NetScaler による 仮想デスクトップ インフラストラクチャー の保護

ホワイトペーパー
NetScaler による
仮想デスクトップ
インフラストラクチャー
の保護
NetScaler のビジネスクリティカルなセキュリティ機能に
より、仮想デスクトップのさまざまなメリットを最大化
www.citrix.co.jp
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
今日の進歩的な企業は、運⽤コストの削減、柔軟性のあるワークプレース
の実現、ビジネスの俊敏性向上、情報セキュリティとコンプライアンスへ
の対応の強化を達成する手段として、アプリケーション/デスクトップ仮想
化を急速に採⽤しています。しかし、実際にこれらのメリットを実感する
には、仮想デスクトップインフラストラクチャーのセキュリティ、可⽤性、
および可視性を確保する必要があります。本書では、これらの要件を満た
すために、NetScaler がどのように機能するかを説明し、広範囲に及ぶ⾼度
なアクセスおよびアクション制御機能セット、多層防御メカニズム、強⼒
なセキュリティ管理、およびネットワークデリバリーの豊富な追加機能を
統合することにより、NetScaler は仮想デスクトップに約束されているメ
リットを保証するだけでなく、それを最大化します。
アプリケーション/デスクトップ仮想化に伴うセキュリティ上の難問
従来のデスクトップの導入および管理方法から、⼀元管理を可能にする仮想デスクトップテクノロ
ジーへの移⾏は、多くの企業にとって重要な取り組みです。実際、ガートナー社は、インストール
ベースのホステッド仮想デスクトップ(HVD)だけでも、2017 年までにユーザー数が 5,300 万人を
超えると予測しています。1 この成⻑を推し進めているのは、魅⼒的な数々のメリットです。企業
は、本格的なアプリケーション/デスクトップ仮想化ソリューションにより、実質的かつ持続的にデ
スクトップの所有コストと運⽤コストを削減することができ、合併や買収、地理的拡大と動的な提
携合意などの戦略的なイニシアチブに迅速に対応することによって、ワークプレースの柔軟性を確
保し、ビジネスの俊敏性を向上させることができます。
アプリケーション/デスクトップ仮想化のもう 1 つの大きなメリットは、企業のデータセンターで、
すべてのデータとアプリケーションを⼀元管理することにより、情報セキュリティとコンプライア
ンスが大幅に強化されることです。ユーザーはデスクトップの表示や操作をリモートで⾏うため、
機密性の⾼い情報をローカルデバイスに配信または保存する必要がありません。それに加え、デス
クトップアプリケーションとオペレーティングシステムを集中的に制御することにより、IT 部門が
複雑さ、コスト、組織の脆弱性を低減するための標準化を推進しやすくなるだけでなく、更新やセ
キュリティパッチの実装の容易さ、スピード、および徹底度が向上します。⼀元管理型モデルには、
アクセス権と特権の付与と取り消しを迅速かつ効率的にするというメリットもあります。
アプリケーション/デスクトップ仮想化は、今日の企業に多くのメリットをもたらしますが、集中的
な導入および管理モデルのセキュリティ上のメリットも含め、期待されるメリットを実現するには、
関連する仮想デスクトップインフラストラクチャー(VDI)とそれが存在するデータセンターのセ
キュリティを確保する必要があります。⼀連のセキュリティ対策に投資しなければ、もう 1 つの対
策から十分なメリットが得られないというのは、少し回りくどく聞こえるかもしれませんが、まさ
にここがポイントになります。仮想アプリケーション/デスクトップのデスクトップおよびデータの
セキュリティを確保するには、VDI ⾃体の安全性を確保することが必要不可⽋なのです。実際に、
アプリケーション/デスクトップ仮想化のいくつかの側⾯には特に注意が必要です。
1
出典:「Forecast: Hosted Virtual Desktops, Worldwide, 2014 Update」 Gartner, December 2014.
