VDI 導入の成功の秘訣はこちら 可用性 セキュリティ 利便性を実現します
お問い合わせ先 本資料や F5 製品に関するお問い合わせは以下までお気軽にご連絡ください メールでのお問い合わせは : http://www.f5networks.co.jp/inquiry/ お電話でのお問い合せは : 03-5114-3850 [ インサイドセールス ] 10:00 ~ 18:00 ( 土日祝日を除く )
VDI 導入までに解決しなければならない壁 利用勝手 全てのユーザに簡単にアクセス可能な環境を提供できるか? 可用性 どのようにシステムダウンを防ぐのか? 安全性 ユーザは安全に利用できるのか? 簡素化 管理可能なアーキテクチャ維持できるのか? パフォーマンス ユーザの期待する応答が提供できるのか?
どこでも仮想デスクトップ による解決 どこでも仮想デスクトップ の特長 1. 高速なリモートアクセス 2. 個人所有の端末に対するセキュリティ強化 3. 社内と同様にスムーズなログイン VMware View 仮想デスクトップ インターネット 在宅勤務環境 Internal LAN 社内環境 BIG-IP Access Policy Manager セキュリティと利便性を両立するリモートアクセス機能
VMware View と F5 が組み合わさるメリット セキュリティの向上 デスクトップの拡張性 可用性向上 ユーザの利便性 簡潔なアーキテクチャ アライアンスによる機能連携
事例 : クオリカ株式会社様
安全で使いやすい! 仮想デスクトップの最適化
ライブデモ中! ipad から VMware Horizon View へのセキュアアクセス デバイスチェック マシン証明書 MAC アドレス ウィルスチェック ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上 Devices TCP 443 様々な認証方法 ID/ パスワードやRSA メールを利用した二要素認証 ブルートフォース対策 セキュリティの強化! パフォーマンス改善! シンプル ( 安全性 CAPEX/OPEX 低減 )! VMware Connection Servers UDP 4172 (PCoIP traffic) Firewall BIG-IP LTM APM 必要なハードウェアコスト BIG-IPなし : LB+(Security Server+Connection Server) x N BIG-IPあり : ADC+Connection Server x N Security Server が不要 ICSA 認定 (D)DoS 対策 ブルートフォース対策 Hypervisor Virtual Desktops 情報セキュリティ EXPO. の出展ブースで実施したデモです ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください F5 Networks, Inc 8
VMware Horizon View と BIG-IP の組み合わせによるメリット
BIG-IP を利用しない場合の懸念点 デバイスチェックができない デバイスチェックを実施しないため 許可された端末以外の端末からでもアクセス可能 セキュリティリスク 限られた認証方法 ID/ パスワード認証 もしくは RSA による認証の 2 とおりだけ セキュリティリスク LB Security Server Connection Server ユーザ インターネット Firewall Virtual Applications セキュリティリスクパフォーマンス劣化 Security Server が必要 Windowsサーバのため 脆弱性攻撃の的になりやすい Windowsサーバのため SSL 処理によるパフォーマンス劣化が懸念 Security Server Connection Server Secure Server : Connection Server = 1: 1 Connection Server1 台につき 1 台のSecure Serverが必ず必要 コスト増 F5 Networks, Inc 10
Horizon View と BIG-IP を組み合わせて利用した場合の効果 デバイスチェック マシン証明書 MACアドレス ウィルスチェック ファイルチェックなど多要素によるデバイスチェックによるセキュリティの向上 PCoIP proxyは対象外 様々な認証方法 ID/ パスワードやRSA メールを利用した二要素認証 ブルートフォース対策 セキュリティの強化 パフォーマンス改善 シンプル ( 俊敏性 安全性 コスト低減 ) Connection Server ユーザ インターネット Firewall BIG-IP Virtual Applications Security Server が不要 DoS 対策 さまざまな認証機能の提供 ブルートフォース対策 Connection Server 必要なハードウェアコスト BIG-IPなし : LB+(Security Server+Connection Server) x N BIG-IPあり : ADC+Connection Server x N F5 Networks, Inc 11
VMware Horizon View のリモートアクセス方法 下記 4つのリモートアクセス方法を考察 1. Security Server 2. SSL VPN 3. BIG-IP のView Proxy (v11.4~ 機能追加 ) リモートアクセスの比較項目 セキュリティ 可用性 クライアント利便性 運用面 F5 Networks, Inc 12
