Mechanizmy bezpieczeństwa dostępu zdalnego w środowisku VDI

January 19, 2017
Mechanizmy bezpieczeństwa dostępu zdalnego w środowisku VDI

Roch Norwa, Lead System Engineer, End User Computing Specialist, VMware

Platforma Horizon 7 zapewnia zintegrowany i bezpieczny mechanizm dostępu do wewnętrznych wirtualnych stacji roboczych i aplikacji. Wbudowane funkcje bezpieczeństwa na poziomie autentykacji, autoryzacji i transmisji umożliwiają połączenia dla klientów z zewnątrz sieci.

Access Point

Głównym komponentem odpowiedzialnym za dostęp z zewnątrz jest EUC Acces Point. Jest to wirtualny appliance oparty o utwardzony system SUSE Linux Enterprise Server. W typowej architekturze umieszczony jest w strefie DMZ i służy użytkownikom znajdującym się za korporacyjnym firewallem jako bezpieczna bramka dostępowa do wewnętrznych zasobów VDI/RDS. Działa jako proxy dla połączeń protokołów zdalnego dostępu (PCoIP, Blast Extreme, HTML5) i chroni wewnętrzną sieć przed bezpośrednim ruchem z zewnętrznych sieci internetowych.

Autentykacja

Access Point przekierowuje rządania autentykacji do Connection Serverów i odrzuca wszystkie niezautentykowane sesje. Dzięki temu, jedyny ruch dopuszczony do wewnątrz sieci to ruch w imieniu bezpiecznie uwierzytelnionego użytkownika. Proces autentykacji może zostać oparty również o silne mechanizmy takie jak:

  • Active Directory użytkownik i hasło
  • Tryb Kiosk
  • RSA SecurID
  • RADIUS poprzez rozwiązania firm 3cich
  • Smart card, CAC, or PIV X.509 certyfikaty użytkownika
  • SAML

Ruch przekierowywany przez Access Point możliwy jest tylko i wyłącznie do zasobów, do których użytkownik ma przydzielony przez administratora dostęp. Access Point nigdy nie komunikje się bezpośrednio z Active Directory, i wykorzystuje do tego celu Connection Server.

Transmisja

Transmisja klienta wraz z AP odbywa się za pomocą kanału SSL zabezpieczonego zaufanym certyfikatem.

Protokół

Protokół zdalnego dostępu do wirtualnego desktopa jest również szyfrowany. W zależności od typu wykorzystywane są metody:
PCoIP: AES-256 wraz z szyfratorami NSA typu B
Blast Extreme UDP: DTLS
Blast Extreme TCP: AES-256
HTML5: SSL

Wysoka Dostępność

Zabezpieczenie wysokiej dostępności AP odbywa się poprzez wykorzystanie istniejących mechanizmów NLB w infrastrukturze.

Przepływ ruchu

Dowiedz się więcej o przepływie ruchu >

Dodatkowe zabezpieczenia

Dla połączeń z zewnątrz administrator może zdefiniować polityki DLP dotyczące interakcji zewnętrznego urządzenia klienta z wirtualnym desktopem lub aplikacją, takie jak:

  • Blokada lub kontrola przekierowywanych urządzeń USB
  • Blokada urządzeń COM
  • Blokada lub kontrola copy/paste
  • Blokada przekierowania dźwięku
  • Blokada przekierowania lokalnych dysków

——————————-
Zobacz inne posty Rocha Norwy >


 
Related Posts
 

Roch Norwa, Lead Systems Engineer, VMware

Jakie są główne cechy współczesnego …

Read More

Roch Norwa, Lead Systems Engineer, VMware

Przedsiębiorstwa na całym świecie chcą …

Read More

Bartłomiej Ślawski, Country Manager VMware Polska

Wyobraźmy sobie miasto, w którym …

Read More

Bartłomiej Ślawski, Country Manager, VMware Polska

Według danych Deloitte, światowy rynek …

Read More

 
 
Blog Archive