Los escenarios de implementación descritos en este capítulo pueden ayudarle a identificar y organizar la implementación de Unified Access Gateway en su entorno. Unified Access Gateway es un dispositivo que normalmente se instala en una zona desmilitarizada (DMZ) y que se utiliza para garantizar que el único tráfico que entra en el centro de datos corporativo sea el tráfico en nombre de un usuario remoto perfectamente autenticado.
Puede implementar Unified Access Gateway con Horizon 8, Horizon Cloud Service, Workspace ONE Access y Workspace ONE UEM.
Unified Access Gateway como puerta de enlace segura
Unified Access Gateway dirige las solicitudes de autenticación al servidor correspondiente y desecha todas las solicitudes sin autenticar. Los usuarios solo pueden acceder a los recursos para los que tengan autorización.
Unified Access Gateway también garantiza que el tráfico de un usuario autenticado se pueda dirigir solo a los recursos de escritorios y aplicaciones para los que dicho usuario tenga autorización. Este nivel de protección implica la inspección específica de protocolos de escritorio y la coordinación de las direcciones de red y las directivas que pueden cambiar con rapidez, para poder controlar con precisión el acceso.
Unified Access Gateway funciona como host de proxy para las conexiones internas de la red de confianza de su empresa. Este diseño proporciona una capa de seguridad adicional al proteger los escritorios virtuales, los hosts de las aplicaciones y los servidores de la parte pública de Internet.
Unified Access Gateway está diseñado específicamente para el archivo DMZ. Se han implementado las siguientes opciones de seguridad.
- Revisiones de software y kernel de Linux actualizados
- Compatibilidad con varias NIC para el tráfico de Internet e intranets
- SSH inhabilitado
- Servicios FTP, Teleta, Rlogin o Rsh inhabilitados
- Servicios no deseados inhabilitados
Utilizar Unified Access Gateway en lugar de una red privada virtual
Unified Access Gateway y las soluciones VPN genéricas son similares ya que ambos garantizan que el tráfico se reenvía a una red interna únicamente en nombre de usuarios con autenticación sólida.
Entre las ventajas de Unified Access Gateway sobre la VPN genérica se incluyen las siguientes:
- Access Control Manager. Unified Access Gateway aplica reglas de acceso automáticamente. Unified Access Gateway reconoce las autorizaciones de los usuarios y el direccionamiento requerido para conectarse internamente. Una VPN hace lo mismo, ya que la mayoría de las VPN permiten a un administrador configurar las reglas de conexión de red para cada usuario o grupo de usuarios individualmente. Al principio, esto funciona bien con una VPN, pero mantener las reglas necesarias exige un esfuerzo administrativo importante.
- Interfaz de usuario. Unified Access Gateway no modifica la clara interfaz de usuario de Horizon Client. Con Unified Access Gateway, cuando Horizon Client se inicia, los usuarios autenticados se encuentran en sus entornos de Horizon Connection Server y tienen acceso controlado a sus escritorios y aplicaciones. En una VPN, es obligatorio configurar primero el software de la VPN y autenticar por separado antes de iniciar Horizon Client.
- Rendimiento. Unified Access Gateway está diseñado para maximizar la seguridad y el rendimiento. Con Unified Access Gateway, PCoIP, HTML Access y los protocolos WebSocket están seguros sin necesidad de encapsulaciones adicionales. Las VPN se implementan como VPN SSL. Esta implementación cumple los requisitos de seguridad y, con TLS habilitado, se considera segura, pero el protocolo subyacente con SSL/TLS está basado simplemente en TCP. Los protocolos actuales de vídeo remoto aprovechan los transportes basados en UDP sin conexión, por lo que sus ventajas de rendimiento pueden verse mermadas si deben utilizar un transporte basado en TCP. Esto no se aplica a todas las tecnologías de VPN, ya que las que también funcionan con DTLS o IPsec en lugar de SSL/TLS ofrecen un buen rendimiento con los protocolos de escritorio de Horizon Connection Server.