Zscaler Private Access (ZPA) et Zscaler Internet Access (ZIA) se complètent pour sécuriser les solutions d’infrastructure de bureau virtuel (VDI). Comme le beurre de cacahuète et le chocolat : deux bonnes choses qui vont bien ensemble.
Une question courante : dans quel cas devrions-nous remplacer notre VDI par ZPA, et quand devrions-nous tirer parti de la solution combinée ? Le beurre de cacahuètes et le chocolat peuvent avoir bon goût lorsqu’ils sont associés, mais vous ne pouvez pas remplacer l’un par l’autre. (Du sirop de chocolat sur des rouleaux de printemps ? Non, vraiment pas. Eh bien, peut-être de la sauce épicée au cacao ?) De manière analogue, remplacer la VDI a du sens dans certains scénarios ZPA, mais pas dans d’autres.
Pour avoir la réponse à cette question, vous devez avant tout comprendre pourquoi vous utilisez la VDI. Vos usages et applications actuels nécessitent-ils encore vraiment une VDI ? Tous les utilisateurs utilisent-ils la VDI ou seulement un sous-ensemble de celui-ci ? Se poser la question et en explorer la portée peut aider à aller au-delà des hypothèses qui découlent du système traditionnel sur site/sur le réseau.
Les entreprises utilisent généralement la VDI pour l’une ou plusieurs des raisons suivantes :
- Granularité d’accès : permet de restreindre les utilisateurs aux seules applications autorisées.
- Restrictions de résidence des données : garantit que les données a) restent dans les limites de l’entreprise, et/ou b) ne sont jamais stockée sur l’appareil de l’utilisateur final.
- Localisation du trafic : minimise la latence pour les interactions client-serveur lourdes (par exemple, les appels à la base de données).
- Gestion ou réduction du bureau : permet de maintenir une expérience de bureau claire et garantir la persistance d’un bureau auquel les utilisateurs peuvent accéder à partir de plusieurs appareils.
- Réduction des licences de logiciels : permet de déployer des logiciels sur un pool limité de bureaux virtuels, plutôt que sur tous les appareils utilisateur.
- Prise en charge des applications traditionnelles : permet l’accès aux applications qui nécessitent des systèmes d’exploitation plus anciens.
- Inspection du trafic : utilise la VDI pour forcer l’ensemble du trafic à passer par des piles de sécurité sur site.
Si vous envisagez l’option 1, ZPA peut remplacer la VDI et fournir aux utilisateurs autorisés un accès granulaire à des applications spécifiques, sur la base du moindre privilège. De plus, le déploiement de ZPA avec Private Service Edge peut répondre à l’option 2a, en garantissant que le plan de contrôle et le plan de données demeurent entièrement à l’intérieur de votre périmètre de sécurité pour le trafic privé. (Et l’intégration prochaine par Zscaler de Cloud Browser Isolation avec ZPA commencera également à répondre à l’option 2b) Pour toutes les autres options, vous pouvez ajouter Zscaler à votre environnement VDI existant afin d’accroître les avantages décrits ci-dessus.
Que votre environnement VDI soit sur site (par exemple, Citrix XenDesktop, VMware Horizon) ou Desktop-as-a-Service (par exemple, Amazon WorkSpaces, Windows Virtual Desktop), Zscaler vous permet de superposer un accès Zero Trust granulaire et cloud natif aux offres de bureaux virtuels. Dans ce scénario des bonnes saveurs qui s’accordent le mieux, Zscaler offre une visibilité et un contrôle centralisés aux utilisateurs accédant aux ressources à partir d’environnements VDI. L’installation de Zscaler Client Connector sur des instances de bureau virtuel procure une visibilité et un contrôle centralisés sur les ressources auxquelles l’utilisateur peut accéder à partir de là.
Nous disposons d’exemples concrets de clients Zscaler qui ont déployé Zscaler Client Connector dans leurs environnements DaaS pour protéger le trafic externe et SaaS, via Zscaler Internet Access (ZIA), ainsi que le trafic vers des applications privées via Zscaler Private Access (ZPA). Cette solution combinée offre de nombreux avantages : visibilité et contrôle centralisés, configuration de politique de contrôle d’accès unique pour la VDI, ainsi que d’autres formes d’accès, et une expérience utilisateur cohérente, sous réserve néanmoins que vous disposiez d’instances VDI dédiées à un seul utilisateur (c’est-à-dire ce qu’Amazon appelle Windows BYOL).
Cette approche peut par exemple s’avérer utile pour permettre aux employés d’accéder à des applications privées directement à partir de leurs propres appareils, tout en limitant l’accès des tiers à la VDI uniquement. Vous pouvez étendre la visibilité et le contrôle centralisés de ZPA aux deux communautés d’utilisateurs, comme illustré ci-dessous dans la figure 1.
Figure 1. Comment ZPA complète les déploiements VDI.
Même si nous ne remplaçons pas la VDI pour tous les utilisateurs, nous constatons souvent que nous pouvons desservir de nombreuses communautés d’utilisateurs plus simplement avec ZPA. De nombreuses sociétés de conseils financiers et d’agents d’assurance se sont tournées vers des applications Web (DocuSign, etc.). Il n’est donc peut-être plus nécessaire que ces milliers d’utilisateurs disposent d’une VDI. Ceci exige souvent de dépasser les limites des équipes chargées du réseau et de la sécurité, et d’impliquer les architectes d’entreprise, les propriétaires d’applications, etc.
ZPA et VDI font très bon ménage
Remplacer ou compléter la VDI par ZPA exige une compréhension plus approfondie des raisons pour lesquelles vous faites appel à la VDI, et si elle constitue toujours un élément indispensable de votre environnement. Zero Trust Exchange de Zscaler peut dans bien des cas supprimer la nécessité de la VDI en fournissant un accès direct aux applications internes et cloud, même si l’utilisateur y accède de l’extérieur du périmètre.
Évaluez vos hypothèses. Remplacez là où vous le pouvez, combinez là où c’est plus logique. Et faites-moi savoir si vous pensez que la sauce épicée au cacao se marie bien avec les rouleaux de printemps.
Pour plus de ressources, veuillez visiter nos pages dédiées au télétravail.