déploiement de référence

Remote Desktop Gateway on AWS

Connexions à distance chiffrées avec RDP sur HTTPS

Afficher le guide de déploiement

Cette solution déploie Remote Desktop Gateway (RD Gateway) dans le Cloud Amazon Web Services (AWS). RD Gateway utilise le Remote Desktop Protocol (RDP) sur HTTPS pour établir une connexion chiffrée entre les utilisateurs à distance et les instances Amazon Elastic Compute Cloud (Amazon EC2) qui exécutent Microsoft Windows sans réseau privé virtuel (VPN). Cela vous aide à réduire les attaques contre vos instances basées sur Windows tout en fournissant une solution de gestion à distance pour les administrateurs.

Vous pouvez utiliser les modèles AWS CloudFormation compris dans la solution pour déployer une infrastructure RD Gateway entièrement configurée dans votre compte AWS. Vous pouvez choisir de déployer RD Gateway dans un nouveau cloud privé virtuel (VPC) de votre compte AWS ou dans un VPC existant, autonome ou associé à un domaine. Vous pouvez également utiliser les modèles AWS CloudFormation comme point de départ pour les implémentations personnalisées.

Cette solution a été développée par AWS.

Les administrateurs AWS Service Catalog peuvent ajouter cette architecture à leur propre catalogue.  

Utiliser dans AWS Service Catalog
  •  Votre projet de création

  • Utilisez cette solution partenaire pour configurer l'environnement RD Gateway suivant sur AWS :

    • Une architecture hautement disponible couvrant deux zones de disponibilité.*
    • Un VPC configuré avec des sous-réseaux publics et privés conformément aux meilleures pratiques AWS, afin de vous fournir votre propre réseau virtuel sur AWS.*
    • Une passerelle Internet pour permettre l'accès à Internet. Cette passerelle est utilisée par les instances RD Gateway pour envoyer et recevoir du trafic.*
    • Des passerelles de traduction d'adresses réseau (NAT) gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
    • Dans chaque sous-réseau public, jusqu'à quatre instances RD Gateway dans un groupe Auto Scaling pour fournir un accès à distance sécurisé aux instances dans les sous-réseaux privés. Une adresse IP Elastic est attribuée à chaque instance pour qu’elle soit accessible directement depuis Internet.
    • Un Network Load Balancer (équilibreur de charge réseau) pour donner un accès RDP aux instances RD Gateway.
    • Un groupe de sécurité pour les instances Windows qui hébergera le rôle RD Gateway, avec une règle d'entrée autorisant le port TCP 3389 à partir de votre adresse IP d'administrateur. Après le déploiement, vous modifierez les règles d’entrée du groupe de sécurité afin de configurer un accès administratif via le port TCP 443.
    • Un niveau d'application vide pour les instances dans des sous-réseaux privés. Si plusieurs niveaux sont requis, vous pouvez créer des sous-réseaux privés supplémentaires avec des plages CIDR uniques.
    • AWS Secrets Manager pour stocker de façon sécurisée les informations d’identification utilisées pour accéder aux instances RD Gateway.
    • AWS Systems Manager pour automatiser le déploiement du groupe Auto Scaling RD Gateway.

    Cette solution installe également un certificat SSL auto-signé et configure les stratégies RD CAP et RD RAP.

    * Le modèle qui déploie la solution dans un VPC existant ignore les tâches marquées d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant.

  •  Procédure de déploiement

  • Pour créer votre environnement RD Gateway sur AWS, suivez les instructions du guide de déploiement. Le processus de déploiement comprend les étapes suivantes :

    1. Si vous n'avez pas encore de compte AWS, créez-en à l'adresse https://aws.amazon.com.
    2. Lancez la solution. Chaque déploiement prend environ 30 minutes. Vous pouvez choisir parmi les options suivantes :
    3. Effectuez des tâches post-déploiement telles que l'installation du certificat racine et la configuration de la connexion.

    Les options de personnalisation comprennent le type d'instance RD Gateay, le nombre d'instances à déployer et les tailles de bloc CIDR.

    Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.  

    Pour plus d'informations, consultez le guide de déploiement
  •  Coût et licences

  • Cette solution lance Amazon Machine Image (AMI) pour Microsoft Windows Server 2012 R2 et inclut la licence pour le système d'exploitation Windows Server. L'AMI est régulièrement mise à jour avec le pack de service le plus récent, pour vous épargner toute installation de mises à jour. L'AMI Windows Server ne requiert pas de licence d'accès client (CAL) et comprend deux licences Microsoft Remote Desktop Services. Pour plus d'informations, consultez la section Licences Microsoft sur AWS.

    Vous êtes responsable du paiement du coût des services AWS et des licences tierces utilisées lors de l'exécution de cette solution. Aucun frais supplémentaire ne vous sera facturé pour l'utilisation de la solution.

    Cette solution propose des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, tel que le type d'instance, affectent le coût du déploiement. Reportez-vous aux pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.

    Astuce : après avoir déployé une solution, créez des Rapports de coût et d'utilisation AWS afin de suivre les coûts afférents à la solution. Ces rapports fournissent des métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) dans votre compte. Ils fournissent des estimations de coûts basées sur l'utilisation mensuelle et agrègent les données à la fin du mois. Pour en savoir plus, consultez la section Qu'est-ce que les rapports de coût et d'utilisation AWS ?