5
VDI アクセスの落とし穴と それを避ける方法 最新の VDI 事情。アクセス形態の多様化とそのセキュリティ対策 2 デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を 1 CONTENTS

VDIアクセスの落とし穴と それを避ける方法 - F5VDIアクセスの落としと それを避ける方法 極めて堅牢でセキュアな専用OSを搭載し ているため、きわめて安心感が高い。

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

VDI アクセスの落とし穴とそれを避ける方法

最新の VDI 事情。アクセス形態の多様化とそのセキュリティ対策2

デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を1

CONTENTS

VDI アクセスの落とし穴とそれを避ける方法

 ここでは、重要な IT トレンドである「デスクトップ仮想化」について考察してみたい。「デスクトップ仮想化」を実現するには複数の方式があるが、近年普及が進んでいるの が 「 V D I 」( V i r t u a l D e s k t o p Infrastructure)と呼ばれる方式だ。 VDI 普及の背景として、在宅勤務など柔軟なワークスタイルを導入する企業の増加、Microsoft Windows XP サポートの終了に伴うクライアント端末の見直し、スマートデバイスの普及に伴うマルチデバイスでのデスクトップ環境の実現に対するニーズ拡大などがある。ユーザーに共通する導入目的としては、セキュリティ対策の強化が挙げられる。VDIではデスクトップ環境がデータセンターのサーバ上に集約され、ネットワーク経由でアクセスされるため、クライアント端末にデータを保持する必要がなく、端末の盗難や紛失による情報漏えいを防ぐことができる。このようにセキュリティ対策として効果を発揮する VDI だが、導入時にはネットワーク環境を再点検することをお勧めしたい。 図 1

VDI で見落とされがちな ポイントとは?

 VDI へのアクセスはネットワーク経由のため、時間や場所に縛られることなく、いつでもアクセスできるので、利便性を最大限に活かす“攻めのアクセス環境”を提供するシステム管理者が増えている。 情報管理に厳しい金融サービスの管理者はこう語る。「従来はクライアント端末の盗難や紛失による情報漏えいリスクを懸念して、クライアント端末の持ち出しを禁止していました。VDI の導入を機に、社内のみ

ならず社外からのインターネット経由でのアクセスも解放する方向に切り替えました。社員からはどこでも仕事ができると好評で、アクセスの解放に踏み切って良かったと感じています。しかしインターネット経由のアクセスを解放することで、新たにセキュリティと利便性のバランスという課題をクリアする必要も出てきました。インターネット経由でのアクセスは URL さえ知っていれば誰でもアクセスできるので、VDI のアクセスには厳格な本人確認とクライアント端末の特定を行う仕組みを設ける必要がありました。また、インターネットはネットワーク品質が保証されていないことも懸念事項でした。たとえ社内 LAN 環境でデスクトップ画面がサクサク動いていたとしても、インターネットは回線品質が劣るため、遅延やパケットロス発生により画面がカクカクとしか動かなくなってしまうこともあり、これを極力なくすことが課題となりました。つまり、セキュリティを万全にしながらも、ユーザーの使い勝手を落とさないことも、併せて検討しておくことを学びました」 VDI の導入を検討する際には、ネットワークを含めた環境をあらかじめ考慮に入れた上で導入計画を立てないと、後々「こんなはずではなかった……」と頭を抱えるはめにもなりかねない。

インターネットを介した VDI アクセスのセキュリティ課題を まとめて解決

 では、こうした課題に対処するには、具体的にどんな方法があるのか。まずは、不正アクセスを厳密にシャットアウトするために、単なる ID/ パスワードによる認証だ

けでなく、さらにクライアント証明書やハードウェアトークンなどを使い「正当なデバイスによるアクセス」であることを証明する、いわゆる「デバイス認証」を併せて行うことが有効だ。しかし、一般的な VDI のゲートウェイのソフトウェアには、こうしたデバイス特定機能は備わっていないため、別途、その仕組みを導入・運用する必要がある。 実はこの点において、ADC の導入が大いに役立つことになる。例えば BIG-IP APM

(Access Policy Manager)では、インターネットを経由してアクセスしてくる端末を、クライアント証明書や MAC アドレスなどで識別し、許可されていない端末からのアクセスを拒否する機能を備えている。また、

