implementazione di riferimento

Gateway Desktop remoto su AWS

Connessioni remote crittografate con RDP su HTTPS

Consulta la guida all'implementazione

Questa soluzione distribuisce Remote Desktop Gateway (RD Gateway) nel cloud di Amazon Web Services (AWS). Gateway RD utilizza il protocollo RDP (Remote Desktop Protocol) su HTTPS per stabilire una connessione sicura e crittografata tra utenti remoti e istanze Amazon Elastic Compute Cloud (Amazon EC2) che eseguono Microsoft Windows senza dover configurare una connessione VPN. In questo modo è possibile ridurre gli attacchi sulle istanze basate su Windows, fornendo al contempo una soluzione di amministrazione da remoto per gli amministratori.

È possibile utilizzare i modelli di AWS CloudFormation inclusi nella soluzione per distribuire un’infrastruttura RD Gateway pienamente configurata sul tuo account AWS. Puoi scegliere di distribuire RD Gateway in un nuovo cloud privato virtuale (VPC, Virtual Private Cloud) nel tuo account AWS o in un VPC esistente, in modalità autonoma o aggiunta a un dominio. I modelli di AWS CloudFormation possono inoltre costituire il punto di partenza della tua personale implementazione.

Questa soluzione è stata sviluppata da AWS.

Gli amministratori del Catalogo dei servizi AWS possono aggiungere questa architettura al proprio catalogo.  

Utilizza in AWS Service Catalog
  •  Attività che realizzerai

  • Utilizza questa soluzione dei partner per la configurazione del seguente ambiente RD Gateway su AWS:

    • Un'architettura ad alta disponibilità che si estende su due zone di disponibilità.*
    • Un VPC configurato con sottoreti pubbliche e private secondo le best practice AWS, per creare la tua rete virtuale su AWS.*
    • Un gateway Internet per offrire accesso a Internet. Questo gateway è utilizzato dalle istanze di RD Gateway per inviare e ricevere il traffico.*
    • Gateway NAT (Network Address Translation) gestiti che consentono l’accesso Internet in uscita a Internet alle risorse all’interno delle sottoreti private.*
    • In ogni sotttorete pubblica, fino a quattro istanze di RD Gateway in un gruppo Auto Scaling per fornire accesso sicuro in remoto alle istanze delle sottoreti private. A ciascuna istanza viene assegnato un indirizzo IP elastico che la rende raggiungibile direttamente da Internet.
    • Un Network Load Balancer per fornire accesso RDP alle istanze del Gateway RD.
    • Un security group per le istanze basate su Windows che ospita il ruolo del Gateway RD, con una regola di ingresso che permette di utilizzare la porta TCP 3389 dall’indirizzo IP dell'amministratore. Dopo la distribuzione, potrai modificare le regole di ingresso del security group per configurare l’accesso amministrativo attraverso la porta TCP 443.
    • Un livello di applicazione vuoto per le istanze delle sottoreti private. Se sono necessari più livelli, puoi creare sottoreti private aggiuntive con intervalli CIDR univoci.
    • AWS Secrets Manager per archiviare in modo sicuro le credenziali per accedere alle istanze del Gateway RD.
    • AWS Systems Manager per automatizzare la distribuzione del gruppo Auto Scaling del Gateway RD.

    La soluzione permette inoltre di installare un certificato SSL autofirmato e di configurare le policy RD CAP e RD RAP.

    * Il modello che implementa la soluzione dei partner su un VPC esistente non include le attività contrassegnate con asterisco e richiede la configurazione del VPC esistente.

  •  Come effettuare l'implementazione

  • Per creare l'ambiente del Gateway RD su AWS, segui le istruzioni nella guida alla distribuzione. Il processo di distribuzione prevede i seguenti passaggi:

    1. Se non disponi ancora di un account AWS, registrati su https://aws.amazon.com.
    2. Avvia la soluzione. Ciascuna distribuzione dura circa 30 minuti. Puoi scegliere tra le seguenti opzioni:
    3. Esegui le attività successive all'implementazione, come l’installazione del certificato root e la configurazione della connessione.

    Tra le opzioni di personalizzazione vi sono il tipo di istanza del Gateway RD, il numero di istanze da distribuire e le dimensioni del blocco CIDR.

    Amazon può condividere informazioni relative all'implementazione con il Partner AWS che ha collaborato con AWS a questa soluzione.  

    Per ulteriori dettagli, consulta la guida all'implementazione
  •  Costi e licenze

  • Questa soluzione avvia l’Amazon Machine Image (AMI) per Microsoft Windows Server 2012 R2 e include la licenza per il sistema operativo Windows Server. L'AMI viene aggiornata regolarmente con il service pack più recente, quindi non è necessario installare alcun aggiornamento. L'AMI Windows Server non richiede licenze di accesso client (CAL) e include due licenze Microsoft Remote Desktop Services. Per maggiori informazioni, consulta Microsoft Licensing su AWS.

    Verranno addebitati i costi dei servizi AWS e di qualsiasi licenza di terze parti utilizzati per eseguire questa soluzione. Non sono previsti costi aggiuntivi per l'utilizzo della soluzione.

    Questa soluzione include alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell'implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Suggerimento: dopo l'implementazione della soluzione, crea report di costi e utilizzo di AWS per monitorare i costi associati. Questi report forniscono i parametri di fatturazione a un bucket Amazon Simple Storage Service (Amazon S3) nel tuo account. Inoltre, essi forniscono i costi stimati in base al consumo con cadenza mensile e aggregano i dati alla fine del mese. Per ulteriori informazioni, consulta Che cosa sono i report di costi e utilizzo AWS?