vdi導入の成功の秘訣はこちら。 可用性、セキュリ …課題 1....
Post on 23-Feb-2020
15 Views
Preview:
TRANSCRIPT
VDI導入の成功の秘訣はこちら。 可用性、セキュリティ、利便性を実現します
お問い合わせ先 本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
メールでのお問い合わせは : http://www.f5networks.co.jp/inquiry/
お電話でのお問い合せは : 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く)
VDI導入までに解決しなければならない壁
可用性 どのようにシステムダウンを防ぐのか?
安全性 ユーザは安全に利用で
きるのか?
パフォーマンス ユーザの期待する応答が提
供できるのか?
簡素化 管理可能なアーキテクチャ維持
できるのか?
利用勝手 全てのユーザに簡単にアクセス可能な環境を提供でき
るか?
「どこでも仮想デスクトップ」による解決
Internal LAN
社内環境
在宅勤務環境
インターネット
VMware View 仮想デスクトップ
BIG-IP Access Policy Manager
セキュリティと利便性を両立する リモートアクセス機能
「どこでも仮想デスクトップ」の特長 1.高速なリモートアクセス 2.個人所有の端末に対するセキュリティ強化 3.社内と同様にスムーズなログイン
VMware ViewとF5が組み合わさるメリット
セキュリティの向上 可用性向上
アライアンスによる機能連携
デスクトップの拡張性
ユーザの利便性 簡潔なアーキテクチャ
事例:クオリカ株式会社 様
安全で使いやすい! 仮想デスクトップの最適化
© F5 Networks, Inc 8
iPadからVMware Horizon Viewへのセキュアアクセス
デバイスチェック マシン証明書、MACアドレス、ウィルスチェック、ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上
Security Serverが不要 • ICSA認定
• (D)DoS対策
• ブルートフォース対策
必要なハードウェアコスト BIG-IPなし: LB+(Security Server+Connection Server) x N BIG-IPあり: ADC+Connection Server x N
◎ セキュリティの強化! ◎ パフォーマンス改善! ◎ シンプル(安全性、CAPEX/OPEX低減)!
様々な認証方法 • ID/パスワードやRSA
• メールを利用した二要素認証
• ブルートフォース対策
Devices
Virtual Desktops
Hypervisor
TCP 443
BIG-IP
VMware Connection Servers
Firewall LTM APM
UDP 4172 (PCoIP traffic)
ライブ デモ中!
情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。
VMware Horizon View と BIG-IP の 組み合わせによるメリット
© F5 Networks, Inc 10
BIG-IPを利用しない場合の懸念点
Virtual Applications
ユーザ
Security Server
インターネット
Security Server
Connection Server
Connection Server
Firewall
LB
デバイスチェックができない デバイスチェックを実施しないため、許可された端末以外の端末からでもアクセス可能
Security Serverが必要 • Windowsサーバのため、脆弱性攻
撃の的になりやすい
• Windowsサーバのため、SSL処理によるパフォーマンス劣化が懸念
Secure Server : Connection Server = 1: 1 Connection Server1台につき、1台のSecure Serverが必ず必要
セキュリティリスク パフォーマンス劣化
セキュリティリスク
コスト増
限られた認証方法 ID/パスワード認証、もしくはRSAによる認証の2とおりだけ
セキュリティリスク
© F5 Networks, Inc 11
Horizon View とBIG-IPを組み合わせて利用した場合の効果
Virtual Applications
ユーザ インターネット
Connection Server
Connection Server
Firewall
デバイスチェック マシン証明書、MACアドレス、ウィルスチェック、ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上
※PCoIP proxyは対象外
Security Serverが不要 • DoS対策
• さまざまな認証機能の提供
• ブルートフォース対策
BIG-IP
必要なハードウェアコスト BIG-IPなし: LB+(Security Server+Connection Server) x N BIG-IPあり: ADC+Connection Server x N
• セキュリティの強化 • パフォーマンス改善 • シンプル(俊敏性、安全性、コスト低減) 様々な認証方法
• ID/パスワードやRSA
• メールを利用した二要素認証
• ブルートフォース対策
© F5 Networks, Inc 12
リモートアクセスの比較項目
VMware Horizon Viewのリモートアクセス方法
下記4つのリモートアクセス方法を考察
1. Security Server
2. SSL VPN
