In questo post ci concentreremo sul Gateway RD (Gateway remoto Desktop). Vi spiegheremo cos'è e come si differenzia dal nostro spazio di lavoro unificato Awingu.
Cos'è il gateway remoto Desktop?
Definizione di gateway Desktop remoto
Remote Desktop Gateway (in breve RD Gateway) è un componente di Windows Server e Remote Desktop Services. È un ruolo che può essere attivato, allo stesso modo di un host di sessione RD o di un gestore di licenze RD. Il Gateway Desktop remoto consente agli utenti remoti di avviare il client Desktop remoto da un browser (connessione crittografata), stabilendo così una connessione desktop remota.
Gli utenti finali possono navigare in una pagina web del launcher (senza chiamarlo "spazio di lavoro") tramite il loro browser, da cui viene scaricato un file .rdp sul dispositivo in cui verrà lanciato il client rdp.
Come si configura un gateway Desktop remoto?
RD Gateway è tipicamente configurato sulla porta 443 (con certificato SSL) e trasporta il protocollo Desktop remoto in HTTPS. Ciò si contrappone a una semplice implementazione senza RD Gateway, in cui non c'è incapsulamento https.
La seguente immagine di alto livello illustra i principi della configurazione:
Quali sono i vantaggi del gateway remoto Desktop?
I maggiori vantaggi di RD Gateway sono che non è necessario utilizzare la porta TCP 3389 per l'accesso esterno e che all'utente viene fornito un elenco di applicazioni/desktop a cui può accedere.
Quali sono i rischi del gateway Desktop per l'accesso remoto?
L'utilizzo della porta 3389 predefinita per l'accesso esterno è una calamita di attacchi rdp per gli hacker ed è davvero facile da violare (iniezione di password, forza bruta, ...). Con l'uso di RD Gateway, un'applicazione web viene messa di fronte ai vulnerabili Remote Desktop Service Hosts (RDSHs). Viene utilizzata la porta TCP 443 e il flusso RDP proveniente dall'RDSH è incapsulato in HTTPS. Le applicazioni Web sono più difficili da violare rispetto alle implementazioni con porta 3389 della vecchia scuola: Più difficile, ma ovviamente tutt'altro che impossibile.
Anche se gli utenti avviano le loro applicazioni/desktop tramite il browser, l'esecuzione delle sessioni richiede comunque l'uso del client RDP sul dispositivo. Uno dei principali aspetti negativi è che esiste ancora una connessione RDP end-to-end dall'endpoint all'RDSH (anche se il primo tratto è incapsulato in https). Ciò significa che se l'endpoint è compromesso, il rischio di ottenere l'esposizione sull'backend è molto reale. Gli hacker cercheranno senza dubbio di ottenere l'accesso tramite questi endpoint.
Come confrontare il Gateway Remote Desktop con Awingu?
Awingu viene utilizzato per lavorare a distanza, ma è un prodotto diverso dal Gateway remoto Desktop.
Cos'è Awingu?
Lo spazio di lavoro unificato offre un accesso remoto sicuro alle applicazioni o ai desktop basati su RDP, ai file server e alle applicazioni web. L'accesso a queste risorse di rete interne viene offerto sotto forma di uno spazio di lavoro basato su browser, dove tutti i servizi sono disponibili (tradotti in HTML5) all'interno del browser per la vostra forza lavoro remota. Da qui, Awingu offre una ricca soluzione chiavi in mano, con un'attenzione particolare a UX e sicurezza.
Quali sono le analogie tra RD Gateway e Awingu?
Cominciamo con le poche somiglianze che esistono tra le soluzioni:
Awingu dispone di un'area di lavoro basata su browser (così come il Gateway remoto Desktop con il suo web launcher);
Awingu è disponibile sulla porta TCP 443 (così come il gateway remoto Desktop);
Awingu è installato su una macchina virtuale, tipicamente nello stesso datacenter del Remote Desktop Service Host (RDSH) back-end (tuttavia, c'è una differenza perché Awingu viene fornito come appliance virtuale, non come ruolo di Windows Server come Remote Desktop Gateway)
Quali sono le differenze tra RD Gateway e Awingu?
- Awingu non utilizza il protocollo RDP in quanto tale verso il client. Viene offerta un'esperienza 100% HTML5 in cui le RemoteApp (o computer desktop e desktop virtuali) sono rese completamente disponibili nel browser.
- Non vi è alcuna dipendenza dal client di protocollo remoto Desktop (o da altri client).
- A scanso di equivoci: Awingu non utilizza il gateway remoto Desktop.. Si connette direttamente con l'RDSH utilizzando RDP come protocollo.
- Come aggregatore di spazi di lavoro, Awingu può anche fornire all'utente un accesso remoto ai file server (WebDAV o CIFS) e alle applicazioni web (tramite il Reverse Proxy Awingu integrato).
L'area di lavoro di Awingu è stata costruita pensando alla facilità d'uso, per l'amministratore e per gli utenti remoti (sì, anche per le piccole aziende con team IT ridotti!). È supportato da funzionalità quali:
Ricco lavoro multi-monitor
Condivisione della sessione
Condivisione di file (simile a WeTransfer)
Stampa virtuale (un motore di stampa PDF)
...
Come soluzione di sicurezza chiavi in mano, Awingu è costruita su Fiducia zero principi con molte funzionalità integrate che possono essere utilizzate come misure di sicurezza per fornire accesso remoto:
Autenticazione a più fattori (oltre all'utilizzo delle credenziali dell'utente (*), gli amministratori IT possono abilitare l'autenticazione a due fattori sulle connessioni remote degli utenti come ulteriore livello di sicurezza).
(*) Imponete l'uso di password forti e non lasciate che i vostri utenti usino la stessa password!
Connessione criptata con certificato SSL
Controlli d'uso granulari (definire facilmente quali utenti o gruppi di utenti possono accedere a quali applicazioni su quali particolari server, possono utilizzare quali funzionalità, ... e controllare l'accesso in questo modo)
Consapevolezza del contesto (definire un contesto basato sulla posizione geografica o sugli indirizzi ip per gli utenti o i gruppi di utenti a cui è consentito l'accesso alle applicazioni o ai dati sensibili, ...)
Controllo dell'uso e rilevamento delle anomalie
Registrazione delle sessioni (per capire cosa succede durante le sessioni di lavoro remoto in applicazioni specifiche o in generale)
Ricche funzionalità di SSO (Single Sign-On) - che non si basano sul vaulting delle password - con Identity provider esterni come Azure AD, Okta e ForgeRock;
Per accedere allo spazio di lavoro Awingu, gli utenti finali non devono installare nulla sul proprio dispositivo. Ciò significa che hanno solo una connessione sicura tramite il loro browser alle risorse di rete interne di cui hanno bisogno. Awingu non è una rete privata virtuale (VPN), quindi non viene stabilita una connessione vpn. Non c'è una connessione diretta alla rete aziendale.
Se volete maggiori informazioni su Awingu come livello di sicurezza sopra RDP, scoprite perché la maggior parte delle aziende si affida alla nostra soluzione di spazio di lavoro unificato per consentire un lavoro remoto sicuro nel nostro whitepaper!
Scarica il nostro whitepaper: "Oltre il RDP"
SCARICA IL NOSTRO WHITE PAPER
Oltre il PSR
English 
Italian 
German 
Spanish 
French