跳过主要内容

Nutanix框架和Zscaler私人访问(ZPA)

·8分钟阅读
大卫·霍瓦斯(David Horvath)

Nutanix Frame™桌面作为服务(DAAS)解决方案支持多个网络模型。企业最受欢迎的网络模型之一是框架私人网络模型。该模型允许Frame Workload VM在Enterprise专用网络上具有私有IP地址并访问专用网络资源,这是继承现有网络安全流程的最简单方法。

但是,远程用户仍然需要一种连接到这些专用网络的方法。实施此访问的传统方法是部署VPN,但这需要在用户端点设备上实现和维护软件,而VPN连接可以超载防火墙等安全产品。

框架提供流门户设备(SGA)为了满足这一需求,但是一些企业可能希望利用Zscaler,Inc。提供的“安全为服务”模型。DMZ部署。ZSCALER®服务维持许多认证政府机构要求,它符合最清楚的组织所要求的严格标准。

在此博客中,您将了解Zscaler私人访问(ZPA)和框架DAAS如何共同使用,以提供具有简化管理模型的私有云的远程访问解决方案,同时保持高度的安全性。

建筑学

下面是使用流网关设备(SGA)部署的框架专用网络体系结构的示例。

图1.带有SGA体系结构的框架

图1.带有SGA体系结构的框架

在此体系结构中,所有工作负载子网仅使用专用IP地址。框架DAAS平台通过呼叫云提供商的公共API端点来协调工作负载,并通过仅出站NAT GW(图上的绿线)通过内部启动连接与工作负载进行通信。最终用户用框架(蓝线)进行身份验证,然后将其访问的桌面和应用程序提供。当他们单击图标时,启动了一个会话,并通过SGA设备将用户重定向到工作负载,该设备将会话定为适当的工作负载(红线)。在许多企业中,SGA和NAT GW位于非军事区(DMZ)中,由于需要直接连接到Internet,因此具有很高的安全性和监视功能。

Zscaler架构相似,但不需要企业为SGA部署DMZ。取而代之的是,入站公共连接由ZScaler管理,而专用网络不需要允许任何入站连接,从而简化了安全模型。帧平台仍需要连接到云提供商API,但是这些端点已经公开并由云提供商管理,并且需要某种出站NAT GW来允许工作负载与帧平台交谈。

图2.带有Zscaler体系结构的框架

图2.带有Zscaler体系结构的框架

设置框架专用网络

对于此体系结构的框架部分,您需要设置一个具有专用网络的帧帐户。此设置将使用您现有的云服务来设置用于帧工作负载的专用网络。Zscaler AppConnector设备还需要部署在具有访问权限的VPC或子网中(至少超过TCP端口443),以部署工作负载的私人子网。

Zscaler私人访问设置

设置Zscaler私有访问(ZPA)与帧一起使用的高级步骤是:

定义框架应用程序段

图3.定义应用程序段

图3.定义应用程序段

*.portal.sharkdemo.com是本示例中定义的应用程序段 - 与此通配符域相匹配的任何请求都将与Nutanix框架应用程序相关联并由ZPA服务。

为此应用程序段选择了浏览器访问模式,并创建了X.509证书wild-portal.sharkdemo.com并与此应用程序段关联。

图4.将证书关联

图4.将证书关联

浏览器访问模式允许客户端使用通用的Web浏览器访问此框架应用程序,而无需在端点上安装Zscaler客户端连接器。这意味着必须创建公共DNS cname来映射*.portal.sharkdemo.com到Zscaler私人访问云。

图5.通配符记录

图5.通配符记录

接下来,我们将服务器组(用于负载分配和健康监控)和应用程序段组(用于策略)将其关联到本应用程序段。以前创建了AppConnector(本文档范围之外)并与该服务器组关联。

图6.服务器组/应用程序段组关联

图6.服务器组/应用程序段组关联

访问政策

创建了访问策略,以允许访问框架应用程序。在这种情况下,创建了一个允许策略,该策略授予对应用程序段组(Zscalerdemo_aws_vpc_services)的访问权限。

图7.访问政策

图7.访问政策

现在,如果用户打开Web浏览器并在URL .portal.sharkdemo.com中键入键入,它将解析为ZPA Cloud Service的“出口”组件:

图8.验证DNS

图8.验证DNS

用户门户

为了易于使用,创建了一个用户门户网站,该门户将直接链接到框架DAAS应用程序。用户门户允许实际的帧链接是私有的,并允许提供其他相关的应用程序,可为用户社区提供。

图9.定义用户门户

图9.定义用户门户

用户门户网站上的框架实例的详细信息如下所示...

图10.框架实例详细信息

图10.框架实例详细信息

从浏览器访问模式下支持框架服务所需的其他配置。(需要由Zscaler支持配置)

post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.samesite_none”,
“ configvalue”:“启用”,
“ configValueInt”:1,
“顾客ID”: ***,
“ targetgid”:***,
“ targetType”:“客户”
}

post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.cors_enabled”,
“ configvalue”:“启用”,
“ configvalueint”:1,
“顾客ID”: ,
“ targetgid”:
“ TargetType”:“客户”
}

私人DNS

为了确保连接正确路由,ZScaler AppConnector将需要能够解析框架用于适当的工作负载IP的DNS名称。为此,请在AppConnector虚拟设备上创建一个主机文件,该文件具有指向Workload VM的所有可能的私人IP地址的条目指向10.0.100.50)。

最终确定帧配置

现在,您需要联系框架支持团队,并指出您需要更改框架帐户以支持“自定义基本域名”。您将提供框架帐户名和您在ZPA上使用的DNS域(在此示例中*.portal.sharkdemo.com)。框架支持团队将能够更新您的框架帐户以使用该域。当您的用户启动虚拟化应用程序或桌面时,Frame将使用自定义域将用户引导到工作负载。

最终用户体验

要访问其虚拟化应用程序和/或桌面,最终用户首先连接到Zscaler门户网站https://portal.sharkdemo.com他们需要在哪里使用Zscaler用户名登录。

图11.门户登录

图11.门户登录

用户将被重定向ZScaler中配置的第三方身份提供商。

图12.身份提供商登录

图12.身份提供商登录

经过身份验证后,您将被重定向到ZPA用户门户

图13. ZPA用户门户

图13. ZPA用户门户

选择Nutanix框架应用程序 -Windows桌面ABC

这将引导用户进入Nutanix框架启动板。Nutanix框架将将用户重定向到为用户身份验证配置的第三方身份提供商。

图14.连接到框架启动板

图14.连接到框架启动板

用户已对身份提供商进行身份验证并返回框架,框架将验证用户已授权访问桌面。

当DAAS实例在后端旋转时,用户会等待(可能需要一分钟)。

图15.加载桌面

图15.加载桌面

用户的桌面作为服务实例将出现...

图16.框架会话

图16.框架会话

结论

将Zscaler的“安全性作为服务”产品与框架DAAS相结合,使企业能够利用领先的“服务”产品,以向任何浏览器的用户提供安全,性能,桌面体验。通过使用Zscaler AppConnector服务,它不需要客户设置并维护DMZ或流网站设备,从而减轻整体管理体验。Zscaler还通过确保公司数据从不通过批准的安全流程离开私人网络来提供重要的公司数据资源的额外保护。

作者

大卫·霍瓦斯(David Horvath)
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近五年的历史,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
更多的内容由里奇·约翰逊
Rich Johnson是Zscaler Technology的高级解决方案工程师。在过去的30年中,他在网络和计算机安全行业工作,为美国国防部提供支持。
更多的内容由詹姆斯·哈普尔
James Happel是Clearshark的系统工程师。他在Clearshark工作了将近3年,在此之前,他在美国国防部工作了15年。
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,我们对任何信息的充分性,公平性,准确性或完整性都没有任何代表性从第三方来源获得。
Baidu