Horizon 및 Horizon Cloud with On-Premises Infrastructure로 배포

Horizon Cloud with On-Premises Infrastructure 및 Horizon Air 클라우드 인프라로 Unified Access Gateway를 배포할 수 있습니다.

배포 시나리오

Unified Access Gateway에서는 고객 데이터 센터의 온-프레미스 가상 데스크톱 및 애플리케이션에 대한 보안 원격 액세스를 제공합니다. 통합된 관리를 위해 Horizon 또는 Horizon Air의 온-프레미스 배포를 사용하여 작동합니다.

Unified Access Gateway를 사용하면 기업에서는 사용자 ID를 명확히 확인하고 사용 권한이 있는 데스크톱 및 애플리케이션에 대한 액세스를 정밀하게 제어할 수 있습니다.

Unified Access Gateway 가상 장치는 일반적으로 네트워크 DMZ(예외 구역)에 배포됩니다. DMZ에 배포하면 강력하게 인증된 사용자에 대한 트래픽만 데스크톱 및 애플리케이션 리소스에 대한 데이터 센터로 들어갑니다. Unified Access Gateway 가상 장치는 인증된 사용자에 대한 트래픽이 사용자에게 사용 권한이 부여된 데스크톱 및 애플리케이션 리소스로만 전송될 수 있도록 합니다. 이러한 수준의 보호에는 액세스를 정확히 제어하기 위해 데스크톱 프로토콜의 특정 조사 기능 및 빨리 바뀔 수 있는 정책 및 네트워크 주소 조정 기능이 포함됩니다.

다음 그림에서는 프론트엔드 및 백엔드 방화벽을 포함하는 구성의 예를 보여줍니다.

그림 1. DMZ 토폴로지의 Unified Access Gateway

Horizon을 사용하여 원활하게 Unified Access Gateway 배포를 수행하기 위한 요구 사항을 확인해야 합니다.

Unified Access Gateway 장치는 Horizon server 앞의 로드 밸런서를 가리키며 서버 인스턴스의 선택이 동적으로 이루어집니다.
기본적으로 Blast TCP/UDP에 대해 포트 8443을 사용할 수 있어야 합니다. 그러나 Blast TCP/UDP에 대해 포트 443을 구성할 수도 있습니다.
참고: IPv4 및 IPv6 모드를 모두 사용하도록 Unified Access Gateway를 구성하려면 Blast TCP/UDP가 포트 443으로 설정되어야 합니다. Unified Access Gateway를 사용하여 IPv6 Horizon Client가 IPv4 백엔드 연결 서버 또는 에이전트 환경에 연결하기 위한 브리지 역할을 하도록 설정할 수 있습니다. Horizon 인프라에 대한 IPv4 및 IPv6 이중 모드 지원를 참조하십시오.
Horizon을 사용하여 Unified Access Gateway를 배포할 때는 Blast 보안 게이트웨이 및 PCoIP 보안 게이트웨이를 사용하도록 설정해야 합니다. Unified Access Gateway를 통해 디스플레이 프로토콜이 자동으로 프록시로 사용될 수 있습니다. BlastExternalURL 및 pcoipExternalURL 설정은 Horizon Client에서 Unified Access Gateway의 해당 게이트웨이를 통해 이러한 디스플레이 프로토콜 연결을 라우팅하는 데 사용되는 연결 주소를 지정합니다. 이러한 게이트웨이는 인증된 사용자 대신 디스플레이 프로토콜 트래픽을 제어하여 보안이 향상됩니다. 허가되지 않은 디스플레이 프로토콜 트래픽은 Unified Access Gateway에서 무시됩니다.
Horizon 연결 서버 인스턴스에서는 보안 게이트웨이(Blast 보안 게이트웨이 및 PCoIP 보안 게이트웨이)를 사용하지 않도록 설정하고 Unified Access Gateway 장치에서 이러한 게이트웨이를 사용하도록 설정하십시오.

