VPN 経由で Unified Access Gateway アプライアンスを使用する利点

Unified Access Gateway アプライアンスは、企業のファイアウォールの外側からリモートデスクトップおよびアプリケーションに安全にアクセスできるようにするデフォルトゲートウェイです。

Unified Access Gateway ドキュメントの最新バージョンについては、https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』を参照してください。

Unified Access Gateway アプライアンスは、ネットワークの非武装地帯 (DMZ) に配置され、信頼できるネットワーク内の接続に対してプロキシホストとして機能します。仮想デスクトップ、アプリケーションホスト、サーバが公衆インターネットから隠ぺいされるため、追加のセキュリティレイヤが実現されます。

Unified Access Gateway アプライアンスの構成

Unified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Unified Access Gateway は、次の点で優れています。

アクセスコントロールマネージャ。Unified Access Gateway は、アクセスルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半の VPN では管理者が各ユーザーまたは各ユーザーグループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。
ユーザーインターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザーインターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。
パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTML Access、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオリモーティングプロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、Horizon 7 デスクトッププロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。

Unified Access Gateway による Horizon のセキュリティの強化

Unified Access Gateway アプライアンスは、ユーザー認証の他にデバイスの証明書の認証を行い、既知の良好なデバイスからのアクセスのみを許可します。これにより、仮想デスクトップインフラストラクチャを多層的に保護しています。

注：この機能は、 Horizon Client for Windows でのみサポートされます。

https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『VMware Unified Access Gateway の導入および設定』で、「Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成」を参照してください。
Unified Access Gateway で使用可能な他のユーザー認証サービスに加え、エンドポイントコンプライアンスチェック機能を使用すると、Horizon デスクトップへのアクセスに対するセキュリティが強化されます。https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』で「Horizon のエンドポイントコンプライアンスチェック」を参照してください。

重要： Unified Access Gateway アプライアンスで 2 要素認証（RSA SecureID と RADIUS）が構成され、Windows ユーザー名の一致が有効で、複数のユーザードメインがある場合は、Windows ユーザー名とパスワードで認証を行うときにユーザーが正しいドメインを選択できるように、Connection Server にドメインリストの送信を許可する必要があります。

ダブルホップ DMZ

インターネットと内部ネットワークの間にダブルホップ DMZ が必要な場合、内側の DMZ に Unified Access Gateway を展開し、外側の DMZ に Web リバースプロキシとして Unified Access Gateway アプライアンスをデプロイすることで、ダブルホップ DMZ 構成を作成できます。トラフィックは、各 DMZ レイヤーの特定のリバースプロキシを通過しますが、DMZ レイヤーをバイパスすることはできません。構成の詳細については、『VMware Unified Access Gateway の導入および設定』を参照してください。