Les scénarios de déploiement décrits dans ce chapitre peuvent vous aider à identifier et à organiser le déploiement d'Unified Access Gateway dans votre environnement. Unified Access Gateway est un dispositif normalement installé dans une zone démilitarisée (DMZ) et qui est utilisé pour s'assurer que le seul trafic entrant dans le centre de données d'entreprise est le trafic pour le compte d'un utilisateur distant à authentification forte.
Vous pouvez déployer Unified Access Gateway avec Horizon 8, Horizon Cloud Service, Workspace ONE Access et Workspace ONE UEM.
Unified Access Gateway comme une passerelle sécurisée
Unified Access Gateway redirige les demandes d'authentification vers le serveur approprié et rejette toute demande non authentifiée. Les utilisateurs ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.
Unified Access Gateway garantit également que le trafic d'un utilisateur authentifié peut être dirigé uniquement vers les ressources de poste de travail et d'application auxquelles l'utilisateur est autorisé à accéder. Ce niveau de protection implique une inspection spécifique des protocoles de poste de travail et une coordination des stratégies et des adresses réseau susceptibles de changer rapidement pour pouvoir contrôler l'accès de façon précise.
Unified Access Gateway agit comme un hôte proxy pour les connexions à l'intérieur du réseau approuvé de votre entreprise. Cette conception offre une couche de sécurité supplémentaire en protégeant les postes de travail virtuels, les hôtes d'application et les serveurs vis-à-vis des sites Internet publics.
Unified Access Gateway est conçu spécifiquement pour la zone DMZ. Les paramètres de renforcement suivants sont implémentés.
- Noyau Linux et correctifs logiciels à jour
- Prise en charge de plusieurs cartes réseau pour le trafic sur Internet et l'intranet
- SSH désactivé
- Services FTP, Telnet, Rlogin ou Rsh désactivés
- Services indésirables désactivés
Utilisation d'Unified Access Gateway au lieu d'un réseau privé virtuel
Unified Access Gateway et les solutions VPN génériques sont similaires, puisqu'elles s'assurent que le trafic est transmis à un réseau interne uniquement pour le compte d'utilisateurs à authentification élevée.
Avantages d'Unified Access Gateway par rapport aux solutions VPN génériques :
- Access Control Manager. Unified Access Gateway applique des règles d'accès automatiquement. Unified Access Gateway reconnaît les droits des utilisateurs et l'adressage requis pour se connecter en interne. Un VPN fait la même chose, car la plupart des VPN autorisent un administrateur à configurer des règles de connexion réseau pour chaque utilisateur ou groupe d'utilisateurs individuellement. Au début, cela fonctionne bien avec un VPN, mais exige un travail administratif important pour appliquer les règles requises.
- Interface utilisateur. Unified Access Gateway ne modifie pas l'interface utilisateur Horizon Client simple. Avec Unified Access Gateway, lorsque Horizon Client est lancé, les utilisateurs authentifiés sont dans leur environnement Horizon Connection Server et disposent d'un accès contrôlé à leurs postes de travail et applications. Un VPN exige que vous configuriez le logiciel VPN, puis que vous vous authentifiiez séparément avant de lancer Horizon Client.
- Performances. Unified Access Gateway est conçu pour maximiser la sécurité et les performances. Avec Unified Access Gateway, les protocoles PCoIP, HTML Access et WebSocket sont sécurisés sans qu'une encapsulation supplémentaire soit nécessaire. Des VPN sont implémentés en tant que VPN SSL. Cette implémentation répond aux exigences de sécurité et, avec TLS (Transport Layer Security) activé, elle est considérée comme sûre, mais le protocole sous-jacent avec SSL/TLS est simplement basé sur TCP. Avec des protocoles modernes de vidéo à distance exploitant des transports UDP sans connexion, les avantages de performance peuvent être considérablement réduits lorsque l'on force le transport TCP. Cela ne s'applique pas à toutes les technologies de VPN, car celles qui peuvent également fonctionner avec DTLS ou IPsec au lieu de SSL/TLS peuvent fonctionner correctement avec des protocoles de poste de travail Horizon Connection Server.