Windows-Desktops aus der Cloud

Angesichts der vielfältigen Herausforderungen im Geschäftsalltag legen moderne Unternehmen großen Wert auf operative Agilität – die Fähigkeit zum schnellen Handeln. Mit herkömmlichen Ansätzen lässt sich dem wachsenden Bedarf an mobiler Produktivität allerdings kaum angemessen begegnen. Neue Lösungen müssen her.

Mit Hilfe von Desktop-Virtualisierungstechnologien können Unternehmen stationäre Arbeitsplätze „mobilisieren“. Die Bereitstellung eines virtualisierten Desktop-Arbeitsplatzes, der sich per Fernzugriff von jedem beliebigen Standort aus aufrufen und auf fast jedem Endgerät nutzen lässt, verschafft Desktop-Benutzern mehr Handlungsspielraum und ermöglicht ein produktiveres Arbeiten. Neben VDI (Virtual Desktop Infra­stucture) bietet sich – vor allem für kleine und mittlere Unternehmen – DaaS (Desktop as a Service) an.

Als Nebeneffekt der mobilen Revolution greift heute jeder zweite Wissensarbeiter täglich auf mehrere Geräte zu: einen Desktop-Rechner im Büro, ein Netbook oder einen Laptop auf Reisen, ein Tablet zu Hause und ein Smartphone unterwegs.

Viele Unternehmen gestatten ihren Mitarbeitern das Benutzen beliebiger eigener Endgeräte ohne jegliche Aufsicht – Stichwort BYOD, Bring Your Own Device. Bei diesem „Bringen Sie Ihr eigenes End­gerät mit“ handelt es sich um eine Unternehmenspolitik, die die Maximierung der Produktivität durch die Flexibilisierung der Auswahl mobiler Arbeitswerkzeuge anstrebt.

Die gewünschte Beweglichkeit verschafft BYOD den Benutzern in der Tat, allerdings hat BYOD auch einen gravierenden Nachteil: Die Sicherheit unternehmenskritischer Daten bleibt ohne zusätzliche technische Vorkehrungen einfach auf der Strecke.

Umfragen zufolge geht im Unternehmensumfeld etwa jeder zehnte Laptop verloren. Für das Unternehmen entstehen dadurch erhebliche wirtschaftliche Risiken. Beim Abhandenkommen einer Hardware geraten auch die da­rauf gesicherten Unternehmensdaten in die falschen Hände. Bei diesen Daten kann es sich um vertrauliche E-Mails, aber auch um Zugangsdaten zu IT-Systemen handeln.

Ein gestohlener Laptop in den Händen eines technisch versierten Übeltäters öffnet trotz
der eingesetzten Datenverschlüsselung Hacker-Angriffen, Lösegeldforderungen oder sogar langfristig angelegter Industriespionage Tür und Tor.

Sollte der neue Besitzer eines solchen Geräts die darauf befindlichen Daten tatsächlich missbrauchen, kann er möglicherweise in das unternehmensinterne Netzwerk eindringen und sich unbemerkt und dauerhaft in den IT-Systemen einnisten.

Die einzige bewährte Methode, um diese Risiken wirksam zu minimieren, besteht im Einsatz von Desktop-Virtualisierung auf einem „datenlosen“ Laptop – vorzugsweise unter Verwendung Hardware-basierter Multifaktor-Authentifizierung (MFA).

Mit Hilfe der Desktop-Virtualisierung kann das Unternehmen sicherstellen, dass sich auf dem mobilen Endgerät keine relevanten Daten befinden, weil die benötigten Informationen stets via Netzwerk abgerufen werden. Durch Multifaktor-Authentifizierung kann der Zugriff auf IT-Systeme des Unternehmens nur mit einem gültigen Token erfolgen und wird ansonsten wirksam verhindert.

