Your SlideShare is downloading. ×
0
VDI を より使いやすいインフラにするための
セキュリティ設計
生産性とセキュリティの共存を実現するためのインフラストラクチャーとは

日本マイクロソフト株式会社
エバンジェリスト

安納 順一

http://blogs.technet.c...
生産性を高めるインフラとは
どこにいても“セキュリティ”で守られているからこそ
柔軟な働き方を実現できる

In Security
Anytime 24 hours a day
with
Any
Devices

from
Anywhere

...
フレキシブル ワークスタイル~ 3 つのシナリオ

社内デバイスを持ち出したい
Bring your office’s device
自分のデバイスで仕事がしたい
Bring your own device
そもそも PC を持ち歩きたくない!...
フレキシブルワークスタイルを実現するテクノロジー
社内デバイスを
社外でも活用

 Direct Access
 Virtual Desktop Infrastructure

個人デバイスから
社内リソースにアクセス

デバイスを持ち歩か...
DirectAccess ~社内デバイスで社外からアクセス
• 社内セキュリティポリシーによる継続的な監視
• PC のセキュリティはリアルタイムに監視されている
社内ネットワーク

INTERNET

ドメインコントローラー
Firewall...
個人デバイス利用(BYOD)の課題
•
•
•
•
•
•

個人デバイスの識別
個人デバイスの安全性が社内環境に及ぼす影響
個人デバイスを介した社内データの漏えい
社外から社内リソースへのアクセス方法
社内で使用しているOAアプリケーションや...
要は、以下を実現するインフラが必要
•
•
•
•
•
•

誰がどのデバイスを使ってアクセスしてきたかを把握できる
個人デバイスの安全性が社内環境に影響を及ぼさない
個人デバイスを介して社内データが漏えいしない
社外から社内リソースにアクセス...
VDI = リモート デスクトップを使用して社内 PC を操作
• 個人デバイスからは RDP を使用して社内 PC を操作するだけ
• 機密データは 社内 PC から外に出られない
※管理者側で、「持ち出せる」ように設定することは可能
社内ネ...
ローカル PC からの”セッション分離”を実現
インターネット/自宅

A

ち

B

こ

社内ネットワーク

遠隔操作

RDP

画面転送

ローカル PC
のセキュリ
ティ状態に影
響されない

デバイスを
紛失しても
データには
影...
VDI アーキテクチャ全体像
社内ネットワーク

https
仮想化ホスト + RemoteApp

Internet
RDP
over https

RemoteApp
Session-based
Desktop
セッションホスト

10
RD Gateway の役割
•
•
•
•

RDP over SSL を RDP に変換
NAP(Network Access Protection)との連携
セッションの監視(イントラネットでも利用可能)
接続承認ポリシー(CAP)とリソ...
個人デバイスをADで認証 ~ Workplace Join/DRS
Workplace Join
• 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジー
DRS (デバイス登録サービス)
• デバイスを AD DS に登録す...
AD FS によるクレーム処理
AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している

AD FS

AD DS

クレーム処理エンジン
デバイス認証

Start

デバイス クレーム

iOS or Win8.1
...
デバイス認証/認可
• Active Directory にデバイスが登録されているかどうかを確認
• デバイスが正しく登録されていれば“デバイスクレーム”を発行








Registrationid
Displaynam...
ここまでの復習(セキュリティの観点から)
個人デバイス

野放し

Workplace Joined

社内デバイス
Domain Joined

Start

安全性

部分的適用

適用可能

管理不可

部分的管理

管理可能

アクセス...
さて、もう1つ重要なテクノロジーが…
Direct Access

全てのテクノロジーは
HTTPS ベースの通信
∴リバースプロキシーが超重要!!

