PowerPoint Presentation

VDI導入の成功の秘訣はこちら。

可用性、セキュリティ、利便性

を実現します

お問い合わせ先

本資料や

F5製品に関するお問い合わせは以下までお気軽にご連絡ください。



メールでのお問い合わせは ：

http://www.f5networks.co.jp/inquiry/



お電話でのお問い合せは

：

03－5114－3850 [インサイドセールス]

10:00 ～ 18:00 （土日祝日を除く）

VDI導入までに解決しなければならない壁

可用性

どのようにシステムダ ウンを防ぐのか？

安全性

ユーザは安全に利用で きるのか？

パフォーマンス

ユーザの期待する応答が提 供できるのか？

簡素化

管理可能なアーキテクチャ維持 できるのか？

利用勝手

全てのユーザに簡単にアク セス可能な環境を提供でき るか？

「どこでも仮想デスクトップ」による解決

Internal LAN 社内環境 在宅勤務環境 インターネット VMware View 仮想デスクトップ

BIG-IP Access Policy Manager セキュリティと利便性を両立する リモートアクセス機能

「どこでも仮想デスクトップ」の特長

１．高速なリモートアクセス

２．個人所有の端末に対するセキュリティ強化

３．社内と同様にスムーズなログイン

VMware ViewとF5が組み合わさるメリット

セキュリティの向上

可用性向上

アライアンスによ

る機能連携

デスクトップの

拡張性

ユーザの利便性

簡潔なアーキテクチャ

安全で使いやすい！

iPadからVMware Horizon Viewへのセキュアアクセス

デバイスチェック マシン証明書、_{MACアドレス、ウィルスチェック、} ファイルチェックなど多要素によるデバイス チェックによるセキュリティの向上 Security Serverが不要 • ICSA認定 • (D)DoS対策 • ブルートフォース対策 必要なハードウェアコスト

BIG-IPなし： LB+(Security Server+Connection Server) x N BIG-IPあり： ADC＋Connection Server x N

◎ セキュリティの強化！

◎ パフォーマンス改善！

◎ シンプル（安全性、

CAPEX/OPEX低減）！

様々な認証方法 • ID/パスワードやRSA • メールを利用した二要素認証 • ブルートフォース対策 Devices Virtual Desktops Hypervisor TCP 443 BIG-IP VMware Connection Servers Firewall LTM APM UDP 4172 (PCoIP traffic)

ライブ

デモ中

!

情報セキュリティ_{EXPO.の出展ブースで実施したデモです。} ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。

VMware Horizon View と BIG-IP の

組み合わせによるメリット

BIG-IPを利用しない場合の懸念点

Virtual Applications ユーザ Security Server インターネット Security Server Connection Server Connection Server Firewall LB デバイスチェックができない デバイスチェックを実施しないため、 許可された端末以外の端末からでも アクセス可能 Security Serverが必要 • Windowsサーバのため、脆弱性攻 撃の的になりやすい • Windowsサーバのため、SSL処理 によるパフォーマンス劣化が懸念

Secure Server : Connection Server = 1: 1

Connection Server1台につき、1台のSecure Serverが必ず必要 セキュリティリスク パフォーマンス劣化 セキュリティリスク コスト増 限られた認証方法 ID/パスワード認証、もしくはRSAに よる認証の２とおりだけ セキュリティリスク

© F5 Networks, Inc 11

Horizon View とBIG-IPを組み合わせて利用した場合の効果

Virtual Applications ユーザ インターネット Connection Server Connection Server Firewall デバイスチェック マシン証明書、_{MACアドレス、ウィルスチェック、} ファイルチェックなど多要素によるデバイス チェックによるセキュリティの向上 ※_{PCoIP proxyは対象外} Security Serverが不要 • DoS対策 • さまざまな認証機能の提供 • ブルートフォース対策 BIG-IP 必要なハードウェアコスト

BIG-IPなし： LB+(Security Server+Connection Server) x N BIG-IPあり： ADC＋Connection Server x N

