Omnissa Horizon: Tính năng, cấu hình, kiến trúc và ứng dụng

Hoàng

November 3, 2025

27 phút đọc

Cổng truy cập hợp nhất

Nền tảng của kiến trúc bảo mật Horizon nằm ở thành phần Unified Access Gateway (UAG).

Đây là một reverse proxy được tăng cường bảo mật, đặt tại vùng phi quân sự (DMZ) của tổ chức.

Cách tiếp cận kiến trúc này tạo ra ranh giới bảo mật quan trọng giữa người dùng bên ngoài và cơ sở hạ tầng nội bộ.

Vì vậy đảm bảo các tài nguyên doanh nghiệp không thể bị phát hiện bởi những kẻ tấn công đang quét mạng internet công cộng.

UAG hoạt động như một trung gian thông minh.

Nó kiểm tra và xác thực tất cả các yêu cầu kết nối từ bên ngoài trước khi cho phép bất kỳ giao tiếp nào với tài nguyên backend.

Khi đặt gateway này trong DMZ, phân đoạn mạng nằm giữa mạng bên ngoài không đáng tin cậy và mạng nội bộ được bảo vệ sẽ giúp doanh nghiệp tạo ra vùng đệm hiệu quả.

Vùng đệm hấp thụ các cuộc tấn công tiềm ẩn mà không để lộ các hệ thống quan trọng.

Vị trí này đặc biệt có giá trị để ngăn chặn các hoạt động do thám vì những kẻ tấn công bên ngoài không thể trực tiếp liệt kê các máy chủ nội bộ, desktop pool hay các thành phần cơ sở hạ tầng.

Gateway thực thi các chính sách xác thực ngay tại biên mạng và áp dụng phương pháp mà các chuyên gia bảo mật gọi là “phòng thủ chiều sâu” (defense in depth).

Thay vì chỉ dựa vào các cơ chế xác thực nội bộ, UAG xác minh thông tin đăng nhập của người dùng trước khi thiết lập bất kỳ kết nối nào đến môi trường bên trong.

Quá trình thực thi tại biên mạng này hoàn toàn phù hợp với các nguyên tắc bảo mật Zero Trust, yêu cầu xác minh mọi yêu cầu truy cập bất kể nguồn gốc.

Đối với các doanh nghiệp đang chuyển đổi sang kiến trúc Zero Trust, UAG cung cấp khả năng thiết yếu.

Nó xử lý tất cả lưu lượng mạng như tiềm ẩn nguy hiểm cho đến khi được chứng minh ngược lại.

Do đó giảm đáng kể bề mặt tấn công mà kẻ xấu có thể khai thác.

Ví dụ: Một ngân hàng đa quốc gia triển khai UAG tại các trung tâm dữ liệu khu vực ở Singapore và Frankfurt. Khi nhân viên từ Việt Nam truy cập hệ thống VDI, UAG tại Singapore sẽ kiểm tra chứng chỉ số, xác thực danh tính và quét phần mềm độc hại trước khi chuyển tiếp kết nối.

Nhờ đó, ngay cả khi tin tặc giả mạo địa chỉ IP nội bộ, họ vẫn không thể vượt qua được lớp kiểm tra tại DMZ.

Xác thực đa yếu tố (MFA) & SSO

Các khung bảo mật hiện đại thừa nhận xác thực chỉ dựa trên mật khẩu là không đủ để bảo vệ các tài nguyên nhạy cảm.

Tích hợp danh tính toàn diện của Horizon giải quyết hạn chế này thông qua khả năng Xác thực Đa yếu tố (MFA) và Đăng nhập Một lần (SSO) mạnh mẽ.

Đây là biện pháp cân bằng giữa yêu cầu bảo mật và sự tiện lợi cho người dùng.

Nền tảng tích hợp liền mạch với các Nhà cung cấp Danh tính (IdP) cấp doanh nghiệp.

