仮想デスクトップ基盤の保護 | ホワイトペーパー Citrix NetScaler による 仮想デスクトップ基盤の保護 www.citrix.co.jp Citrix NetScaler | ホワイトペーパー 企業は、IT 運用コストの削減やワークスタイル変革、ビジネスの俊 敏性を向上、情報セキュリティとコンプライアンスを強化のためにデ スクトップ仮想化の導入を加速しています。しかし、その一方でこれ らの課題解決のためには、仮想デスクトップ基盤のセキュリティと可 用性を確保できることが不可欠です。このホワイトペーパーでは、 Citrix® NetScaler®がこれらのニーズに最適なソリューションである ポイントを説明します。NetScaler は、ネットワーク層とアプリケーショ ン層の保護メカニズム、高度なアクセスおよびアクション制御機能の 幅広いセット、および豊富な追加サービスデリバリー機能を連携させ る機能により、仮想デスクトップを強化します。 デスクトップ仮想化のセキュリティ状況 企業にとって旧来のデスクトップ環境を仮想デスクトップへ移行することは、企業の業種・業 態、規模にかかわらず、最も重要な課題です。実際、ガートナー社は、ホステッド仮想デスク トップだけでも、そのユーザーの数は 2014 年までに 7,000 万人に達すると予測しています1。 この成長を推し進めているのは、魅力ある数々のデスクトップ仮想化のメリットです。企業は、 本格的なデスクトップ仮想化ソリューションにより、実質的かつ持続的にデスクトップの保有 数と運用コストを削減することができ、合併や買収、地理的拡大とコミュニケーション強化な どの戦略的なイニシアチブに迅速に対応することによって、ワーカーが働く場所の柔軟性を 実現し、ビジネスの俊敏性を向上させることができます。 デスクトップ仮想化のもう 1 つの大きなメリットは、情報セキュリティとコンプライアンスが大きく 強化されることです。このメリットは、主に企業のデータセンター内ですべてのデータやアプ リケーションを一元管理する能力に由来します。ユーザーはリモートでデスクトップを表示お よび操作するため、機密性の高い情報をローカルデバイスに配布する必要がなくなります。 デスクトップアプリケーションとオペレーティングシステムをサーバーに集約させることで、IT 管理者による管理機会が増えるため、セキュリティも強化されます。一元管理によって、複雑 さを緩和し、コストを削減し、組織の脆弱点を補強する標準化の追求が容易になるだけでな く、更新やセキュリティパッチを実装する容易さ、スピード、および徹底度を向上させるので す。一元管理型モデルの他のメリットとしては、アクセス権と特権の付与と取り消しを迅速か つ効率的に行うことができる点が挙げられます。また、配布したデバイスやソフトウェア、デー タを削除や返却してもらう必要もありません。なぜなら、デスクトップ仮想化では、クライアント サイドで実体的なものはないからです。 必要な先行投資 デスクトップ仮想化は明らかに、今日の企業に多くのメリットをもたらします。しかし、そのメ リットを完全に実現することは簡単なことではありません。これらのメリットを享受するには、企 1 『2010 年~2014 年の全世界のホステッド仮想化デスクトップの成長予測』 ガートナー社、2010 年 11 月 www.citrix.co.jp 2 Citrix NetScaler | ホワイトペーパー 3 業は、他のどのタスクよりもまず自社のデスクトップ仮想化の実装においてセキュリティを確 保する必要があります。一連のセキュリティ対策に投資しなければ、結果としてメリットを得る ことをできないというのは、ややおかしな話に聞こえるかもしれません。しかし、このケースで はまさにここがポイントになります。堅牢なセキュリティ機能が必要とされるのは、それなりの 理由がいくつかあります。 リモートアクセス:最近流行のモビリティと在宅勤務の取り組みにおいて、ユーザーの大 部分は、遠隔地から自分のデスクトップへアクセスするのに、しばしば安全でない公衆 ネットワークを利用しなければならない実情があります。 デバイスの増加:コンシューマライゼーションにより、さまざまなセキュリティ特性とプロファ イルを持つ各種クライアントデバイスの急速な拡大に対応する必要が生じました。この問 題をいっそう複雑にしているのは、これらのデバイスの多くが企業の所有のものではなく、 IT 部門の管理の対象になっていないという現実です。ここでの重要なポイントは、どのよ うな場合でも、デスクトップ仮想化では、機密データがローカルに保存されないようにする ことができるとしても、たとえばウイルスに感染したクライアントデバイスによって脅威がも たらされることには変わりがないという点です。機密データを目に触れさせぬようにするこ とができない場合、ユーザー/デバイスに付与された権限が悪用されて大きな被害をもた らす攻撃を受ける可能性があります。 アクセス範囲の拡大:デスクトップ仮想化により、ユーザーはデスクトップ全体にアクセス することができます。自分のアプリケーションやデータを直接操作するだけなく、自分のデ スクトップにアクセス権限のある配下のすべてのリソースを取得することができます。