1

VDI を より使いやすいインフラにするためのセキュリティ設計生産性とセキュリティの共存を実現するためのインフラストラクチャーとは

日本マイクロソフト株式会社エバンジェリスト

安納 順一http://blogs.technet.com/junichia/

2

Anytime 24 hours a day

生産性を高めるインフラとは

with

Any

Devices

from

Anywhere

to

Any

Resources

Access

In Security

どこにいても“セキュリティ”で守られているからこそ柔軟な働き方を実現できる

3

フレキシブル ワークスタイル～ 3 つのシナリオ

社内デバイスを持ち出したい

Bring your office’s device

自分のデバイスで仕事がしたいBring your own device

そもそも PC を持ち歩きたくない！

Bring Your Own OS

4

フレキシブルワークスタイルを実現するテクノロジー

社内デバイスを社外でも活用

個人デバイスから社内リソースにアクセス

デバイスを持ち歩かない

Direct Access

Virtual Desktop Infrastructure

デバイス認証

Windows To Go 業務環境を、暗号化した USB メモリに格納 USB メモリを近場の PC に挿して起動

5

INTERNET

DirectAccess ～社内デバイスで社外からアクセス

• 社内セキュリティポリシーによる継続的な監視• PC のセキュリティはリアルタイムに監視されている

検疫ネットワーク

社内ネットワーク

Firewall Direct Access

ServerHotel

評価

Network Access Protection

ドメインコントローラー

業務サーバーファイルサーバー

Windows7/8

R-Proxy

6

個人デバイス利用（BYOD）の課題• 個人デバイスの識別• 個人デバイスの安全性が社内環境に及ぼす影響• 個人デバイスを介した社内データの漏えい• 社外から社内リソースへのアクセス方法• 社内で使用しているOAアプリケーションやブラウザとの互換性• 社内で使用している個人環境の再現

社内ネットワーク

個人デバイス

メールサーバーファイルサーバー業務サーバー 等

社内デバイス

ActiveDirectory

Network Policy Service

セキュリティポリシー

個人デバイス

7

要は、以下を実現するインフラが必要• 誰がどのデバイスを使ってアクセスしてきたかを把握できる• 個人デバイスの安全性が社内環境に影響を及ぼさない• 個人デバイスを介して社内データが漏えいしない• 社外から社内リソースにアクセスできる• 社内で使用しているOAアプリケーションやブラウザと同じものが使える• 社内で使用している個人環境を再現できる

8

VDI = リモート デスクトップを使用して社内 PC を操作

社内 PC

社内ネットワーク

• 個人デバイスからは RDP を使用して社内 PC を操作するだけ• 機密データは 社内 PC から外に出られない※管理者側で、「持ち出せる」ように設定することは可能

各種業務サーバー

遠隔操作

セキュリティ境界

踏み台

9

RDP遠隔操作

画面転送

Aち

Bこインターネット/自宅

データは仮想PC の外に出られない

デバイスを紛失してもデータには影響がない

ローカル PC のセキュリティ状態に影響されない

社内ネットワーク

デバイスから業務サーバーに直接接続できない

ローカル PC からの”セッション分離”を実現

10

VDI アーキテクチャ全体像

Internet

仮想化ホスト + RemoteApp

https

RDPover https

RemoteApp

Session-basedDesktop

セッションホスト

社内ネットワーク

11

RD Gateway の役割

• RDP over SSL を RDP に変換• NAP（Network Access Protection）との連携• セッションの監視（イントラネットでも利用可能）• 接続承認ポリシー（CAP）とリソース承認ポリシー（RAP）

RDP（3389）

RDP over SSL（443/tcp）

12

個人デバイスをADで認証 ～ Workplace Join/DRSWorkplace Join• 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジーDRS (デバイス登録サービス）• デバイスを AD DS に登録するためのサービス

Start

AD FS AD DS

Start

https

iOS or Win8.1

①個人デバイスを事前に登録（Workplace Join） DRS

②

認証認可

AD FS ： Active Directory Federation Service

AD DS： Active Directory Domain Service

ClaimsEngine

13

AD FS によるクレーム処理

AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している

Start

AD DS

Start

iOS or Win8.1

② 認証認可

AD FS

クレーム処理エンジン

ユーザー認証

デバイス認証

追加認証

デバイス クレーム

ユーザー クレーム③-1 認可依頼

アクセス可否を判定

14

デバイス認証/認可

• Active Directory にデバイスが登録されているかどうかを確認

• デバイスが正しく登録されていれば“デバイスクレーム”を発行 Registrationid : デバイスの登録 ID

Displayname ：コンピューター名 Identifier ：デバイスのGUID

Ostype ：OSのタイプ Osversion ：OSのバージョン isManaged ：MDM 管理対象デバイスかどうか isRegisteredUser ：デバイスに関連づけられたユーザーかどうか

• 「登録されているデバイス」とは？

Workplace Join した Windows 8.1 デバイス Workplace Join した iOS デバイス

15

ここまでの復習（セキュリティの観点から）

Domain Joined

個人デバイス

管理不可 管理可能管理性

アクセス アクセス不可 アクセス可能

安全性

社内統制 効かない 適用可能

Workplace JoinedStart

部分的管理

部分アクセス

部分的適用

野放し

社内デバイス

VDI

HTTPS

Direct

Access

Workplace Join

DRS

アクセス範囲

対応テクノロジー

FULL FULL

VDI

16

さて、もう1つ重要なテクノロジーが…

Direct Access

VDI Workplace Join

全てのテクノロジーはHTTPS ベースの通信

∴リバースプロキシーが超重要!!

