Onderstaand een gastblog van Sven Huisman van PQR
Wanneer je in een VMware Horizon-omgeving externe toegang aan gebruikers aanbiedt, is de kans groot dat daar één of meerdere security servers voor gebruikt worden. Een security server is hiervoor een prima oplossing, maar sinds VMware Horizon 6.2 kan ook externe toegang worden verleend met een VMware Access Point. In dit blog leest u wat de voordelen zijn van deze Access Point en waarom u uw security servers zou moet vervangen.
Wat is een security server?
Voor het geval u nog geen gebruik maakt van een security server, nog even in het kort welke functionaliteit deze server biedt. In VMware Horizon maken gebruikers via een Horizon-client of een webbrowser verbinding met een virtuele desktop of hosted applicatie. De authenticatie vindt hierbij plaats op een Horizon Connection-server. Deze server controleert of de gebruiker geautoriseerd is om zich aan te melden en zo ja, welke desktop(s) of applicatie(s) hij of zij mag gebruiken. Om gebruikers van buiten het netwerk te laten inloggen, kan er een security server in de DMZ geplaatst worden. Via deze security server kan de gebruiker zich aanmelden op een gekoppelde connection server. Vervolgens wordt de beveiligde verbinding vanaf de security server doorgezet naar de desktop of gepubliceerde applicatie.
Hoe werkt een security server en wat zijn de nadelen?
Zoals eerder aangegeven, wordt een security server geplaatst in de DMZ. Elke security server heeft een beveiligde verbinding met een connection server. Deze connection server wordt niet ingezet voor de interne gebruikers. De reden hiervan is dat de sessies van de externe gebruikers getunneld worden via een security server. De gekoppelde connection server is dan ook ingesteld op het “tunnelen” van de sessie. Interne gebruikers maken in de meeste gevallen een directe verbinding naar de desktop. Wanneer er gebruik wordt gemaakt van 2-factor authenticatie, dient dat geconfigureerd te worden op de gekoppelde connection server. Voor interne gebruikers is het meestal niet nodig om 2-factor authenticatie toe te passen. Ook dat is een reden dat er intern andere connection servers worden gebruikt.
Er zijn dus extra connection servers nodig wanneer je gebruik wilt maken van een security server. De verbinding tussen een security server en een connection server wordt tot stand gebracht door middel van een IPSec-verbinding die wordt aangemaakt met behulp van de Windows Firewall-service. Hiervoor dienen extra poorten tussen de DMZ en het interne netwerk opengezet te worden.
In onderstaand overzicht is te zien dat de externe gebruikers gebruik maken van de security servers en de interne gebruikers van de interne connection servers.
De nadelen van een security server zijn:
- Een Windows-server in de DMZ
- Extra connection servers nodig op het interne netwerk
- Extra poorten open tussen de DMZ en het interne netwerk
- 2-factor authenticatie vindt plaats op het interne netwerk (op een connection server).
Wat is een Access Point server?
Een VMware Access Point is een virtuele appliance bedoeld om geautoriseerde gebruikers die vanaf internet willen verbinden beveiligde externe toegang aan te bieden tot VMware end-user-computing componenten. Initieel is de Access Point bedoeld om toegang te bieden tot desktops en applicaties die óf via Horizon Air óf via een eigen gehoste Horizon View-omgeving draaien. Tegenwoordig kan ook VMware Identity Manager ontsloten worden via de Access Point en het is de bedoeling dat deze server geschikt zal worden gemaakt voor meerdere VMware EUC-oplossingen.
Zoals gezegd is de Access Point een virtuele appliance. Deze beveiligde virtuele appliance is gebaseerd op Suse Linux Enterprise Server 11 en is qua functionaliteit minimaal gelijk aan de security server. Daarnaast biedt het de volgende functionaliteiten:
• Pass-Through authenticatie naar een connection server
• Smart Card-support
• SAML pass-through support
• RADIUS / SecurID-support
• Blast-support over 443 (port sharing)
• API’s voor service en Perf Stats
Voordelen van een VMware Access Point server
De vier belangrijkste voordelen van een Access Point wil ik nader toelichten.
