Mobile Thin Clients als Alternative zum klassischen Notebook
Einmal mit allem, bitte!
von Dr. Christian Knermann
Veröffentlicht in Ausgabe 04/2023 - PRAXIS
Bereits seit dem Aufkommen der ersten Terminalserver positionieren sich Thin Clients als wartungsarme Alternative zum klassischen Desktoprechner. Auch in Zeiten mobiler und flexibler Arbeitsplätze sowie virtueller Desktops in der Cloud empfehlen sich die schlanken Clients. Wir stellen mögliche Einsatzszenarien am Beispiel von IGEL OS vor.
In der Regel ist ein Business-Notebook unter Microsoft Windows die erste Wahl, wenn Mitarbeiter an wechselnden Standorten oder aus dem Home Office arbeiten. Doch ein vollausgestattetes Gerät dieser Gattung verursacht in Anschaffung sowie Betrieb enorme Kosten. Es stellt Administratoren weiterhin auch im Hinblick auf die Informationssicherheit vor Herausforderungen – insbesondere dann, wenn das Betriebsmodell dem klassischen Ansatz eines internen Unternehmensnetzes mit externem VPN-Zugriff folgt.
Herausforderung Fat Client
So verlieren Geräte, die nicht kontinuierlich mit dem Unternehmensnetz verbunden sind, nach längerer Zeit der Abwesenheit ihre Vertrauensstellung mit dem Microsoft Active Directory (AD), Konten und deren Kennwörter laufen ab oder es fehlt an dringend benötigten Updates für Client-Betriebssysteme sowie Applikationen. Nicht nur wenn Mitarbeiter ihre Arbeitsgeräte für private Zwecke einsetzen dürfen, laufen sie Gefahr, Schadsoftware zum Opfer zu fallen und diese beim nächsten VPN-Kontakt ins interne Netz einzuschleppen.
All diesen Herausforderungen begegnen Administratoren durch den Einsatz zusätzlicher Technologien, die Kosten und Wartungsaufwand weiter erhöhen und doch nicht vollends gegen Cyberangriffe und den Verlust von Daten schützen können. So hat der Digitalverband Bitkom im letzten Jahr in einer repräsentativen Umfrage unter mehr als 1000 Unternehmen quer durch alle Branchen ermittelt, dass über zwei Drittel der Befragten in den vergangenen zwölf Monaten von Diebstählen von IT- und Telekommunikationsgeräten betroffen oder vermutlich betroffen waren [1]. Neben dem reinen Verlust der Hardware wiegt ein solcher Diebstahl umso schwerer, wenn das entwendete Equipment sensible Daten enthält. Grund genug, der Frage nachzugehen, wie und in welchen Fällen Thin Clients auch bei mobiler Nutzung die Kosten, Arbeitsaufwände und den Schaden im Verlustfall minimieren können.
In der Regel ist ein Business-Notebook unter Microsoft Windows die erste Wahl, wenn Mitarbeiter an wechselnden Standorten oder aus dem Home Office arbeiten. Doch ein vollausgestattetes Gerät dieser Gattung verursacht in Anschaffung sowie Betrieb enorme Kosten. Es stellt Administratoren weiterhin auch im Hinblick auf die Informationssicherheit vor Herausforderungen – insbesondere dann, wenn das Betriebsmodell dem klassischen Ansatz eines internen Unternehmensnetzes mit externem VPN-Zugriff folgt.
Herausforderung Fat Client
So verlieren Geräte, die nicht kontinuierlich mit dem Unternehmensnetz verbunden sind, nach längerer Zeit der Abwesenheit ihre Vertrauensstellung mit dem Microsoft Active Directory (AD), Konten und deren Kennwörter laufen ab oder es fehlt an dringend benötigten Updates für Client-Betriebssysteme sowie Applikationen. Nicht nur wenn Mitarbeiter ihre Arbeitsgeräte für private Zwecke einsetzen dürfen, laufen sie Gefahr, Schadsoftware zum Opfer zu fallen und diese beim nächsten VPN-Kontakt ins interne Netz einzuschleppen.
