Un dispositivo Unified Access Gateway es la puerta de enlace predeterminada para acceder de forma segura a aplicaciones y escritorios remotos desde fuera del firewall empresarial.

Para ver la documentación de la última versión de Unified Access Gateway, consulte el documento Implementación y configuración de VMware Unified Access Gateway en https://docs.vmware.com/es/Unified-Access-Gateway/index.html.

Un dispositivo Unified Access Gateway reside en una zona desmilitarizada de la red (DMZ) y actúa como un host de proxy para las conexiones en una red de confianza, proporcionando una capa adicional de seguridad que protege los escritorios virtuales, los hosts de las aplicaciones y los servidores de parte pública de Internet.

Configurar un dispositivo de Unified Access Gateway

Unified Access Gateway y las soluciones VPN genéricas son similares ya que ambos garantizan que el tráfico se reenvía a una red interna únicamente en nombre de usuarios con autenticación sólida.

Entre las ventajas de Unified Access Gateway sobre la VPN genérica se incluyen las siguientes:

  • Access Control Manager. Unified Access Gateway aplica reglas de acceso automáticamente. Unified Access Gateway reconoce las autorizaciones de los usuarios y el direccionamiento requerido para conectarse internamente. Una VPN hace lo mismo, ya que la mayoría de las VPN permiten a un administrador configurar las reglas de conexión de red para cada usuario o grupo de usuarios individualmente. Al principio, esto funciona bien con una VPN, pero mantener las reglas necesarias exige un esfuerzo administrativo importante.
  • Interfaz de usuario. Unified Access Gateway no modifica la clara interfaz de usuario de Horizon Client. Con Unified Access Gateway, cuando Horizon Client se inicia, los usuarios autenticados se encuentran en sus entornos de View y tienen acceso controlado a sus escritorios y aplicaciones. En una VPN, es obligatorio configurar primero el software de la VPN y autenticar por separado antes de iniciar Horizon Client.
  • Rendimiento. Unified Access Gateway está diseñado para maximizar la seguridad y el rendimiento. Con Unified Access Gateway, PCoIP, HTML Access y los protocolos WebSocket están seguros sin necesidad de encapsulaciones adicionales. Las VPN se implementan como VPN SSL. Esta implementación cumple los requisitos de seguridad y, con TLS habilitado, se considera segura, pero el protocolo subyacente con SSL/TLS está basado simplemente en TCP. Los protocolos actuales de vídeo remoto aprovechan los transportes basados en UDP sin conexión, por lo que sus ventajas de rendimiento pueden verse mermadas si deben utilizar un transporte basado en TCP. Esto no se aplica a todas las tecnologías de VPN, ya que las que también funcionan con DTLS o IPsec en lugar de SSL/TLS ofrecen un buen rendimiento con los protocolos de escritorio de Horizon 7.

Mejorar la seguridad de Horizon con Unified Access Gateway

Un dispositivo de Unified Access Gateway mejora la seguridad superponiendo la capa de autenticación de la certificación del dispositivo encima de la autenticación del usuario para que el acceso se pueda limitar solo a los dispositivos conocidos y agregando otra capa de seguridad en la infraestructura de escritorio virtual.
Nota: Esta función solo es compatible con Horizon Client para Windows.
  • Consulte cómo configurar el certificado o la autenticación de tarjeta inteligente en el dispositivo Unified Access Gateway en el documento Implementación y configuración de VMware Unified Access Gateway disponible en https://docs.vmware.com/es/Unified-Access-Gateway/index.html.
  • La función para comprobar el cumplimiento del endpoint proporciona una capa extra de seguridad para acceder a los escritorios de Horizon, además del resto de servicios de autenticación del usuario que están disponibles en Unified Access Gateway. Consulte cómo comprobar el cumplimiento del endpoint para Horizon en el documento Implementación y configuración de VMware Unified Access Gateway disponible en https://docs.vmware.com/es/Unified-Access-Gateway/index.html.
Importante: Cuando un dispositivo Unified Access Gateway se configura para la autenticación de dos fases (RSA SecurID y RADIUS) y la coincidencia de nombres de usuario de Windows está habilitada y hay varios dominios de usuario, debe habilitar el servidor de conexión para enviar la lista de dominios, de modo que el usuario pueda seleccionar el dominio adecuado mientras utiliza el nombre de usuario y la contraseña de Windows para la autenticación.

DMZ de doble salto

En los casos en los que se requiera una DMZ de doble salto entre Internet y la red interna, puede implementar un dispositivo Unified Access Gateway en la DMZ externa como un proxy inverso de web con Unified Access Gateway en la DMZ interna para crear una configuración DMZ de doble salto. El tráfico pasará a través de un proxy inverso específico en cada capa de la DMZ y no podrá omitir una capa de la DMZ. Para obtener más información sobre esa configuración, consulte el documento Implementación y configuración de VMware Unified Access Gateway.