Horizon 7을 배포하는 사용자는 Horizon 보안 서버 대신 Unified Access Gateway 장치를 사용하는 것이 좋습니다.

참고: 중복되는 프록시 패턴이 있는 경우 Horizon Connection Server는 활성화된 Web Reverse Proxy와 함께 작동하지 않습니다. 따라서 Horizon 및 Web Reverse Proxy 인스턴스가 둘 다 동일한 Unified Access Gateway 인스턴스의 프록시 패턴으로 구성되어 있고 사용되도록 설정되어 있으면 Horizon 설정에서 프록시 패턴 '/'를 제거하고 Web Reverse Proxy에서 해당 패턴을 유지하여 중복되지 않도록 합니다. Web Reverse Proxy 인스턴스에서 '/' 프록시 패턴을 유지하면 사용자가 Unified Access Gateway의 URL을 클릭할 때 올바른 Web Reverse Proxy 페이지가 표시됩니다. Horizon 설정만 구성되면 위의 변경이 필요하지 않습니다.

Horizon 보안 서버 및 Unified Access Gateway 장치 간의 차이점은 다음과 같습니다.

보안 배포입니다. Unified Access Gateway는 보안이 강화되고 잠겨 있고 미리 구성된 Linux 기반 가상 시스템으로 구현됩니다.
확장 가능합니다. Unified Access Gateway를 개별 Horizon 연결 서버에 연결하거나 여러 Horizon 연결 서버 앞의 로드 밸런서를 통해 연결하여 고가용성을 향상할 수 있습니다. Horizon Client와 백엔드 Horizon 연결 서버 간의 계층으로 작동합니다. 신속하게 배포되므로 빠르게 변화하는 엔터프라이즈의 요구를 충족하도록 빠르게 확장 또는 축소할 수 있습니다.

그림 2. 로드 밸런서를 가리키는 Unified Access Gateway 장치

또는 하나 이상의 Unified Access Gateway 장치가 개별 서버 인스턴스를 가리키도록 할 수 있습니다. 두 가지 방법 모두 DMZ에서 두 개 이상의 Unified Access Gateway 장치 앞에 있는 로드 밸런서를 사용합니다.

그림 3. Unified Access Gateway 장치가 Horizon Server 인스턴스를 가리킴

인증

사용자 인증은 Horizon 보안 서버와 유사합니다. Unified Access Gateway의 지원되는 사용자 인증 방법에는 다음이 포함됩니다.

Active Directory 사용자 이름 및 암호.
키오스크 모드. 키오스크 모드에 대한 자세한 내용은 Horizon 설명서를 참조하십시오.
SecurID용 RSA에 의해 공식적으로 인증되는 RSA SecurID 2단계 인증
다양한 타사의 2단계 보안 벤더 솔루션을 통한 RADIUS
스마트 카드, CAC 또는 PIV X.509 사용자 인증
SAML

이러한 인증 방법은 Horizon Connection Server에서 지원됩니다. Unified Access Gateway는 Active Directory와 직접 통신하지 않아도 됩니다. 이러한 통신은 Active Directory에 직접 액세스할 수 있는 Horizon Connection Server를 통해 프록시로 작동합니다. 사용자 세션이 인증 정책에 따라 인증된 후에 Unified Access Gateway는 사용 권한 정보에 대한 요청, 데스크톱 및 애플리케이션 실행 요청을 Horizon Connection Server로 전달할 수 있습니다. 또한 Unified Access Gateway는 해당 데스크톱 및 애플리케이션 프로토콜 처리기를 관리하여 허가된 프로토콜 트래픽만 전달할 수 있도록 합니다.

Unified Access Gateway는 스마트 카드 인증을 자체적으로 처리합니다. 여기에는 Unified Access Gateway에서 OCSP(온라인 인증서 상태 프로토콜) 서버와 통신하여 X.509 인증서 해지 등을 확인할 수 있는 옵션이 포함됩니다.