Hoe Ivanti Cloud Relay remote endpoints een gepersonaliseerde workspace aanbiedt
blogModern WorkplaceTop storyDe manier waarop we werken is het afgelopen jaar erg veranderd: mensen werken niet meer alleen vanaf kantoor maar vanaf waar dan ook. Vanaf verschillende endpoints loggen gebruikers in op een werkplek. Of dit nou een VDI-werkplek of fysieke werkplek is, de gebruiker wenst de gepersonaliseerde werkplek die men gewend is, ook wanneer ze zich buiten het netwerk van de organisatie bevinden. Ivanti Workspace Control biedt gebruikers zo’n gepersonaliseerde werkplek. Werken vanaf overal ter wereld moet mogelijk zijn, toch? Ivanti komt met een nieuw component voor Ivanti Workspace Control. Met Ivanti Cloud Relay zorg je ervoor dat remote endpoints, zoals laptops en Windows Virtual Desktops, verbinding maken met jouw on-premise Ivanti Workspace Control-omgeving.
NEXXT kreeg toegang tot de Technical Preview van Ivanti Cloud Relay en mocht als partner mee testen. In deze blog delen vertellen wij wat Ivanti Cloud Relay is en delen wij onze ervaring.
Huidige situatie
In de huidige situatie halen endpoints informatie direct van een on-premise relay server of database, deze data wordt vervolgens lokaal gecached op het endpoint. Endpoints en relay server(s) bevinden zich beiden in het interne netwerk van je organisatie. Wanneer gebruikers met bijv. een laptop verplaatsen buiten het interne netwerk, dan zal nieuwe informatie uit Ivanti Workspace Control niet opgehaald worden: er is geen verbinding met een interne relay server of database.
In deze configuratie worden endpoints buiten het bedrijfsnetwerk niet bijgewerkt met nieuwe informatie waardoor gebruikers worden beperkt in mogelijkheden die ze intern wel hebben.
Om laptop gebruikers volledig functionaliteit te bieden prikken organisaties gaten in de firewall om met een Relay Server in de DMZ te verbinden. Een situatie die voor security officers in vele gevallen niet wenselijk is. Bij klanten zien we deze configuratie dan ook niet vaak en kan NEXXT de aankondiging van een Ivanti Cloud Relay alleen maar toejuichen.
Hoe dan wel?
Als we geen gaten meer hoeven te prikken in onze firewall, hoe krijgt een remote endpoint dan wel de nieuwste informatie uit Ivanti Workspace Control? Hiervoor heeft Ivanti de Cloud Relay Connect bedacht. Een Cloud Relay Connector draait on-premise in het bedrijfsnetwerk en maakt zowel verbinding met een reeds bestaande on-premise relay server als met Ivanti Cloud. In Ivanti Cloud draait een Cloud Relay Tunnel die verbinding maakt met je endpoint. Wanneer het endpoint is verbonden met het internet zal het endpoint informatie en nieuwe configuraties ophalen en cachen op het endpoint zoals je gewend bent in een on-premise omgeving.
Benodigde componenten voor het gebruik van Ivanti Cloud Relay
Om de technical preview goed te kunnen testen hebben wij gebruik gemaakt van een eigen demo-omgeving en de builds die door Ivanti zijn opgeleverd. In deze demo-omgeving van NEXXT hebben we de volgende Ivanti Workspace Control componenten nodig:
• Ivanti Workspace Control Database
• Ivanti Workspace Control Console
• Ivanti Workspace Control Relay Server
• Ivanti Workspace Control Cloud Relay
• Ivanti Workspace Control Agent (remote endpoint)
De volgende onderdelen zijn door Ivanti beschikbaar gemaakt:
• Ivanti Cloud Relay Tunnel (Ivanti Cloud, inclusief credentials en keys)
LET’S GO: Het configureren van componenten
Na het installeren van de basis componenten (Database, Console en Relay Server) in onze on-premise omgeving kan de Cloud Relay geïnstalleerd worden. Bij het configureren van de Relay Server kan de standaard poort niet aangepast worden en is het belangrijk dat de on-premise Relay server luistert naar poort 1942.
