VDI導入の成功の秘訣はこちら。 可用性、セキュリティ、利便性を実現します

お問い合わせ先 本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。

メールでのお問い合わせは ： http://www.f5networks.co.jp/inquiry/

お電話でのお問い合せは ： 03－5114－3850 [インサイドセールス] 10:00 ～ 18:00 （土日祝日を除く）

VDI導入までに解決しなければならない壁

可用性 どのようにシステムダウンを防ぐのか？

安全性 ユーザは安全に利用で

きるのか？

パフォーマンス ユーザの期待する応答が提

供できるのか？

簡素化 管理可能なアーキテクチャ維持

できるのか？

利用勝手 全てのユーザに簡単にアクセス可能な環境を提供でき

るか？

「どこでも仮想デスクトップ」による解決

Internal LAN

社内環境

在宅勤務環境

インターネット

VMware View 仮想デスクトップ

BIG-IP Access Policy Manager

セキュリティと利便性を両立する リモートアクセス機能

「どこでも仮想デスクトップ」の特長 １．高速なリモートアクセス ２．個人所有の端末に対するセキュリティ強化 ３．社内と同様にスムーズなログイン

VMware ViewとF5が組み合わさるメリット

セキュリティの向上 可用性向上

アライアンスによる機能連携

デスクトップの拡張性

ユーザの利便性 簡潔なアーキテクチャ

事例：クオリカ株式会社 様

安全で使いやすい！ 仮想デスクトップの最適化

© F5 Networks, Inc 8

iPadからVMware Horizon Viewへのセキュアアクセス

デバイスチェック マシン証明書、MACアドレス、ウィルスチェック、ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上

Security Serverが不要 • ICSA認定

• (D)DoS対策

• ブルートフォース対策

必要なハードウェアコスト BIG-IPなし： LB+(Security Server+Connection Server) x N BIG-IPあり： ADC＋Connection Server x N

◎ セキュリティの強化！ ◎ パフォーマンス改善！ ◎ シンプル（安全性、CAPEX/OPEX低減）！

様々な認証方法 • ID/パスワードやRSA

• メールを利用した二要素認証

• ブルートフォース対策

Devices

Virtual Desktops

Hypervisor

TCP 443

BIG-IP

VMware Connection Servers

Firewall LTM APM

UDP 4172 (PCoIP traffic)

ライブ デモ中!

情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。

VMware Horizon View と BIG-IP の 組み合わせによるメリット

© F5 Networks, Inc 10

BIG-IPを利用しない場合の懸念点

Virtual Applications

ユーザ

Security Server

インターネット

Security Server

Connection Server

Connection Server

Firewall

LB

デバイスチェックができない デバイスチェックを実施しないため、許可された端末以外の端末からでもアクセス可能

Security Serverが必要 • Windowsサーバのため、脆弱性攻

撃の的になりやすい

• Windowsサーバのため、SSL処理によるパフォーマンス劣化が懸念

Secure Server : Connection Server = 1: 1 Connection Server1台につき、1台のSecure Serverが必ず必要

セキュリティリスク パフォーマンス劣化

セキュリティリスク

コスト増

限られた認証方法 ID/パスワード認証、もしくはRSAによる認証の２とおりだけ

セキュリティリスク

© F5 Networks, Inc 11

Horizon View とBIG-IPを組み合わせて利用した場合の効果

Virtual Applications

ユーザ インターネット

Connection Server

Connection Server

Firewall

デバイスチェック マシン証明書、MACアドレス、ウィルスチェック、ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上

※PCoIP proxyは対象外

Security Serverが不要 • DoS対策

• さまざまな認証機能の提供

• ブルートフォース対策

BIG-IP

必要なハードウェアコスト BIG-IPなし： LB+(Security Server+Connection Server) x N BIG-IPあり： ADC＋Connection Server x N

• セキュリティの強化 • パフォーマンス改善 • シンプル（俊敏性、安全性、コスト低減） 様々な認証方法

• ID/パスワードやRSA

• メールを利用した二要素認証

• ブルートフォース対策

© F5 Networks, Inc 12

リモートアクセスの比較項目

VMware Horizon Viewのリモートアクセス方法

下記４つのリモートアクセス方法を考察

1. Security Server

2. SSL VPN

3. BIG-IP のView Proxy (v11.4～ 機能追加)

可用性 セキュリティ クライアント 利便性 運用面

© F5 Networks, Inc 13

内部ネットワーク 外部ネットワーク

DMZ

VMware Horizon View Security Server

View Agent

① View Clientでログイン (ユーザ名・パスワード入力)