www.citrix.co.jp
2
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
• リモートアクセス:急増中のエンタープライズモビリティと在宅勤務の取り組みにおいて、ユー
ザーの大部分は、遠隔地から⾃分のアプリケーションやデスクトップにアクセスする必要があり、
しばしば安全でないパブリックネットワークを利⽤することもあります。
• デバイスの増加:IT のコンシューマライゼーションにより、さまざまなセキュリティ特性とプロ
ファイルを持つクライアントデバイスのポートフォリオの急速な拡大に対応する必要が生じて
います。問題をさらに複雑にしているのは、これらのデバイスの多くは、もはや企業の所有物で
なく、制御下にもないという事実です。認識しておくべき重要なポイントは、アプリケーション
/デスクトップ仮想化により機密データがローカルに保存されるのは回避できますが、ウィルス
感染したクライアントデバイスによって脅威がもたらされることに変わりありません。機密デー
タを⾒られる可能性や、ユーザー/デバイスに付与された権限が悪⽤される危険性は引き続き存
在しています。
• アクセス範囲の拡大:デスクトップ仮想化により、ユーザーは仮想デスクトップ上に「存在」す
るアプリケーションやデータだけでなく、ネットワーク上のどのリソース(データベース、イン
ターネットまたは SaaS アプリケーションなど)にでもアクセスできるようになり、そのデスク
トップからもリソースにアクセスできるようになります。これによって、⼀般的にセキュリティ
の重要性、特にアクセス制御の重要性が上昇します。
• リソースの集中化:アプリケーション/デスクトップ仮想化は、企業の多くの卵を 1 つのバスケッ
トに入れるようなものなので、堅牢な防御もますます重要になってきます。従来の分散型モデル
のデスクトップコンピューティングとは対照的に、攻撃が 1 回でも成功すると、相当数のユー
ザーとデスクトップシステムが影響を受ける可能性があります。
さらに、考慮すべき大きな問題もあります。今日のハッカーは⾼度に組織化し、貴重なデータにダ
メージを与えて無効化することを狙っています。その結果、ますます巧妙化し、敵意を持った脅威
からの保護という理由だけであっても、通常は強固な防御が必要になります。
NetScaler の機能
NetScaler は、世界中の多数のネットワークに導入されており、すべてのエンタープライズサービス
やクラウドサービス配信の最適化、保護、および制御を⾏い、デバイスのタイプを問わず、エンド
ユーザーに最⾼のエクスペリエンスを提供しています。そのため、組織のアプリケーション/デスク
トップ仮想化インフラストラクチャーをフロントエンドに置くための理想的なソリューションにも
なります。この場合、特に関係するのは、NetScaler が VDI を保護するために提供する多数のセキュ
リティメカニズムと機能です。これらは、アクセスセキュリティ、脅威の防御、セキュリティ管理
という 3 つのカテゴリーに明確に分類され、前述の課題に対応するために連携して機能します。
NetScaler
仮想デスクトップイン
フラストラクチャー
• 安全なアクセス
• アプリケーションの
セキュリティ
• ⾼可⽤性
• 可視性
www.citrix.co.jp
3
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
ユーザーおよびアプリケーション指向のアクセスセキュリティ
NetScaler の場合、組織の VDI の保護は、さまざまな運⽤状況でユーザーおよびデバイスごとにア
クセスできる特定の仮想デスクトップを詳細に制御できるようにすることから始まります。適合型
ユーザーおよびアプリケーション指向制御と個別トンネリングオプションを組み合わせて提供する
NetScaler with Unified Gateway を使⽤することで、IT 管理者は今までにないやり方で仮想デスク
トップ/アプリケーションリソースを整理できるようになります。
ID ベースのアクセス制御
NetScaler with Unified Gateway は、認証および承認プロキシとしての役割を果たし、最初の強固な
保護層を提供するだけでなく、これまで、異なるタイプのリソースにアクセスする際に、⼀貫性の
ないメカニズムとポリシーの泥沼を移動しなければならなかったユーザーのために、アクセスエク
スペリエンスの標準化も支援します。
すべてのインバウンドセッション要求は、対応するユーザーとそのデバイスの ID が確認されるま
でブロックされます。その後、アクセスは、各ユーザーが承認されているエンタープライズネット
ワークの⼀部と特定の仮想デスクトップに厳密に制限されます。既存の ID 管理ツールおよび投資
との互換性を最大化するために、ローカル認証、RADIUS、LDAP、TACACS、証明書、NTLM、SAML2、
