Un dispositif Unified Access Gateway est une passerelle par défaut qui permet d'accéder en toute sécurité à des applications et des postes de travail distants depuis l'extérieur du pare-feu d’entreprise.

Pour obtenir la dernière version de la documentation d'Unified Access Gateway, reportez-vous au document Déploiement et configuration de VMware Unified Access Gateway dans https://docs.vmware.com/fr/Unified-Access-Gateway/index.html.

Un dispositif Unified Access Gateway réside dans une zone démilitarisée (DMZ) et agit comme un hôte proxy pour les connexions à l'intérieur d'un réseau approuvé, ce qui offre une couche supplémentaire de sécurité en protégeant les postes de travail virtuels, les hôtes d'application et les serveurs contre l'Internet public.

Configurer un dispositif Unified Access Gateway

Unified Access Gateway et les solutions VPN génériques sont similaires, puisqu'elles s'assurent que le trafic est transmis à un réseau interne uniquement pour le compte d'utilisateurs à authentification élevée.

Avantages d'Unified Access Gateway par rapport aux solutions VPN génériques :

  • Access Control Manager. Unified Access Gateway applique des règles d'accès automatiquement. Unified Access Gateway reconnaît les droits des utilisateurs et l'adressage requis pour se connecter en interne. Un VPN fait la même chose, car la plupart des VPN autorisent un administrateur à configurer des règles de connexion réseau pour chaque utilisateur ou groupe d'utilisateurs individuellement. Au début, cela fonctionne bien avec un VPN, mais exige un travail administratif important pour appliquer les règles requises.
  • Interface utilisateur. Unified Access Gateway ne modifie pas l'interface utilisateur Horizon Client simple. Avec Unified Access Gateway, lorsqu'Horizon Client est lancé, les utilisateurs authentifiés sont dans leur environnement View et disposent d'un accès contrôlé à leurs postes de travail et applications. Un VPN exige que vous configuriez le logiciel VPN, puis que vous vous authentifiiez séparément avant de lancer Horizon Client.
  • Performances. Unified Access Gateway est conçu pour maximiser la sécurité et les performances. Avec Unified Access Gateway, les protocoles PCoIP, HTML Access et WebSocket sont sécurisés sans qu'une encapsulation supplémentaire soit nécessaire. Des VPN sont implémentés en tant que VPN SSL. Cette implémentation répond aux exigences de sécurité et, avec TLS (Transport Layer Security) activé, elle est considérée comme sûre, mais le protocole sous-jacent avec SSL/TLS est simplement basé sur TCP. Avec des protocoles modernes de vidéo à distance exploitant des transports UDP sans connexion, les avantages de performance peuvent être considérablement réduits lorsque l'on force le transport TCP. Cela ne s'applique pas à toutes les technologies de VPN, car celles qui peuvent également fonctionner avec DTLS ou IPsec au lieu de SSL/TLS peuvent fonctionner correctement avec des protocoles de poste de travail Horizon 7.

Améliorer la sécurité d'Horizon avec Unified Access Gateway

Un dispositif Unified Access Gateway renforce la sécurité en superposant l'authentification de certification des terminaux au-dessus de l'authentification des utilisateurs afin que l'accès puisse être limité uniquement à partir des terminaux bien connus et en ajoutant une autre couche de sécurité sur l'infrastructure de postes de travail virtuels.
Note : Cette fonctionnalité est prise en charge dans Horizon Client pour Windows uniquement.
  • Reportez-vous à la section Configuration de l'authentification par certificat ou carte à puce sur le dispositif Unified Access Gateway dans le document Déploiement et configuration de VMware Unified Access Gateway dans https://docs.vmware.com/fr/Unified-Access-Gateway/index.html.
  • La fonctionnalité Vérifications de la conformité du point de terminaison fournit une couche supplémentaire de sécurité pour accéder à des postes de travail Horizon, en plus des autres services d'authentification utilisateur qui sont disponibles sur Unified Access Gateway. Reportez-vous à la section Vérifications de la conformité du point de terminaison pour Horizon dans le document Déploiement et configuration de VMware Unified Access Gateway dans https://docs.vmware.com/fr/Unified-Access-Gateway/index.html.
Important : Lorsqu'un dispositif Unified Access Gateway est configuré pour l'authentification à deux facteurs (RSA SecureID et RADIUS), que la correspondance de nom d'utilisateur Windows est activée et qu'il existe plusieurs domaines d'utilisateurs, vous devez activer le Serveur de connexion pour qu'il envoie la liste de domaines afin que l'utilisateur puisse sélectionner le domaine correct lors de l'utilisation du nom d'utilisateur et du mot de passe Windows pour l'authentification.

Zone DMZ à deux tronçons

Pour les situations où une zone DMZ à deux tronçons entre Internet et le réseau interne est requise, vous pouvez déployer un dispositif Unified Access Gateway dans la zone DMZ externe en tant que proxy inverse Web avec Unified Access Gateway dans la zone DMZ interne afin de créer une configuration de zone DMZ à deux tronçons. Le trafic transite par un proxy inverse spécifique dans chaque couche de zone DMZ et ne peut pas contourner une couche de zone DMZ. Pour plus d'informations sur la configuration, consultez le document Déploiement et configuration de VMware Unified Access Gateway.