VMware Horizon View Security Server Security Server Connection Server View Client ファイアウォール 負荷分散 3 Connection Server へ転送 4 認証 デスクトップ割り当てクライントへ通知 1 View Client でログイン ( ユーザ名 パスワード入力 ) 5 PCoIP で仮想デスクトップへ接続 2 Security Server へ負荷分散 仮想デスクトップ 課題 1. Security Server は Windows ベースのため セキュリティ面で不安がある Windows パッチは頻繁にリリースされ パッチ対応も大変 2. 負荷分散対象が Security Server となり ヘルスチェックをするにあたって Connection Server の障害検知を考慮する必要があり ネットワーク構成の複雑化し ファイアウォール設定の追加が必要 3. Security Server が増え 障害ポイントも増加 View Agent 外部ネットワーク DMZ 内部ネットワーク F5 Networks, Inc 13
VMware Horizon View SSL VPN 利用ケース Connection Server View Client ファイアウォール VPN 装置 負荷分散 5 認証 デスクトップ割り当てクライントへ通知 SSL VPN Tunnel 1 SSL VPN 装置へアクセス ( ユーザ名 パスワード入力 ) 3 View Client でログイン ( ユーザ名 パスワード入力 ) 課題 6 SSL VPN Tunnel を経由し PCoIP で仮想デスクトップへ接続 2 認証 SSL VPN 接続 4 Connection Server へ負荷分散 1. クライアントは SSL VPN 認証と View の認証の 2 度の認証により ユーザ名 パスワードを 2 回入力することで煩雑となる 2. SSL VPN アクセスとなるため 端末のセキュリティ要件やアクセス管理が必要となる 3. PCoIP は UDP ベースの通信でリアルタイム性を重視しているにも関わらず SSL VPN により TCP 通信となることで リアルタイム性が損なわれる 4. HTTPS で PCoIP 通信をカプセル化するため パケットベースのオーバーヘッドが増える 仮想デスクトップ View Agent 外部ネットワーク DMZ 内部ネットワーク F5 Networks, Inc 14
VMware Horizon View BIG-IP の View Proxy(PCoIP Proxy) 利用ケース Connection Server View Client ファイアウォール BIG-IP PCoIP Proxy + 負荷分散 4 認証 デスクトップ割り当てクライントへ通知 1 View Client でログイン ( ユーザ名 パスワード入力 ) 5 PCoIP で仮想デスクトップへ接続 2 認証 3 Connection Serverへ負荷分散 仮想デスクトップ これまでの課題 1. Security Serverのセキュリティ :BIG-IPはICSA-lab 認定取得済み 2. Security Serverの負荷分散構成 : Connection Serverをヘルスチェックし負荷分散で構成もシンプル 3. Security Server 構成における障害ポイント : 構成をシンプル化し障害ポイントも減少 4. PCoIP 転送効率 :PCoIPをProxyすることでリアルタイム性やオーバーヘッドの問題なし 5. SSL VPNにおける2 度の認証 :Security Serverと同じく1 度の認証で仮想デスクトップへアクセス可 View Agent 外部ネットワーク DMZ 内部ネットワーク F5 Networks, Inc 15
レビュー :VMware Horizon View リモートアクセス比較表 セキュリティ面 項目 Security Server 一般的な SSL VPN 可用性ネットワーク構成 クライアントアクセス操作性 画像転送の影響度 運用面 Windows ベースで懸念があり パッチ対応も煩雑 機器の台数が増え 負荷分散も複雑 〇 1 回の認証情報入力でログイン可 〇 PCoIP リモートアクセスがセキュリティサーバ 負荷分散装置が別となり運用面も煩雑 SSL VPN 装置でセキュリティ高いが端末側のセキュリティ アクセス管理 SSL VPN 装置と負荷分散装置の双方が必要 2 回の認証情報入力が煩雑 HTTPS(TCP) ベース リモートアクセスが SSL VPN 装置 負荷分散装置が別となり運用面も煩雑 BIG-IP View Proxy 〇 SSL VPN 装置でセキュリティ高い 〇 SSL VPN 装置で負荷分散装置も実施 〇 1 回の認証情報入力でログイン可 〇 PCoIP 〇リモートアクセスと負荷分散の管理を統合し 運用負担軽減 F5 Networks, Inc 16
BIG-IP APM View Proxy の対応状況 BIG-IP APM Client Compatibility Matrix v11.5.0 より サーバ側サポート VMware Horizon View 5.2 VMware Horizon View 5.3 クライアントサポート VMware Horizon View Client for Windows 2.2, 2.3 VMware Horizon View Client for Mac 2.2.0, 2.3.0 VMware Horizon View Client for ios 2.3.0 VMware Horizon View Client for Android 2.3.0 VMware Horizon View Client for Linux 2.2.0 Dell Wyse P25 Zero Client starting from firmware v4.1.0 VMWare Horizon View HTML5 Client 機能制限関連 RDP 未サポート USB Redirection 未サポート MMR 未サポート F5 Networks, Inc 17