All diesen Herausforderungen begegnen Administratoren durch den Einsatz zusätzlicher Technologien, die Kosten und Wartungsaufwand weiter erhöhen und doch nicht vollends gegen Cyberangriffe und den Verlust von Daten schützen können. So hat der Digitalverband Bitkom im letzten Jahr in einer repräsentativen Umfrage unter mehr als 1000 Unternehmen quer durch alle Branchen ermittelt, dass über zwei Drittel der Befragten in den vergangenen zwölf Monaten von Diebstählen von IT- und Telekommunikationsgeräten betroffen oder vermutlich betroffen waren [1]. Neben dem reinen Verlust der Hardware wiegt ein solcher Diebstahl umso schwerer, wenn das entwendete Equipment sensible Daten enthält. Grund genug, der Frage nachzugehen, wie und in welchen Fällen Thin Clients auch bei mobiler Nutzung die Kosten, Arbeitsaufwände und den Schaden im Verlustfall minimieren können.
Vom Terminal zum PC und zurück
Das Prinzip der entfernten Präsentation hat seine Ursprünge bereits in der Mitte des vergangenen Jahrhunderts, als sich an den Arbeitsplätzen noch simple Text-Terminals befanden. Solche Clients waren mittels serieller Leitungen mit den zentralen Servern verbunden und dienten lediglich der Ein- und Ausgabe, während sämtliche Datenverarbeitung und -speicherung zentral stattfand. Mit zunehmender Verbreitung von Ethernet-Netzwerken und des TCP/IP-Protokolls war es auch für Anwender von UNIX- und später Linux-Systemen üblich, mittels Telnet, SSH und X11 zentral zu arbeiten.
Der Siegeszug der IBM-kompatiblen PCs brachte zunächst den Trend zum dezentralen Rechnen und verteilter Datenhaltung mit sich, da MS-DOS und frühen Varianten von Microsoft Windows von Haus aus jegliche Möglichkeiten zur entfernten Präsentation fehlten. Erst zur Mitte der 1990er Jahre etablierten Microsoft und Citrix Systems das Prinzip der entfernten Präsentation auch in der Windows-Welt, indem sie zunächst die Terminal Server Edition (TSE) als spezielle Variante des Betriebssystems Windows NT entwickelten. Später ging der Terminalserver mit den Rollen der Remotedesktopdienste (RDS) im Funktionsumfang des regulären Windows Servers auf.
Microsofts Remote Desktop Protocol (RDP) stand lange Zeit offiziell ausschließlich für Windows-Clients zur Verfügung, während Citrix mit dem Protokoll Independent Computing Architecture (ICA) eine breite Unterstützung auch für andere Clients bot. So ermöglichte Citrix auch Anwendern von mac-OS, UNIX sowie Linux, auf Terminalserver zuzugreifen, und bereitete den Thin Clients den Weg.
Diverse Hersteller entwickelten daraufhin Hardware in verschiedenen Formfaktoren, in der Regel wesentlich kompakter als PCs und ohne aktive Komponenten wie Lüfter oder Festplatten. Kamen anfangs wahlweise Embedded-Varianten von Microsoft Windows oder speziell für diesen Einsatzzweck angepasste Linux-Derivate zum Einsatz, haben sich Letztere inzwischen durchgesetzt.
Vom Terminalserver zur VDI
Allen Vorteilen von Thin Clients im Hinblick auf Kosten und Wartungsaufwand zum Trotz war der Betrieb von Terminalservern initial und im laufenden Betrieb mit hohen Hürden verbunden, mussten Admins doch erst das nötige Wissen aufbauen. Und gab sich Microsoft auch Mühe, das Erscheinungsbild des Desktops auf Client und Server anzugleichen, blieben es doch zwei verschiedene Betriebssysteme. So mussten IT-Verantwortliche fortan sämtliche Applikationen und Updates für zwei Plattformen testen und ausrollen.