VDI

Workplace Join

16
リバースプロキシー=Web Application Proxy
• AD FS Proxy 機能を兼ね備えたリバース プロキシー
 社内 Web Application(外部 https → 内部 http/https)
 社内 フィルサー...
リバースプロキシー = Web Application Proxy
• Windows Server 2012 R2 に実装
• AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能
• 追加認証プロバーダーによる...
Windows Server 2012 R2 AD FS 新機能
• 認証ポリシー
 クレーム対応アプリ/非対応アプリ の事前認証/認可として利用

 Web Application Proxy との連携
 認証方式を選択可能


...
Windows Azure Active Directory MFA プロバイダー
• Windows Azure が提供するクラウド上の多要素認証プロバイダー
• スマートフォンまたは携帯電話
• ワンタイムパスワード
• 電話応答
Wind...
ファイル サーバーをどう公開するか
Work Folder

ファイルサーバーを HTTPS で公開
ローカル デバイスに「自分のデータのみ」を同期
System Center Configuration Manager 2012 R2 との連...
重要データの流出対策
•
•
•

ファイル サーバー リソース マネージャ(FSRM)
 自動分類、スクリーニング
Rights Management Service(RMS)
 暗号化、アクセス権限設定
ダイナミック アクセス 制御(D...
DAC のアーキテクチャ
• ガバナンスを効かせたいデータを対象に設定する
• グループポリシー によりファイル サーバー全体に「アクセルルール」を適用

ユーザー クレーム

デバイス クレーム
社内デバイス

AD DS

<IF>
• ユ...
まとめ
• IT によるセキュリティこそが生産性を高めます
• 条件を満たせば、デバイスを「差別」する必要はありません
 セキュリティポリシーが適用可能か
 デバイス認可が利用可能か
 データの漏えい対策がされているか

• 安全性を高め...
Mobile Device Management
モバイル デバイスの管理
Windows 8.1/RT
Windows 8/RT,
Windows Phone 8
iOS
Android

Windows Azure
Active Direc...
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be...
Upcoming SlideShare
Loading in...5
×

Vdi を より使いやすいインフラにするためのセキュリティ設計

1,783

Published on

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,783
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
66
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

Transcript of "Vdi を より使いやすいインフラにするためのセキュリティ設計"