In ons demo-lab installeren we de Cloud Relay naast de Ivanti Console. De on-premise Relay Server is geïnstalleerd en geconfigureerd op een individuele server in ons demo-lab. De on-premise Relay Server maakt verbinding met de on-premise Ivanti Workspace Control Database. Het Ivanti Cloud Relay- component wordt aangeleverd als Windows Installer-pakket (.msi). De installatieparameters, benodigd voor het verbinden naar de Ivanti Cloud, worden niet in de wizard gevraagd en daarom starten we de installatie vanaf een Windows command line.
MSIEXEC /i “Ivanti Workspace Control Cloud Relay Connector.msi” ACCOUNTID=<ACCOUNTID. REGISTRATIONKEY=<CONNECTOR_REGISTRATION_KEY> RELAYSERVER=<FQDN_RELAY_SERVER>
Na het uitvoeren van de commandline verschijnt de wizard met algemene voorwaarden en de installatiemap. Uiteraard worden algemene voorwaarden geaccepteerd en selecteren wij de standaard installatiemap. De installatie van Ivanti Cloud Relay is in enkele seconden afgerond en zal verbonden zijn met Ivanti Cloud. Een nieuwe services is toegevoegd aan Windows Services.
Helaas kent de Technical Preview versie van Ivanti Cloud (nog) geen GUI waar verbinding met Ivanti cloud gecontroleerd kan worden. Om te zien of Ivanti Cloud Relay is verbonden met Ivanti cloud kunnen we de logbestanden raadplegen in:
%ProgramData%\Ivanti\Ivanti Cloud Relay Server Connector
Connector.StartConnectorConnection; ConnectorId: <NUMBER>
2021-04-09 10:43:51.503 +02:00 [INF] Connector.GetConnectInfo; Getting connect info from <URL>
2021-04-09 10:43:51.503 +02:00 [INF] Connector.GetConnectInfo; using key: <NUMBER>
2021-04-09 10:43:52.968 +02:00 [INF] Connector.GetConnectInfo; Result: OK – OK
2021-04-09 10:43:53.011 +02:00 [INF] Connector.StartConnectorConnection; Valid connectinfo result received: {“Address”:null,”Addresses”:{“ControllerAddress”:{“Fqdn”:”<NUMBER>.westeurope.azurecontainer.io”,”Port”:443},”AgentAddress”:{“Fqdn”:”<NUMBER>.westeurope.azurecontainer.io”,”Port”:1942},”ConnectorAddress”:{“Fqdn”:”<NUMBER>.westeurope.azurecontainer.io”,”Port”:80}}
2021-04-09 10:43:53.011 +02:00 [INF] Connector.StartConnectorConnection; ====== Settings ======
2021-04-09 10:43:53.012 +02:00 [INF] Connector.StartConnectorConnection; Controller: <NUMBER>.westeurope.azurecontainer.io:443
2021-04-09 10:43:53.012 +02:00 [INF] Connector.StartConnectorConnection; Connector: <NUMBER>.westeurope.azurecontainer.io:80
2021-04-09 10:43:53.012 +02:00 [INF] Connector.StartConnectorConnection; RelayServer: IWC-RELAY01.<DOMAIN>
2021-04-09 10:43:53.012 +02:00 [INF] Connector.StartConnectorConnection; Dispatcher:
2021-04-09 10:43:53.014 +02:00 [INF] Controller.ctor; StartConnector ok
2021-04-09 10:43:53.015 +02:00 [INF] TlsClient.Connect; #controller# Connecting to ‘<NUMBER>.westeurope.azurecontainer.io’ (443)…
2021-04-09 10:43:53.048 +02:00 [INF] TlsClient.Connect; #controller# Connected to ‘<NUMBER>.westeurope.azurecontainer.io’ (443) LocalEndpoint=[::ffff:<IP-Address>]:61922
2021-04-09 10:43:53.077 +02:00 [INF] TlsClient.ValidateServerCertificate; ServerCert=CN=<NUMBER>.westeurope.azurecontainer.io
2021-04-09 10:43:53.078 +02:00 [WRN] TlsClient.ValidateServerCertificate; sslPolicyErrors=None
Logging
In de bovenstaande logging zien we dat onze Ivanti Cloud Relay succesvol is verbonden met Ivanti Cloud (een Azure Container beschikbaar gesteld door Ivanti) en onze on-premise Relay Server. De poorten die Ivanti Cloud Relay in ons demo-lab gebruikt zijn 443, 80 en 1942.