② Security Serverへ 負荷分散

④ 認証・デスクトップ割り当てクライントへ通知

③ Connection Serverへ転送

⑤ PCoIPで仮想デスクトップへ接続

課題 1. Security ServerはWindowsベースのため、セキュリティ面で不安がある

Windowsパッチは頻繁にリリースされ、パッチ対応も大変 2. 負荷分散対象がSecurity Serverとなり、ヘルスチェックをするにあたって

Connection Serverの障害検知を考慮する必要があり、ネットワーク構成の複雑化し、ファイアウォール設定の追加が必要

3. Security Serverが増え、障害ポイントも増加

仮想デスクトップ

Connection Server Security Server

負荷分散

ファイアウォール View Client

© F5 Networks, Inc 14

内部ネットワーク 外部ネットワーク

DMZ

VMware Horizon View SSL VPN利用ケース

View Agent

① SSL VPN装置へアクセス (ユーザ名・パスワード入力)

④ Connection Serverへ 負荷分散

⑤ 認証・デスクトップ割り当てクライントへ通知

⑥ SSL VPN Tunnel を経由し、PCoIPで仮想デスクトップへ接続

課題 1. クライアントはSSL VPN認証とViewの認証の2度の認証により、ユーザ名・パスワードを2

回入力することで煩雑となる 2. SSL VPNアクセスとなるため、端末のセキュリティ要件やアクセス管理が必要となる 3. PCoIPはUDPベースの通信でリアルタイム性を重視しているにも関わらず、SSL VPNによ

りTCP通信となることで、リアルタイム性が損なわれる 4. HTTPSでPCoIP通信をカプセル化するため、パケットベースのオーバーヘッドが増える

③ View Clientでログイン (ユーザ名・パスワード入力)

SSL VPN Tunnel

② 認証、SSL VPN接続

View Client ファイアウォール

VPN装置 負荷分散

Connection Server

仮想デスクトップ

© F5 Networks, Inc 15

内部ネットワーク 外部ネットワーク

DMZ

VMware Horizon View BIG-IPのView Proxy(PCoIP Proxy)利用ケース

View Agent

仮想デスクトップ

Connection Server

④ 認証・デスクトップ割り当てクライントへ通知

⑤ PCoIPで仮想デスクトップへ接続

これまでの課題 1. Security Serverのセキュリティ：BIG-IPはICSA-lab認定取得済み 2. Security Serverの負荷分散構成： Connection Serverをヘルスチェックし負荷分散で構成もシンプル 3. Security Server構成における障害ポイント：構成をシンプル化し障害ポイントも減少 4. PCoIP転送効率：PCoIPをProxyすることでリアルタイム性やオーバーヘッドの問題なし 5. SSL VPNにおける2度の認証：Security Serverと同じく1度の認証で仮想デスクトップへアクセス可

① View Clientでログイン (ユーザ名・パスワード入力)

② 認証 ③ Connection Serverへ 負荷分散

View Client ファイアウォール BIG-IP

PCoIP Proxy ＋

負荷分散

© F5 Networks, Inc 16

項目 Security Server 一般的な SSL VPN

BIG-IP View Proxy

セキュリティ面 △ Windowsベースで懸念があり、

パッチ対応も煩雑

△ SSL VPN装置で

セキュリティ高いが 端末側のセキュリティ・

アクセス管理

〇 SSL VPN装置で

セキュリティ高い

可用性 ネットワーク構成

△ 機器の台数が増え、

負荷分散も複雑

△ SSL VPN装置と負荷分散装置

の双方が必要

〇 SSL VPN装置で負荷分散装

置も実施 クライアント アクセス操作性

〇 1回の認証情報入力で

ログイン可

△ 2回の認証情報入力が煩雑

〇 1回の認証情報入力で

ログイン可 画像転送の影響度 〇

PCoIP △

HTTPS(TCP)ベース 〇

PCoIP 運用面 △

リモートアクセスがセキュリティサーバ、負荷分散装置が

別となり運用面も煩雑

△ リモートアクセスがSSL VPN

装置、負荷分散装置が別となり運用面も煩雑

〇 リモートアクセスと負荷分散の管理を統合し、運用負

担軽減

レビュー：VMware Horizon Viewリモートアクセス比較表

© F5 Networks, Inc 17

BIG-IP APM View Proxyの対応状況 BIG-IP APM Client Compatibility Matrix v11.5.0より サーバ側サポート

