以下是重构后的内容:
## Unified Access Gateway for Everything (UAG) 部署和安全最佳实践
### 1. UAG 部署和升级
- Security and Compliance
- DMZ Edge Authentication for Horizon
### 2. Content Gateway standalone installers EOA 2019、VMware Tunnel 和 Secure Email Gateway standalone installers
这些工具将在下一个阶段推出。
### 3. Security Server 已于 2020 年与 Horizon 2006 一起停用
"Writing on the Wall: Use Unified Access Gateway for Everything"(墙上写着:使用 UAG 实现一切访问)
## UAG 在 Workspace ONE 和 Horizon 中的作用
- Security Gateway for Workspace ONE and Horizon
- Wall Writing
- DMZ Server Networks
- Architectural Comparison
- Security Server vs. Unified Access Gateway
- With Security Server
- With Unified Access Gateway
- Horizon Connection Server 1
- Horizon Connection Server 2
- Unified Access Gateway 1U
- Unified Access Gateway 2External UsersInternal UsersHorizon Connection Server 3Horizon Connection Server 4External UsersInternal UsersHorizon Connection Server 1Horizon Connection Server 2Tunnel and Gateways DisabledTunnel and Gateways EnabledTunnel and Gateways DisabledExternal Load BalancerInternal L
、负载均衡器:
在企业环境中,为了保证服务的可用性和性能,通常会使用负载均衡器。负载均衡器可以将流量分发到多个服务器,从而分散压力,提高系统的处理能力。主要的负载均衡器类型包括外部负载均衡器和内部负载均衡器。
5、部署准备:
在部署统一访问网关(Unified Access Gateway)之前,需要进行一些准备工作。首先,需要确定部署的目标,确保目标是vCenter,而不是ESXi。其次,需要解决可能出现的网络配置问题,以防止设备初始化失败。常见的问题包括IP地址冲突、DHCP服务器问题等。此外,还需要注意其他网络相关的问题。
6、设备初始化日志:
如果在初始化过程中出现问题,可以查看vami.log文件中的所有初始化日志,以帮助诊断问题。
7、部署和配置:
整个部署和配置过程可以在一个步骤中完成。设置应该保存在一个INI文件中,方便以后的管理。在部署过程中,还需要对网络配置、存储配置、设备大小、系统配置和证书等方面进行设置。
8、边缘服务:
Unified Access Gateway支持多种边缘服务,如认证方法等。虚拟机在启动时会自动开启。此功能支持所有平台,无需特别的配置。
以下是重构后的内容:
7、erShell Method推荐给那些想要自动化部署和升级的用户。编辑INI设置文件,运行PowerShell脚本进行部署和配置。
8、erShell中的Hyper-V PowerShell方法,包括INI文件的编辑。这里有四个INI文件可供选择:INI文件、Unified Access Gateway PowerShell脚本uagdeploy.ps1、uagdeployec2.ps1、uagdeployaz.ps1和uagdeployhv.ps1。这些脚本可以帮助您在多个平台上获得类似的体验。
9、General部分包含了一些基本的参数设置,如name(UAG2), uagName(site1-uag2), deploymentOption(twonic)等。此外,还需要提供Azure订阅ID、资源组名称、位置等信息。
最后,您需要指定存储帐户名称、映像URI、磁盘存储容器、虚拟机大小以及网络设置。这包括虚拟网络名称、子网名称、公共IP地址名称和网络安全组名称等。
以下是重构后的内容:
10、INI Sample - General
general name=UAG2
uagName=site1-uag2
deploymentOption=onenicAmazonEC2
credentialProfileName=awsProfile# type, region and image instanceType=c4.large
region=us-east-2
amiId=ami-1334b87b#Network settingssubnetId0=subnet-5c933425 securityGroupId0=sg-00877c3367 publicIPId0=eipalloc-027afa45f1Ama
11、zon Web Service INI Sample - General
general name=UAG2
uagName=site1-uag2source=C:UAGsuag_OVF10.ova target=vi:/1/DC1/host/ deploymentOption=onenic#Storage settingsds=Local Disk 1 diskMode=thin#Network settings netInternet=VM NetworknetManagementNetwork=VM NetworknetBackendNetwork=VM NetworkdefaultGateway=ip0=0
12、netmask0=dns=0vSphere INI Sample - Specific INI Sections for Hypervisor, Network and Storage Configuration
Unified Access Gateway OVA image must be imported into AWS and Azure for deploymentName vs uagNameINI SettingsVM name vs Hostname (random or explicitly set)NameuagNameuagNameuagNameRandom name wil
以下是根据您提供的内容重构的段落结构:
# UA-XXXX-XXXXX-XXXX Generation When uagName is NOT Defined
当uagName未定义时,13将生成(uag-xxxxx-xxxx-xxxx)。这有助于在与其他解决方案(如VMware Log Insight for Syslog、Horizon控制台等)集成时轻松识别设备。
## PowerShell部署INI设置
通用设置如下:
```ini
uagName=AirwatchTunnelGateway
organizationGroupCode=
apiServerUrl=
apiServerUsername=
airwatchServerHostname=AirWatchContentGateway
