Virtuell bis hin zum Client Virtual Desktop Infrastructure (VDI) in der Praxis

Von Thomas Bär

Anbieter zum Thema

Virtualisierung kommt aktuell in fast allen Teilbereichen der modernen IT zum Einsatz. Dazu gehören im häufiger auch die so genannten VDI-Lösungen: Bei dieser Technik werden die Desktop-Systeme virtuell auf einem Server gehostet.

VDI mutet von der Begrifflichkeit her etwas an wie die alte Technik der Main-Frame-Terminals – ist aber damit natürlich nicht zu vergleichen.
VDI mutet von der Begrifflichkeit her etwas an wie die alte Technik der Main-Frame-Terminals – ist aber damit natürlich nicht zu vergleichen.
(Bild: © pathdoc - stock.adobe.com)

Keine Frage: Der PC hat den Wissensarbeitern in den Büros die Unabhängigkeit von einer zentralisierten IT geschenkt, hat dabei aber auch eine ganze Menge neuer Probleme geschaffen. Obwohl weder Anwender noch IT-Mitarbeiter, die mit den Mainframe-Servern und Terminals im letzten Jahrtausend arbeiten mussten, diese archaische Technik wirklich zurückwünschen dürften, hat nicht zuletzt die Virtualisierung eine Rückbesinnung auf zentrale Systeme im Rechenzentrum angestoßen. Scheint es da nicht sinnvoll, nach Servern, Netzwerken und anderen IT-Infrastrukturen, auch die Desktop-Systeme nach Möglichkeit zu virtualisieren?

VDI, Desktop-Virtualisierung und VPN: Ähnlichkeiten und Unterschiede

Grundsätzlich gesehen ist eine „Virtual Desktop Infrastructure“ (VDI) nicht das gleiche wie die in diesem Zusammenhang ebenfalls häufig erwähnte Desktop-Virtualisierung. Bei der Desktop-Virtualisierung handelt es sich um eine Technik, bei der auf dem Desktop (oder auch auf einem mobilen System) eine virtuelle Maschine arbeitet, in der dann das System aktiv verwendet wird. VDI ist hingegen eine Technik, die im Rechenzentrum arbeitet. Mit Hilfe von VDI werden den Endanwendern dann Desktop-Images zum Gebrauch bereitgestellt. Diese werden in virtuellen Maschinen auf einem (oder auch mehreren) Server im Rechenzentrum gehostet. Nutzer können sich dabei von nahezu jedem lokalen Endgerät Remote mit diesen virtuellen Maschinen verbinden.

Viele Unternehmen setzen spätestens seit dem durch die Pandemie ausgelösten steigenden Einsatz von Homeoffices auf Remote-Arbeit und damit auf den Einsatz von VPN-Lösungen. So scheint dann der Fernzugriff gut gelöst und der Einsatz einer VDI-Lösung weniger notwendig.

Aus der Sicht der IT-Fachabteilung und deren Administratoren ist aber eine reine VPN-Lösung sicher nicht der ideale Weg. So ist es beim VPN-Einsatz notwendig, dass entsprechende Software auf den Endgeräten der Nutzer installiert wird. Hinzu kommt, dass VPN-Verbindungen in der Regel eine hohe Bandbreite erfordern und dann beispielsweise Daten auch auf den lokalen Systemen der Nutzer abspeichern.

Im Gegensatz dazu bietet eine VDI-Lösung den Anwendern die Möglichkeit, beliebige Endgeräte ohne zusätzlich Installation von Soft- oder Hardware zu nutzen, sodass auch ältere Endgeräte zum Einsatz kommen können. Ein sehr großer Vorteil beim Einsatz von VDI ist zudem die Tatsache, dass die Verarbeitung der Daten im Rechenzentrum des Unternehmens und nicht auf den Endgeräten der Nutzer erfolgt.

Dick oder dünn – wie sieht der ideale Client aus?

Wer sich für den Einsatz einer VDI-Lösung grundsätzlich entschieden hat, steht dann häufig vor der Entscheidung für den „richtigen VDI-Client“. Diese Frage ist sicher nicht allgemeingültig zu beantworten. Die als Fat oder manchmal auch als Rich Client bezeichneten Endsysteme sind in der Regel wohl in jedem Unternehmen zu finden. Es handelt sich dabei um voll ausgestattete Rechner – gleich, ob als Desktop oder Notebook/Laptop. Sie besitzen neben einem Betriebssystem und lokal installierter Anwendungssoftware auch alle weiteren Ressourcen, die der Nutzer für seine Arbeit im Unternehmensnetzwerk benötigt. Dazu gehören neben der Rechenleistung des Systems unter anderem auch (Massen-) Speicher und die Netzwerkanbindung.