「デスクトップ画面の操作自体をキャプチャするなどの不正なアプリケーションがインストールされていないか」といったチェックまでできるようになっている。さらには、ユーザーがアクセスを試みるたびにワンタイムパスワードを自動的に発行する機能も備えているため、別途、高価なワンタイムパスワード認証製品を導入しなくとも、容易に二要素認証を実現できる。 また、VDI のリモートアクセス用ゲートウェイサーバの中には、Windows サーバOS 上で動作するソフトウェアがある。この 場 合、Windows サ ー バ を DMZ

(DeMilitarized Zone:内部ネットワークとインターネットの間の隔離されたネットワーク領域)内に配置することに、セキュリティ上の課題やパッチマネジメントの運用負荷を感じる方も多いことだろう。しかしこの点においても、BIG-IP は開発当初から DMZ にも配置されることを前提とした、

デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を1

VDI 導入時のネットワークにまつわる懸念図1

2

VDI アクセスの落とし穴とそれを避ける方法

極めて堅牢でセキュアな専用 OS を搭載しているため、きわめて安心感が高い。 さらに BIG-IP には SSO(シングルサインオン)の機能が搭載されている。これを活用すれば、ユーザーが何度も ID/ パスワードを入力する手間を省くことができ、使い勝手を高める効果が大いに期待できるのだ。

VDI プロトコル本来の パフォーマンスを 損なわないために

 「VDI をインターネット経由やリモートアクセス環境で利用する際にはパフォーマンスの課題がある」と前述したが、実は、ADC はこのパフォーマンス問題を解決する上でもきわめて有効なのだ。少し掘り下げて説明しよう。 図 2

 例えば、ヴイエムウェア社の VDI 製品「VMware Horizon View」の画面転送プロトコル「PC over IP (PCoIP)」は、UDP

(User Datagram Protocol:コネクション

レスであり、信頼性よりもデータ転送効率性を重視している)をベースとした高速・高効率のプロトコルだ。しかし通常、リモートアクセス環境では SSL VPN ゲートウェイの VPN トンネルを利用するケースが多い。この VPN トンネルは、TCP(Transmission Control Protocol : 転送効率よりも、データを届ける信頼性を重視している)をベースとしており、ネットワークの遅延やパケットロスによる転送効率の低下が激しい。この場合、TCP をベースとした VPN トンネル内に UDP をベースとした PCoIP をカプセリングする格好となるため、ネットワークの遅延やパケットロスに起因する TCP のパフォーマンス劣化の悪影響を受け、せっかくの「UDP ベースの高速性」というメリットを台無しにしてしまい、デスクトップ画面のカクカク問題を引き起こしやすい。 しかし BIG-IP は、この PCoIP やシトリックス社の「Xen Desktop」が採用するプロトコル「ICA」をサポートしており、PCoIP

や ICA のプロキシサーバとして直接転送処理することができる。つまり、オーバーヘッドの大きい VPN トンネルを使わずとも、すでに紹介したデバイスチェックによる二要素認証による十分なセキュリティレベルを担保しつつ、プロキシとして PCoIP や ICAを処理できる。結果として画面データ転送のスピードが上がり、インターネット経由であっても、ユーザーの使い勝手を大幅に損なうことなく VDI 環境を提供できるというわけだ。 以上のように、インターネット経由でのVDI 活用にまつわる“セキュリティ”“使い勝手”“パフォーマンス”の課題を解決する手段として、BIG-IP をはじめとする ADC製品は、現時点で最もリーズナブルなソリューションの 1 つなのである。VDI とADC との間に、実はこんなに深い関係があることをこれまで知らなかった方も多いかもしれないが、これを機にぜひ認識を深めていただければ幸いである。

 仮想化製品のリーディングベンダーとして広く知られる VMware。サーバ仮想化の分野ではデファクトスタンダードとしての地位を築き上げた同社だが、ここ 1 〜 2 年の間でクライアント仮想化の分野における存在感も急速に高まっている。ひと口にクライアント仮想化といっても、その実現方式にはいくつかの種類がある。以前から使わ れ て い る の が、 マ イ ク ロ ソ フ ト のWindows リモートデスクトップサービス/ターミナルサービスやシトリックスの

XenApp に代表される複数のユーザーがサーバのアプリケーションを共有して使うサーバーベース方式だ。 一方、近年注目が高まっているのが、VDI 方式である。VDI 方式では、クライアント OS とアプリケーション環境を仮想化基盤上の独立した仮想マシンとして実装し、個別のユーザーが利用する。柔軟なワークスタイル、情報漏えいリスクの軽減、マルチデバイス化の流れを受けて急速に普及が進んでいる。この VDI の市場においてトッ