• VMware Horizon View 5.2 • VMware Horizon View 5.3

クライアントサポート • VMware Horizon View Client for Windows 2.2, 2.3 • VMware Horizon View Client for Mac 2.2.0, 2.3.0 • VMware Horizon View Client for iOS 2.3.0 • VMware Horizon View Client for Android 2.3.0 • VMware Horizon View Client for Linux 2.2.0 • Dell Wyse P25 Zero Client starting from firmware v4.1.0 • VMWare Horizon View HTML5 Client

機能制限関連

• RDP未サポート • USB Redirection未サポート • MMR 未サポート

© F5 Networks, Inc 18

BIG-IP APM View Proxyの対応状況 BIG-IP APM Client Compatibility Matrix v11.4.0より サーバ側サポート

• VMware Horizon View 5.2 • VMware Horizon View 5.3

クライアントサポート • VMware Horizon View Client for Windows 5.3.0, 5.4.0, 2.2.0 • VMware Horizon View Client for Mac 2.0.0, 2.2.0 • VMware Horizon View Client for iOS 2.0.0, 2.2.1 • VMware Horizon View Client for Android 2.0.0, 2.2.0 • Dell Wyse P25 Zero Client starting from firmware v4.1.0 * • VMWare Horizon View HTML5client**

*Please install Hotfix-BIGIP-11.4.0-2419.0-HF3.iso **Please install Hotfix-11.4.0-2425.0-HF4.iso

機能制限関連

• PCoIP Proxy：同時2000接続まで • HTML5(Blast): V11.4.0HF4でサポート。V11.4.1 HF2でサポート • RDP未サポート • USB Redirection未サポート • MMR 未サポート

BIG-IP との組み合わせで実現できる 様々な認証やセキュリティ対策

© F5 Networks, Inc 20

クライアント端末の検疫を実施する

① Webブラウザを起動し、URLを入力

②エンドポイントチェックを実施

③ログイン画面の表示 ※二要素認証の利用など複数の 認証方法を設定可能

④Webtop画面が表示される

⑤Horizon Viewを起動 ※ID/パスワードを再入力する必要なし

⑥デスクトップ画面の表示

クリック

入力

PCoIPのサービスで通信

PCoIPのサービスで通信

© F5 Networks, Inc 21

クライアント証明書＋ID/パスワード

①エンドポイントチェックを実施 (省略することも可能）

ここがポイント クライアント証明書を利用した二要素認証と、クライアント証明書内のIDを埋め込むことによる、なりすましリスクの低減

②ログイン画面の表示 ④Horizon Viewが起動 ※ID/パスワードを再入力する必要なし

③Webtop画面が表示される

クリック

入力

このタイミングでAPMがクライアント証明書をチェックする。

© F5 Networks, Inc 22

メールを利用したOTP ここがポイント ハードウェアトークンなしで二要素認証を実現できるため、セキュリティの強化とコスト抑制を同時に実現可能

①エンドポイントチェックを実施 (省略することも可能）

②-1 ユーザIDだけを入力画面が 表示されるのでIDを入力

②-2 ユーザIDとOTPを入力する 画面が表示される

同時に自分のメールアドレスにOTP用のメールが届くので、そのOTPコードを入力

③-3 通常のログイン画面が表示

④Webtop画面が表示される

クリック

⑤Horizon Viewが起動 ※ID/パスワードを再入力する必要なし

簡単設定テンプレート

© F5 Networks, Inc 24

F5 iApp for VMware Horizon View とは？ VMware Horizon View専用のカンタンBIG-IP設定テンプレート

• VMware Horizon Viewのためのネットワーク設定を自動化 • ウィザードに従っていくつかの質問に入力するだけで BIG-IPをHorizon View に最適化した状態にコンフィグ • ベネフィット • 簡単に迅速なデプロイ (minutes instead of days) • マニュアル作業によるミスを軽減

BIG-IP

「DevCentral」より入手可能！ https://devcentral.f5.com/wiki/iApp.VMware-Applications.ashx

その他

© F5 Networks, Inc 26

F5とVMwareによるプレスリリース 2014年2月12日 VMware Partner Exchange, San Franciscoにて共同発表。 F5 and VMware Strengthen End-User Computing Offerings to Enhance Customers’ Virtual Desktop Infrastructures

© F5 Networks, Inc 27

本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。

メールでのお問い合わせは ： http://www.f5networks.co.jp/inquiry/

お電話でのお問い合せは ： 03－5114－3850 [インサイドセールス] 10:00 ～ 18:00 （土日祝日を除く）

お問い合わせ先