Kerberos など、さまざまな認証方式に対応します。
動的なアクセス制御
エンドポイント解析機能と革新的な SmartControl 機能セットを組み合わせることで、管理者は厳格
な汎⽤型ポリシーの制限とリスクを回避できるようになり、むしろ状況の変化に⾃動的に適合する
仮想デスクトップ(およびその他のリソース)にアクセスするために、サービスをプロビジョニン
グできます。
エンドポイント解析:統合されたエンドポイントスキャンは、クライアントデバイスがエンタープ
ライズセキュリティおよび管理ポリシーに準拠しているかどうか、例えば対応するオペレーティン
グシステムの最新バージョンとすべてのソフトウェアパッチがインストールされているかどうかを
確認します。これらのチェックで失格になったデバイスに対しては、ユーザーがそれを準拠させる
ために必要なツールを取得できる定義された改善ゾーンのみにアクセスが制限されます。
SmartControl:SmartControl により、ユーザーが取得するアクセスの範囲が、ユーザーの役割、認
証の強度、エンドポイントスキャンの結果、ターゲットリソースの機密性の⾼さなど、さまざまな
属性に基づいて動的に調整されます。例えば、管理者は、会社のデバイスを使⽤している全⾯的な
認証を受けたモバイル営業担当者が、セールスツール⼀式と関連する機密データが組み込まれた仮
想デスクトップにアクセスできるようにするルールを 1 つ構成します。それと同時に、もう 1 つの
ルールではセールスチームのメンバーを、パスワードのみの認証を使⽤して、未知のデバイスから、
提案を作成して管理するための限定リソースセットを持つ代替仮想デスクトップまでに制限します。
NetScaler with Unified Gateway には、ICA プロトコルの深い知識が組み込まれているため、管理者
は特定の状況では危険と考えられる XenDesktop ユーザーのアクション(ローカルでの印刷、コピー、
貼り付け、ディスクへ保存などの操作)も制御できます。
確実なトンネリングオプションと制御
標準ベースの SSL/TLS 暗号化によって、すべてのアクセスセッションを傍受から守ります。典型的
な SSL VPN 機能を使⽤した場合、その結果として生じるトンネルは、当然ながら仮想デスクトッ
プも含めた幅広いリソースセットへのアクセスに使⽤されます。あるいは、管理者はこのソリュー
ションの革新的な MicroVPN 機能を使⽤して、指定した単⼀リソース⽤に安全なトンネルを定義す
ることもできます。この方法は、本質的にクライアントデバイスの接続を限定することになり、そ
の結果損傷を受ける可能性のある影響も制限されます。
www.citrix.co.jp
4
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
スプリットトンネリングとブラウザキャッシュを密接に関連付けると、もう 1 つの重要なデータ保
護層が提供されます。基本的なスプリットトンネリング機能を使⽤すると、ユーザーはアクセスセッ
ション中(リモートでもそうでなくとも)
、他のどのネットワークアクセスもブロックされます。定
義済み構成オプションとして使⽤可能な拡張版では、インターネットおよびその他のネットワーク
へのアクセスはブロックされますが、クライアントのローカルサブネット上のサービス(印刷やファ
イルの共有など)にはアクセスできます。さらに、ブラウザキャッシュのクリーンアップ機能は、
各アクセスセッションが完了した時点で、ローカルブラウザキャッシュからすべてのオブジェクト
とデータを直ちに削除します。
広範な多層防御
NetScaler は、企業に広範な脅威検出および防御機能によるメリットも提供します。
ネットワーク層の保護
多数のアプリケーションおよびユーザーレベルのアクセス制御とは別に、NetScaler にはコアネッ
トワークファイアウォール機能も組み込まれています。特に、ACL(アクセス制御リスト)のサポー
トにより、ソースポート/IP、デスティネーションポート/IP、プロトコル、VLAN タグ、ICMP タイ
プ、その他多くの属性に基づいてインバウンドトラフィックを先制的にフィルターする手段が提供
されます。さらに、ポリシーによって明示的に許可されていないパケットが⾃動的に破棄されるよ
うにデフォルトの構成に設定されているため(
「デフォルト拒否」
)
、NetScaler は本質的に、あらゆ
る種類の望ましくない、承認されていない、悪意があると思われるトラフィックが企業ネットワー
クにアクセスして、危害を及ぼすのを阻⽌することができます。
アプリケーション層の保護
コンピューティングスタックの上位にあるもう 1 つの重要な NetScaler の特⻑は、プロキシアーキ
テクチャーです。HTTP/URL リライティングと L7 コンテンツフィルタリング機能と連携し、この