プ シ ェ ア を 占 め る の が、「VMware Horizon View」である。

急速な進化を遂げる VMware の VDI 製品 「VMware Horizon View」

 2014 年 4 月 10 日 に は 最 新 版 の「VMware Horizon 6」がリリースされ、注目すべき新機能の数々が投入されている。ヴイエムウェアのソリューション本部 ソリューション開発部 部長、菊本洋司氏によ

最新の VDI 事情。アクセス形態の多様化とそのセキュリティ対策2

VDI のセキュリティとパフォーマンス課題を ADC で解決図2

3

VDI アクセスの落とし穴とそれを避ける方法

れば、それらの中でも特に「Virtual SAN(VSAN)」と呼ばれる機能は、VDI 導入の敷居を低くできるため、注目を集めているという。 「VSAN はひと言で言うと、複数のサーバの内蔵ディスクを束ねて、あたかも大容量ストレージのように扱うソフトウェアです。2014 年 3 月にハイパーバイザーであるvSphere(ESXi)にこの機能が組み込まれました。さらに、VMware Horizon 6 ではこれを追加ライセンス費用なしで利用できるようになりました」(菊本氏) 図 3

 VDI の導入検討にあたっては、共有ストレージのコストとユーザーの行動に紐づくディスク IO の集中が導入障壁になるケースが多い。例えば、就業開始時間の午前 9時にアクセスが集中し、ディスク IO パフォーマンスにムラが発生してユーザーにとって使いづらいシステムとなったり、SAN ストレージとネットワーク基盤が高価であることがボトルネックになりやすい。しかし、従来より実装されているサーバのメモリ領域を Read Cache 化することでIOPS 自体を減らす Storage Accelaratorを使用することにより、ディスク IO の集中を回避できる。 また、VSAN を使えば共有ストレージは基本的に不要で、サーバとその内蔵ディスクを増やしていくだけでディスクの容量とIO 性能をスケールアウトし、イニシャルコストを抑えられる。 さらに菊本氏によれば、「クラウドポッド・

アーキテクチャ」と呼ばれる技術も要チェックだという。これは、Horizon View の環境(ポッド)を複数のデータセンターにまたがって構築できる機能だという。この機能を活用すれば、ユーザーはもともと接続していたポッドだけでなく、他のデータセンターに配置されたポッド経由でも自身の仮想デスクトップを利用できます。1つのデスクトッププールがもしダウンしてしまった際の冗長化の手段として使えるほか、さまざまな場所に移動しながら仮想デスクトップを利用するユーザーは、今いる場所に最も近いポッドが利用できるので、ネットワークの遅延によるパフォーマンス劣化の悪影響を抑えられるなど常に高いサービスレベルが維持されます」

VDI 分野における VMware と F5 の協業が ユーザビリティを向上

 菊本氏によれば、このクラウドポッド・アーキテクチャを BIG-IP を使った広域負荷分散(地理的に離れた DC にあるサーバ群を負荷分散する手法)機能と連携させることによって、顧客に付加価値の高いソリューションを提供できるようになるという。「クラウドポッド・アーキテクチャを BIG-IP GTM の『グローバル・ロードバランシング』機能と組み合わせれば、ユーザーはポッドの稼働状況を意識することなく、どの場所からでも常に同じ URI にアクセスするだけで、自動的に最も近い場所やサービス提供

可能なポッドにリダイレクトしてくれます。この連携がないと、ユーザーは複数の URIを覚えておく必要があり、仮に利用中のポッドに障害が発生した場合は、別のポッドにアクセスするための別の URI へアクセスし直す必要があり、利便性は低下します」 ちなみに、VMware と F5 ネットワークスのこうした連携ソリューションは、今に始まったことではなく、すでに数多くの実績があるという。ヴイエムウェアのマーケティング本部 テクノロジー アライアンス担当部長、森田徹治氏は次のように説明する。 「米国本社ではすでにかなり前から両社の間でさまざまな協業や、エンジニア同士の共同作業が行われています。日本でも 4 年ほ ど 前 か ら、VMware vCenter Site Recovery Manager と BIG-IP を連携させた災害対策ソリューションの構築を通じて、密接な協業体制を築いてきました。これに加えて現在では、VDI 案件の提案活動において両社のエンジニアやセールス担当が密接に連携して動いています」 森田氏によれば、近年では仮想デスクトップ環境を社外からインターネット経由で利用したいというニーズが強く、これを実現する上で BIG-IP が極めて有効なのだという。「少し前まで、VDI やシンクライアントといえば、金融企業が情報漏えいを防ぐために導入するものだというイメージが強かったと言えます。しかし、サーバの性能向上で統合率が上がって費用対効果が高くなってくると、セキュリティ以外の導入メリット、特に場所やデバイスを問わずデスクトップ環境を利用できることによる“ワークスタイル革新”の可能性に注目して導入を進める企業が増えてきました。ただし、