  1. 1. VDI を より使いやすいインフラにするための セキュリティ設計 生産性とセキュリティの共存を実現するためのインフラストラクチャーとは 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ 1
  2. 2. 生産性を高めるインフラとは どこにいても“セキュリティ”で守られているからこそ 柔軟な働き方を実現できる In Security Anytime 24 hours a day with Any Devices from Anywhere Access to Any Resources 2
  3. 3. フレキシブル ワークスタイル~ 3 つのシナリオ 社内デバイスを持ち出したい Bring your office’s device 自分のデバイスで仕事がしたい Bring your own device そもそも PC を持ち歩きたくない! Bring Your Own OS 3
  4. 4. フレキシブルワークスタイルを実現するテクノロジー 社内デバイスを 社外でも活用  Direct Access  Virtual Desktop Infrastructure 個人デバイスから 社内リソースにアクセス デバイスを持ち歩かない  デバイス認証 Windows To Go  業務環境を、暗号化した USB メモリに格納  USB メモリを近場の PC に挿して起動 4
  5. 5. DirectAccess ~社内デバイスで社外からアクセス • 社内セキュリティポリシーによる継続的な監視 • PC のセキュリティはリアルタイムに監視されている 社内ネットワーク INTERNET ドメインコントローラー Firewall R-Proxy Hotel Windows7/8 評価 検疫ネットワーク Direct Access Server Network Access Protection 業務サーバー ファイルサーバー 5
  6. 6. 個人デバイス利用(BYOD)の課題 • • • • • • 個人デバイスの識別 個人デバイスの安全性が社内環境に及ぼす影響 個人デバイスを介した社内データの漏えい 社外から社内リソースへのアクセス方法 社内で使用しているOAアプリケーションやブラウザとの互換性 社内で使用している個人環境の再現 社内ネットワーク メールサーバー ファイルサーバー 業務サーバー 等 個人デバイス 個人デバイス Active Directory Network Policy Service セキュリ ティポリ シー 社内デバイス 6
  7. 7. 要は、以下を実現するインフラが必要 • • • • • • 誰がどのデバイスを使ってアクセスしてきたかを把握できる 個人デバイスの安全性が社内環境に影響を及ぼさない 個人デバイスを介して社内データが漏えいしない 社外から社内リソースにアクセスできる 社内で使用しているOAアプリケーションやブラウザと同じものが使える 社内で使用している個人環境を再現できる 7
  8. 8. VDI = リモート デスクトップを使用して社内 PC を操作 • 個人デバイスからは RDP を使用して社内 PC を操作するだけ • 機密データは 社内 PC から外に出られない ※管理者側で、「持ち出せる」ように設定することは可能 社内ネットワーク 踏み台 遠隔操作 セキュリティ境界 社内 PC 各種 業務サーバー 8
  9. 9. ローカル PC からの”セッション分離”を実現 インターネット/自宅 A ち B こ 社内ネットワーク 遠隔操作 RDP 画面転送 ローカル PC のセキュリ ティ状態に影 響されない デバイスを 紛失しても データには 影響がない データは仮想 PC の外に 出られない デバイスから 業務サーバー に直接接続で きない 9
  10. 10. VDI アーキテクチャ全体像 社内ネットワーク https 仮想化ホスト + RemoteApp Internet RDP over https RemoteApp Session-based Desktop セッションホスト 10
  11. 11. RD Gateway の役割 • • • • RDP over SSL を RDP に変換 NAP(Network Access Protection)との連携 セッションの監視(イントラネットでも利用可能) 接続承認ポリシー(CAP)とリソース承認ポリシー(RAP) RDP over SSL(443/tcp) RDP(3389) 11
  12. 12. 個人デバイスをADで認証 ~ Workplace Join/DRS Workplace Join • 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジー DRS (デバイス登録サービス) • デバイスを AD DS に登録するためのサービス AD FS AD DS Start iOS or Win8.1 Start ② Claims Engine 認証 認可 ①個人デバイスを事前に登録(Workplace Join) https DRS AD FS : Active Directory Federation Service AD DS: Active Directory Domain Service 12
  13. 13. AD FS によるクレーム処理 AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している AD FS AD DS クレーム処理エンジン デバイス認証 Start デバイス クレーム iOS or Win8.1 Start ② 認証 認可 ユーザー認証 ③-1 認可依頼 ユーザー クレーム 追加認証 アクセス可否を判定 13
  14. 14. デバイス認証/認可 • Active Directory にデバイスが登録されているかどうかを確認 • デバイスが正しく登録されていれば“デバイスクレーム”を発行        Registrationid Displayname Identifier Ostype Osversion isManaged isRegisteredUser : デバイスの登録 ID :コンピューター名 :デバイスのGUID :OSのタイプ :OSのバージョン :MDM 管理対象デバイスかどうか :デバイスに関連づけられたユーザーかどうか • 「登録されているデバイス」とは?  Workplace Join した Windows 8.1 デバイス  Workplace Join した iOS デバイス 14