Erleichterung brachte hier die Virtualisierung, die mit begleitenden Technologien wie Snapshots, Klonen sowie automatisierter Provisionierung zahlreicher virtueller Maschinen (VM) den Boden für den Wandel hin zur Virtual Desktop Infrastructure (VDI) bereitete. Im Gegensatz zum klassischen Terminalserver im Multi-User-Betrieb stellt eine VDI jedem Anwender ein dediziertes Client-Betriebssystem bereit.
Je nach Anforderungen der Nutzer sind verschiedene Betriebsmodelle möglich, wobei steigende Flexibilität auch steigende Kosten und Aufwände bedeutet. Der einfachste Fall, als Pooled- oder auch Non-Permanent-VDI bezeichnet, ordnet jedem Anwender zufällig eine Desktop-VM aus einem Pool gleichartiger Maschinen zu. Alle VMs starten aus einem schreibgeschützten Abbild, dem Golden Image, und werden nach Abmeldung des Users zurückgesetzt. Um neue Applikationen und Updates auszurollen, ersetzen Admins lediglich das Golden Image durch eine neue Version.
Im Gegensatz dazu erhält mit einer Personal- oder Permanent-VDI jeder Nutzer seine individuelle VM, je nach geforderter Leistung sogar eine dedizierte physische Hardware. Eine solche Maschine ermöglicht individuelle Software, erhöht jedoch den Ressourcenbedarf und die Aufwände zur Installation von Applikationen und Updates.
Grafik benötigt Leistung auf dem Thin Client
Auch um grafikintensive Anwendungen kümmern sich weiterhin Microsoft und Citrix mit ihren Werkzeugen, beide mit deutlich verbesserten Möglichkeiten ihrer Remote-Protokolle. So hat Microsoft unter dem Label RemoteFX den Funktionsumfang von RDP erweitert, während Citrix ICA zur High Definition eXperience (HDX) weiterentwickelt hat. Als dritter großer Anbieter von VDI für die Windows-Welt hat sich VMware mit dem Produkt Horizon View und den eigenen Protokollen PC-over-IP (PCoIP) und Blast etabliert.
Allen gemeinsam ist, dass sie auch Grafik- und Multimedia-Anwendungen unterstützen, je nach Anwendungsfall mittels serverseitiger Grafikprozessoren (GPU) oder Verlagerung von Rechenaufgaben auf den Client. Letzteres brachte es mit sich, dass heutige Thin Clients gegenüber ihren Urahnen an Leistung zugelegt haben. In Verbindung mit den signifikanten Verbesserungen der Performance von Remote-Protokollen können Thin Clients heutzutage annähernd jeden Anwendungsfall eines herkömmlichen Win-dows-Rechners abbilden.
Sicherer externer Zugriff
Lange Zeit waren Thin Clients vor allem auf den Einsatz in den physischen Gebäuden eines Unternehmens beschränkt. Doch der Trend zur flexiblen Arbeit an wechselnden Standorten und im Home Office hält ungebrochen an, zuletzt massiv beschleunigt durch die Auswirkungen der Corona-Pandemie. Hier waren Unternehmen, die schon zuvor eine VDI aufgebaut hatten, klar im Vorteil, konnten sie doch den unvermittelt ins Home Office verschlagenen Anwendern auch das sichere Arbeiten an privaten Endgeräten ermöglichen.
Die passenden Werkzeuge zur Absicherung des Zugangs haben die jeweiligen Anbieter im Programm. Wer rein mit Microsofts Bordmitteln arbeiten möchte, nutzt das Remotedesktop-Gateway, einen Rollendienst aus dem Funktionsumfang der Remotedesktopdienste. VMware bietet das Unified Access Gateway. Und Citrix hat mit dem hauseigenen Application Delivery Controller (ADC) eine ausgewachsene Lösung in Form von virtuellen oder physischen Appliances im Angebot, die als Citrix Gateway den kontextabhängigen Zugriff auf die Infrastruktur der Citrix Virtual Apps and Desktops (CVAD) realisieren.