Virtual SAN の概要とメリット図3

ヴイエムウェアソリューション本部 ソリューション開発部 部長

菊本洋司 氏

4

VDI アクセスの落とし穴とそれを避ける方法

これを実現するには十分なセキュリティ対策を講じる必要があり、そのための手段として BIG-IP は現時点で最も優れた解の 1 つだと考えています」

アクセス形態の多様化に 対応する先進的な VDI とは

 菊本氏は、VDI のセキュリティを担保する上で BIG-IP が果たす役割を理解するためのキーワードとして、「アクセス形態の多様性」を挙げる。 「社外から仮想デスクトップを利用する最もオーソドックスな形態は、SSL VPN を使いトンネルを張って、VDI の画面転送プロトコル(Horizon View の場合は「PCoIP」)を通信する方法です。この場合、ユーザーの要件としてあらかじめ許可した端末からしかアクセスできないよう、クライアント証明書を使ったデバイス認証やデバイスの状態チェックを実施するケースが多いのですが、BIG-IP にはこうした機能がすべて備わっており、極めて柔軟にセキュリティポリシーを設定できるため使い勝手が良いのです。さらに BIG-IP が優れている点としては、SSL VPN 以外の接続形態にも 1 台で対応できることが挙げられます」(菊本氏)

 例えば、1 人の従業員が複数の端末(会社支給の PC、タブレット端末、自宅の PCなど)を使っているような場合、すべての端末の状態をきちんと管理して、デバイス単位での認証を行えるようにするのは、かなり骨が折れる作業となる。また社外からの管理外の端末を使ったアクセスとなると、VPN 接続の環境を必ずどこでも用意できるとは限らない。  そ こ で よ く 使 わ れ る の が、 端 末 にHorizon View のクライアントソフトウェアを導入することで、VPN トンネルを介さずに画面転送プロトコルを処理してしまう方式だ。さらに近年では、HTML5 の機能を使って、ブラウザ上で画面データやキーボ ー ド・ マ ウ ス デ ー タ を や り 取 り す る

「HTML アクセス」という方式も出てきている。この方式は、 Horizon View のクライアントソフトウェア自体のインストールも必要ないので、さらに幅広くクライアント環境をサポートできる。 企業の従業員のワークスタイルは徐々に変化していく。将来のワークスタイルの変化を見据えずに、直近の要件だけでアクセス環境を整えてしまうと、アクセス形態の変化に追従できない。結果的に、それぞれ個別に対応したネットワーク機器を導入・

運用せざるを得ず、手間やコストがかさんでしまうというケースが増えてきている。それが BIG-IP であれば、すべてを 1 台でまかなえるのだという。 図 4

「BIG-IP の OS を ア ッ プ デ ー ト す れ ば、Horizon View クライアントソフトウェアとの間で PCo IP を直接やり取りできるほか、HTML アクセス方式にも対応できるようになります。1 台だけでこれだけ多様なアクセス形態をカバーできるので、ワークスタイルの変化に合わせてアクセス形態の種類を少しずつ増やしていくような段階的な導入に極めて適しています。また BIG-IPは、ワンタイムパスワードによる認証機能も備えているため、不特定の端末を使ったアクセスでも、二要素認証によって十分なセキュリティレベルを担保できます」(菊本氏) 菊本氏いわく、同社の技術とここまで密接に連携できるネットワーク機器製品は、現在のところ BIG-IP だけだという。「両社の技術提携は今後も密接になっていき、それによって、これまでできなかったことがどんどん実現されていくでしょう。個人的にも、今後の展開をとても楽しみにしています」と強調する。

F5 ネットワークスジャパン株式会社 URL http://www.f5networks.co.jp/inquiry/

お問い合わせ先

Horizon View と BIG-IP が実現する「アクセス形態の多様性」図4

ヴイエムウェアマーケティング本部テクノロジー アライアンス担当 部長

森田徹治 氏

※本書中の登録商標および商標は所有者に帰属します。本書は下部息会社マイナビが運営する「マイナビニュース」に掲載された記事を再編集したものです。©マイナビ 2014

5