Cisco ASA для разгрузки SSL VMware Horizon

Компании стремятся к виртуализации рабочих столов и доставке их своим сотрудникам и партнерам, где бы они не находились.
Сотрудники и партнеры могут находиться не только в локальной сети, и все чаще появляется потребность предоставить доступ к корпоративным ресурсам через интернет.

Как и в случае с другими технологиями удаленного доступа, скорость доставки экрана по протоколу PCoIP  зависит от производительности VPN, доступной полосы пропускания, задержки передачи сигнала по сети.
Требования к распределенной сети могут создать трудности для ИТ-отдела, ведь необходимо не только доставить рабочий стол сотруднику, но и сделать это безопасно.
Поэтому большинство компаний используют SSL VPN для обеспечения безопасного соединения с виртуальным рабочим столом из удаленного офиса, дома или из другой точки.

VMware Horizon – решение для доставки рабочих столов (работающих на серверах в корпоративном центре обработки данных компании) удаленным клиентам, использующим разнообразные средства доступа (например, iPad).
Используя VMware Horizon с протоколом PC-over-IP (PCoIP), пользователи получают высокое качество доставки изображения как через локальную, так и через распределенную сеть.

Компания VMware предлагает использовать решения Cisco Systems для безопасного соединения с удаленным рабочим столом, базируясь на технологии SSL VPN. C такими

решениями, как Cisco Adaptive Security Appliances (ASA) и Cisco AnyConnect Secure Mobility client, пользователь может подключиться с помощью PCoIP к своему удаленному рабочему столу через защищенное соединение из любой точки.

Cisco ASA 5500 – аппаратно-программный комплекс, сочетающий лучшие в классе сервисы безопасности и VPN как для среднего и малого бизнеса, так и для крупнейших компаний.
Cisco ASA 5500 настраивается для каждой конкретной задачи, предлагая различные редакции, такие как безопасный удаленный доступ (SSL/IPsec VPN), межсетевой экран, фильтрация контента и предотвращение вторжений.

Решение безопасного удаленного доступа предлагает гибкие VPN технологии для любого сценария подключения, масштабирующийся до 10000 конкурентных пользователей на устройство.
Решение предоставляет простой в управлении, туннельный сетевой доступ через SSL, DTLS или Ipsec VPN через публичные сети для пользователей, в частности, пользователей рабочих столов VMware Horizon.

Преимущества Cisco Secure Remote Access включают:

• Доступ к сети с помощью SSL и DTLS – обеспечивает связь удаленного пользователя с сетевыми ресурсами по любым протоколам, включая PCoIP VMware View. Cisco AnyConnect Secure Mobile клиент автоматически подстраивает его туннельный протокол наиболее эффективным способом. Это первый VPN продукт, использующий DTLS, позволяющий обеспечить оптимизированное соединение для чувствительного к задержкам трафика, как, например Voice over IP или TCP-приложений;
• Тонкий доступ к сети – обеспечивает доступ к сетевым приложениям и ресурсам вне зависимости от местоположения без необходимости устанавливать VPN клиент;
• Масштабируемость и гибкость – поддерживает до 10000 одновременных пользовательских сессий на устройство с возможностью масштабируемости до десятков тысяч соединений при объединении в кластеры и распределении нагрузки. Функции резервирования обеспечивают высокую доступность решения.
  

Cisco ASA SSL VPN поддерживает два способа для безопасного подключения пользователей к рабочим столам, находящимся в центре обработки данных компании.

Cisco AnyConnect Secure Mobility клиент обеспечивает безопасное VPN соединение с Cisco ASA 5500 используя SSL и DTLS протоколы. AnyConnect запускается на Microsoft Windows, Mac OS X, Linux и Windows Mobileи поддерживает соединение с IPv6 ресурсами через IPv4 туннель.
Администраторы могут настроить AnyConnect клиент для автоматического запуска клиента VMware Horizon.
DTLS позволяет избежать задержек при передачи сигнала и проблем с пропускной способностью, характерных для обычного SSL соединения и является стандартным SSL протоколом, обеспечивающим низкую задержку передачи данных через UDP.
DTLS улучшает производительность приложений реального времени, таких как VMwareView Client с использованием PCoIP (UDP display protocol).

Использует SmartTunnel технологию через web браузер и позволяет подключаться к рабочему столу VMware Horizon без необходимости устанавливать защищенное соединение с помощью AnyConnect.
C технологией Smart Tunnel безопасное соединение устанавливается между TCP приложением (web браузер) и Cisco ASA.
Smart Tunnel технология позволяет осуществить доступ к клиенту VMware Horizon в том числе, если выбран RDP протокол доставки рабочих столов.


Последовательность соединения

1. Удаленный пользователь устанавливает SSL VPN соединение со шлюзом ASA VPN, используя AnyConnect клиента или Smart Tunnel;
2. Пользователь использует клиент VMware Horizon для передачи данных по защищенному туннелю и аутентифицируется на VMware Horizon сервере;
3. После успешной аутентификации VMware Horizon сервер отображает доступные виртуальные рабочие столы;
4. Пользователь выбирает необходимый пул столов и устанавливает виртуальную сессию.

Заключение

VMware View и Cisco ASA создают решение для безопасного доступа удаленных пользователей к виртуальным рабочим столам, находящимся в корпоративном центре обработки данных.
С поддержкой DTLS, Cisco ASA обеспечивает решение безопасным UDP транспортом. C AnyConnect Secure Mobility клиентом и Smart Tunnel технологией, пользователи могут выбирать, каким образом подключиться к виртуальным рабочим столам, находящимся в корпоративном центре обработки данных.

Возможно, Вам будет также интересна следующая информация: