1. Configurer Secure Global Desktop
  2. Configurer Oracle Secure Global Desktop

Configurer Oracle Secure Global Desktop

Oracle Secure Global Desktop (SGD) est une solution d'accès à distance sécurisée pour les applications et bureaux d'entreprise hébergés dans le cloud qui fonctionnent sur les serveurs Microsoft Windows, Linux, Solaris et mainframe.

La différence entre SGD et SSH ou VPN est que le client ne pénètre jamais dans le réseau et que l'administrateur de SGD contrôle tous les accès, y compris les fonctionnalités du client telles que copier et coller, imprimer ou accéder à l'appareil.

Vous interagissez avec le service via une connexion sécurisée au navigateur Web et vous pouvez lancer, suspendre et reprendre des applications exécutées dans un environnement contrôlé. Les données ne quittent pas le centre de données ou le cloud. Les périphériques client perdus ne contiennent aucune information sensible. SGD fournit un point d'accès unique et permet à un administrateur de désautoriser un utilisateur à tout moment et de mettre fin aux sessions actives.

Architecture

Cette architecture affiche les passerelles et serveurs Secure Global Desktop dans leur propre sous-réseau privé entre un équilibreur de charge et les serveurs d'applications. Le seul port exposé à Internet est 443 (HTTPS), via l'équilibreur de charge.

Lorsque vous lancez une application, Secure Global Desktop (SGD) convertit le protocole de bureau distant natif (RDP) ou le trafic X11 en son propre protocole propriétaire appelé Adaptive Internet Protocol (AIP) et renvoie une présentation visuelle au client.

Le diagramme suivant illustre cette architecture de référence.

Description d'architecture-secure-global-desktop.png suivante
Description de l'illustration architecture-secure-global-desktop.png

L'architecture comporte les composants suivants :

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui permet de tolérer les pannes. Les domaines de disponibilité ne partagent pas d'infrastructure comme l'alimentation ou le refroidissement, ou le réseau de domaine de disponibilité interne. Il est donc peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • Domaines d'erreur

    Un domaine de panne est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité dispose de trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous placez des instances Compute sur plusieurs domaines de pannes, les applications peuvent tolérer l'échec du serveur physique, la maintenance du système et de nombreuses pannes de réseau et d'alimentation communes dans le domaine de disponibilité.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Les VCN peuvent être segmentés en sous-réseaux, qui peuvent être spécifiques à une région ou à un domaine de disponibilité. Les sous-réseaux propres à chaque région et à chaque domaine de disponibilité peuvent coexister dans le même VCN. Un sous-réseau peut être public ou privé.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés dans et hors du sous-réseau.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles permettant d'acheminer le trafic de sous-réseaux vers des destinations en dehors de VCN, généralement via des passerelles.

  • Périphériques client

    Une large gamme de périphériques client populaires tels que PC Windows, Mac, PC Linux et tablettes telles que les appareils Apple iPad et Android. Tout système doté d'un navigateur Web moderne peut également utiliser le client HTML5.

  • Balanceur de charge

    Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée à plusieurs passerelles SGD accessibles dans VCN. La connexion de l'équilibreur de charge aux passerelles SGD doit être TCP sur 443 et non HTTPS.

  • Serveurs de calcul et d'applications

    Les serveurs d'applications sont les ressources cible réelles auxquelles SGD fournit un accès sécurisé. Ils peuvent être tout ce qui fournit un accès RDP, SSH ou Telnet aux serveurs SGD. Seuls les serveurs SGD doivent parler aux serveurs d'applications, qui peuvent être des terminaux physiques ou virtuels. SGD lance les applications ou les environnements de bureau sur les serveurs d'applications.

  • Serveurs SGD

    Les serveurs gèrent l'authentification et l'autorisation pour fournir l'espace de travail HTML aux utilisateurs finaux. Les serveurs traduisent également les protocoles RDP, SSH ou Telnet dans le protocole Internet adaptatif propriétaire SGD (AIP) et envoient du trafic au client via les passerelles SGD. Les serveurs SGD traitent également l'autorisation pour laquelle un utilisateur a le droit d'exécuter des applications et sur laquelle le serveur d'applications. Le serveur SGD stocke cette autorisation dans une base de données de configuration interne.

    Vous pouvez configurer plusieurs serveurs SGD dans un tableau, partager une base de données de configuration unique, pour augmenter la capacité et fournir une redondance. Vous pouvez ajouter ou supprimer des serveurs dynamiquement sans interrompre l'accès du client.