Do đó hỗ trợ các giao thức tiêu chuẩn ngành bao gồm:

• SAML (Security Assertion Markup Language) để xác thực liên kết.
• RADIUS (Remote Authentication Dial-In User Service) để kiểm soát truy cập mạng.
• Smart Card để xác thực dựa trên phần cứng.

Tính linh hoạt này giúp doanh nghiệp tận dụng các khoản đầu tư cơ sở hạ tầng danh tính hiện có trong khi triển khai các cơ chế phòng thủ yêu cầu nhiều hình thức xác minh.

Ví dụ: người dùng có thể xác thực sử dụng thứ họ biết (mật khẩu), thứ họ có (thiết bị di động hoặc smart card) và thứ họ là (sinh trắc học), tạo ra chuỗi xác thực vượt trội hơn nhiều so với chỉ dùng thông tin đăng nhập.

Tính năng True SSO của Horizon chứng minh cách bảo mật có thể nâng cao thay vì cản trở trải nghiệm người dùng.

Sau khi người dùng xác thực vào thiết bị đầu cuối thông qua Active Directory, họ tự động truy cập môi trường desktop ảo mà không cần nhập thông tin đăng nhập bổ sung.

Khả năng này loại bỏ trải nghiệm “đăng nhập hai lần” gây khó chịu thường gặp trong nhiều triển khai VDI.

Hơn nữa nó còn duy trì bảo mật qua cơ chế chuyển tiếp thông tin xác thực.

True SSO giảm mệt mỏi do phải nhớ mật khẩu, giảm thiểu các yêu cầu hỗ trợ liên quan đến vấn đề xác thực và cải thiện việc chấp nhận tổng thể của người dùng.

Đó là những yếu tố quan trọng đối với các doanh nghiệp nơi năng suất lực lượng lao động từ xa phụ thuộc vào khả năng truy cập tài nguyên ảo một cách mượt mà.

Ví dụ: Tại một bệnh viện lớn, bác sĩ chỉ cần đăng nhập một lần vào máy tính di động trong ca trực. Sau đó, họ có thể truy cập hệ thống VDI chứa hồ sơ bệnh án điện tử, hình ảnh CT/MRI, và phần mềm kê đơn mà không cần đăng nhập lại.

Nếu bác sĩ chuyển sang phòng khác và đăng nhập vào máy tính khác, True SSO tự động kết nối họ với session desktop ảo hiện tại nên tiết kiệm thời gian quý báu trong tình huống cấp cứu.

Kiểm soát truy cập theo ngữ cảnh

Các mô hình kiểm soát truy cập truyền thống chỉ cấp hoặc từ chối truy cập dựa trên danh tính người dùng tỏ ra không đầy đủ trong môi trường đa dạng hiện đại.

Đây là những nơi người dùng kết nối từ nhiều thiết bị, địa điểm và điều kiện mạng khác nhau.

Khả năng Kiểm soát Truy cập Theo Ngữ cảnh của Horizon giúp quản trị viên triển khai các chính sách phức tạp, linh hoạt, đánh giá nhiều yếu tố ngữ cảnh trước khi cấp quyền truy cập tài nguyên.

Hệ thống đánh giá một tập hợp thuộc tính toàn diện bao gồm:

• Vai trò người dùng và thành viên nhóm.
• Đặc điểm thiết bị (các thiết bị đầu cuối được doanh nghiệp quản lý hay thiết bị cá nhân BYOD).
• Vị trí địa lý xác định từ dịch vụ geolocation IP.
• Trạng thái tuân thủ thiết bị được xác định bởi các công cụ bảo mật endpoint.

Những tín hiệu ngữ cảnh này kết hợp để tạo ra các quyết định truy cập dựa trên rủi ro, tự động thích ứng với các tình huống thay đổi.

