為期超過三年的COVID-19疫情,居家辦公與混合辦公崛起,不僅支援多人協同作業的雲端服務走紅,也替提供遠端存取服務的IT應用帶來龐大商機,為此,這幾年以來,臺灣有些代理商陸續引進新的遠端安全存取解決方案,例如,去年4月,我們報導由瀚錸科技代理的remote.it,現在要介紹的是另一款由台灣二版代理的Awingu。
其開發商Awingu是在2011年成立,總部在比利時的根特市,2022年6月Core公司將他們買下,預計將其併入2018年買下的Parallels品牌——該公司最知名的產品是個人電腦虛擬化軟體Parallels Desktop,也擁有支援多人遠端桌面存取服務的Remote Application Server(RAS),Core希望將Awingu結合RAS,提供可從任何裝置、隨時隨地皆可安全進行工作的單一登入存取平臺,並且能涵蓋傳統與雲端原生應用程式,以及檔案的存取。
而在這一年的9月,Corel公司宣布改名為Alludo(可念為All You Do),Parallels名列此公司旗下的10大品牌,下轄Awingu、Parallels RAS、Parallels Desktop,到了12月,Awingu宣布推出最新版5.4。
今年3月,台灣二版透過線上研討會形式正式對臺灣市場介紹Awingu,我們也得以一窺這套解決方案的特色。基本上,Awingu有點像VMware Workspace ONE的前身Airwatch,但它不涉及行動裝置管理(MDM)、統一端點管理(UEM)等使用者端設備管理,而是偏重在應用程式與檔案的傳遞/交付(delivery)。
就操作方式而言,Awingu更像僅聚焦在應用程式虛擬化(Application Virtualization)或遠端存取應用程式功能(Remote Application)的這類產品或雲端服務,像是:VMware Horizon Apps、微軟Azurer Remote App(2017年8月終止服務),或是前身為Citrix Virtual Apps and Desktops service的Citrix DaaS。
而在系統建置的部分,比起上述類型的軟體型態解決方案,Awingu僅需在公司內部網路或公有雲的私有雲內部,架設虛擬應用設備作為轉接連線的閘道,員工僅需透過個人電腦的瀏覽器存取單一網站入口,即可透過RDP、CIFS、LDAP等常見的標準通訊協定,安全地連至運作在這些環境的各種新舊型應用系統與檔案儲存服務進行存取,而不需仰賴傳統VPN這類設定較為複雜的加密網路通道服務,或在個人電腦額外安裝個人端加密連線軟體。
在網路連線串流的負載能力上,一臺Awingu虛擬應用設備最多可同時承擔500個RDP連線階段(至少需配置8顆虛擬處理器與8GB記憶體的資源),若需要支撐更大量的連線存取需求,原廠建議可設置3臺虛擬應用設備來處理。
若需承擔超過100位的重度負載用戶同時上線存取——每人開啟3個RDP串流連線、10個連至反向代理的網站應用程式存取活動,以及每小時處理多個檔案,此時,可設置多臺Awingu虛擬應用設備節點組成叢集,以便分攤工作(原廠建議單一叢集的節點最好不要超過8臺),而在多臺節點並行的狀態下,會區分為3種角色:前端(負責RDP與檔案存取活動)、後端(負責稽核)、資料庫(存放Awingu組態、稽核記錄以外的資料)。
如果要承擔超過200位用戶同時上線或為了具備高可靠性(HA)預防此項服務停擺,企業至少需建置3臺節點與外部資料庫,此時也能設置外部負載平衡器。
在頻寬用量上,台灣二版表示,相較於市面上其他遠端應用程式串流存取產品,Awingu算是相當輕量,每個應用程式存取連線需要80 Kbps到100 Kbps(上傳與下載),存取延遲可低於350毫秒,甚至能低於60毫秒。
從上述Awingu網站所公布的技術架構來看,似乎和SSL VPN這類過往我們所瞭解的遠端安全存取的做法相近,對此,我們也詢問台灣二版,他們表示,Awingu分為兩個區塊,前端是使用者看到網頁顯示應用程序部分,後端則是伺服器群RDP或者是CIFS等服務的連線設定,會比SSL VPN或IPsec VPN的部署相對簡單,而且,在安全防護方面,除了有SSL連線加密,使用者登入時可以設定MFA,個人端無須加裝任何代理程式,所有的工作皆可透過瀏覽器完成。
在身分認證的強化上,相較於現行的各種遠端存取應用程式與檔案服務,Awingu最大特色是同時提供單一登入整合(SSO),以及多因素身分驗證(MFA)。以前者而言,可整合AD、LDAP,支援的身分來源(IDP),包含ADFS、Azure AD、Google ID等,它們都是支援SAML v2或OpenID Connect。若使用SAML來驗證,此時還可通過上述基礎IDP驗證後,再進行中介IDP的驗證,例如能搭配另一家資安廠商Opswat的產品來查驗身分,以策安全。
而在MFA的部分,Awingu可支援雜湊訊息認證碼、基於計數器而更動認證因子的動態密碼(HMAC-based One-time Password,HOTP),或基於時間而成的動態密碼(Time-based One-time Password,TOTP)。
目前可提供這類身分認證的軟體工具選擇不少,以手機App而言,最知名的有Microsoft Authenticator、Google Authenticator,資安廠商Sophos、雲端通訊服務業者Twilio也提供這類軟體,前者有Sophos Authenticator,後者推出可安裝在Windows、Linux、macOS的Authy,這些均可用於Awingu。
除此之外,Awingu也支援智慧卡,目前已測試通過4種:比利時電子身分證(eID)、荷蘭Dutch UZI pass、義大利InfoCert Business Key、歐洲Isabel SmartCard。
而在能夠進行遠端存取的應用程式上,Awingu目前支援串流及網站等兩種類型,前者可囊括RDP應用程式、桌面應用程式(非指令型應用程式)、遠端應用程式(RDP協定的延伸),後者則有網站應用程式與套用反向代理的網站應用程式。管理者若要將這些應用程式納入Awingu,可手動透過網頁介面逐一設定,或匯入CSV檔而能一次設定多個應用程式。若要自動安裝、設定、管理,Awingu也提供REST API。
關於一般使用者的遠端存取操作與管理功能,Awing還提供多個實體螢幕對應多個瀏覽器視窗的配置、應用程式連線階段列印(虛擬印表機)、應用程式連線階段畫面共享,以及使用全程的稽核記錄(Application Recording,錄製檔案可存放在Awingu虛擬應用設備的本機硬碟,或是管理者定義的後端伺服器)。
在稽核記錄的收集上,Awingu可涵蓋的範圍相當廣泛,包括:使用者、應用程式、網站應用程式、共享應用程式、身分來源等連線階段,應用程式閘道、檔案存取動作(透過Awingu網站入口操作的檔案),以及各種異常活動。
產品資訊
Awingu 5.4
●代理商:台灣二版
●建議售價:同時上線帳號1年訂閱授權,最低需購買20個授權,每個授權為4,262元
●建置方式:需設置虛擬應用設備,系統需求為2顆vCPU、4 GB記憶體、80 GB硬碟空間
●虛擬應用設備支援平臺:微軟Hyper-V 2016與2019、VMware ESXi 6.5至7.0、KVM、Citrix Hypervisor 8.2、AWS Amazon EC2、微軟Azure、Google Compute Engine
●支援資料庫系統:微軟SQL Server 2016、2017、2019,PostgreSQL 9.4以後版本
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26