こうし た状況においては、一般的にセキュリティレベルが上昇し、特にアクセスコントロールは 強化されます。 資源の集中化:デスクトップ仮想化は、多くの卵を1つのバスケットに入れるようなもので、 防御の堅牢性も強化されます。しかし、従来のデスクトップコンピューティングの分散型モ デルとは対照的に、1 回の攻撃が成功してしまうと、相当数のユーザーおよびデスクトッ プシステムに影響を与える可能性があります。 今日のハッカーは高度に組織化し、貴重なデータにダメージを与えて無効化することを狙っ ています。その結果、ますます巧妙な脅威から保護するためという理由だけであっても、通 常は、強固なセキュリティが必要とされます。 Citrix NetScaler の機能 アプリケーションやクラウド、エンタープライズサービスを提供するための高度なソリューショ ンとして、NetScaler は豊富な機能を備えています。NetScaler は、組織のデスクトップ仮想 化基盤をフロントエンドに置くための理想的な選択肢となります。この文脈で特に関連する のは、仮想デスクトップ基盤を保護するために NetScaler が提供する多数のセキュリティメカ ニズムと機能です。これらは 3 つのカテゴリに分類されます。 クライアント Citrix NetScaler 仮想デスクトップ基盤(VDI) 安全なアクセス アプリケーションのセキュリティ 高可用性 www.citrix.co.jp Citrix NetScaler | ホワイトペーパー ネットワーク層の保護 NetScaler は、いくつかの方法で、仮想デスクトップ基盤(VDI)のコアとなるネットワーク層 を保護します。まずはじめに、NetScaler では管理者は単純なレイヤ 3 およびレイヤ 4 のア クセス制御リスト(ACL)を使用して、基本レベルのアクセス制御を行うことができます。安全 でないと思われるトラフィックはブロックしながら、正常なトラフィックを選択的に許可します。 また、主要な機能により、NetScaler をフロントエンドに使用しているあらゆるインフラストラク チャーが自動的に保護されます。たとえば、NetScaler には標準準拠の高性能な TCP / IP スタックが組み込まれ、以下のような機能拡張が図られています。 仮想デスクトップ基盤全体に脅威を与えるおそれのある、形式が不正なトラフィックを自 動的に除外する 攻撃を仕掛けるハッカーが利用する可能性のある低レベルの接続情報(たとえば、IP ア ドレス、サーバーのポート番号)の開示を防止する 一般的なプロトコルのセキュリティホールを利用するサービス拒否(DoS)攻撃の多様な 種類を自動的に阻止する アプリケーション層の保護 もう 1 つの重要な NetScaler の特徴は、プロキシのアーキテクチャです。HTTP / URL リラ イティングと L7 コンテンツフィルタリング機能と連携し、このアーキテクチャで NetScaler は 次の機能を提供します。 接続ブローカーと他の下流の VDI コンポーネントを、外部ユーザーから開始された TCP および UDP の直接接続から隔離し、それによってマルウェアやその他の種類の攻撃に 晒されないようにする これらの VDI コンポーネントにクローキング行い、コンテンツセキュリティを提供することで、 サーバーのエラーコード、本当の URL、およびハッカーがカスタム攻撃を作成するのに 必要なその他の情報を効果的に隠し、一般的なプロトコルのセキュリティホールを悪用す るさまざまな種類のサービス拒否(DoS)攻撃を阻止する 多くの VDI の実装には、攻撃に対して堅牢な保護が必要とされる Web ベースのコンポーネ ントが含まれています。搭載された NetScaler App Firewall™により、SQL インジェクショ ン、クロスサイトスクリプティング、バッファオーバーフローなどのアプリケーション層の攻撃を 防御します。 NetScaler App Firewall の機能: シグネチャが付けられていないゼロデイ攻撃を防御するために、更新された攻撃シグネ チャデータベースとポジティブセキュリティモデルを使用して、既知の脆弱性を保護する 柔軟なハイブリッドセキュリティモデル 展開および管理を簡単かつ迅速に行うための、設定の容易なセキュリティポリシーとテン プレート www.citrix.co.jp 4 Citrix NetScaler を一言 で言えば NetScaler は、ネットワーク ベースのアプリケーション 高速化、サーバーオフロー ド、高可用性、およびアプ リケーションセキュリティの 強力な連携で、アプリケー ションとサービスを 5 倍の 速さで実行するエンタープ ライズクラスのソリューショ ンです。市場で実証済でイ ンターネットユーザーのお よそ 75%が NetScaler が 1 日に配信するサイトにア クセスしています。さらに、 数千社の企業が、コン シューマ向けの Web サイ ト、イントラネット、および仮 想デスクトップ配信のニー ズに対応するために NetScaler を導入していま す。 Citrix NetScaler | ホワイトペーパー NetScaler との完全な統合により、共通のポリシーとコンソールでセキュリティと VDI の可 用性が管理可能 2048 ビットの SSL 暗号化キーだけでも、アプリケーション層の保護を強化できます。