Dat de Ivanti Cloud Relay succesvol is verbonden met Ivanti Cloud is terug te zien in het log wat aanwezig is in %ProgramData%\Ivanti\Ivanti Cloud Relay Server Connector:
2021-04-09 10:43:53.015 +02:00 [INF] TlsClient.Connect; #controller# Connecting to
‘<NUMBER>.westeurope.azurecontainer.io’ (443)…
Feedback NEXXT
In de opgeleverde builds van Ivanti worden standaard de TCP poorten 3000, 3001 en 3002 gebruikt. Het gebruik van deze poorten is niet wenselijk aangezien nogsteeds poorten in de firewall opengezet moeten worden. De genoemde standaard tunnel poorten zijn door Ivanti te wijzigen naar HTTP en HTTPS poorten. Onze wens voor het gebruik van HTTP en HTTPS poorten heeft NEXXT als feedback meegegeven aan Ivanti.
Configuratie
In het overzicht van Ivanti Workspace Control is de Ivanti Cloud Relay helaas (nog) niet zichtbaar onder geconfigureerde ‘Relay Servers’. De door ons geconfigureerde Ivanti Cloud Relay communiceert met Ivanti Cloud en onze on-premise Relay Server: informatie kan via TLS opgehaald worden door het endpoint. Maar niet voordat het endpoint is voorzien van een Ivanti Workspace Control Agent en juiste configuraties. De installatie van de Ivanti Workspace Agent is niet anders dan in voorgaande versies. Om de communicatie van de agent via Ivanti Cloud te laten lopen dient de configuratie aangepast te worden. Hiervoor wordt gebruik gemaakt van de Windows command line (als administrator uitvoeren) om het configuratiescherm van de Ivanti Workspace Agent aan te roepen.
Om de agent te laten verbinden met de Cloud Relay dient het verbindingstype op ‘Relay Server’ te staan. De gegevens die door Ivanti zijn ontvangen (account ID en Agent registration key) dienen toegevoegd te worden in de hiervoor bestemde velden. Na het testen van de verbinding kan de configuratie worden opgeslagen. Het remote endpoint zal nu via het internet nieuwe informatie ophalen via de Ivanti Cloud Relay. In het ‘Agents’ overzicht van Ivanti Workspace Control is te zien dat de agent is verbonden met een Cloud Relay Server.
Voordelen
De configuraties zijn ingeregeld en je remote endpoints hebben verbinding met Ivanti Workspace Control. Als organisatie heb je met Ivanti Cloud Relay grip op je remote endpoints zoals laptops. Gebruikers krijgen hun gewenste gepersonaliseerde werkplek en kunnen werken vanaf overal. Omdat de Ivanti Cloud Relay Connector gebruik maakt van uitgaande verbindingen hoeven er geen inkomende Firewall-regels ingesteld te worden. Ivanti Cloud slaat geen gegevens op en heeft geen opslagkosten dus ook security officers hebben niet te maken met AVG overwegingen.
Nadelen
• Geen beheer van Ivanti Cloud Relay in Ivanti Workspace Control overzicht.
• Tunnelpoorten zijn niet aan te passen waardoor je (nog) afhankelijk bent van Ivanti
Let op: de configuratie en mogelijkheden in deze Technical Preview kunnen afwijken van de officiële release.
Ben je benieuwd hoe je jouw remote endpoints kan beheren en hoe oplossing zoals Ivanti Cloud Relay hierbij kunnen helpen? Neem dan contact op met onze consultants, we praten je graag bij!
NEXXT auteurs: Donny van der Linde en Matthijs Hilboezen.