Altgediente Admins kennen den ADC unter seinem früheren Namen NetScaler, während CVAD die Nachfolge der vorherigen Lösungen XenApp und XenDesktop angetreten hat. Das Citrix Gateway verbindet externe Clients mit dem Webinterface der Storefront, die wiederum den Zugriff auf die von den Delivery Controllern angebotenen Ressourcen vermittelt. Dabei kann es sich sowohl um komplette Desktops wie auch um einzelne veröffentlichte Applikationen handeln, und dies wahlweise auf Basis von Windows oder Linux.
Nicht ohne MFA
Alle Anbieter haben gemeinsam, dass sie das jeweilige Remote-Protokoll in HTTPS verpacken und dass IT-Verantwortliche den Zugriff von extern zwingend mit einer Multifaktor-Authentifizierung (MFA) verbinden sollten. Eine Absicherung mit Benutzernamen und Passwörtern allein ist definitiv nicht mehr ausreichend und hat einige erfolgreiche Ransomware-Angriffe der jüngeren Vergangenheit ermöglicht.
Dem Stand der Technik entsprechend abgesichert und lediglich eine passende Clientsoftware vorausgesetzt, bleiben mithilfe einer VDI sämtliche Daten sicher im internen Netz des Unternehmens. Anwender verbinden sich von jedem Ort und jedem Endgerät mit ihren virtuellen Desktops und arbeiten dort weitestgehend so, als wären sie physisch an ihrem Arbeitsplatz im Büro. Doch handelt es sich beim Endgerät um einen vom Unternehmen verwalteten Windows-Client, bleiben den Admins die damit verbundenen Kosten und Arbeitsstunden erhalten.
Die Ausgaben im Blick
Die Kosten eines herkömmlichen Arbeitsplatzsystems über den kompletten Lebenszyklus (TCO) übersteigen den reinen Kaufpreis der Hardware bei Weitem. Zur Clienthardware selbst, und im Falle eines Notebooks auch einer Docking-Station, gesellen sich das Windows-Client-Betriebssystem und je nach Lizenzabkommen mit Microsoft auch Client-Access-Lizenzen (CAL). Hinzu kommen unter anderem eine fortgeschrittene Abwehr von Schadsoftware (Endpoint Detection and Response, EDR), Festplattenverschlüsselung, Fernwartungssoftware, Softwareverteilung sowie Lizenz- und Assetmanagement. Alle verursachen in Form von Wartungspauschalen oder Mietlizenzen laufende Kosten pro Betriebsjahr und beschäftigen die Admins.
Soll ein Client ohnehin nur dem Zugriff auf virtuelle Desktops dienen, bleiben die meisten Funktionen ungenutzt und das Clientmanagement verursacht unverhältnismäßig hohe Kosten. Dies bringt uns zurück zur eingangs gestellten Frage, inwieweit sich Thin Clients bei geografisch flexibler Nutzung als Alternative zum herkömmlichen Windows-Client anbieten.
Auch mit älterer Hardware unterwegs
Wie der mobile Einsatz von Thin Clients gelingen kann, hatten wir uns bereits anhand des auf Linux basierenden Betriebssystems IGEL OS 11 angesehen [2]. Der gleichnamige Hersteller IGEL Technology hat sich inzwischen vom Hardware- zum reinen Softwareanbieter gewandelt und zum Ende des vergangenen Jahres die Produktion eigener Hardware komplett eingestellt. Unter dem Label "IGEL Ready" zertifiziert der Hersteller nun die Systeme von Drittanbietern, die er für die Integration mit IGEL OS validiert hat [3]. Als Partner sind unter anderem HP, Lenovo und LG Teil dieses Programms.
Mit dem Prädikat "IGEL Ready Advanced" liefern diese Hersteller sogar Clients ab Werk mit vorinstalliertem IGEL OS aus. Damit lösen sie die bisherige Hardware der Typen IGEL UD2, UD3 und UD7 ab, die ebenso wie in Bildschirme integrierte All-in-One-Geräte primär auf den stationären Einsatz abzielen. Darüber hinaus hat IGEL jedoch ausdrücklich auch mobile Anwendungsfälle im Fokus und unterstützt offiziell eine breite Palette an Notebooks – darunter der HP MT46 Mobile Thin Client, Lenovo Thinkpad K14/L13/L14 sowie LG Gram 14/15/17 [4].
