Unified Access Gateway アプライアンスは、企業のファイアウォールの外側からリモート デスクトップおよびアプリケーションに安全にアクセスできるようにするデフォルト ゲートウェイです。
Unified Access Gateway ドキュメントの最新バージョンについては、https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』を参照してください。
Unified Access Gateway アプライアンスは、ネットワークの非武装地帯 (DMZ) に配置され、信頼できるネットワーク内の接続に対してプロキシ ホストとして機能します。仮想デスクトップ、アプリケーション ホスト、サーバが公衆インターネットから隠ぺいされるため、追加のセキュリティ レイヤが実現されます。
Unified Access Gateway アプライアンスの構成
Unified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。
一般的な VPN よりも Unified Access Gateway は、次の点で優れています。
- アクセス コントロール マネージャ。Unified Access Gateway は、アクセス ルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半の VPN では管理者が各ユーザーまたは各ユーザー グループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。
- ユーザー インターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザー インターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。
- パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTML Access、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオ リモーティング プロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、Horizon 7 デスクトップ プロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。
Unified Access Gateway による Horizon のセキュリティの強化
- https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『VMware Unified Access Gateway の導入および設定』で、「Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成」を参照してください。
- Unified Access Gateway で使用可能な他のユーザー認証サービスに加え、エンドポイント コンプライアンス チェック機能を使用すると、Horizon デスクトップへのアクセスに対するセキュリティが強化されます。https://docs.vmware.com/jp/Unified-Access-Gateway/index.html にある『 VMware Unified Access Gateway の導入および設定』で「Horizon のエンドポイント コンプライアンス チェック」を参照してください。
ダブルホップ DMZ
インターネットと内部ネットワークの間にダブルホップ DMZ が必要な場合、内側の DMZ に Unified Access Gateway を展開し、外側の DMZ に Web リバース プロキシとして Unified Access Gateway アプライアンスをデプロイすることで、ダブルホップ DMZ 構成を作成できます。トラフィックは、各 DMZ レイヤーの特定のリバース プロキシを通過しますが、DMZ レイヤーをバイパスすることはできません。構成の詳細については、『VMware Unified Access Gateway の導入および設定』を参照してください。