CHINA LEGAL UPDATE - amt-law.comるところ、2017年7月には「重要情報インフラ」の定義に関連する「重要情報インフラ安全保護条例」について意
Vdi を より使いやすいインフラにするためのセキュリティ設計
-
Upload
junichi-anno -
Category
Technology
-
view
1.634 -
download
8
Transcript of Vdi を より使いやすいインフラにするためのセキュリティ設計
1
VDI を より使いやすいインフラにするためのセキュリティ設計生産性とセキュリティの共存を実現するためのインフラストラクチャーとは
日本マイクロソフト株式会社エバンジェリスト
安納 順一http://blogs.technet.com/junichia/
2
Anytime 24 hours a day
生産性を高めるインフラとは
with
Any
Devices
from
Anywhere
to
Any
Resources
Access
In Security
どこにいても“セキュリティ”で守られているからこそ柔軟な働き方を実現できる
3
フレキシブル ワークスタイル~ 3 つのシナリオ
社内デバイスを持ち出したい
Bring your office’s device
自分のデバイスで仕事がしたいBring your own device
そもそも PC を持ち歩きたくない!
Bring Your Own OS
4
フレキシブルワークスタイルを実現するテクノロジー
社内デバイスを社外でも活用
個人デバイスから社内リソースにアクセス
デバイスを持ち歩かない
Direct Access
Virtual Desktop Infrastructure
デバイス認証
Windows To Go 業務環境を、暗号化した USB メモリに格納 USB メモリを近場の PC に挿して起動
5
INTERNET
DirectAccess ~社内デバイスで社外からアクセス
• 社内セキュリティポリシーによる継続的な監視• PC のセキュリティはリアルタイムに監視されている
検疫ネットワーク
社内ネットワーク
Firewall Direct Access
ServerHotel
評価
Network Access Protection
ドメインコントローラー
業務サーバーファイルサーバー
Windows7/8
R-Proxy
6
個人デバイス利用(BYOD)の課題• 個人デバイスの識別• 個人デバイスの安全性が社内環境に及ぼす影響• 個人デバイスを介した社内データの漏えい• 社外から社内リソースへのアクセス方法• 社内で使用しているOAアプリケーションやブラウザとの互換性• 社内で使用している個人環境の再現
社内ネットワーク
個人デバイス
メールサーバーファイルサーバー業務サーバー 等
社内デバイス
ActiveDirectory
Network Policy Service
セキュリティポリシー
個人デバイス
7
要は、以下を実現するインフラが必要• 誰がどのデバイスを使ってアクセスしてきたかを把握できる• 個人デバイスの安全性が社内環境に影響を及ぼさない• 個人デバイスを介して社内データが漏えいしない• 社外から社内リソースにアクセスできる• 社内で使用しているOAアプリケーションやブラウザと同じものが使える• 社内で使用している個人環境を再現できる
8
VDI = リモート デスクトップを使用して社内 PC を操作
社内 PC
社内ネットワーク
• 個人デバイスからは RDP を使用して社内 PC を操作するだけ• 機密データは 社内 PC から外に出られない※管理者側で、「持ち出せる」ように設定することは可能
各種業務サーバー
遠隔操作
セキュリティ境界
踏み台
9
RDP遠隔操作
画面転送
Aち
Bこインターネット/自宅
データは仮想PC の外に出られない
デバイスを紛失してもデータには影響がない
ローカル PC のセキュリティ状態に影響されない
社内ネットワーク
デバイスから業務サーバーに直接接続できない
ローカル PC からの”セッション分離”を実現
10
VDI アーキテクチャ全体像
Internet
仮想化ホスト + RemoteApp
https
RDPover https
RemoteApp
Session-basedDesktop
セッションホスト
社内ネットワーク
11
RD Gateway の役割
• RDP over SSL を RDP に変換• NAP(Network Access Protection)との連携• セッションの監視(イントラネットでも利用可能)• 接続承認ポリシー(CAP)とリソース承認ポリシー(RAP)
RDP(3389)
RDP over SSL(443/tcp)
12
個人デバイスをADで認証 ~ Workplace Join/DRSWorkplace Join• 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジーDRS (デバイス登録サービス)• デバイスを AD DS に登録するためのサービス
Start
AD FS AD DS
Start
https
iOS or Win8.1
①個人デバイスを事前に登録(Workplace Join) DRS
②
認証認可
AD FS : Active Directory Federation Service
AD DS: Active Directory Domain Service
ClaimsEngine
13
AD FS によるクレーム処理
AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している
Start
AD DS
Start
iOS or Win8.1
② 認証認可
AD FS
クレーム処理エンジン
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
ユーザー クレーム③-1 認可依頼
アクセス可否を判定
14
デバイス認証/認可
• Active Directory にデバイスが登録されているかどうかを確認
• デバイスが正しく登録されていれば“デバイスクレーム”を発行 Registrationid : デバイスの登録 ID
Displayname :コンピューター名 Identifier :デバイスのGUID
Ostype :OSのタイプ Osversion :OSのバージョン isManaged :MDM 管理対象デバイスかどうか isRegisteredUser :デバイスに関連づけられたユーザーかどうか
• 「登録されているデバイス」とは?