  • Passerelles SGD

    Une passerelle est un proxy inverse spécialisé qui expose le service au monde extérieur. Il fournit également l'acheminement et l'équilibrage de charge. La passerelle est sans statut et ne contient aucune information sur l'identité ou la configuration de l'application. C'est le seul composant qui doit parler aux serveurs SGD. Vous pouvez configurer plusieurs passerelles pour le chargement et la redondance.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • VCN

    Lorsque vous créez VCN, déterminez le nombre d'adresses IP requises pour vos ressources cloud dans chaque sous-réseau. À l'aide de la notation CIDR (Classless Inter-Domain Routing), spécifiez un masque de sous-réseau et une plage d'adresses réseau suffisamment grande pour les adresses IP requises. Utilisez une plage d'adresses située dans l'espace d'adresses IP privé standard.

    Sélectionnez une plage d'adresses qui ne chevauche pas votre réseau sur site, de sorte que vous puissiez configurer une connexion entre VCN et votre réseau sur site, si nécessaire.

    Après avoir créé un VCN, vous ne pouvez pas modifier sa plage d'adresses.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  • Listes de sécurité

    Utilisez les listes de sécurité pour définir les règles entrantes et sortantes qui s'appliquent à chaque sous-réseau. Assurez-vous que le trafic est autorisé vers les ports suivants :

    Ports 443 et 5307 pour le trafic entre les passerelles SGD et les serveurs SGD.

    Ports 443 et 5427 pour le trafic entre les serveurs SGD et les autres serveurs SGD.

    Ports 22 et 3389 pour le trafic entre les serveurs SGD et les serveurs de calcul ou d'application.

  • Taille SGD

    En règle générale, une application Windows ou X11 avec une taille d'écran de 1920x1200 et une profondeur de couleur 32 bits utilise environ 1500 Mo de mémoire sur le serveur SGD et environ 80 Mo sur la passerelle SGD. Ces valeurs augmenteront en fonction du nombre d'utilisateurs et du nombre d'applications simultanées.

Remarques

  • Performances

    Les serveurs SGD doivent être situés le plus près possible des serveurs d'applications auxquels ils doivent accéder, tels que les domaines de disponibilité ou les régions.

  • Réseautage

    Chaque passerelle doit pouvoir parler à chaque serveur SGD, et chaque serveur SGD doit pouvoir parler à tous les autres serveurs SGD du tableau. Seul le serveur SGD du même domaine ou région doit pouvoir parler aux serveurs d'applications du même domaine ou région. Dans ce mode d'opération, les serveurs SGD reçoivent un emplacement dans SGD correspondant à l'emplacement du serveur d'applications. Selon ce que vous voulez accomplir, un sous-réseau régional unique doit suffire si l'infrastructure SGD est déployée dans le même compartiment que les serveurs d'applications cible. Si vous souhaitez utiliser SGD pour contrôler facilement et en toute sécurité l'accès aux ressources réparties entre les compartiments et même les régions, vous devez configurer plusieurs sous-réseaux. À ce niveau, SGD se comporte comme tout autre produit en réseau. Les ports nécessaires doivent être ouverts entre l'infrastructure SGD et les serveurs SGD et les serveurs d'applications cible.

  • Sécurité

    Les ressources n'ont pas besoin d'adresses IP publiques et ne peuvent être consultées que par l'intermédiaire de SGD.

  • Disponibilité

    Plusieurs passerelles SGD et serveurs SGD sont recommandés pour augmenter la disponibilité.

  • Coût

    SGD a un utilisateur nommé ainsi qu'une licence. Une licence est requise pour chaque utilisateur final, peu importe le nombre de fois ou l'endroit où SGD est déployé. Le même utilisateur autorisé a le droit d'accéder à SGD installé dans Oracle Cloud Infrastructure et sur site.

Déployer

La façon la plus simple de commencer par SGD est d'utiliser l'image Oracle Cloud Marketplace.

L'image Oracle Cloud Marketplace dispose de la passerelle SGD et du serveur SGD configurés sur la même instance Compute qu'une configuration co-localisée. Avec la passerelle et le composant serveur sur la même instance, vous ne pouvez pas former de tableaux SGD. Toutefois, vous pouvez reconfigurer l'image Marketplace pour conserver l'installation de la passerelle ou du composant serveur, puis poursuivre la configuration d'un tableau.

  1. Accédez à Oracle Cloud Marketplace.
  2. Cliquez sur Obtenir l'application.
  3. Suivez les invites à l'écran.

Plus d'informations