- Geen gekoppelde connection server(s) nodig: de Access Point wordt niet gekoppeld via een IPSec verbindingen met een connection server. De connection servers die worden gebruikt voor interne gebruikers, kunnen ook gebruikt worden voor externe gebruikers. Zoals in het onderstaande plaatje te zien is, scheelt dit al twee servers. Doordat er geen IPSec-verbinding nodig is met een connection server, scheelt dit ook in het aantal poorten dat geopend moet worden op de interne firewall.
- Geen Windows-server(s) nodig in de DMZ
Het feit dat de Access Point-server gebaseerd is op een dichtgetimmerde Suse Linux in plaats van Windows, heeft als voordeel dat het (afhankelijk van de aanwezige Microsoft-licenties) Windows-licenties scheelt en er minder onderhoud (Windows security-updates en patches) plaats hoeft te vinden op de DMZ-servers. Het is vaak al lastig genoeg om Windows-servers die in de DMZ worden geplaatst (en meestal niet lid zijn van het domein) goed te beheren en te beveiligen. Daarnaast kan het netwerkverkeer op een Access Point-server gescheiden worden. Intern, extern en beheer van netwerkverkeer kan elk over een eigen (virtuele) netwerkkaart geconfigureerd worden. - 2-Factor authenticatie vindt plaatst in de DMZ
Wat door veel bedrijven als nadeel wordt gezien van de security server, is het feit dat de authenticatie plaatsvindt op de connection server. De security server “tunnelt” de authenticatie door naar de interne connection server. De gebruiker heeft dus al een verbinding met een server op het interne netwerk, nog vóórdat de authenticatie heeft plaatsgevonden. Op een Access Point-server kun je 2-factor authenticatie configureren zodat de gebruiker zich eerst moet authenticeren via bijvoorbeeld een token, voordat de username en wachtwoord wordt opgevraagd. Blast kan gebruik maken van standaard poort 443 - Dat een gebruiker overal vandaan een verbinding kan opzetten met een virtuele desktop of gepubliceerde applicatie is mooi, maar dan moet het wel overal vandaan mogelijk zijn. Helaas is het met het PCoIP-protocol nog steeds nodig dat de client via poort 4172 TCP/UDP moet kunnen verbinden. In veel situaties (hotels, vliegvelden) is het echter alleen mogelijk om via poort 80 en 443 TCP een verbinding te maken met een (web)server. Een alternatief voor het PCoIP-protocol is om gebruik te maken van Blast (extreme). Echter gaat dat over poort 8443. Wat in mijn ogen het grootste voordeel is van een Access Point-server t.o.v. een security server, is de mogelijkheid het Blast-protocol over poort 443 TCP aan te bieden. De Access Point maakt hierbij gebruik van Port-sharing
Configuratie van een Access Point
De installatie en configuratie van de VMware Access Point is heel eenvoudig. Er zijn meerdere opties mogelijk, zoals via de VMware OVF-tool of via Powershell. Je kunt hiermee een geautomatiseerde uitrol van de Access Point bewerkstelligen. Er is ook een grafische interface gemaakt om de installatie nog eenvoudiger te maken. Dit is een VMware “Fling” genaamd VMware Access Point Deployment Utility.
Eenmaal geïmplementeerd, is het meestal niet meer nodig de configuratie aan te passen, maar mocht dat wel nodig zijn kan dat via de Access Point REST API. Je gebruikt hiervoor een REST client-applicatie, zoals curl of postman. Met commando’s kan de configuratie dan worden uitgelezen en aangepast.
Een upgrade van een Access Point-server is niet mogelijk, maar ook niet nodig. Het is namelijk heel eenvoudig om een nieuwe versie van een Access Point te installeren en de oude te verwijderen (de zogenoemde “rip and replace- methode).
Wanneer vervangen?
Maakt u op dit moment gebruik van VMware Horizon versie 6.2.x, dan kunt u al gebruik maken van de Access Point. U kunt eventueel tijdelijk een Access Point naast de security servers plaatsen om te testen of deze virtuele appliance voldoet aan de verwachtingen. Wanneer u op een lagere versie van Horizon zit, kunt u het beste eerst upgraden naar Horizon 7.
Sven Huisman is sinds begin 2010 werkzaam bij PQR als senior consultant en heeft in zijn functie een sterke focus op het End User Computing portfolio van VMware. Sven is van 2009 tot en met 2016 benoemd tot VMware vExpert en in 2016 is hij geselecteerd als VMware EUC Champion, een selecte groep experts dat in contact staat met VMware om de EUC-producten te verbeteren.