NIST Special Publication 800-57 のガイダンスに従って、公開鍵の暗号方式(SSL の基本要素) をサポートする証明書の鍵長は、今では通常 2048 ビットです(以前は 1024 ビットが標準)。 キーサイズの倍増は、SSL トランザクションを処理するために必要な CPU サイクル数が、指 数関数的に増加していることを示します(平均で 5 倍以上)。2048 ビット SSL 証明書への移 行を容易にするため、NetScaler は、組織が性能の SLA を維持するためにセキュリティを犠 牲にしなくても済むように、高度なアクセラレーション機能で SSL のパフォーマンスを向上さ せます。 高度なアクセスとアクション制御 NetScaler の重要なコンポーネントである NetScaler Access Gateway™は、管理者がア プリケーションレベルで詳細に制御できます。また、ユーザーにどこからでも自分の仮想デス クトップへリモートアクセスできる権限を与える本格的な SSL VPN 機能を提供します。 Access Gateway を使用して、IT 管理者は、ユーザーID とエンドポイントのデバイスに基づ いて、ユーザーのアクセスを管理し、操作をセッション内に限定することができます。そのた め、別のデバイスを展開せずに、アプリケーションのセキュリティ、データ保護、コンプライア ンス管理を強化できます。 Access Gateway が仮想デスクトップへのリモートアクセスをサポートしている最初の 2 つの 方法は、暗号化トンネルを提供することと、ユーザー認証の方法を幅広くサポートすることで す。公共ネットワークを利用するデスクトップセッションを傍受から守り、企業は常に既存の ディレクトリと ID 管理インフラストラクチャーを活用することができます。 その次の特長は、適応型の詳細なアクセス制御です。Access Gateway を使用すると、管 理者は、ユーザーの ID と役割、認証レベル、場所、時刻、およびクライアントデバイスの ID およびセキュリティ状態といった固定的な要素と動的な要素の両方で構成されるポリシーを 使用して、仮想デスクトップへのアクセスを制御できます。この機能をサポートするもう 1 つの 重要なセキュリティ機能は、エンドポイント解析です。組み込みのエンドポイントスキャニング 機能を使用してクライアントデバイスを継続的に監視し、アンチウイルス、パーソナルファイア ウォール、または他の強制プログラムなどのクライアントセキュリティソフトウェアが有効で、最 新のものであるかどうかを判定することができます。これらのチェックにひっかかったデバイス については、重大度の程度に応じて、アクセスを拒否したり、制限したりするだけでなく、ウイ ルスを駆除してデバイスを準拠する構成に戻すのに必要なツールを提供するサイトへ誘導 することができます。 アクションとデータの高度な制御機能では、特にクライアントデバイスの増殖とユーザーの所 有権および自己管理の傾向が成長していることを考慮し、さらに別の重要な保護層を提供 します。これに関連するものとして、次のような機能が実装されています。 トンネリング制御の強化:ユーザーは自分のデスクトップとクライアントのローカルサブネッ トにはアクセスできるが、直接インターネットにアクセスすることはできない 適応型のアクション制御:ローカルでの印刷、コピー、貼り付け、ディスクへ保存などの機 能は、適応型ポリシーで制限できる ブラウザキャッシュのクリーンアップ:ローカルブラウザに保存されたオブジェクトやデータ は、仮想デスクトップセッションの終了時に削除される www.citrix.co.jp 5 Citrix NetScaler | ホワイトペーパー 保護機能のポートフォリオの最後を飾るのは、NetScaler の中央管理コンソールである Citrix Command Center に搭載された広範なロギング、監査、およびレポート機能です。 これらの機能は、トラブルシューティングの目的のためだけでなく、クライアントや仮想デスク トップが攻撃を受けること、または組織の仮想デスクトップ環境に対して広範囲に攻撃を受け ることに繋がる誤用などの決定的な行為を明らかにするためにも非常に重要です。 その他の考慮事項 ネットワークのセキュリティは非常に重要なものとはいえ、VDI のセキュリティ戦略の全体から 見れば一部にすぎません。つまり、NetScaler が提供する機能のほんの一面にすぎませ ん。 NetScaler を越えて 仮想デスクトップの保護で NetScaler が果たす機能と同程度に、ネットワークセキュリティは VDI のための包括的なセキュリティ戦略の一部にすぎません。ネットワークセキュリティ以外 にも、企業は次のことを考慮する必要があります。 クライアントのセキュリティ:デスクトップ仮想化の一元的な運用モデルにもかかわらず、 ウイルスに感染したクライアントデバイスは依然として脅威をもたらします。NetScaler の エンドポイント解析、行動制御、およびデータのクリーンアップといった機能は、この点で 確実に有効です。