cgConfigId=apiServerUrl= apiServerUsername= airwatchServerHostname=AirwatchSecureEmailGateway
memConfigurationId= apiServerUsername= apiServerUrl= airwatchServerHostname=UEM Edge Services Settings (示例)
Horizon proxyDestinationUrl= tunnelExternalUrl= blastExternalUrl= pcoipExternalUrl=WebReverseProxy# proxyDestinationUrl= instanceId=proxyDestinationUrlThumbprints= proxyPattern=proxyHostPattern=13Horizon and Web Reverse Proxy Edge Services Settings (示例)Edge Services, Certificates and Authentication
```
# UA-XXXXX-XXXXX-XXXX Generation Helps to Easily Identify the Appliance When Integrated with Other Solutions
12中提到,UA-XXXX-XXXXX-XXXX生成有助于在与其他解决方案集成时轻松识别设备,例如与VMware Log Insight for Syslog集成,与Horizon控制台进行监控等。
7. **通知方法**
在所有平台上,以下INI部分用于使UEM服务在首次启动时就绪:Airwatch、TunnelGateway、AirWatch ContentGateway和Airwatch Secure Email Gateway。使用这些INI部分,脚本将在首次启动时对API URL发起验证请求。如果配置了多个UEM服务,仅使用AirWatch INI部分无法实现首次启动就绪。
为在首次启动时就绪的UEM服务需要的INI部分:
1. Airwatch
2. TunnelGateway
3. AirWatch ContentGateway
4. Airwatch Secure Email Gateway
配置多个UEM服务时的最佳实践:
1. UEM Services Required to Achieve Ready on First Boot
2. Best Practice when configuring multiple UEM Services
14. INI示例:双网卡设备和四个边缘服务
首次启动就绪:是的(Ready on first boot)
15. 同时部署三个UAG实例的演示(Demo)
16. DMZ或云租户内的内部资源:Horizon桌面和应用程序、Web应用程序、REST API服务器、维基、内部文件存储库、SharePoint内容、Horizon连接服务器。重新运行uagdeploy PowerShell脚本,为每个INI文件添加新的设备以实现快速扩展。
17. 电子邮件服务器:Edge服务,支持多种协议(例如SMTP/IMAP/POP3)。
18. 与外部系统交互(如CRM或ERP):确保所有必要的集成都已配置正确。
在Horizon Web Reverse Proxy和Identity Bridging中,确保以下服务正确配置:
1. Secure Email Gateway:
- 内容网关(Content Gateway)
- VMware隧道(VMware Tunnel)
- 确保负载均衡器配置为执行健康检查。对于favicon.ico,必须使用HTTPS GET请求,而不是/broker/xml或其他URL/端口。对于Horizon的Secure Email Gateway使用情况,请确保:添加每个新设备的IP地址到UEM控制台上的SEG集群配置中,然后再进行部署。在多网卡部署中,内部/管理网络接口卡将被SEG集群使用。
2. 当规模扩大时进行负载平衡的考虑因素:
- 维护用户工作,不降低生产率。
3. 当启用Quiesce模式时:
- 设备显示为不可用。
- 通过favicon.ico进行健康检查时,返回503错误给负载均衡器。
- 负载均衡器将流量发送到下一个可用的设备。
- 当前会话不会被中断。
要更新Quiesce模式,请使用UAG REST API。以下是更新Quiesce模式的PUT请求示例:
```plaintext
PUT https://:9443/rest/v1/config/system
```
在此示例中,“INI Settings for”应替换为实际的配置文件类型和名称。
2、PowerShell部署通用要求:
- GeneralquiesceMode=TRUE或FALSE:防止创建新的会话。
- Blue/Green部署:
- 对于20DMZ或云租户,需要编辑INI文件,将3.10镜像文件名的名称、IP(如果使用静态IP)和源引用更改为2009版本。
23、在运行uagdeploy PowerShell命令时,对于每个UAG .INI文件进行部署,以添加新的设备到负载均衡器VIP。3.10版本的所有初始设置将自动应用到2009版本,因为设置来自INI文件。
24、Blue/Green部署:
1. 部署新设备
- 根据更新后的INI文件:
- 内部资源:电子邮件服务器、文件存储库、SharePoint内容、Web应用程序、REST API服务器、维基百科、内网
- Horizon连接服务器:Horizon Desktops and Apps将旧设备放入“Quiesce模式”,负载均衡器将路由新连接到新的UAG应用程序。
以下是重构后的内容,并保持段落结构:
25、ncesUsers with active session remain working with no impactNew sessions will be routed to the new appliances (2009)
要启用旧设备上的“静默模式”:
1. 在旧设备上启用Quiesce Mode(3.10):
- 内部资源:电子邮件服务器、文件存储库、SharePoint内容、Web应用程序、REST API服务器、维基、Intranet、Horizon连接服务。
- DMZ或云租户:Quiesce Mode ON。
2. 使用Edge Services Statistic API监控旧设备,以识别具有活动会话的设备:
- 当所有现有会话已从旧设备中“排空”时,可以销毁它们。
3. 销毁没有活动会话的旧设备:
- 电子邮件服务器上的Quiesce Mode ON。
- 通过GET Statistics API调用(0)进行操作。
- 由管理员或自动化过程进行操作。
26、DMZ或云租户:Quiesce Mode ON,Internal Resources: Horizon桌面和应用程序、Web应用程序、REST API服务器、维基、Intranet、文件存储库、SharePoint内容、Horizon连接服务器。当所有现有会话已从旧设备中“排空”时,可以销毁它们。使用Edge Services Statistic API监控旧设备,以识别具有活动会话的设备:当所有现有会话已从旧设备中“排空”时,可以销毁它们。通过GET Statistics API调用(0)进行操作。由管理员或自动化过程进行操作。
8、Orizon Desktops and Apps
PowerShell | Quiesce mode | Statistics API | Automation Upgrade Completed with Zero Downtime
Internal Resources:
- Email Server