•

セキュリティの強化

•

パフォーマンス改善

•

シンプル（俊敏性、安全性、コスト低減）

様々な認証方法 • ID/パスワードやRSA • メールを利用した二要素認証 • ブルートフォース対策

リモートアクセスの比較項目

VMware Horizon Viewのリモートアクセス方法

下記４つのリモートアクセス方法を考察

1. Security Server

2. SSL VPN

3. BIG-IP のView Proxy (v11.4～ 機能追加)

可用性

© F5 Networks, Inc 13 内部ネットワーク

外部ネットワーク DMZ

VMware Horizon View

Security Server

View Agent ① View Clientでログイン (ユーザ名・パスワード入力) ② Security Serverへ _負荷分散 ④ 認証・デスクトップ割 り当てクライントへ通知 ③ Connection Serverへ転送 ⑤ PCoIPで仮想デスク トップへ接続 課題 1. Security ServerはWindowsベースのため、セキュリティ面で不安がある Windowsパッチは頻繁にリリースされ、パッチ対応も大変 2. 負荷分散対象がSecurity Serverとなり、ヘルスチェックをするにあたって Connection Serverの障害検知を考慮する必要があり、ネットワーク構成の複雑化し、 ファイアウォール設定の追加が必要 3. Security Serverが増え、障害ポイントも増加 仮想デスクトップ Connection Server Security Server 負荷分散 ファイアウォール View Client

内部ネットワーク 外部ネットワーク

DMZ

VMware Horizon View

SSL VPN

利用ケース

View Agent ① SSL VPN装置へアクセス (ユーザ名・パスワード入力) ④ Connection Serverへ _負荷分散 ⑤ 認証・デスクトップ割 り当てクライントへ通知 ⑥ SSL VPN Tunnel を経 由し、PCoIPで仮想デスク トップへ接続 課題 1. クライアントはSSL VPN認証とViewの認証の2度の認証により、ユーザ名・パスワードを2 回入力することで煩雑となる 2. SSL VPNアクセスとなるため、端末のセキュリティ要件やアクセス管理が必要となる 3. PCoIPはUDPベースの通信でリアルタイム性を重視しているにも関わらず、SSL VPNによ りTCP通信となることで、リアルタイム性が損なわれる 4. HTTPSでPCoIP通信をカプセル化するため、パケットベースのオーバーヘッドが増える ③ View Clientでログイン (ユーザ名・パスワード入力) SSL VPN Tunnel ② 認証、SSL VPN接続 View Client _{ファイアウォール} VPN装置 _負荷分散 Connection Server 仮想デスクトップ

© F5 Networks, Inc 15 内部ネットワーク

外部ネットワーク DMZ

VMware Horizon View

BIG-IPのView Proxy(PCoIP Proxy)利用ケース

View Agent 仮想デスクトップ Connection Server ④ 認証・デスクトップ割 り当てクライントへ通知 ⑤ PCoIPで仮想デスクトップへ接続 これまでの課題 1. Security Serverのセキュリティ：BIG-IPはICSA-lab認定取得済み

2. Security Serverの負荷分散構成： Connection Serverをヘルスチェックし負荷分散で構成もシンプル 3. Security Server構成における障害ポイント：構成をシンプル化し障害ポイントも減少 4. PCoIP転送効率：PCoIPをProxyすることでリアルタイム性やオーバーヘッドの問題なし 5. SSL VPNにおける2度の認証：Security Serverと同じく1度の認証で仮想デスクトップへアクセス可 ① View Clientでログイン (ユーザ名・パスワード入力) ② 認証 ③ Connection Serverへ 負荷分散

View Client ファイアウォール PCoIP Proxy BIG-IP ＋

項目 Security Server 一般的な

SSL VPN View Proxy BIG-IP

セキュリティ面 △ Windowsベースで懸念があり、 パッチ対応も煩雑 △ SSL VPN装置で セキュリティ高いが 端末側のセキュリティ・ アクセス管理 〇 SSL VPN装置で セキュリティ高い 可用性 ネットワーク構成 機器の台数が増え、 △ 負荷分散も複雑 △ SSL VPN装置と負荷分散装置 の双方が必要 〇 SSL VPN装置で負荷分散装 置も実施 クライアント アクセス操作性 1回の認証情報入力で 〇 ログイン可 △ 2回の認証情報入力が煩雑 1回の認証情報入力で 〇 ログイン可 画像転送の影響度 〇 PCoIP HTTPS(TCP)ベース △ PCoIP 〇 運用面 △ リモートアクセスがセキュリ ティサーバ、負荷分散装置が 別となり運用面も煩雑 △ リモートアクセスがSSL VPN 装置、負荷分散装置が別となり 運用面も煩雑 〇 リモートアクセスと負荷分 散の管理を統合し、運用負 担軽減