Ví dụ: quản trị viên có thể cấu hình chính sách cho phép truy cập desktop đầy đủ khi người dùng kết nối từ laptop được quản lý trên mạng doanh nghiệp, nhưng chỉ giới hạn truy cập vào các ứng dụng cụ thể khi cùng những người dùng đó kết nối từ tablet cá nhân qua mạng Wi-Fi công cộng.

Cách tiếp cận theo ngữ cảnh này đặc biệt có giá trị trong triển khai các kịch bản truy cập có điều kiện phản ánh hồ sơ rủi ro thực tế.

Khi doanh nghiệp y tế phải tuân thủ các quy định yêu cầu biện pháp bảo vệ bổ sung đối với truy cập dữ liệu bệnh nhân, quản trị viên có thể cấu hình chính sách chặn hoàn toàn truy cập từ các quốc gia có rủi ro cao.

Ngoài ra còn có thể yêu cầu các yếu tố xác thực bổ sung khi người dùng kết nối từ thiết bị không quen thuộc hoặc giới hạn thời gian phiên làm việc cho các kết nối xuất phát từ mạng có uy tín bảo mật kém.

Kiểm soát chi tiết như vậy giúp doanh nghiệp duy trì bảo mật mà không hạn chế không cần thiết quyền truy cập hợp pháp.

Đó là cân bằng hiệu quả giữa bảo vệ và năng suất trong các kịch bản sử dụng đa dạng.

Ví dụ: Một công ty fintech tại TP.HCM thiết lập chính sách: nhân viên kết nối từ văn phòng với laptop công ty được truy cập đầy đủ hệ thống giao dịch chứng khoán.

Nhưng khi cùng nhân viên đó làm việc từ quán cà phê qua điện thoại cá nhân, hệ thống chỉ cho phép xem báo cáo dạng read-only và yêu cầu xác thực sinh trắc học mỗi 15 phút.

Nếu phát hiện kết nối từ IP thuộc các quốc gia bị liệt vào danh sách đen, quyền truy cập sẽ bị chặn tự động và cảnh báo được gửi đến bộ phận an ninh mạng.

Mã hóa lưu lượng hiển thị

Trong khi bảo mật vành đai và kiểm soát truy cập bảo vệ giai đoạn thiết lập kết nối, lưu lượng phiên desktop thực tế cần được bảo vệ chống lại việc nghe lén và thao túng.

Giao thức Blast Extreme độc quyền của Horizon giải quyết yêu cầu này với khả năng mã hóa toàn bộ lưu lượng hiển thị.

Thông tin hình ảnh được truyền giữa desktop ảo và thiết bị đầu cuối của người dùng sử dụng các thuật toán mã hóa tiêu chuẩn ngành.

Giao thức hỗ trợ cả mã hóa AES-128 và AES-256, cả hai đều được Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) công nhận là các thuật toán mã hóa đối xứng được phê duyệt nên phù hợp để bảo vệ thông tin nhạy cảm.

AES-256, sử dụng độ dài khóa 256-bit, cung cấp khả năng bảo vệ đặc biệt mạnh mẽ chống lại các cuộc tấn công brute-force.

Do đó phù hợp với các doanh nghiệp có yêu cầu bảo mật nghiêm ngặt như cơ quan chính phủ hoặc doanh nghiệp tài chính.

Mã hóa đảm bảo rằng ngay cả khi lưu lượng mạng bị chặn thông qua các cuộc tấn công man-in-the-middle hoặc sniffing mạng, nội dung hiển thị vẫn không thể đọc được đối với các bên không được phép.

Điểm khác biệt của Blast Extreme nằm ở khả năng tối ưu hóa hiệu suất song song với bảo mật.

Các giao thức hiển thị từ xa truyền thống thường hy sinh khả năng phản hồi khi kích hoạt mã hóa, đặc biệt đối với khối lượng công việc sử dụng nhiều đồ họa hoặc màn hình độ phân giải cao.