ただし、リスクの高いアクセスのシナリオでは、包括的な機能を搭載し たエンドポイントセキュリティソフトウェアのスイートの実装が必要になる場合があります。 仮想システムのセキュリティ:これは、仮想マシンを健全な状態に維持します(たとえば、 すべてのパッチが適用された、組み込みアプリケーションやオペレーティングシステムの 最新のバージョンを仮想デスクトップが使用するようにし、使用されなくなった仮想マシン を引退させるなど)。また、すべての VDI コンポーネントをネットワークから分離させ、場合 によっては、関連するリソースが集中する関連ストレージボリュームを暗号化することもあ ります。 仮想デスクトップのセキュリティ:VDI 環境では、信頼レベルの異なるネットワークやコン ピュータに接続する危険性の高い行為によって、ユーザーデバイスが直接企業のデータ センターの心臓部に触れることができます。したがって、ウイルス対策/マルウェア対策 エージェント、動作監視および脅威防御ソフトウェアを仮想マシンあるいはハイパーバイ ザーレベルで実装することを考慮することが不可欠です。また、さまざまな層のユーザー にそれぞれ異なる仮想デスクトップの設定を提供することで、それぞれの信頼レベルに 応じて仮想デスクトップの仮想マシンを分離することもできます。 セキュリティを超えて 仮想デスクトップ基盤のセキュリティを適切に保護すること自体は、デスクトップ仮想化のメ リットを最大限引き出すのに十分ではありません。企業はまた、実装を決定したソリューション が何であれ、その可用性、パフォーマンス、およびスケーラビリティを確保する必要がありま す。結局のところ、仮想デスクトップ環境のセキュリティを強化しても、それが維持されていな いのであれば、どのようなメリットがあるでしょうか。あるいは、実際はそうではないとしても、セ キュリティが保護されてないとユーザーが感じるほどパフォーマンスが低い場合には? この点においても、組織のデスクトップ仮想化基盤のためのフロントエンドソリューションとし て NetScaler は優れた能力を発揮します。魅力的なネットワークセキュリティ機能に加え、 NetScaler には次のような機能も備わっています。 www.citrix.co.jp 6 Citrix NetScaler | ホワイトペーパー エンタープライズクラスのサーバーロードバランシング、グローバルサーバーロードバラン シング、ヘルスモニタリングの機能を組み合わせることで、仮想デスクトップの可用性とビ ジネス継続性を確保 ネットワークを介して仮想デスクトップのパフォーマンスを向上させるだけでなく、優れた ユーザーエクスペリエンスを提供するメカニズムが満載 仮想デスクトップ基盤のシームレスな拡張を可能にするインテリジェントな負荷分散と サーバーオフロード機能 まとめ 高性能なハードウェアアプライアンスまたは柔軟性のあるソフトウェアベースの仮想アプライ アンスとして利用可能な NetScaler は、今日の仮想デスクトップソリューションのフロントエン ドとして費用対効果に優れた展開が容易です。ネットワーク層のセキュリティ、アプリケーショ ン層のセキュリティ、高度なアクセスおよびデータ制御機能の堅牢なセットを提供することで、 NetScaler は、組織にデスクトップ仮想化を採用するときに期待したメリットを提供するだけ でなく、拡張もします。NetScaler はまた、単なるセキュリティソリューションではなく、IT 管理 者は仮想デスクトップ実装の可用性、パフォーマンス、およびスケーラビリティを大きく向上さ せることができます。 www.citrix.co.jp 7 8 シトリックスについて Citrix Systems, Inc.(NASDAQ:CTXS)は、モバイルワークスタイルを可能にするクラウド ソリューションカンパニーです。どこにいても、オフィスに いるのと同じように、簡単かつ安全に仕事とコラボレーションすることが可能です。モバイル化によって多様化が進む中、Citrix は、モバイル、デスク トップ仮想化、クラウド ネットワーキング、クラウド プラットフォーム、コラボレーション、データ共有の各分野における業界最先端のソリューションを提 供し、お客様のビジネスの俊敏性を向上します。現在、Citrix の製品は、世界中の 26 万以上の企業や組織において 1 億人以上の人々に利用さ れています。2012 年度の年間売上高は 25 億 9,000 万ドルでした。詳細については www.citrix.com をご覧ください。 ©2013 Citrix Systems, Inc. All rights reserved. Citrix®、NetScaler®、NetScaler App Firewall™および NetScaler Access Gateway™は、 Citrix Systems, Inc.またはその子会社の登録商標であり、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標 はそれぞれの各社が所有権を有するものです。 00412/PDF www.citrix.co.jp
© Copyright 2024 ExpyDoc
