Unified Access Gateway アプライアンスは、企業のファイアウォールの外側からリモート デスクトップおよびアプリケーションに安全にアクセスできるようにするデフォルト ゲートウェイです。

Unified Access Gateway ドキュメントの最新バージョンについては、https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』を参照してください。

Unified Access Gateway アプライアンスは、ネットワークの非武装地帯 (DMZ) に配置され、信頼できるネットワーク内の接続に対してプロキシ ホストとして機能します。仮想デスクトップ、アプリケーション ホスト、サーバが公衆インターネットから隠ぺいされるため、追加のセキュリティ レイヤが実現されます。

Unified Access Gateway アプライアンスの構成

Unified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Unified Access Gateway は、次の点で優れています。

  • アクセス コントロール マネージャ。Unified Access Gateway は、アクセス ルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半の VPN では管理者が各ユーザーまたは各ユーザー グループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。
  • ユーザー インターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザー インターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。
  • パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTML Access、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオ リモーティング プロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、Horizon 7 デスクトップ プロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。

Unified Access Gateway による Horizon のセキュリティの強化

Unified Access Gateway アプライアンスは、ユーザー認証の他にデバイスの証明書の認証を行い、既知の良好なデバイスからのアクセスのみを許可します。これにより、仮想デスクトップ インフラストラクチャを多層的に保護しています。
注: : この機能は、 Horizon Client for Windows でのみサポートされます。
  • https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『VMware Unified Access Gateway の導入および設定』で、「Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成」を参照してください。
  • Unified Access Gateway で使用可能な他のユーザー認証サービスに加え、エンドポイント コンプライアンス チェック機能を使用すると、Horizon デスクトップへのアクセスに対するセキュリティが強化されます。https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』で「Horizon のエンドポイント コンプライアンス チェック」を参照してください。
重要: : Unified Access Gateway アプライアンスで 2 要素認証(RSA SecureID と RADIUS)が構成され、Windows ユーザー名の一致が有効で、複数のユーザー ドメインがある場合は、Windows ユーザー名とパスワードで認証を行うときにユーザーが正しいドメインを選択できるように、Connection Server にドメイン リストの送信を許可する必要があります。

ダブルホップ DMZ

インターネットと内部ネットワークの間にダブルホップ DMZ が必要な場合、内側の DMZ に Unified Access Gateway を展開し、外側の DMZ に Web リバース プロキシとして Unified Access Gateway アプライアンスをデプロイすることで、ダブルホップ DMZ 構成を作成できます。トラフィックは、各 DMZ レイヤーの特定のリバース プロキシを通過しますが、DMZ レイヤーをバイパスすることはできません。構成の詳細については、『VMware Unified Access Gateway の導入および設定』を参照してください。