- File Repository (SharePoint Content)
- Web Applications REST API Servers
- Wikis
- Horizon Connection Servers 24
Security and Compliance:
- TLS Updates Increased.
29、g security over TLS Communication has increased.
26、TLS 1.3 Release Adds TLS 1.3 Support to the Following Edge Services:
- Horizon and Web Reverse Proxy on TCP 443
- Secure Email Gateway (Enabled by default during deployment unless disabled on INI settings during PowerShell deployment; tls13Enabled = TRUE | FALSE)
- TLS 1.1 is disabled by default on UAG 3.9+, but can be enabled if needed.
- The Horizon Blast Secure Gateway component on TCP port 8443 no longer uses TLS 1.1 and only supports TLS 1.2.
Final Security Score (A+): Compliant with PCI DSS Requirements for the Finance Industry (Payment Card Industry Data Security Standard).
1、PCI DSS 3.2.1 - Requirements 2.3 and 4.1
Compliant with HIPAA
The Healthcare Industry (Health Insurance Portability and Accountability Act of 1996) requires organizations that handle protected health information (PHI) to comply with certain standards. These standards include requirements for securing PHI from unauthorized access, use, disclosure, disruption, modification, or destruction. In order to meet these requirements, organizations must implement specific technologies and methodologies to render PHI unusable, unreadable, or indecipherable to unauthorized individuals.
32、NIST (National Institute of Standards and Technology)
Compliant with NIST Special Publication 800-52 Revision 1 - Section 327
Securing the UAG HTTP over TLS Communication
The Unified Access Gateway (UAG) is a critical component of many healthcare organizations' security infrastructures. To ensure the security of sensitive data transmitted between the UAG and other systems, it is important to implement secure communication protocols such as Transport Layer Security (TLS). NIST Special Publication 800-52 Revision 1 Section 327 provides guidance on how to implement secure communications over TLS.
33、For Horizon use cases
OverviewAdded Certificate as authentication method to UAG FIPS version, supporting smart card and device certificate
In addition to the standard methods of authentication used by the UAG, organizations can now add certificates as an additional authentication method. This allows users to authenticate using a smart card or a device certificate, increasing the level of security for your organization's access control system.
The Horizon environment requires FIPS enabled and Unified Access Gateway FIPS. This ensures that your organization complies with federal security requirements and protects against potential vulnerabilities in the FIPS-enabled Unified Access Gateway.
Unified Access Gateway 3.10 minimum required benefits include support for federal customers to stay in compliance with these requirements, as well as the ability to remove Security Server dependencies for some features. By implementing these features, you can improve the security and reliability of your organization's access control system while reducing costs and administrative complexity.
以下是对原文本的重构,我尽量保持了原文的语义和结构:
34、Horizon 7 及更高版本的支持性
28、UAG FIPS 版本对证书验证的支持
在 Unified Access Gateway 的管理控制台进行配置
在身份验证方法下启用上传 X.509 证书
在 Horizon 边缘服务设置中启用 Certificate Auth 方法选项
29、增强 Horizon 远程访问的安全性能,使用 Unified Access Gatewa
为了保证信息的可读性,我尽量去除了一些不必要的标点符号,并将长句拆分为多个较短的句子。如果需要进一步的修改或澄清,请提供更多的具体细节。