  15. 15. ここまでの復習(セキュリティの観点から) 個人デバイス 野放し Workplace Joined 社内デバイス Domain Joined Start 安全性 部分的適用 適用可能 管理不可 部分的管理 管理可能 アクセス不可 部分アクセス 対応テクノロジー VDI Workplace Join DRS アクセス範囲 FULL HTTPS 社内統制 管理性 アクセス 効かない アクセス可能 Direct Access FULL VDI 15
  16. 16. さて、もう1つ重要なテクノロジーが… Direct Access 全てのテクノロジーは HTTPS ベースの通信 ∴リバースプロキシーが超重要!! VDI Workplace Join 16
  17. 17. リバースプロキシー=Web Application Proxy • AD FS Proxy 機能を兼ね備えたリバース プロキシー  社内 Web Application(外部 https → 内部 http/https)  社内 フィルサーバー(Work Folder) • Pre-AuthN/AuthZ(事前認証/認可) 機能  AD FS 連携によるリソース単位の事前認証と認可 ここが重要  パススルー(認証なし)も可能 • アプリケーション(URI)単位に認証ポリシーを設定可能 Direct Access Server RDP RD Gateway https WWW 2012 R2 社 内 リ ソ ー ス 17
  18. 18. リバースプロキシー = Web Application Proxy • Windows Server 2012 R2 に実装 • AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能 • 追加認証プロバーダーによるマルチファクター認証が可能 Web Application Proxy AD FS クレーム処理エンジン デバイス認証 ③ アクセス Start ③ デバイス クレーム 事前認証 プロセス ユーザー認証 Start AD FS に リダイレクト AD DS ① 事前認証 ②結果 ユーザー クレーム 追加認証 アクセス可否を判定 18
  19. 19. Windows Server 2012 R2 AD FS 新機能 • 認証ポリシー  クレーム対応アプリ/非対応アプリ の事前認証/認可として利用  Web Application Proxy との連携  認証方式を選択可能     エクストラネットの場合 イントラネットの場合 デバイス認証の要否 マルチファクター認証の要否 • クレームの拡張  デバイス クレーム  ロケーション クレーム • • • • • • OAuth 2.0 対応  WS-Federation、SAML 2.0 は既存 insiderCorporateNetwork :true/false X-ms-proxy:プロキシサーバーのコンピューター名 AppIdentifier:接続先の web アプリケーション x-ms-forwarded-client-ip:クライアントのIPアドレス X-ms-client-ip:プロキシーのIPアドレス 19
  20. 20. Windows Azure Active Directory MFA プロバイダー • Windows Azure が提供するクラウド上の多要素認証プロバイダー • スマートフォンまたは携帯電話 • ワンタイムパスワード • 電話応答 Windows Azure AD • テキストメッセージ 等 MFA ⑥電話 ⑦応答 ①認可依頼 ⑨アクセス認可 ⑧OK ⑤フォーンファクター認証 ②ユーザ認証 ③デバイス認証 ④ OK AD FSを通過する全ての認可依頼に実装可能 20
  21. 21. ファイル サーバーをどう公開するか Work Folder ファイルサーバーを HTTPS で公開 ローカル デバイスに「自分のデータのみ」を同期 System Center Configuration Manager 2012 R2 との連携で 企業データのみをリモート ワイプ • • • AD FS Web Application Proxy 事前認証 Work Folder https://workfolder.contoso.com/ Start AD DS File Server 同期 21
  22. 22. 重要データの流出対策 • • • ファイル サーバー リソース マネージャ(FSRM)  自動分類、スクリーニング Rights Management Service(RMS)  暗号化、アクセス権限設定 ダイナミック アクセス 制御(DAC) 機密 Data 重要 スクリーニング Data 参照 期限 読み 取り FSRM RMS 暗号化 暗号化 重要 Data 重要 Data コピペ 禁止 印刷 禁止 保存 禁止 個人 情報 File Server 分類 重要データ保管庫 22
  23. 23. DAC のアーキテクチャ • ガバナンスを効かせたいデータを対象に設定する • グループポリシー によりファイル サーバー全体に「アクセルルール」を適用 ユーザー クレーム デバイス クレーム 社内デバイス AD DS <IF> • ユーザー = 経理部 • デバイス = 社内 • リソース = 重要 <Then> • READ Access Rule ①ルールを登録 ②ルールを配信 リソース属性 Access Rule ファイル サーバー 23
  24. 24. まとめ • IT によるセキュリティこそが生産性を高めます • 条件を満たせば、デバイスを「差別」する必要はありません  セキュリティポリシーが適用可能か  デバイス認可が利用可能か  データの漏えい対策がされているか • 安全性を高めるには Web Application Proxy + AD FS による認可制御がカギです 24
  25. 25. Mobile Device Management モバイル デバイスの管理 Windows 8.1/RT Windows 8/RT, Windows Phone 8 iOS Android Windows Azure Active Directory Federation Web Application Proxy 企業内デバイスの管理 Windows Intune Connector Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X AD DS & AD FS 統合管理 コンソール Linux/UNIX 25
  26. 26. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 26
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×