Blast Extreme sử dụng các thuật toán nén thích ứng, lựa chọn codec thông minh và tăng tốc GPU khi có sẵn để giảm thiểu chi phí hiệu suất của mã hóa.

Sự cân bằng này tỏ ra thiết yếu đối với sự chấp nhận của người dùng, nhân viên khó có thể áp dụng các giải pháp truy cập từ xa an toàn nếu chúng gây ra độ trễ đáng chú ý hoặc chất lượng hình ảnh kém.

Với khả năng cung cấp các phiên được mã hóa vẫn phản hồi nhanh ngay cả qua các kết nối bị hạn chế băng thông, Horizon giúp các doanh nghiệp thực thi mã hóa toàn diện mà không kích hoạt sự phản kháng của người dùng hoặc các giải pháp thay thế có thể làm tổn hại đến bảo mật.

Ví dụ: Một studio thiết kế đồ họa tại Đà Nẵng sử dụng Horizon để designer làm việc từ xa với các file Photoshop và Illustrator dung lượng lớn. Với Blast Extreme sử dụng mã hóa AES-256 kết hợp tăng tốc GPU NVIDIA, các designer có thể chỉnh sửa hình ảnh 4K mượt mà qua kết nối 4G/5G.

Hệ thống tự động điều chỉnh codec H.264 hoặc H.265 tùy theo băng thông và sử dụng nén thích ứng để giữ độ trễ dưới 30ms.

Kết quả là trải nghiệm làm việc không khác gì khi ngồi tại văn phòng, trong khi toàn bộ dữ liệu đồ họa được mã hóa bảo vệ khỏi nguy cơ bị đánh cắp.

Lưu trữ dữ liệu tập trung

Nền tảng của mô hình bảo mật Horizon dựa trên một nguyên tắc tưởng chừng đơn giản nhưng lại cực kỳ hiệu quả: dữ liệu nhạy cảm không bao giờ rời khỏi môi trường được bảo vệ.

Trong các kịch bản truy cập từ xa truyền thống, dữ liệu được truyền đến các thiết bị đầu cuối, tạo ra vô số điểm dễ bị tấn công.

Horizon đã tái thiết kế hoàn toàn kiến trúc này khi tất cả thông tin nhạy cảm như hồ sơ bệnh nhân, dữ liệu tài chính, nghiên cứu độc quyền đều được lưu trữ an toàn trong các trung tâm dữ liệu hoặc hạ tầng đám mây đáp ứng các yêu cầu tuân thủ nghiêm ngặt.

Người dùng tương tác với dữ liệu này thông qua một cách tiếp cận sáng tạo.

Họ chỉ nhận được các luồng pixel được mã hóa thể hiện thông tin trực quan.

Khi bác sĩ xem xét hồ sơ bệnh nhân hoặc nhà phân tích tài chính nghiên cứu các báo cáo mật, họ đang xem nguồn cấp video thời gian thực của môi trường máy tính để bàn thay vì tải xuống các tệp dữ liệu thực tế.

Quyết định này mang lại nhiều lợi thế bảo mật: việc xâm phạm thiết bị đầu cuối không thể làm lộ dữ liệu bên dưới.

Các thiết bị bị mất hoặc bị đánh cắp không chứa thông tin nhạy cảm, và doanh nghiệp duy trì toàn quyền kiểm soát vị trí dữ liệu phục vụ mục đích tuân thủ.

Ví dụ: Tại Bệnh viện Đa khoa, khi y tá truy cập thông tin bệnh nhân từ quầy tiếp nhận hoặc thiết bị cá nhân, hồ sơ sức khỏe điện tử vẫn được lưu trữ an toàn trong trung tâm dữ liệu tuân thủ HIPAA, trong khi y tá tương tác với chúng thông qua giao thức hiển thị được mã hóa của Horizon.