© F5 Networks, Inc 17

BIG-IP APM View Proxyの対応状況

BIG-IP APM Client Compatibility Matrix v11.5.0より

 サーバ側サポート

• VMware Horizon View 5.2 • VMware Horizon View 5.3  クライアントサポート

• VMware Horizon View Client for Windows 2.2, 2.3 • VMware Horizon View Client for Mac 2.2.0, 2.3.0 • VMware Horizon View Client for iOS 2.3.0

• VMware Horizon View Client for Android 2.3.0 • VMware Horizon View Client for Linux 2.2.0

• Dell Wyse P25 Zero Client starting from firmware v4.1.0 • VMWare Horizon View HTML5 Client

 機能制限関連

• RDP未サポート

• USB Redirection未サポート • MMR 未サポート

BIG-IP APM View Proxyの対応状況

BIG-IP APM Client Compatibility Matrix v11.4.0より

 サーバ側サポート

• VMware Horizon View 5.2 • VMware Horizon View 5.3  クライアントサポート

• VMware Horizon View Client for Windows 5.3.0, 5.4.0, 2.2.0 • VMware Horizon View Client for Mac 2.0.0, 2.2.0

• VMware Horizon View Client for iOS 2.0.0, 2.2.1 • VMware Horizon View Client for Android 2.0.0, 2.2.0

• Dell Wyse P25 Zero Client starting from firmware v4.1.0 * • VMWare Horizon View HTML5client**

*Please install Hotfix-BIGIP-11.4.0-2419.0-HF3.iso **Please install Hotfix-11.4.0-2425.0-HF4.iso

 機能制限関連 • PCoIP Proxy：同時2000接続まで • HTML5(Blast): V11.4.0HF4でサポート。V11.4.1 HF2でサポート • RDP未サポート • USB Redirection未サポート MMR 未サポート

BIG-IP との組み合わせで実現できる

様々な認証やセキュリティ対策

クライアント端末の検疫を実施する

① Webブラウザを起動し、URLを入力 ②エンドポイントチェックを実施 ③ログイン画面の表示 ※二要素認証の利用など複数の 認証方法を設定可能 ④Webtop画面が表示される ⑤Horizon Viewを起動 ※ID/パスワードを再入力する必要な し ⑥デスクトップ画面の表示 クリック 入力 PCoIPのサービスで通信 PCoIPのサービスで通信

© F5 Networks, Inc 21

クライアント証明書＋

ID/パスワード

①エンドポイントチェックを実施 (省略することも可能）

ここがポイント

クライアント証明書を利用した二要素認証と、クライアント証明書内のIDを埋め込むことによる、

なりすましリスクの低減

②ログイン画面の表示 ④Horizon Viewが起動 ※ID/パスワードを再入力する必要なし ③Webtop画面が表示される クリック 入力

このタイミングでAPMがクライアント証

明書をチェックする。

メールを利用した

OTP

ここがポイント

ハードウェアトークンなしで二要素認証を実現できるため、セキュリティの強化とコスト抑制を同時に

実現可能

①エンドポイントチェックを実施 (省略することも可能） ②-1 ユーザIDだけを入力画面が 表示されるのでIDを入力 ②-2 ユーザIDとOTPを入力す る 画面が表示される 同時に自分のメールアドレスにOTP用 のメールが届くので、そのOTPコード を入力 ③-3 通常のログイン画面が表 示 ④Webtop画面が表示される クリック ⑤Horizon Viewが起動 ※ID/パスワードを再入力する必要な し

F5 iApp for VMware Horizon View とは？

VMware Horizon View専用のカンタンBIG-IP設定テンプレート

•

VMware Horizon Viewのためのネットワーク設定を自動化

•

ウィザードに従っていくつかの質問に入力するだけで

BIG-IPをHorizon View に最適化した状態にコンフィグ

•

ベネフィット

•

簡単に迅速なデプロイ (minutes instead of days)

•

マニュアル作業によるミスを軽減

BIG-IP

「DevCentral」より入手可能！

F5とVMwareによるプレスリリース

2014年2月12日 VMware Partner Exchange, San Franciscoにて共同発表。

F5 and VMware Strengthen End-User Computing Offerings to Enhance Customers’

Virtual Desktop Infrastructures

© F5 Networks, Inc 27

本資料や

F5製品に関するお問い合わせは以下までお気軽にご連絡ください。

 メールでのお問い合わせは ：

http://www.f5networks.co.jp/inquiry/

 お電話でのお問い合せは

_：

03－5114－3850 [インサイドセールス]

10:00 ～ 18:00 （土日祝日を除く）

お問い合わせ先