Dabei können jedoch die vielen Ansätze zur Verwaltung dieses „Gerätezoos“, die aktuell ihre Krönung in der UEM-Disziplin (Unified Endpoint Management) finden, nicht darüber hinwegtäuschen, dass die lokale Installation und Aktualisierung von Software und Betriebssystemen problematisch bleibt. Auch die Tatsache, dass die Anwender zumeist in der Lage sind – oder je nach Aufgabenbereich in der Lage sein müssen – selbst Anwendungen auf den Clients zu installieren, ist ein Schwachpunkt der Fat Clients. Erhöht diese Praxis doch unweigerlich die Angriffsfläche für Schadsoftware und böswillige Hackerangriffe.

Nicht zuletzt deshalb kommen vielfach bei den VDI-Lösungen als Endgeräte die so genannten Thin Clients zum Einsatz. Ebenso wie bei Fat Clients ist es hier schwer, eine allgemeingültige Beschreibung eines Thin Clients mit allen Aspekten zu formulieren – zu unterschiedlich legen dabei die verschiedenen Anbieter das Konzept der Thin Clients aus. Grundsätzlich handelt es sich bei einem solchen „dünnen“ Client aber um ein abgespecktes System, das nur begrenzte Verarbeitungsfunktionen bereitstellt.

Ein solcher Thin Client ist in der Regel für den Betrieb in einer Netzwerkumgebung optimiert. Dabei verfügen diese Geräte nur über begrenzte, lokale Speicherkapazitäten und ein optimiertes Betriebssystem. Aus Sicht der IT-Administratoren bieten Thin Clients viele Vorteile im Vergleich zu den „fetten“ Endgeräten: So werden sie in der Regel zentral und remote verwaltet, sodass die IT-Ressourcen insgesamt besser genutzt werden können.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Schließlich gibt es noch die Zero Clients: Sie stellen die wirkliche Rückkehr der „alten, dummen“ Terminals dar, mit denen frühere Endanwender beispielsweise ihren Zugriff auf die Mainframe-Systeme erhielten. Sie repräsentieren eine spezielle Form der Thin Clients, die natürlich nicht wirklich „Zero“ Hardware verwendet, aber weder internen Speicher noch ein echtes Betriebssystem (außer einen Boot-Loader) besitzt. Der Benutzer erhält mit einem Zero Client nur ein Zugriffs- und Anzeigegerät, das vollständig vom zentralen Remote-Server abhängig ist.

Probleme, Angriffe und der Umgang mit VDI

Ein Versprechen der Anbieter von VDI-Lösungen besteht darin, dass das vielbeschworene „Benutzererlebnis“ besser wird: Die Anwender brauchen sich – so das Versprechen – ebenso wie die IT-Administration nicht mehr so sehr um die Sicherheit der Endgeräte sorgen. Schließlich passiert alles auf den Servern im sicheren Rechenzentrum. Aber da liegt auch schon ein Problem: Die Server und natürlich auch die Endpunkte eines VDI-Netzwerks müssen ebenso gut gesichert werden, wie es schon in der traditionellen Client-Server-Infrastruktur seit Jahren die Regel ist.

IT-Verantwortliche und -Administratoren müssen auch beim Einsatz einer Virtual Desktop Infrastructure immer auf das Schlimmste vorbereitet sein: Endgeräte und damit natürlich auch die VDI-Desktops, Thin- und Zero-Clients sowie mobile Geräte wie Smartphones und Tablets werden angegriffen werden. Das kann beispielsweise über ungesicherte WiFi-Netzwerke ebenso wie über schlecht geschützte Anwendungen (beispielsweise Videokonferenz-Lösungen oder E-Mail-Programme) geschehen, die von den Nutzern eingesetzt werden. Hat ein Angreifer erst einmal einen VDI-Desktop „erobert“, so ist es für ihn oftmals leicht, das gesamte Netzwerk zu infizieren.

Administratoren müssen deshalb auch bei VDI-lösungen auf eine umfassende Sicherheit setzen. Dazu sollten sie die folgenden Parameter überwachen können:

  • Alle Knoten, die online sind
  • Den Patch-Zustand jedes Desktops und jeder VM (sind diese aktualisiert oder nicht?)
  • Aktivitätsprotokolle aller angemeldeten Nutzer
  • Alle Dienste und Prozesse, die auf den Servern und Knoten aktiv sind
  • Welche Sitzung welche Dienste und Anwendungen nutzt
  • Die Kommunikation der Prozesse untereinander

Es ist insgesamt wichtig, dass die IT auch bei der VDI eine kontinuierliche (am besten automatisierte) Verwaltung der Endpunktsicherheit betreibt: Die Hard- und Software auf den Endgeräten muss dabei jederzeit den Sicherheitsrichtlinien des Unternehmens entsprechen.

(ID:48544208)