Ngay cả khi thiết bị đầu cuối bị nhiễm phần mềm độc hại, dữ liệu bệnh nhân thực tế vẫn hoàn toàn bị cô lập và được bảo vệ trong hạ tầng an toàn.

Cách tiếp cận này đặc biệt có giá trị trong môi trường chăm sóc sức khỏe, nơi các quy định HIPAA yêu cầu kiểm soát truy cập dữ liệu nghiêm ngặt và nhật ký kiểm tra chi tiết.

Chế độ bảo mật JMS

Trong khi bảo vệ dữ liệu khỏi các mối đe dọa bên ngoài nhận được nhiều sự chú ý thì bảo mật truyền thông nội bộ giữa các thành phần hạ tầng cũng là một yêu cầu bảo mật quan trọng không kém nhưng thường bị bỏ qua trong các kiến trúc truyền thống.

Omnissa Horizon giải quyết vấn đề này thông qua khung bảo mật Java Message Service (JMS).

Nó cung cấp ba cấp độ bảo vệ ngày càng mạnh mẽ: Tắt (Disabled), Bật (Enabled) và Nâng cao (Enhanced).

Chế độ nâng cao đại diện cho tiêu chuẩn vàng trong triển khai bảo mật.

Đó là triển khai mã hóa Transport Layer Security (TLS) cho tất cả lưu lượng tin nhắn giữa các thành phần Horizon – Connection Servers, security servers và desktop pools.

Mã hóa đầu cuối đảm bảo rằng ngay cả khi kẻ tấn công có quyền truy cập vào mạng nội bộ, họ không thể chặn hoặc thao túng các thông tin liên lạc kiểm soát việc phân bổ máy tính để bàn, xác thực người dùng hoặc quản lý phiên.

Hệ thống xác thực tính toàn vẹn và xác thực của tin nhắn ngăn chặn các cuộc tấn công man-in-the-middle có thể làm tổn hại toàn bộ hạ tầng máy tính để bàn ảo.

Ví dụ: Các doanh nghiệp triển khai Horizon trong các ngành được quản lý hoặc môi trường bảo mật cao hưởng lợi đáng kể từ bảo mật truyền thông nhiều lớp này.

Các doanh nghiệp tài chính xử lý giao dịch, cơ quan chính phủ xử lý thông tin mật, và doanh nghiệp chăm sóc sức khỏe quản lý dữ liệu bệnh nhân có thể tự tin triển khai chế độ JMS Nâng cao.

Tác động đến hiệu suất vẫn ở mức tối thiểu nhờ vào tăng tốc phần cứng hiện đại cho các hoạt động mật mã.

Do đó giúp cấp độ bảo mật mạnh mẽ này thiết thực cho các môi trường sản xuất yêu cầu cả bảo mật và khả năng phản hồi nhanh.

Quản lý chứng chỉ & mã hóa

Hạ tầng bảo mật chỉ mạnh bằng mắt xích mật mã yếu nhất của nó.

Do đó quản lý chứng chỉ và mã hóa toàn diện trở nên thiết yếu để duy trì khả năng bảo vệ vững chắc theo thời gian.

Horizon cung cấp các công cụ tinh vi để quản lý chứng chỉ SSL/TLS trên toàn bộ hạ tầng, hỗ trợ quản trị viên triển khai các phương pháp bảo mật tốt nhất mà không cần chuyên môn sâu về mật mã.

Hệ thống hỗ trợ quản trị viên vô hiệu hóa các giao thức lỗi thời và bộ mã yếu có thể tạo ra các điểm dễ bị tấn công.

Khi các tiêu chuẩn bảo mật phát triển và các lỗ hổng mới xuất hiện như khi SSLv3 hoặc các triển khai TLS 1.0 cụ thể được chứng minh là dễ bị tấn công.

Các doanh nghiệp có thể nhanh chóng cập nhật các triển khai Horizon của họ để loại bỏ những rủi ro này.

Cách tiếp cận chủ động đối với vệ sinh mật mã này đảm bảo tuân thủ các khung như PCI DSS.