3. BIG-IP のView Proxy (v11.4~ 機能追加)
可用性 セキュリティ クライアント 利便性 運用面
© F5 Networks, Inc 13
内部ネットワーク 外部ネットワーク
DMZ
VMware Horizon View Security Server
View Agent
① View Clientでログイン (ユーザ名・パスワード入力)
② Security Serverへ 負荷分散
④ 認証・デスクトップ割り当てクライントへ通知
③ Connection Serverへ転送
⑤ PCoIPで仮想デスクトップへ接続
課題 1. Security ServerはWindowsベースのため、セキュリティ面で不安がある
Windowsパッチは頻繁にリリースされ、パッチ対応も大変 2. 負荷分散対象がSecurity Serverとなり、ヘルスチェックをするにあたって
Connection Serverの障害検知を考慮する必要があり、ネットワーク構成の複雑化し、ファイアウォール設定の追加が必要
3. Security Serverが増え、障害ポイントも増加
仮想デスクトップ
Connection Server Security Server
負荷分散
ファイアウォール View Client
© F5 Networks, Inc 14
内部ネットワーク 外部ネットワーク
DMZ
VMware Horizon View SSL VPN利用ケース
View Agent
① SSL VPN装置へアクセス (ユーザ名・パスワード入力)
④ Connection Serverへ 負荷分散
⑤ 認証・デスクトップ割り当てクライントへ通知
⑥ SSL VPN Tunnel を経由し、PCoIPで仮想デスクトップへ接続
課題 1. クライアントはSSL VPN認証とViewの認証の2度の認証により、ユーザ名・パスワードを2
回入力することで煩雑となる 2. SSL VPNアクセスとなるため、端末のセキュリティ要件やアクセス管理が必要となる 3. PCoIPはUDPベースの通信でリアルタイム性を重視しているにも関わらず、SSL VPNによ
りTCP通信となることで、リアルタイム性が損なわれる 4. HTTPSでPCoIP通信をカプセル化するため、パケットベースのオーバーヘッドが増える
③ View Clientでログイン (ユーザ名・パスワード入力)
SSL VPN Tunnel
② 認証、SSL VPN接続
View Client ファイアウォール
VPN装置 負荷分散
Connection Server
仮想デスクトップ
© F5 Networks, Inc 15
内部ネットワーク 外部ネットワーク
DMZ
VMware Horizon View BIG-IPのView Proxy(PCoIP Proxy)利用ケース
View Agent
仮想デスクトップ
Connection Server
④ 認証・デスクトップ割り当てクライントへ通知
⑤ PCoIPで仮想デスクトップへ接続
これまでの課題 1. Security Serverのセキュリティ:BIG-IPはICSA-lab認定取得済み 2. Security Serverの負荷分散構成: Connection Serverをヘルスチェックし負荷分散で構成もシンプル 3. Security Server構成における障害ポイント:構成をシンプル化し障害ポイントも減少 4. PCoIP転送効率:PCoIPをProxyすることでリアルタイム性やオーバーヘッドの問題なし 5. SSL VPNにおける2度の認証:Security Serverと同じく1度の認証で仮想デスクトップへアクセス可
① View Clientでログイン (ユーザ名・パスワード入力)
② 認証 ③ Connection Serverへ 負荷分散
View Client ファイアウォール BIG-IP
PCoIP Proxy +
負荷分散
© F5 Networks, Inc 16
項目 Security Server 一般的な SSL VPN
BIG-IP View Proxy
セキュリティ面 △ Windowsベースで懸念があり、
パッチ対応も煩雑
△ SSL VPN装置で
セキュリティ高いが 端末側のセキュリティ・
アクセス管理
〇 SSL VPN装置で
セキュリティ高い
可用性 ネットワーク構成
△ 機器の台数が増え、
負荷分散も複雑
△ SSL VPN装置と負荷分散装置
の双方が必要
〇 SSL VPN装置で負荷分散装
置も実施 クライアント アクセス操作性
〇 1回の認証情報入力で
ログイン可
△ 2回の認証情報入力が煩雑
〇 1回の認証情報入力で
ログイン可 画像転送の影響度 〇
PCoIP △
HTTPS(TCP)ベース 〇
PCoIP 運用面 △
リモートアクセスがセキュリティサーバ、負荷分散装置が
別となり運用面も煩雑
△ リモートアクセスがSSL VPN
装置、負荷分散装置が別となり運用面も煩雑
〇 リモートアクセスと負荷分散の管理を統合し、運用負
担軽減
レビュー:VMware Horizon Viewリモートアクセス比較表
© F5 Networks, Inc 17
BIG-IP APM View Proxyの対応状況 BIG-IP APM Client Compatibility Matrix v11.5.0より サーバ側サポート
• VMware Horizon View 5.2 • VMware Horizon View 5.3
