VMware View Security Server vs Unified Access Gateway

Door Johan Dijkstra

Hoewel de VMware Security Server nog steeds wordt ondersteund voor VMware Horizon View (op moment van schrijven, versie 7.7), waarom zou je dan toch overstappen naar de VMware Unified Access Gateway (UAG)?

Onlangs was ik bij een klant, deze klant was overgestapt van VMware Horizon 6 naar VMware Horizon 7.4 en in de upgrade bleven de VMware Security Servers behouden. Argumenten om niet over te gaan naar de VMware Unified Access Gateway waren:

  • We hebben de Security Servers al en voor de Unified Access Gateway moeten firewall-/netwerkwijzigingen worden doorgevoerd.
  • De huidige Security Server Windows systemen waren al gereserveerd voor dit doel, dus geen noodzaak voor een andere oplossing.
  • Geen kennis van het implementeren van de UAG.
  • En als laatste (en vaak gehoord), we zijn bekend met Security Server, om die reden willen we liever niet naar de UAG.

Wat betreft het laatste punt, begrijpelijk vanuit klant perspectief, als iets werkt, waarom veranderen met het risico op verstoringen. Aan de andere kant heeft de VMware UAG toch wel meer voordelen die zwaarder wegen dan bovengenoemde punten.

De voordelen:

Het is niet meer nodig om de Security Server te koppelen met een Connection Server

Omdat VMware adviseert per Security Server één connection server te gebruiken (1:1 relatie).

In een typische VMware Horizon omgeving worden twee interne connection servers gebruikt en twee connection servers voor externe verbindingen, die dan weer een relatie hebben met Security Servers. Dit betekent dat bij het gebruik van een VMware UAG er met 2 Security Servers minder gewerkt kan worden. (Twee Windows systemen vallen daardoor dus af = minder onderhoud = minder kosten).

De Security Server bevindt zich in DMZ en dit is een Windows machine

Een Windows Server in een DMZ plaatsen neemt risico’s met zich mee vanuit een security oogpunt. Windows is een stuk kwetsbaarder omdat deze machine niet domain-joined is en daardoor lastiger om up-to-date te houden. De UAG is een “hardened” linux machine out-of-the-box, daardoor is de VMware UAG een stuk veiliger!

Eenvoudig te implementeren

De UAG-installatie/Configuratie is een stuk eenvoudiger dan de installatie van Security Servers, zowel op het gebied van Security (in Windows, o.a. hardening), als de installatie zelf. De UAG heeft een veel gebruikersvriendelijkere grafische interface waardoor het gemakkelijker te beheren is.

Het is mogelijk om verkeer te scheiden met een UAG t.o.v. de Security Server

Met de UAG is het mogelijk om een één-netwerkkaart configuratie, twee-netwerkkaarten configuratie en een drie-netwerkkaarten configuratie toe te passen. De eerste spreekt voor zich, daarbij loopt al het verkeer over één netwerkkaart. Deze netwerkkaart is in de meeste gevallen gekoppeld aan het DMZ-netwerk, op die manier zal al het verkeer door de firewall heen gaan voor optimale beveiliging (maar geeft wel meer load aan de firewall).

Bij de twee-netwerkkaart installatie is er één netwerkkaart waarover de verbinding van en naar het internet gaat en de andere netwerkkaart voor intern verkeer en management (beheer) verkeer om de UAG te configureren/beheren. Bij een drie-netwerkkaart zijn alle netwerksegmenten gescheiden. Dus één voor Internet, één voor Intern verkeer en één voor beheer.

De mate in en of het scheiden van netwerkverkeer mogelijk is, zal door netwerkbeheer in overleg met een Security Office nader moeten worden bepaald om na te gaan welke configuratie het beste past.

In plaatjes ziet dit er als volgt uit:

Eén netwerkkaart:1 netwerkkaart

Twee netwerkkaarten:2 netwerkkaarten

Drie netwerkkaarten: 3 netwerkkaarten

Eenvoudige export van de configuratie van de UAG

Hierbij is het heel eenvoudig om de configuratie te importeren wanneer de UAG niet werkt door fouten, beveiligingsinbraak of wat voor reden dan ook waardoor de UAG niet meer functioneert als bedoeld. (Dit t.o.v. een volledige installatie van een Security Server, hoewel dit in te perken is door Snapshots/Backups e.d.).

Installatie van de UAG is te automatiseren

Doordat je met een Powershell script de UAG inclusief configuratie kan uitrollen, wordt het ook heel eenvoudig om een nieuwe installatie van een UAG uit te voeren, het is een kwestie van een Powershell script draaien en de installatie is binnen een mum van tijd gereed (snelheid afhankelijk van een aantal factoren).

De UAG is gemakkelijk te upgraden

Zowel een in-place upgrade kan, als een nieuwe installatie met het importeren van de instellingen is mogelijk., bij het laatste zal de oude UAG uitgezet moeten worden, nieuwe uitgerold moeten worden en vervolgens de instellingen worden geïmporteerd.

  • Linux is een stabiel Operating System ten opzichte van Windows.
  • Eenmaal de UAG deployed is er verder weinig onderhoud nodig, dit in tegenstelling tot een Windows variant (denk aan updates).
  • Vanaf UAG 3.4 zit er een ingebouwde Load Balancer in, daardoor is het niet meer noodzakelijk om een externe Load Balancer in te richten voor de UAG (opmerking : hier is wel een Enterprise Licentie voor nodig!)

Zijn er ook nadelen?

Toch wel:

  • De UAG is Linux gebaseerd, op het moment dat je toch problemen wil onderzoeken op het apparaat zelf heb je Linux (basis) kennis nodig om je weg te vinden t.o.v. een Windows (Security Server) installatie.
  • Je moet goed opletten dat een ondersteunde versie van de UAG wordt gebruikt in combinatie met een versie van Horizon View, hoewel dit ook geldt voor de Security Server, zou je toch tegen problemen aan kunnen lopen als je een niet gesupporterde versie van de UAG gebruikt. Altijd de Interoperability Matrix Controleren: https://www.vmware.com/resources/compatibility/sim/interop_matrix.php
  • Het gebruiken van “tags” betekent nog steeds een 1:1 relatie met een Connection Server, waarbij per UAG en nog steeds een Connection Server bijgeplaatst moet worden (!)
    Een “tag” is een label binnen VMware Horizon View Connection Server. Als voorbeeld: Een tag kan worden gemaakt op een Connection Server die vervolgens aan een Desktop Pool gekoppeld kan worden, zodat de verbinding van deze desktop pool over die bepaalde connection server loopt. Hierdoor kan b.v. een onderscheid gemaakt worden tussen een interne Desktop Pool en een Externe Desktop Pool.

Meer weten?

Als je meer wilt weten over dit onderwerp kan je altijd contact met mij opnemen via This email address is being protected from spambots. You need JavaScript enabled to view it.

Contact

Login Consultants Nederland B.V.
De Entree 95
1101 BH Amsterdam
The Netherlands
T. +31 (0) 20 342 0280
F. +31 (0) 20 697 5721
E. This email address is being protected from spambots. You need JavaScript enabled to view it.