynucené instalaci bezpečnostních záplat, vzdálené instalaci nových aplikací, atd. Jediné, v čem se počítač připojený prostřednictvím technologie Microsoft DirectAccess liší od toho přímo v podnikové síti, je IP adresa.

Řešení

DirectAccess přinesl řešení všech problémů s nulovou investicí
K nasazení technologie Microsoft DirectAccess ve společnosti AVE CZ odpadové hospodářství došlo počátkem roku 2010. Nasazení této technologie bylo spojeno s upgradem operačního systému na podnikových počítačích, které prováděla společnost KPCS. V první fázi tak byla technologie nasazena pro 100 uživatelů, tj. 66% všech uživatelů notebooků, kteří potřebují vzdálený přístup k podnikovým aplikacím. Zbylí uživatelé zatím používají původní řešení pro vzdálený přístup a na Microsoft DirectAccess budou převedeni spolu s nasazením Windows 7 na jejich noteboocích, ke kterému dojde ještě v průběhu roku 2010. Samotné nasazení Microsoft DirectAccess na všechny notebooky a zvolené serverové aplikace trvalo společnosti KPCS jen pár dní, z čehož většinu času zabralo vyřešení zpětné kompatibility se staršími serverovými aplikacemi, které nepodporují protokol IPv6.

Přínosy

S DirectAccess uživatelé pracují na cestách stejně jako v kanceláři
Microsoft DirectAccess zcela změnil způsob práce mobilních uživatelů a výrazným způsobem snížil bezpečnostní rizika spojená s jejich vzdáleným přístupem do sítě. Uživatel s notebookem vybaveným operačním systémem Windows 7 se tak nyní přihlašuje pouze do Windows a jediné, co si musí sám na cestách zajistit, je přístup do internetu. Jakmile je jeho firemní notebook připojen do internetu, proběhne zcela automaticky také připojení notebooku do firemní sítě a zcela automaticky, díky podpoře pro single-sign-on na úrovni Active Directory, proběhne také přihlášení uživatele do všech firemních aplikací stejně, jako kdyby seděl v kanceláři. Uživatel už tak nemusí zadávat ani si pamatovat žádné přihlašovací údaje k poštovnímu serveru, unified communications řešení, intranetu, podnikovému informačnímu systému, atd. Denně tak každý vzdálený uživatel jen na přihlašování do firemních aplikací ušetří desítky sekund času. Když pak například obchodník potřebuje u klienta rychle zjistit nějaký údaj z podnikového systému, stačí mu zapnout notebook, přihlásit se do Windows, dvakrát kliknout a požadovanou informaci má ihned k dispozici.

Vzdálený přístup je bezpečnější a snazší na administraci
Z pohledu IT oddělení je pak Microsoft DirectAccess sympatický tím, že eliminoval veškeré bezpečnostní rizika původního řešení pro vzdálený přístup, umožňuje firmě plynule měnit parametry vzdáleného přístupu podle aktuálních potřeb uživatelů, díky přímé integraci s Windows Server 2008 R2 nabízí důvěrně známé konfigurační prostředí, a díky snadnému propojení s Microsoft System Center Configuration Manager zajišťuje také neustálou aktualizaci a snadnou správu vzdálených koncových stanic ať už jsou kdekoliv a po jakoukoliv dobu. Navíc díky fungování skupinových politik i při práci mimo kancelář IT oddělení ví, že uživatel na firemní notebook nenainstaluje ani nespustí cokoliv, k čemu by neměl oprávnění. Nasazení Microsoft DirectAccess tak usnadnilo správu vzdálených uživatelů a zmenšilo počet bezpečnostních rizik, která tito uživatelé představují.

Løsningen - kort fortaltOrganisations størrelse
948 medarbejdere

Software & Services
  • Windows 7
  • Microsoft System Center Configuration Manager
  • Windows Server 2008 R2

Industri(er)
Other Services

Land
Czech Republic

Forretningsbehov
Mobility

Udfordringen
High Availability

Languages
Czech

Partner(e)
KPCS CZ s.r.o.