Workplace Join した Windows 8.1 デバイス Workplace Join した iOS デバイス
15
ここまでの復習(セキュリティの観点から)
Domain Joined
個人デバイス
管理不可 管理可能管理性
アクセス アクセス不可 アクセス可能
安全性
社内統制 効かない 適用可能
Workplace JoinedStart
部分的管理
部分アクセス
部分的適用
野放し
社内デバイス
VDI
HTTPS
Direct
Access
Workplace Join
DRS
アクセス範囲
対応テクノロジー
FULL FULL
VDI
16
さて、もう1つ重要なテクノロジーが…
Direct Access
VDI Workplace Join
全てのテクノロジーはHTTPS ベースの通信
∴リバースプロキシーが超重要!!
17
リバースプロキシー=Web Application Proxy
• AD FS Proxy 機能を兼ね備えたリバース プロキシー 社内 Web Application(外部 https → 内部 http/https) 社内 フィルサーバー(Work Folder)
• Pre-AuthN/AuthZ(事前認証/認可)機能
AD FS 連携によるリソース単位の事前認証と認可
パススルー(認証なし)も可能
• アプリケーション(URI)単位に認証ポリシーを設定可能
https
社内リソース2012 R2
ここが重要
Direct Access
Server
RD
Gateway
WW
W
RDP
18
Web
Application
Proxy
リバースプロキシー = Web Application Proxy• Windows Server 2012 R2に実装• AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能• 追加認証プロバーダーによるマルチファクター認証が可能
Start
AD FS AD DS
クレーム処理エンジン
事前認証プロセス
Start
ユーザー認証
デバイス認証
追加認証① 事前認証
デバイス クレーム
アクセス可否を判定
ユーザー クレームAD FSにリダイレクト
②結果
③
③ アクセス
19
Windows Server 2012 R2 AD FS 新機能
• 認証ポリシー クレーム対応アプリ/非対応アプリ の事前認証/認可として利用
Web Application Proxy との連携 認証方式を選択可能
エクストラネットの場合 イントラネットの場合 デバイス認証の要否 マルチファクター認証の要否
• クレームの拡張 デバイスクレーム ロケーション クレーム
• OAuth 2.0 対応 WS-Federation、SAML 2.0 は既存
• insiderCorporateNetwork :true/false
• X-ms-proxy:プロキシサーバーのコンピューター名• AppIdentifier:接続先の web アプリケーション• x-ms-forwarded-client-ip:クライアントのIPアドレス• X-ms-client-ip:プロキシーのIPアドレス
20
Windows Azure Active Directory MFA プロバイダー
• Windows Azure が提供するクラウド上の多要素認証プロバイダー• スマートフォンまたは携帯電話
• ワンタイムパスワード• 電話応答• テキストメッセージ 等 Windows Azure AD
MFA
②ユーザ認証③デバイス認証
⑤フォーンファクター認証
⑥電話
⑦応答
④ OK
⑧OK
①認可依頼
⑨アクセス認可
AD FSを通過する全ての認可依頼に実装可能
21
AD DS
ファイル サーバーをどう公開するか
Start
AD FSWeb
Application
Proxy
事前認証File Server
https://workfolder.contoso.com/
Work Folder
同期
Work Folder• ファイルサーバーを HTTPS で公開• ローカル デバイスに「自分のデータのみ」を同期• System Center Configuration Manager 2012 R2 との連携で企業データのみをリモートワイプ
22
重要データの流出対策• ファイル サーバー リソース マネージャ(FSRM)
自動分類、スクリーニング• Rights Management Service(RMS)
暗号化、アクセス権限設定• ダイナミックアクセス制御(DAC)
File Server 重要データ保管庫
重要
Data
FSRM
個人情報
重要
Data
参照期限
印刷禁止
コピペ禁止
保存禁止
暗号化
RMS
重要
Data
読み取り
暗号化
分類
機密
Data
スクリーニング
23
DAC のアーキテクチャ
ユーザー クレーム デバイス クレーム
リソース属性
社内デバイス
Access
Rule
AD DS
<IF>• ユーザー = 経理部• デバイス = 社内• リソース = 重要
<Then>
• READ
ファイル サーバー
②ルールを配信
①ルールを登録
Access
Rule
• ガバナンスを効かせたいデータを対象に設定する• グループポリシー によりファイル サーバー全体に「アクセルルール」を適用
24
まとめ
• IT によるセキュリティこそが生産性を高めます
• 条件を満たせば、デバイスを「差別」する必要はありません セキュリティポリシーが適用可能か デバイス認可が利用可能か データの漏えい対策がされているか
• 安全性を高めるにはWeb Application Proxy + AD FS による認可制御がカギです
25
Mobile Device Management
Windows 8.1/RT
Windows 8/RT,
Windows Phone 8
iOS
Android
統合管理コンソール
モバイル デバイスの管理
Windows PCs
(x86/64, Intel SoC),
Windows to Go
Windows Embedded
Mac OS X
Linux/UNIX
Windows Intune Connector
企業内デバイスの管理
Windows Azure
Active Directory
AD DS & AD FS
Fed
era
tion
Web
Application
Proxy
26
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.