BIG-IP APM View Proxy の対応状況 BIG-IP APM Client Compatibility Matrix v11.4.0 より サーバ側サポート VMware Horizon View 5.2 VMware Horizon View 5.3 クライアントサポート VMware Horizon View Client for Windows 5.3.0, 5.4.0, 2.2.0 VMware Horizon View Client for Mac 2.0.0, 2.2.0 VMware Horizon View Client for ios 2.0.0, 2.2.1 VMware Horizon View Client for Android 2.0.0, 2.2.0 Dell Wyse P25 Zero Client starting from firmware v4.1.0 * VMWare Horizon View HTML5client** *Please install Hotfix-BIGIP-11.4.0-2419.0-HF3.iso **Please install Hotfix-11.4.0-2425.0-HF4.iso 機能制限関連 PCoIP Proxy: 同時 2000 接続まで HTML5(Blast): V11.4.0HF4でサポート V11.4.1 HF2でサポート RDP 未サポート USB Redirection 未サポート MMR 未サポート F5 Networks, Inc 18
BIG-IP との組み合わせで実現できる様々な認証やセキュリティ対策
クライアント端末の検疫を実施する 1 Web ブラウザを起動し URL を入力 3ログイン画面の表示 二要素認証の利用など複数の認証方法を設定可能 5Horizon Viewを起動 ID/ パスワードを再入力する必要なし PCoIPのサービスで通信 入力 2 エンドポイントチェックを実施 4Webtop 画面が表示される 6 デスクトップ画面の表示 PCoIP のサービスで通信 クリック F5 Networks, Inc 20
クライアント証明書 +ID/ パスワード ここがポイントクライアント証明書を利用した二要素認証と クライアント証明書内の ID を埋め込むことによる なりすましリスクの低減 1エンドポイントチェックを実施 ( 省略することも可能 ) 2 ログイン画面の表示 3Webtop 画面が表示される 4Horizon Viewが起動 ID/ パスワードを再入力する必要なし クリック 入力 このタイミングで APM がクライアント証明書をチェックする F5 Networks, Inc 21
メールを利用した OTP ここがポイントハードウェアトークンなしで二要素認証を実現できるため セキュリティの強化とコスト抑制を同時に実現可能 1エンドポイントチェックを実施 ( 省略することも可能 ) 2-2 ユーザ ID と OTP を入力する画面が表示される 3-3 通常のログイン画面が表示 4Webtop 画面が表示される クリック 2-1 ユーザ ID だけを入力画面が表示されるので ID を入力 同時に自分のメールアドレスに OTP 用のメールが届くので その OTP コードを入力 5Horizon Viewが起動 ID/ パスワードを再入力する必要なし F5 Networks, Inc 22
簡単設定テンプレート
F5 iapp for VMware Horizon View とは? VMware Horizon View 専用のカンタン BIG-IP 設定テンプレート VMware Horizon View のためのネットワーク設定を自動化 ウィザードに従っていくつかの質問に入力するだけで BIG-IP を Horizon View に最適化した状態にコンフィグ ベネフィット 簡単に迅速なデプロイ (minutes instead of days) マニュアル作業によるミスを軽減 DevCentral より入手可能! https://devcentral.f5.com/wiki/iapp.vmware-applications.ashx BIG-IP F5 Networks, Inc 24
その他
F5 と VMware によるプレスリリース 2014 年 2 月 12 日 VMware Partner Exchange, San Francisco にて共同発表 F5 and VMware Strengthen End-User Computing Offerings to Enhance Customers Virtual Desktop Infrastructures F5 Networks, Inc 26
お問い合わせ先 本資料や F5 製品に関するお問い合わせは以下までお気軽にご連絡ください メールでのお問い合わせは : http://www.f5networks.co.jp/inquiry/ お電話でのお問い合せは : 03-5114-3850 [ インサイドセールス ] 10:00 ~ 18:00 ( 土日祝日を除く ) F5 Networks, Inc 27