Appliance para Acceso Seguro a Internet

ACCESO SEGURO A INTERNET

Permitir la navegación por Internet es una decisión arriesgada. Por un lado, se facilita la fuga de información por parte del personal interno malicioso y por otro se corre el riesgo de recibir ataques, por ejemplo: Crypto Locker.

La solución propuesta por [t] taisa consiste en un appliance para ser ubicado en la DMZ del organismo.

El appliance contiene una solución completa de Citrix XenDesktop securizada con las guías STIC del CCN para entregar escritorios virtuales Windows 7 optimizados y securizados para la navegación por Internet.

La versión básica proporciona acceso seguro a 150 usuarios concurrentes y se puede ampliar fácilmente en bloques de 150 usuarios.

A nivel hardware el appliance básico está formado por dos servidores físicos HPE Proliant Gen9 … A nivel hardware el appliance básico está formado por dos servidores físicos HPE Proliant Gen9 para disponer de redundancia N+1

Las máquinas virtuales que gestionan la infraestructura residen en el clúster HA de VMware vSphere y sobre la SAN formada por las VSA con los discos locales.

Todas los servidores forman parte de un dominio de directorio activo.

El dominio ha sido instalado siguiendo las guías STIC del CCN, y se aplican sus políticas de grupo a todos los equipos miembros del dominio.

Es necesario establecer una relación de confianza entre este dominio y el dominio del Cliente, para poder asignar permisos de acceso a los usuarios de dicho dominio.

El appliance se conecta en una DMZ del Cliente, hacen falta 2 interfaces de red por servidor, 4 en total la versión básica del appliance.

El appliance se conecta al router de Internet con 2 2 interfaces de red por servidor, 4 en total la versión básica del appliance.

La infraestructura XenDesktop esta formada por:

  • Los balanceadores NetScaler VPX, que balancean el acceso HTTPS sobre los dos StoreFront
  • Los dos StoreFront, servicio web que presenta los recursos a los usuarios.
  • Los controladores XenDesktop, quienes asignan los recursos a los usuarios.
  • Un controlador XenDesktop por servidor físico, porque también ejecuta MCS creando las VMs Windows 7.
  • Los dos citrix Director se encargan de la monitorización de la plataforma.

Los escritorios Windows 7 no son persistentes, se crean a partir de una imagen mediante MCS.

Cuando se rebotan se pierden todos los cambios.

Los usuarios se conectan a un escritorio Windows 7 virtual con acceso a Internet con el login y contraseña de su propio dominio gracias a la relación de confianza entre dominios.

Los usuarios mantienen su perfil entre sesiones gracias a Citrix Profile Manager dando una sensación de persistencia, ya que se pueden mantener favoritos, historial, descargas, etc con una cuota de 4GB.

Por defecto esta deshabilitada la posibilidad de cortar/pegar texto/imágenes/ficheros desde el escritorio físico al escritorio VDI y viceversa.

 

Beneficios del uso de un Appliance de escritorios virtualizados para el acceso a internet, son:

  • Arquitectura escalable.
  • Máxima protección
  • Facilidad de despliegue
  • Recuperación de servicio ante cualquier caída.
  • Experiencia de usuario equivalente a un escritorio físico
  • Único punto de gestión