Neben gewöhnlichen Desktop-Rechnern und Laptops – einschließlich Macbooks – kommen als Endgeräte, auf denen sich virtualisierte Desktops nutzen lassen, auch Netbooks, Ta­blets, Phablets und Smartphones infrage. Laut einer Umfrage des Cloud-Dienstleisters EvolveIP verwenden beim Einsatz von VDI oder DaaS rund 44 Prozent der Befragten ein Apple iPad für die Bereitstellung eines Windows-Desktops. Benutzer von VDI und DaaS wissen diese Flexibilität zu schätzen: 97,5 Prozent der Befragten gaben an, mit ihrer Desktop-Virtualisierungslösung zufrieden zu sein.

Die Vorteile der Desktop-Virtualisierung beschränken sich bei Weitem nicht auf die Mobilisierung der Produktivität oder die Flexibilisierung der Arbeit (siehe Kasten „Anwendungsszenarien“). Da die Daten lokal bereitgestellt, aber nicht gesichert werden und die virtualisierte Arbeitsumgebung möglicherweise niemals verlassen, können auch keine Daten-Silos entstehen.

Auch werden sämtliche Anwendungen zentral eingerichtet und zentral gewartet, was erhebliche Zeitersparnisse ermöglicht. Der Einsatz von Desktop-Virtualisierung reduziert die Dauer der Notfallwiederherstellung um 76 Prozent gegenüber gewöhnlichen Client-Server-Topologien. Dank der niedrigen Hardware-Anforderungen seitens der (Thin-)Clients beim Einsatz von VDI oder DaaS verlängern sich nebenbei auch die Erneuerungszyklen der Desktop-Hardware. Die meisten CPU- und GPU-Berechnungen erfolgen ohnehin serverseitig.

Angesichts der zahlreichen Vorteile der Technologie ist es verständlich, dass jedes dritte von EvolveIP befragte Unternehmen den Einsatz von VDI oder DaaS im Lauf der kommenden drei Jahre fest im Visier hat.

Desktop-Virtualisierung beschränkt sich im Übrigen nicht auf Windows-Arbeitsplätze. So stellt etwa der Cloud-Infrastruktur-Anbieter dinCloud mit dinDaaS sowohl Windows- als auch Linux-Desktops aus der Cloud in einem Abonnement-Modell bereit.

Die Desktop-Virtualisierung hat in den vergangenen Jahren mehrere Evolutionsphasen durchlaufen und ist zu der robusten Technologie Virtual Desktop Infrastructure herangereift. Vor allem bei Großunternehmen fand VDI Zuspruch.

VDI entkoppelt den Arbeitsplatz von der Hardware, fördert die Bereitstellung zentralisierter Daten und verbessert die Sicherheit mobiler Desktops. Dennoch konnte sich VDI auf Grund der notwendigen hohen Anfangsinvestitionen, der umständlichen Wartung und der komplizierten Lizenzierung bisher nicht auf breiter Front durchsetzen. Eine selbst gehostete VDI-Umgebung verursacht oft sogar höhere Gesamt­kosten als eine herkömmliche standortgebundene Server-Client-Topologie. Das hängt einfach damit zusammen, dass VDI-Lösungen auf der eigenen IT-Infrastruktur des Unternehmens aufsetzen, typischerweise On-Premise. Die dauerhafte Bereitstellung der Dienste und die Instandhaltung der Server-Hardware verursachen bei VDI nicht unerhebliche laufende Administrationskosten. Die nahezu prohibitiven Lizenz- und Verwaltungskosten stellen den Nutzwert konventioneller VDI-Lösungen infrage. Für viele Firmen geht bislang die Rechnung mit VDI einfach nicht auf.

Desktop as a Service – die cloudbasierte Implementierung der Desktop-Virtualisierung – ist der Versuch, die Schwächen von VDI zu beheben, um die Technologie einer breiteren Zielgruppe zur Verfügung zu stellen und auch den Mittelstand mit ins Boot zu holen.

Bei Desktop als Service handelt es sich um einen verwalteten Dienst, der eine Desktop-Arbeitsumgebung samt der benötigten Software aus der Cloud über das Internet bereitstellt. Die wichtigsten Unterschiede zwischen VDI und DaaS liegen in den Geschäftsmodellen beider Lösungen. Der Technologieunterbau ist in beiden Fällen nahezu derselbe.