17

リバースプロキシー＝Web Application Proxy

• AD FS Proxy 機能を兼ね備えたリバース プロキシー 社内 Web Application（外部 https → 内部 http/https） 社内 フィルサーバー（Work Folder）

• Pre-AuthN/AuthZ（事前認証/認可）機能

AD FS 連携によるリソース単位の事前認証と認可

パススルー（認証なし）も可能

• アプリケーション（URI）単位に認証ポリシーを設定可能

https

社内リソース2012 R2

ここが重要

Direct Access

Server

RD

Gateway

WW

W

RDP

18

Web

Application

Proxy

リバースプロキシー = Web Application Proxy• Windows Server 2012 R2に実装• AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能• 追加認証プロバーダーによるマルチファクター認証が可能

Start

AD FS AD DS

クレーム処理エンジン

事前認証プロセス

Start

ユーザー認証

デバイス認証

追加認証① 事前認証

デバイス クレーム

アクセス可否を判定

ユーザー クレームAD FSにリダイレクト

②結果

③

③ アクセス

19

Windows Server 2012 R2 AD FS 新機能

• 認証ポリシー クレーム対応アプリ/非対応アプリ の事前認証/認可として利用

Web Application Proxy との連携 認証方式を選択可能

エクストラネットの場合 イントラネットの場合 デバイス認証の要否 マルチファクター認証の要否

• クレームの拡張 デバイスクレーム ロケーション クレーム

• OAuth 2.0 対応 WS-Federation、SAML 2.0 は既存

• insiderCorporateNetwork ：true/false

• X-ms-proxy：プロキシサーバーのコンピューター名• AppIdentifier：接続先の web アプリケーション• x-ms-forwarded-client-ip：クライアントのIPアドレス• X-ms-client-ip：プロキシーのIPアドレス

20

Windows Azure Active Directory MFA プロバイダー

• Windows Azure が提供するクラウド上の多要素認証プロバイダー• スマートフォンまたは携帯電話

• ワンタイムパスワード• 電話応答• テキストメッセージ 等 Windows Azure AD

MFA

②ユーザ認証③デバイス認証

⑤フォーンファクター認証

⑥電話

⑦応答

④ OK

⑧OK

①認可依頼

⑨アクセス認可

AD FSを通過する全ての認可依頼に実装可能

21

AD DS

ファイル サーバーをどう公開するか

Start

AD FSWeb

Application

Proxy

事前認証File Server

https://workfolder.contoso.com/

Work Folder

同期

Work Folder• ファイルサーバーを HTTPS で公開• ローカル デバイスに「自分のデータのみ」を同期• System Center Configuration Manager 2012 R2 との連携で企業データのみをリモートワイプ

22

重要データの流出対策• ファイル サーバー リソース マネージャ（FSRM）

自動分類、スクリーニング• Rights Management Service（RMS）

暗号化、アクセス権限設定• ダイナミックアクセス制御（DAC）

File Server 重要データ保管庫

重要

Data

FSRM

個人情報

重要

Data

参照期限

印刷禁止

コピペ禁止

保存禁止

暗号化

RMS

重要

Data

読み取り

暗号化

分類

機密

Data

スクリーニング

23

DAC のアーキテクチャ

ユーザー クレーム デバイス クレーム

リソース属性

社内デバイス

Access

Rule

AD DS

<IF>• ユーザー = 経理部• デバイス = 社内• リソース = 重要

<Then>

• READ

ファイル サーバー

②ルールを配信

①ルールを登録

Access

Rule

• ガバナンスを効かせたいデータを対象に設定する• グループポリシー によりファイル サーバー全体に「アクセルルール」を適用

24

まとめ

• IT によるセキュリティこそが生産性を高めます

• 条件を満たせば、デバイスを「差別」する必要はありません セキュリティポリシーが適用可能か デバイス認可が利用可能か データの漏えい対策がされているか

• 安全性を高めるにはWeb Application Proxy + AD FS による認可制御がカギです

25

Mobile Device Management

Windows 8.1/RT

Windows 8/RT,

Windows Phone 8

iOS

Android

統合管理コンソール

モバイル デバイスの管理

Windows PCs

(x86/64, Intel SoC),

Windows to Go

Windows Embedded

Mac OS X

Linux/UNIX

Windows Intune Connector

企業内デバイスの管理

Windows Azure

Active Directory

AD DS & AD FS

Fed

era

tion

Web

Application

Proxy

26

© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.