Unsere Tests zeigten, dass ein Neukauf zertifizierter Hardware nicht zwingend nötig ist, denn IGEL OS ist sehr genügsam und startet bereits auf einem Client mit x86_64-Prozessor ab 1 GHz aufwärts mit 2 GByte RAM und 2 GByte Speicher, wahlweise mittels UEFI Secure Boot oder auch im Legacy/BIOS-Modus. Je nach Anwendungsfall steigt mit clientseitiger Multimediaverarbeitung, hochauflösender Grafik oder mehreren Monitoren der Ressourcenbedarf, doch grundsätzlich können Unternehmen auch ältere Systeme aus dem Bestand in Thin Clients konvertieren und so die Anschaffung neuer Hardware vermeiden oder zumindest vertagen.
Externe Thin Clients verwalten
Installiert auf Notebookhardware kommuniziert IGEL OS 11 wahlweise per Ethernet, WLAN oder auch Mobilfunk. Alternativ zu einem Smartphone als persönlichem Hotspot versteht sich IGEL OS auch auf direkt im Notebook integrierte Mobilfunkmodule und bietet die Konfiguration bereits beim initialen Setup an [5].
Wie Sie die Konfiguration zahlreicher Endgeräte zentral über die IGEL Unified Management Suite (UMS) erledigen und via IGEL Cloud Gateway (ICG) auch Clients einbinden, die extern unterwegs sind, hatten wir bereits im erwähnten Artikel demonstriert. Auf diesem Weg versorgen Sie Clients ortsunabhängig mit Konfigurationsprofilen, erhalten Inventardaten zurück und können Anwendern bei Bedarf mittels der integrierten Fernwartungsfunktion helfen. Installation und Konfiguration neuer Geräte sind schnell erledigt und es vergehen keine Stunden, um einen ausgewachsenen Windows-Client einzurichten, mit Software zu betanken und zu verschlüsseln. Um externe Thin Clients auch mit Firmware-Updates zu versorgen, benötigen Sie allerdings zusätzlich zum ICG außerhalb erreichbaren Storage, etwa einen Amazon S3-kompatiblen Speicherbereich [6].
VDI-Session per Gateway oder VPN
Mit UMS und ICG verwalten Sie Ihre Clientflotte unabhängig vom Standort. Allerdings gilt zu beachten, dass die beiden Werkzeuge sich ausschließlich um die Konfiguration der Thin Clients kümmern, nicht um einen sicheren Tunnel zur VDI im internen Netz. Soll ein Client also auch aus dem Home Office des Anwenders den Weg zu einem virtuellen Desktop finden, müssen Sie den Zugriff von extern separat realisieren.
Dabei helfen die Gateways des jeweiligen VDI-Anbieters oder ein anderweitiger Application Delivery Controller. Alternativ können Sie einem externen Client auch per klassischem VPN den Weg ebnen. Dazu bringt IGEL OS bereits ab Werk Unterstützung für OpenConnect und OpenVPN mit. Darüber hinaus können Sie mit einer Custom-Partition die Funktionalität von IGEL OS erweitern. Im Vergleich zum Einsatz eines Gateways ist dies der aufwändigere Weg, den IGEL aber mit Vorlagen für diverse VPNs, darunter WireGuard und einige namhafte Netzwerkausrüster, unterstützt [7].
