Vdi を より使いやすいインフラにするためのセキュリティ設計
Upcoming SlideShare
Loading in...5
×
 

Vdi を より使いやすいインフラにするためのセキュリティ設計

on

  • 1,441 views

 

Statistics

Views

Total Views
1,441
Views on SlideShare
1,439
Embed Views
2

Actions

Likes
5
Downloads
42
Comments
0

1 Embed 2

https://twitter.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Vdi を より使いやすいインフラにするためのセキュリティ設計 Vdi を より使いやすいインフラにするためのセキュリティ設計 Presentation Transcript

  • VDI を より使いやすいインフラにするための セキュリティ設計 生産性とセキュリティの共存を実現するためのインフラストラクチャーとは 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ 1
  • 生産性を高めるインフラとは どこにいても“セキュリティ”で守られているからこそ 柔軟な働き方を実現できる In Security Anytime 24 hours a day with Any Devices from Anywhere Access to Any Resources 2
  • フレキシブル ワークスタイル~ 3 つのシナリオ 社内デバイスを持ち出したい Bring your office’s device 自分のデバイスで仕事がしたい Bring your own device そもそも PC を持ち歩きたくない! Bring Your Own OS 3
  • フレキシブルワークスタイルを実現するテクノロジー 社内デバイスを 社外でも活用  Direct Access  Virtual Desktop Infrastructure 個人デバイスから 社内リソースにアクセス デバイスを持ち歩かない  デバイス認証 Windows To Go  業務環境を、暗号化した USB メモリに格納  USB メモリを近場の PC に挿して起動 4
  • DirectAccess ~社内デバイスで社外からアクセス • 社内セキュリティポリシーによる継続的な監視 • PC のセキュリティはリアルタイムに監視されている 社内ネットワーク INTERNET ドメインコントローラー Firewall R-Proxy Hotel Windows7/8 評価 検疫ネットワーク Direct Access Server Network Access Protection 業務サーバー ファイルサーバー 5
  • 個人デバイス利用(BYOD)の課題 • • • • • • 個人デバイスの識別 個人デバイスの安全性が社内環境に及ぼす影響 個人デバイスを介した社内データの漏えい 社外から社内リソースへのアクセス方法 社内で使用しているOAアプリケーションやブラウザとの互換性 社内で使用している個人環境の再現 社内ネットワーク メールサーバー ファイルサーバー 業務サーバー 等 個人デバイス 個人デバイス Active Directory Network Policy Service セキュリ ティポリ シー 社内デバイス 6
  • 要は、以下を実現するインフラが必要 • • • • • • 誰がどのデバイスを使ってアクセスしてきたかを把握できる 個人デバイスの安全性が社内環境に影響を及ぼさない 個人デバイスを介して社内データが漏えいしない 社外から社内リソースにアクセスできる 社内で使用しているOAアプリケーションやブラウザと同じものが使える 社内で使用している個人環境を再現できる 7
  • VDI = リモート デスクトップを使用して社内 PC を操作 • 個人デバイスからは RDP を使用して社内 PC を操作するだけ • 機密データは 社内 PC から外に出られない ※管理者側で、「持ち出せる」ように設定することは可能 社内ネットワーク 踏み台 遠隔操作 セキュリティ境界 社内 PC 各種 業務サーバー 8
  • ローカル PC からの”セッション分離”を実現 インターネット/自宅 A ち B こ 社内ネットワーク 遠隔操作 RDP 画面転送 ローカル PC のセキュリ ティ状態に影 響されない デバイスを 紛失しても データには 影響がない データは仮想 PC の外に 出られない デバイスから 業務サーバー に直接接続で きない 9
  • VDI アーキテクチャ全体像 社内ネットワーク https 仮想化ホスト + RemoteApp Internet RDP over https RemoteApp Session-based Desktop セッションホスト 10
  • RD Gateway の役割 • • • • RDP over SSL を RDP に変換 NAP(Network Access Protection)との連携 セッションの監視(イントラネットでも利用可能) 接続承認ポリシー(CAP)とリソース承認ポリシー(RAP) RDP over SSL(443/tcp) RDP(3389) 11
  • 個人デバイスをADで認証 ~ Workplace Join/DRS Workplace Join • 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジー DRS (デバイス登録サービス) • デバイスを AD DS に登録するためのサービス AD FS AD DS Start iOS or Win8.1 Start ② Claims Engine 認証 認可 ①個人デバイスを事前に登録(Workplace Join) https DRS AD FS : Active Directory Federation Service AD DS: Active Directory Domain Service 12
  • AD FS によるクレーム処理 AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している AD FS AD DS クレーム処理エンジン デバイス認証 Start デバイス クレーム iOS or Win8.1 Start ② 認証 認可 ユーザー認証 ③-1 認可依頼 ユーザー クレーム 追加認証 アクセス可否を判定 13