Im Fall von VDI muss das Unternehmen die Administration der Virtualisierungsdienste wie auch die Instandhaltung der Server-Hardware selbst schultern. Bei DaaS ist für beide Aufgaben der Cloud-Anbieter verantwortlich. Die hohen Anfangsinvestitionen in Server-Hardware, die mit der Einrichtung einer VDI-Umgebung einhergehen, entfallen für die Benutzer von DaaS.

DaaS-Dienste werden mit einem monatlichen Abonnement abgedeckt, das sich nach der Anzahl der bereitgestellten Desktops staffelt. Die Preise von DaaS liegen üblicherweise im zweistelligen Bereich pro Benutzer und Monat, sowohl mit Vertragsbindung als auch ohne.

Im Folgenden stellen wir Ihnen einige prominente DaaS-Lösungen im Detail vor.

Der Virtualisierungs­Pionier VMware bietet mit seiner Lösung Horizon Air Desktops and Apps – ehemals Horizon DaaS – einen eigenen Cloud-Dienst zur Bereitstellung von Windows-Desktops einschließlich Windows 10 und Windows-Applikationen (unter Verwendung von Microsofts Hosted Apps Server) auf der Basis der VDI-Lösung Horizon. Horizon Air unterstützt beliebige Endgeräte samt Windows-, OS-X- und Linux-Desktops, iPads, Android-Smartphones und -Tablets (auch Amazon Kindle Fire) und Google-Chromebooks. Die benötigten Erweiterungen sind kostenfrei verfügbar. Die Benutzer können in ihrer virtualisierten Arbeitsumgebung bei Bedarf eigene Software installieren.

Horizon Air verwaltet die Zugriffe der Endbenutzer auf IT-Ressourcen unter Verwendung von Active Directory. Virtuelle Desktops lassen sich in die bestehende Active-Directory-­Domäne integrieren. Die Bereitstellung eines VLANs (Virtual Local Area Network) vereinfacht die Integration in die unternehmenseigene Infrastruktur.

Mit dem Erwerb von Horizon Air reserviert das Unternehmen einen vorab definierten Block an Kapazitäten und kann diesen nach Belieben in einzelne Desktops aufteilen. Die Standardkonfiguration einer gewöhnlichen virtuellen Win­dows-Workstation schlägt monatlich mit einem Mindestpreis von etwa 26 Euro zu Buche. In der Standardkonfiguration werden jeder virtuellen Maschine eine CPU, 2 GByte Arbeitsspeicher und 30 GByte Datenspeicher zugewiesen. Diese Desktop-Kapazitäten lassen sich an die individuellen Bedürfnisse der jeweiligen Endanwendergruppe anpassen.

Virtuelle Desktops in Horizon Air unterstützen USB, Multimedia-Wiedergabe und Unified Communications. VMwares DaaS-Dienst ist sogar in der Lage, gängige Gesten der Benutzer berührungssen­sitiver Displays in nicht Touch-fähigen Anwendungen in solche Ereignisse zu übersetzen, die das gewünschte Verhalten zur Folge haben. Mobile Benutzer, die im Lauf ihres Arbeitstags zwischen Apple- und Microsoft-Produkten hin und her wechseln, können bei Bedarf das Scrollverhalten des virtuellen Desktops spiegeln, um ihre gewohnte Arbeitsweise beizubehalten.

Horizon Air unterstützt sowohl Windows-Server- und Remote-Desktop-Services-Umgebungen (RDS) als auch reine Windows-Desktops. Weil viele unternehmensspezifische Desktop-Anwendungen nur auf einem klassischen Windows-System funktionieren, ist letztere Option für einige Benutzergruppen unverzichtbar. Die Bereitstellung virtueller Desktops erfolgt wahlweise mit Hilfe des Microsoft-RDP-Protokolls, mittels VMwares hauseigenem PCoIP unter Verwendung eines Horizon-View-Clients oder über das Blast-Protokoll von VMware (TCP-Port 8443/TCP 22443 und 443 beim Management-Portal) in einem gewöhnlichen HTML-5-fähigen Web­browser.

