Eine Unified Access Gateway-Appliance ist ein Standard-Gateway für den sicheren Zugriff auf Remote-Desktops und -anwendungen von außerhalb der Unternehmensfirewall.

Die neueste Version der Dokumentation zu Unified Access Gateway finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway unter https://docs.vmware.com/de/Unified-Access-Gateway/index.html.

Eine Unified Access Gateway-Appliance befindet sich in einer demilitarisierten Netzwerkzone (DMZ) und fungiert als Proxy-Host für Verbindungen in ein vertrauenswürdiges Netzwerk. Sie bietet eine zusätzliche Schutzebene, indem sie virtuelle Desktops, Anwendungshosts und Server vom öffentlichen Internet abschirmt.

Konfigurieren einer Unified Access Gateway-Appliance

Unified Access Gateway und generische VPN-Lösungen ähneln sich, da beide sicherstellen, dass Datenverkehr nur für sicher authentifizierte Benutzer in ein internes Netzwerk weitergeleitet wird.

Unified Access Gateway bietet im Vergleich zu einem generischen VPN die folgenden Vorteile.

  • Access Control Manager Unified Access Gateway wendet Zugriffsregeln automatisch an. Unified Access Gateway erkennt die Berechtigungen der Benutzer und die zur internen Verbindung erforderliche Adressierung. Ein VPN erreicht dasselbe, da bei den meisten VPNs ein Administrator Netzwerkverbindungsregeln für jeden Benutzer oder jede Benutzergruppe einzeln konfigurieren kann. Dies funktioniert zwar zunächst recht gut mit einem VPN, die Verwaltung der erforderlichen Regeln bringt aber erheblichen administrativen Arbeitsaufwand mit sich.
  • Benutzeroberfläche Unified Access Gateway nimmt keine Änderungen an der unkomplizierten Benutzeroberfläche von Horizon Client vor. Mit Unified Access Gateway befinden sich authentifizierte Benutzer beim Start des Horizon Client in ihrer View-Umgebung und haben kontrollierten Zugriff auf ihre Desktops und Anwendungen. Bei einem VPN müssen Sie zunächst die VPN-Software einrichten und dann separat die Authentifizierung durchführen, bevor der Horizon Client gestartet wird.
  • Leistung Unified Access Gateway ist für maximale Sicherheit und Leistung konzipiert. Mit Unified Access Gateway sind PCoIP-, HTML Access- und WebSocket-Protokolle ohne zusätzliche Kapselung gesichert. VPNs werden als SSL-VPNs implementiert. Diese Implementierung entspricht den Sicherheitsanforderungen und gilt bei aktiviertem TLS (Transport Layer Security) als sicher, aber das zugrunde liegende Protokoll bei SSL/TLS ist lediglich TCP-basiert. Da moderne Video-Remoting-Protokolle verbindungslose UDP-basierte Transporte nutzen, können die Leistungsvorteile bei Durchsetzen eines TCP-basierten Transports erheblich gemindert werden. Dies gilt nicht für alle VPN-Technologien, da diejenigen, die mit DTLS oder IPsec anstelle von SSL/TLS betrieben werden können, gut mit Horizon 7-Desktopprotokollen funktionieren können.

Optimieren der Horizon-Sicherheit mit Unified Access Gateway

Eine Unified Access Gateway-Appliance verbessert die Sicherheit, indem über der Ebene der Benutzerauthentifizierung eine Ebene für die Authentifizierung der Gerätezertifizierung eingefügt wird. So kann der Zugriff auf bekannte Geräte eingeschränkt werden. Sie stellt damit auch eine weitere Sicherheitsebene für die virtuelle Desktop-Infrastruktur zur Verfügung.
Hinweis: Diese Funktion wird nur von Horizon Client für Windows unterstützt.
  • Weitere Informationen finden Sie unter „Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance“ im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway unter https://docs.vmware.com/de/Unified-Access-Gateway/index.html.
  • Die Funktion zur Überprüfung der Endpunktübereinstimmung bietet neben den anderen Benutzer-Authentifizierungsdiensten, die Unified Access Gateway zur Verfügung stellt, eine zusätzliche Schutzebene für den Zugriff auf Horizon-Desktops. Siehe „Überprüfung der Endpunktübereinstimmung für Horizon“ im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway unter https://docs.vmware.com/de/Unified-Access-Gateway/index.html.
Wichtig: Wenn eine Unified Access Gateway-Appliance für die Zwei-Faktor-Authentifizierung konfiguriert ist (RSA SecureID und RADIUS) und die Windows-Benutzernamenübereinstimmung aktiviert ist und mehrere Benutzerdomänen vorhanden sind, sollten Sie zulassen, dass der Verbindungsserver die Domänenliste sendet, damit der Benutzer die richtige Domäne auswählen und gleichzeitig den Windows-Benutzernamen und das Kennwort für die Authentifizierung verwenden kann.

Doppel-Hop-Umkreisnetzwerk

Für Fälle, in denen ein Doppel-Hop-Umkreisnetzwerk zwischen dem Internet und dem internen Netzwerk erforderlich ist, können Sie eine Unified Access Gateway-Appliance im äußeren Umkreisnetzwerk als Web-Reverse-Proxy mit Unified Access Gateway im inneren Umkreisnetzwerk bereitstellen, um so eine Doppel-Hop-Konfiguration einzurichten. Der Datenverkehr wird über einen spezifischen Reverse-Proxy in jedes Umkreisnetzwerk geleitet und kann keine Umkreisnetzwerkschicht übergehen. Details zur Konfiguration finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.