Đây là yêu cầu cụ thể việc loại bỏ các thuật toán mã hóa yếu, và bảo vệ chống lại những kẻ tấn công tinh vi có thể khai thác hỗ trợ giao thức cũ.

Ví dụ: Quản lý vòng đời chứng chỉ nhận được sự chú ý đặc biệt, với các công cụ hỗ trợ quy trình gia hạn hợp lý hóa, ngăn chặn các sơ hở bảo mật và gián đoạn dịch vụ thường đi kèm với việc hết hạn chứng chỉ.

Các doanh nghiệp có thể triển khai ghim chứng chỉ (certificate pinning) cho các kết nối quan trọng, giảm nguy cơ xâm phạm cơ quan cấp chứng chỉ.

Đối với các doanh nghiệp chăm sóc sức khỏe phải chịu kiểm toán bảo mật hàng năm, các khả năng quản lý cung cấp bằng chứng rõ ràng về việc triển khai kiểm soát bảo mật và duy trì vệ sinh mật mã liên tục.

Do đó đơn giản hóa đáng kể tài liệu tuân thủ và giảm thời gian chuẩn bị kiểm tra.

Omnissa Intelligence

Các phương pháp bảo mật truyền thống tập trung vào ngăn chặn vi phạm.

Tuy nhiên những kẻ tấn công tinh vi thường tìm thấy điểm xâm nhập bất chấp các biện pháp phòng thủ chu vi vững chắc.

Omnissa Intelligence chuyển đổi giám sát bảo mật từ điều tra phản ứng sang phát hiện mối đe dọa chủ động.

Nó cung cấp khả năng hiển thị toàn diện trên toàn bộ môi trường Horizon, tương quan các chỉ số hiệu suất với các sự kiện bảo mật để xác định các chỉ báo tinh vi về sự xâm phạm có thể bị bỏ qua.

Bảng điều khiển có thể tùy chỉnh của nền tảng hỗ trợ các nhóm bảo mật giám sát mẫu xác thực, hành vi phiên và truy cập tài nguyên theo thời gian thực.

Hoạt động bất thường như tài khoản người dùng đột ngột truy cập nhiều tài nguyên hơn so với mẫu điển hình hoặc các nỗ lực kết nối từ các vị trí địa lý bất ngờ.

Vì thế kích hoạt cảnh báo giúp điều tra nhanh chóng trước khi có thể xảy ra rò rỉ dữ liệu hoặc di chuyển ngang.

Phân tích hành vi này đặc biệt hiệu quả chống lại các mối đe dọa nội bộ và thông tin xác thực bị xâm phạm, điều mà các công cụ bảo mật chu vi truyền thống thường bỏ sót hoàn toàn.

Tích hợp và ứng dụng tích hợp với các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) mở rộng hơn nữa các khả năng này.

Do đó giúp tương quan các sự kiện cụ thể của Horizon với thông tin bảo mật toàn doanh nghiệp.

Khi Intelligence phát hiện các mẫu truy cập máy tính để bàn bất thường trùng với lưu lượng mạng đáng ngờ được ghi lại bởi các hệ thống tường lửa, các nhóm bảo mật nhận được cảnh báo theo ngữ cảnh.

Vì thế giúp tăng tốc đáng kể phản ứng sự cố.

Đối với các doanh nghiệp đối mặt với các mối đe dọa dai dẳng nâng cao (APT) hoặc các cuộc tấn công kỹ thuật xã hội tinh vi, khả năng hiển thị toàn diện và phân tích thông minh vô cùng quan trọng.

Chúng cung cấp nhận thức tình huống cần thiết để phát hiện và ngăn chặn các vi phạm trước khi chúng leo thang thành các sự cố bảo mật lớn ảnh hưởng đến hàng nghìn người dùng hoặc hàng triệu bản ghi nhạy cảm.