Mit Horizon FLEX bietet VMware eine Erweiterung für die Horizon-Virtualisierungsplattform zur Verwaltung von BYOD- und Offline-Hardware. Benutzer von VMware Horizon Air benötigen FLEX, um ohne einen aktiven Internetzugang zu arbeiten.

Die Nutzung von Horizon Air wird mit einem monatlichen Abonnement abgedeckt, der Kauf von Horizon oder vSphere ist nicht erforderlich. Beim Einsatz von Horizon Air ist das Unternehmen nicht an VMwares eigene Cloud gebunden. Die Lösung lässt sich in öffentlichen wie privaten oder hybriden Clouds nutzen und auch auf der unternehmenseigenen On-Premise-Infrastruktur.

Bei Citrix Hosted Desktop and Workspaces handelt es sich um DaaS-Dienste auf der Basis von Citrix XenDesktop in Partnerschaft mit Microsoft und Cisco. Citrix Hosted Desktop and Workspaces werden von Citrix-Partnern bereitgestellt und adressieren den Mittelstand. In Deutschland werden Citrix-basierte DaaS-Dienste unter anderem von der Münchener CANCOM GmbH und der MSG Services AG aus Berlin angeboten.

Citrix-Service-Provider sehen in diesem Marktsegment ein rasantes Wachstum. Einer entsprechenden Umfrage zufolge erwartet jeder zweite Anbieter im Lauf dieses Jahres ein Umsatzwachstum zwischen 16 und 50 Prozent gegenüber dem Vorjahr. Nahezu jeder fünfte (17 Prozent) avisiert ein Wachstum von über 50 Prozent. Jeder Zweite (49 Prozent) möchte innerhalb der kommenden zwölf Monate eigene DaaS-Dienste anbieten. „Wir haben uns zu 100 Prozent dem Ziel gewidmet, unseren Partnern zu helfen, Wachstum zu erzielen, und stellen ihnen die hierzu erforderlichen Programme und technischen Innovationen bereit“, sagt Tammy Richards, Geschäftsführerin Worldwide Channel Marketing bei Citrix.

Citrix XenDesktop ermöglicht die Bereitstellung verschiedener Typen von virtuellen Desktop-Umgebungen:

Die freie Wahl der Hypervisor-Plattform bei der Bereitstellung von Hosted Desktop and Workspaces verschafft den DaaS-Anbietern und -Nutzern einen hohen Grad an Flexi­bilität.

66 Prozent der DaaS-Anbieter unter den Citrix-Partnern vertrauen auf einen VMware-­Hypervisor, 19 Prozent auf Microsofts Hyper-V und 13 Prozent auf die quelloffene Virtualisierungsplattform XenServer mit dem Xen-Project-Hyper­visor von Citrix.

Die Citrix-Plattform unterstützt alle gängigen Endgeräte mit einem eigenen XDX-Client, der für 2D- und 3D-Grafikfähigkeiten verantwortlich ist. Citrix arbeitet derzeit an der Integration von Intels Grafikvirtualisierungstechnologie GVT-g in XenServer. Künftige Versionen der Plattform sollen die Nutzung von Hardware-Beschleunigung in XenApp/Xen­Desktop ermöglichen, um die Grafikleistung der Desktops weiter zu verbessern.

Unter dem Namen Amazon WorkSpaces bietet Amazon Web Services (AWS) einen eigenen DaaS-Dienst an. Die bereitgestellten Desktops sind mit einigen häufig benötigten Applikationen ausgestattet und lassen sich bei Bedarf mit zusätzlicher Software bestücken.

Jeder Arbeitsbereich in Amazon WorkSpaces basiert auf einer eigenen virtuellen Maschine, in der allerdings nicht die Desktop-Version von Windows, sondern ein Windows-Server läuft. Wer für seine Applikationen einen Windows-Desktop benötigt, kann eine eigene Lizenz mitbringen und ein eigenes Maschine-Image erstellen. Amazon, so heißt es, seien da lizenztechnisch die Hände gebunden.

