Um appliance do Unified Access Gateway é um gateway padrão para acesso seguro a áreas de trabalho remotas e aplicativos de fora do firewall corporativo.

Para obter a versão mais recente da documentação do Unified Access Gateway, consulte o documento Implantando e configurando o VMware Unified Access Gateway em https://docs.vmware.com/br/Unified-Access-Gateway/index.html.

Um appliance do Unified Access Gateway reside em uma zona desmilitarizada de rede (DMZ) e atua como um host proxy para conexões dentro de uma rede confiável, fornecendo uma camada adicional de segurança ao proteger áreas de trabalho virtuais, hosts de aplicativos e servidores da Internet voltada para o público.

Configurar um dispositivo Unified Access Gateway

As soluções de VPN Unified Access Gateway e genéricas são semelhantes, pois ambas garantem que o tráfego seja encaminhado para uma rede interna somente em nome de usuários fortemente autenticados.

As vantagens do Unified Access Gateway sobre a VPN genérica incluem o seguinte.

  • Gerenciador de Controle de Acesso. Unified Access Gateway aplica regras de acesso automaticamente. Unified Access Gateway reconhece os direitos dos usuários e o endereçamento necessário para se conectar internamente. Uma VPN faz o mesmo, pois a maioria das VPNs permite que um administrador configure regras de conexão de rede para cada usuário ou grupo de usuários individualmente. A princípio, isso funciona bem com uma VPN, mas requer um esforço administrativo significativo para manter as regras necessárias.
  • Interface do usuário. Unified Access Gateway não altera a interface de usuário simples do Horizon Client. Com o Unified Access Gateway, quando o Horizon Client é iniciado, os usuários autenticados estão no ambiente do View e têm acesso controlado a suas áreas de trabalho e aplicativos. Uma VPN requer que você configure o software VPN primeiro e autentique-o separadamente antes de iniciar o Horizon Client.
  • Desempenho. Unified Access Gateway foi projetado para maximizar a segurança e o desempenho. Com o Unified Access Gateway, os protocolos PCoIP, HTML access e WebSocket são protegidos sem a necessidade de encapsulamento adicional. As VPNs são implementadas como VPNs SSL. Essa implementação atende aos requisitos de segurança e, com o Transport Layer Security (TLS) ativado, é considerada segura, mas o protocolo subjacente com SSL/TLS é apenas baseado em TCP. Com protocolos de comunicação remota de vídeo modernos que exploram transportes baseados em UDP sem conexão, os benefícios de desempenho podem ser significativamente reduzidos quando forçados em um transporte baseado em TCP. Isso não se aplica a todas as tecnologias de VPN, pois aquelas que também podem operar com DTLS ou IPsec em vez de SSL/TLS podem funcionar bem com VMware Horizon 8 protocolos de área de trabalho.

Melhore a segurança do VMware Horizon 8 com o Unified Access Gateway

Um appliance do Unified Access Gateway aprimora a segurança colocando a autenticação de certificação do dispositivo em camadas sobre a autenticação do usuário para que o acesso possa ser restrito apenas de dispositivos em boas condições e adicionando outra camada de segurança na infraestrutura de área de trabalho virtual.
Observação: Esse recurso é suportado em Horizon Client apenas para Windows.
  • Consulte Configurando a autenticação de certificado ou cartão inteligente no appliance do Unified Access Gateway no documento Implantando e configurando o VMware Unified Access Gateway em https://docs.vmware.com/br/Unified-Access-Gateway/index.html.
  • O recurso Verificações de Conformidade de Endpoint fornece uma camada extra de segurança para acessar áreas de trabalho, além de outros serviços de autenticação de usuário que estão disponíveis em Unified Access Gateway. Consulte Verificações de conformidade do endpoint para o Horizon no documento Implantação e configuração do VMware Unified Access Gateway em https://docs.vmware.com/br/Unified-Access-Gateway/index.html.
Importante: Quando um appliance do Unified Access Gateway estiver configurado para autenticação de dois fatores (RSA SecureID e RADIUS) e a correspondência de nome de usuário do Windows estiver habilitada, e houver vários domínios de usuário, você deverá habilitar o Servidor de Conexão para enviar a lista de domínios para que o usuário pode selecionar o domínio correto ao usar o nome de usuário e a senha Windows para autenticação.

DMZ de salto duplo

Para os casos em que uma DMZ de salto duplo entre a Internet e a rede interna é necessária, você pode implantar um dispositivo Unified Access Gateway na DMZ externa como um Web Proxy reverso com Unified Access Gateway na DMZ interna para criar uma DMZ dupla hop DMZ. O tráfego passa por um proxy reverso específico em cada camada DMZ e não pode ignorar uma camada DMZ. Para obter detalhes de configuração, consulte o documento Implantando e configurando VMware Unified Access Gateway.