  • デバイス認証/認可 • Active Directory にデバイスが登録されているかどうかを確認 • デバイスが正しく登録されていれば“デバイスクレーム”を発行        Registrationid Displayname Identifier Ostype Osversion isManaged isRegisteredUser : デバイスの登録 ID :コンピューター名 :デバイスのGUID :OSのタイプ :OSのバージョン :MDM 管理対象デバイスかどうか :デバイスに関連づけられたユーザーかどうか • 「登録されているデバイス」とは?  Workplace Join した Windows 8.1 デバイス  Workplace Join した iOS デバイス 14
  • ここまでの復習(セキュリティの観点から) 個人デバイス 野放し Workplace Joined 社内デバイス Domain Joined Start 安全性 部分的適用 適用可能 管理不可 部分的管理 管理可能 アクセス不可 部分アクセス 対応テクノロジー VDI Workplace Join DRS アクセス範囲 FULL HTTPS 社内統制 管理性 アクセス 効かない アクセス可能 Direct Access FULL VDI 15
  • さて、もう1つ重要なテクノロジーが… Direct Access 全てのテクノロジーは HTTPS ベースの通信 ∴リバースプロキシーが超重要!! VDI Workplace Join 16
  • リバースプロキシー=Web Application Proxy • AD FS Proxy 機能を兼ね備えたリバース プロキシー  社内 Web Application(外部 https → 内部 http/https)  社内 フィルサーバー(Work Folder) • Pre-AuthN/AuthZ(事前認証/認可) 機能  AD FS 連携によるリソース単位の事前認証と認可 ここが重要  パススルー(認証なし)も可能 • アプリケーション(URI)単位に認証ポリシーを設定可能 Direct Access Server RDP RD Gateway https WWW 2012 R2 社 内 リ ソ ー ス 17
  • リバースプロキシー = Web Application Proxy • Windows Server 2012 R2 に実装 • AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能 • 追加認証プロバーダーによるマルチファクター認証が可能 Web Application Proxy AD FS クレーム処理エンジン デバイス認証 ③ アクセス Start ③ デバイス クレーム 事前認証 プロセス ユーザー認証 Start AD FS に リダイレクト AD DS ① 事前認証 ②結果 ユーザー クレーム 追加認証 アクセス可否を判定 18
  • Windows Server 2012 R2 AD FS 新機能 • 認証ポリシー  クレーム対応アプリ/非対応アプリ の事前認証/認可として利用  Web Application Proxy との連携  認証方式を選択可能     エクストラネットの場合 イントラネットの場合 デバイス認証の要否 マルチファクター認証の要否 • クレームの拡張  デバイス クレーム  ロケーション クレーム • • • • • • OAuth 2.0 対応  WS-Federation、SAML 2.0 は既存 insiderCorporateNetwork :true/false X-ms-proxy:プロキシサーバーのコンピューター名 AppIdentifier:接続先の web アプリケーション x-ms-forwarded-client-ip:クライアントのIPアドレス X-ms-client-ip:プロキシーのIPアドレス 19
  • Windows Azure Active Directory MFA プロバイダー • Windows Azure が提供するクラウド上の多要素認証プロバイダー • スマートフォンまたは携帯電話 • ワンタイムパスワード • 電話応答 Windows Azure AD • テキストメッセージ 等 MFA ⑥電話 ⑦応答 ①認可依頼 ⑨アクセス認可 ⑧OK ⑤フォーンファクター認証 ②ユーザ認証 ③デバイス認証 ④ OK AD FSを通過する全ての認可依頼に実装可能 20
  • ファイル サーバーをどう公開するか Work Folder ファイルサーバーを HTTPS で公開 ローカル デバイスに「自分のデータのみ」を同期 System Center Configuration Manager 2012 R2 との連携で 企業データのみをリモート ワイプ • • • AD FS Web Application Proxy 事前認証 Work Folder https://workfolder.contoso.com/ Start AD DS File Server 同期 21
  • 重要データの流出対策 • • • ファイル サーバー リソース マネージャ(FSRM)  自動分類、スクリーニング Rights Management Service(RMS)  暗号化、アクセス権限設定 ダイナミック アクセス 制御(DAC) 機密 Data 重要 スクリーニング Data 参照 期限 読み 取り FSRM RMS 暗号化 暗号化 重要 Data 重要 Data コピペ 禁止 印刷 禁止 保存 禁止 個人 情報 File Server 分類 重要データ保管庫 22
  • DAC のアーキテクチャ • ガバナンスを効かせたいデータを対象に設定する • グループポリシー によりファイル サーバー全体に「アクセルルール」を適用 ユーザー クレーム デバイス クレーム 社内デバイス AD DS <IF> • ユーザー = 経理部 • デバイス = 社内 • リソース = 重要 <Then> • READ Access Rule ①ルールを登録 ②ルールを配信 リソース属性 Access Rule ファイル サーバー 23
  • まとめ • IT によるセキュリティこそが生産性を高めます • 条件を満たせば、デバイスを「差別」する必要はありません  セキュリティポリシーが適用可能か  デバイス認可が利用可能か  データの漏えい対策がされているか • 安全性を高めるには Web Application Proxy + AD FS による認可制御がカギです 24
  • Mobile Device Management モバイル デバイスの管理 Windows 8.1/RT Windows 8/RT, Windows Phone 8 iOS Android Windows Azure Active Directory Federation Web Application Proxy 企業内デバイスの管理 Windows Intune Connector Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X AD DS & AD FS 統合管理 コンソール Linux/UNIX 25
  • © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 26