Auch im Hinblick auf die unterstützten Endgeräte lässt der Dienst zu wünschen übrig. Die Client-App von Amazon WorkSpaces unterstützt prinzipiell keine Smartphones. Das höchste der Gefühle hinsichtlich mobiler Endgeräte sind Tablets. Virtualisierte Desktops aus Amazon WorkSpaces integrieren sich problemlos in eine bestehende Active-Directory-Domäne.

Die Preise von Amazon WorkSpaces richten sich nach der Anzahl der reservierten Desktops pro Monat, der reservierten Leistung und den vorinstallierten Software-Lizenzen. Ein Desktop mit zwei vCPUs, 7,5 GByte Arbeitsspeicher und 100 GByte Datenspeicher schlägt monatlich mit 64 Dollar zu Buche. Microsoft Office Professional und Trend Micro Worry-Free Business Security Services gibt es für einen Zuschlag von 15 Dollar pro Monat. Eine Vertragsbindung besteht nicht.

Microsoft steht seit Jahren im Zentrum von Spekulationen, was eine mögliche Einführung von DaaS-Diensten auf Azure angeht. Microsofts bisheriges Angebot, Azure RemoteApp (Codename Project Mohoro), beschränkt sich bislang auf das Streaming von Applikationen. Der Dienst überträgt serverbasierte Desktop-Anwendungen als Datenströme an entfernte Computer, Tablets und Smartphones – nicht einen ganzen Desktop.

Anders als ein DaaS-Dienst kann Azure RemoteApp den Zustand des Arbeitsplatzes zwischen zwei Benutzersitzungen nicht aufrechterhalten. Das sei beabsichtigt. Der Gedanke dabei: Benutzer eines mobilen Endgeräts seien an der schnellen und komfortablen Bereitstellung von Applikationen interessiert, nicht an einem Windows-Desktop, so Microsoft. Microsofts eigene Partner rufen allerdings seit Monaten lautstark nach einem vollwertigen DaaS-Dienst für Windows Azure Pack im Stil von Citrix oder VMware.

Derzeit kann Azure mit einem eigenen DaaS-Angebot nicht aufwarten. In Microsofts offizieller Roadmap wurde bisher nur die Portierung von RemoteApp für Windows Azure Pack angekündigt. Dabei ist gerade Microsoft in der beneidenswerten Lage, das Windows-Betriebssystem und das dazugehörige Lizenzmodell praktisch nach Belieben zu ändern, um den Anforderungen der DaaS-Ära gerecht zu werden. Anderen DaaS-Anbietern stehen diese Möglichkeiten zumindest bei Windows-Desktops nicht zur Verfügung.

Microsofts komplizierte und restriktive Lizenzbedingungen beschränken derzeit die Möglichkeiten aller Anbieter, virtualisierte Windows-Desktops bereitzustellen. Die Tatsache, dass sich daran nichts ändert, dürfte darauf hindeuten, dass Microsoft bereits an einem eigenen DaaS-Dienst arbeitet und die Katze – neue Lizenzbedingungen für die DaaS-Ära der Cloud-Desktops – nicht zu früh aus dem Sack lassen möchte.

Desktop-Virtualisierung per DaaS bietet Unternehmen die Möglichkeit, einen Großteil der Administration von Arbeitsplätzen an den Cloud-Anbieter auszu­lagern.

VDI, der bisherige Ansatz zur Desktop-Virtualisierung, konnte aufgrund der hohen Einstiegskosten, der technischen Komplexität und einer unübersichtlichen Lizenzierung bisher nur in Großunternehmen Fuß fassen. Mit DaaS-Diensten bricht eine neue Ära der Desktop-Virtualisierung an. Weil das DaaS-Preismodell die Einstiegshürde senkt, wird die Technologie der Desktop-Virtualisierung auch für den Mittelstand und für kleine Unternehmen erschwinglich.

Die Vorteile von DaaS sind mehr Mobilität der Mitarbei­ter bei ver­besserter Sicherheit, eine erhebliche Reduzierung der Betriebskosten und eine längere Lebensdauer der Hardware.