Ausblick auf IGEL OS 12
Die bisherige Version IGEL OS 11 in Verbindung mit UMS 6 ermöglicht bereits flexible Einsatzszenarien. Allerdings basiert IGEL OS 11 auf einem monolithischen Firmware-Image, das sämtliche Remote-Clients beinhaltet. Haben Sie den Bedarf, eine neue Version des Citrix- oder VMware-Clients auszubringen, bedeutet dies immer die Auslieferung und Installation einer komplett neuen Firmware mit einem Umfang von mehreren GBytes.Mit der neuen Version IGEL OS 12, die leider zum Redaktionsschluss dieser Ausgabe noch nicht verfügbar war, ändert der Hersteller die Architektur, die künftig auf eine modulare Firmware in Verbindung mit Cloudservices setzen wird. Mit der Trennung von Firmware und Remote-Clients vereinfacht der Hersteller Updates und reduziert die damit verbundenen Downloadgrößen. Dazu stellt IGEL den bereits jetzt verfügbaren Support- und Lizenzportalen weitere Dienste zur Seite. Darüber können Sie aus dem App-Portal genau die für Ihren Bedarf passenden Remote-Clients installieren und damit den Ressourcenbedarf des Betriebssystems weiter reduzieren.Weiterhin vereinfacht der Onboarding-Service die Inbetriebnahme neuer Clients. Nutzen Sie etwa bereits das Azure Active Directory, können Sie Anwendern einen neuen Client ohne Konfiguration nach Hause schicken. Sobald der Anwender sich mit seinem persönlichen Azure-Benutzerkonto anmeldet, erhält der Client die passende Konfiguration.Lediglich um Installation und Betrieb der UMS müssen Sie sich noch selbst kümmern. Diese macht ebenfalls einen Sprung auf die Version 12, schickt das bisherige auf Java basierende GUI in Rente und setzt stattdessen auf ein HTML5-Webfrontend. Unternehmen, die auf eine komplett lokale Bereitstellung statt Cloud setzen, sollen laut IGEL sämtliche Dienste zur Verwaltung der Clients auch weiterhin lokal betreiben können.
Cloudnative Clients
Die bisherigen Ansätze basieren auf einem klassischen Verständnis von Drinnen und Draußen, also einem Perimeter-Netzwerk mit internem Bereich und vorgeschalteter DMZ. Doch mit dem Aufkommen von Konzepten wie Zero Trust und Secure
Access Service Edge verschwimmen die Grenzen zunehmend und auch virtuelle Desktops streben in die Cloud. So unterstützen etwa Citrix und VMware den Betrieb ihrer VDI-Umgebungen auf Basis von Microsoft Azure, während Microsoft selbst noch einen Schritt weitergeht.
Mit den Azure Virtual Desktops und dem weniger komplexen Windows 365 Cloud-PC hat Microsoft gleich zwei cloudnative Dienste geschaffen, die IGEL OS unterstützt. Statt im eigenen lokalen Netz können Sie auch UMS und ICG in Azure oder einer anderweitigen Cloudinfrastruktur betreiben. Somit wird der Betrieb sowohl der virtuellen Desktops als auch der Clients komplett ortsunabhängig.
Das schlanke IGEL OS reduziert den Client dabei auf das Wesentliche in Form eines schreibgeschützten Betriebssystems mit minimalem Speicherbedarf. Abseits des Werts der Hardware bedeutet ein Verlust des Clients kein Sicherheitsrisiko, da keinerlei lokale Daten vorhanden sind und Sie das Gerät aus der Ferne deaktivieren und am Zugriff auf Ihre Desktops hindern können.
Fazit
Mobile Thin Clients bieten sich als Alternative zu ausgewachsenen Clients an und das inzwischen unabhängig vom Standort des Anwenders, denn aufgrund der effizienten Remote-Protokolle genügen geringere Bandbreiten. Allerdings sind die heutigen Thin Clients im WLAN oder Mobilfunknetz zwingend auf eine stabile Verbindung angewiesen. Sie ermöglichen damit zwar ortsunabhängiges, jedoch nicht beliebig ortsveränderliches Arbeiten. Anwender im ICE von Düsseldorf nach München werden mit einem mobilen Thin Client nicht glücklich werden, sondern weiterhin nach einem konventionellen Client verlangen. In Zeiten von Flex-Work können Sie Anwendern aber sichere und wartungsarme Endgeräte zur Verfügung stellen, ohne dass unbeabsichtigt sensible Daten die physischen sowie virtuellen Grenzen des Unternehmens verlassen.