クライアントサポート • VMware Horizon View Client for Windows 2.2, 2.3 • VMware Horizon View Client for Mac 2.2.0, 2.3.0 • VMware Horizon View Client for iOS 2.3.0 • VMware Horizon View Client for Android 2.3.0 • VMware Horizon View Client for Linux 2.2.0 • Dell Wyse P25 Zero Client starting from firmware v4.1.0 • VMWare Horizon View HTML5 Client
機能制限関連
• RDP未サポート • USB Redirection未サポート • MMR 未サポート
© F5 Networks, Inc 18
BIG-IP APM View Proxyの対応状況 BIG-IP APM Client Compatibility Matrix v11.4.0より サーバ側サポート
• VMware Horizon View 5.2 • VMware Horizon View 5.3
クライアントサポート • VMware Horizon View Client for Windows 5.3.0, 5.4.0, 2.2.0 • VMware Horizon View Client for Mac 2.0.0, 2.2.0 • VMware Horizon View Client for iOS 2.0.0, 2.2.1 • VMware Horizon View Client for Android 2.0.0, 2.2.0 • Dell Wyse P25 Zero Client starting from firmware v4.1.0 * • VMWare Horizon View HTML5client**
*Please install Hotfix-BIGIP-11.4.0-2419.0-HF3.iso **Please install Hotfix-11.4.0-2425.0-HF4.iso
機能制限関連
• PCoIP Proxy:同時2000接続まで • HTML5(Blast): V11.4.0HF4でサポート。V11.4.1 HF2でサポート • RDP未サポート • USB Redirection未サポート • MMR 未サポート
BIG-IP との組み合わせで実現できる 様々な認証やセキュリティ対策
© F5 Networks, Inc 20
クライアント端末の検疫を実施する
① Webブラウザを起動し、URLを入力
②エンドポイントチェックを実施
③ログイン画面の表示 ※二要素認証の利用など複数の 認証方法を設定可能
④Webtop画面が表示される
⑤Horizon Viewを起動 ※ID/パスワードを再入力する必要なし
⑥デスクトップ画面の表示
クリック
入力
PCoIPのサービスで通信
PCoIPのサービスで通信
© F5 Networks, Inc 21
クライアント証明書+ID/パスワード
①エンドポイントチェックを実施 (省略することも可能)
ここがポイント クライアント証明書を利用した二要素認証と、クライアント証明書内のIDを埋め込むことによる、なりすましリスクの低減
②ログイン画面の表示 ④Horizon Viewが起動 ※ID/パスワードを再入力する必要なし
③Webtop画面が表示される
クリック
入力
このタイミングでAPMがクライアント証明書をチェックする。
© F5 Networks, Inc 22
メールを利用したOTP ここがポイント ハードウェアトークンなしで二要素認証を実現できるため、セキュリティの強化とコスト抑制を同時に実現可能
①エンドポイントチェックを実施 (省略することも可能)
②-1 ユーザIDだけを入力画面が 表示されるのでIDを入力
②-2 ユーザIDとOTPを入力する 画面が表示される
同時に自分のメールアドレスにOTP用のメールが届くので、そのOTPコードを入力
③-3 通常のログイン画面が表示
④Webtop画面が表示される
クリック
⑤Horizon Viewが起動 ※ID/パスワードを再入力する必要なし
簡単設定テンプレート
© F5 Networks, Inc 24
F5 iApp for VMware Horizon View とは? VMware Horizon View専用のカンタンBIG-IP設定テンプレート
• VMware Horizon Viewのためのネットワーク設定を自動化 • ウィザードに従っていくつかの質問に入力するだけで BIG-IPをHorizon View に最適化した状態にコンフィグ • ベネフィット • 簡単に迅速なデプロイ (minutes instead of days) • マニュアル作業によるミスを軽減
BIG-IP
「DevCentral」より入手可能! https://devcentral.f5.com/wiki/iApp.VMware-Applications.ashx
その他
© F5 Networks, Inc 26
F5とVMwareによるプレスリリース 2014年2月12日 VMware Partner Exchange, San Franciscoにて共同発表。 F5 and VMware Strengthen End-User Computing Offerings to Enhance Customers’ Virtual Desktop Infrastructures
© F5 Networks, Inc 27
本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
メールでのお問い合わせは : http://www.f5networks.co.jp/inquiry/
お電話でのお問い合せは : 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く)
お問い合わせ先
top related