アーキテクチャーで NetScaler は次の機能を提供します。
• 接続ブローカーと他の下流の VDI コンポーネントを、外部ユーザーから開始された TCP および
UDP の直接接続から隔離し、それによってマルウェアや他のタイプの攻撃に晒させないように
する
• これらのコンポーネントにクローキングを⾏い、コンテンツセキュリティを提供することで、
サーバーのエラーコード、本当の URL、およびハッカーがカスタム攻撃を作成するのに必要なそ
の他の情報を効果的に隠す
さらに、多くの VDI 実装には、攻撃に対して堅牢な保護が必要とされる Web ベースのコンポーネ
ントが含まれています。この場合、統合された NetScaler AppFirewall が次の機能を提供します。
• シグネチャが付けられていないゼロデイ攻撃を防御するために、更新された攻撃シグネチャデー
タベースとポジティブセキュリティモデルを使⽤して、既知の脆弱性を保護する柔軟なハイブ
リッドセキュリティモデル
• SQL インジェクション、クロスサイトスクリプティング、バッファーオーバーフロー攻撃など、
広範囲に及ぶアプリケーション層の攻撃から保護
• コンテンツ/スキーマ検証メカニズムを初めとする広範囲に及ぶ XML 保護セット(例えば、承認
されていないアクセスの取得を目的としたフロントエンドアプリケーションストア機能の操作
を防御)
• 導入/管理を簡単かつ迅速に⾏うための設定の容易なセキュリティポリシーとテンプレート
www.citrix.co.jp
5
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
多層プロトコル検証
さまざまなタイプのサイバー脅威は、ポリシーによって⼀般的に認められている TCP や HTTP な
どのプロトコルを悪⽤することによって影響を及ぼします。NetScaler は、これらのプロトコルの許
可されている使⽤方法を確認し、ルールを適⽤することで、このような手法に基づくすべての攻撃
を防ぎます。
(a)バックエンド VDI リ
TCP 検証:NetScaler の特⻑は⾼性能な標準準拠の TCP/IP スタックで、
ソースに脅威を与える不正な形式のパケットを⾃動的に破棄し、(b)攻撃をもくろむハッカーに利
⽤される可能性のある接続やホスト情報(サーバーアドレスやポートなど)の漏洩を防ぐように拡
張されています。
HTTP 検証:RFC 準拠の強化と HTTP 使⽤のベストプラクティスは、NetScaler が無効な要求と不
正な HTTP プロトコル動作に基づいた攻撃全体を排除する非常に効果的な方法です。カスタム
チェックと実施ルールも、統合されたコンテンツフィルタリング、カスタムレスポンスアクション、
および双方向 HTTP 書き換え機能を利⽤してセキュリティポリシーに追加できます。
多層 DDoS 防御
1 つ以上の企業のコンピューティングサービス(ホステッド仮想デスクトップなど)を停⽌させる
ように設計された DDoS(分散型サービス不能)攻撃は継続的に成⻑している脅威です。NetScaler
はこの領域に次のような防御を提供します。
• リアルタイムのトラフィック状態に基づいて、外部の DDoS 防御サービスを⾃動的に起動するた
めの完全な総合的 API コールアウト機能
• ⼀般的なネットワークや接続層のサービスに対するフラッド攻撃を緩和するための⾼性能な
アーキテクチャーと広範囲な機能セット
• 正当なトランザクションに影響を与えずに、アプリケーション層のより狡猾な低帯域幅の亜種に
対抗するためのさまざまな機能
これらの機能の詳細については、次を参照してください。
NetScaler: A powerful defense against denial of service attacks.
最上位の SSL
専⽤の SSL アクセラレーションハードウェアに 2048 ビットと 4096 ビット両方の暗号鍵に対応す
ることで、NetScaler は必須の暗号化機能を提供し、セキュリティの強化と⾼品位なユーザーエクス
ペリエンスの維持で妥協する必要をなくします。
⾼レベルの暗号保証を必要としている企業のために、FIPS 140-2 レベル 2 適合モデルの NetScaler
も⽤意されています。
脅威とマルウェアからの総合的保護
NetScaler SDX サービスデリバリープラットフォームは、脅威から保護するもう 1 つの実質的な層
を提供します。先進の仮想化アーキテクチャーを採⽤した NetScaler SDX は、NetScaler ⾃身とサー
ドパーティのアプリケーションを含む主要なサービスの複数の独⽴したインスタンスの統合された
運⽤を可能にするマルチサービスプラットフォームです。拡張性のある設計により、先進のさまざ
まな保護機能を現在だけでなく将来までも提供できます。1 つの説得⼒のある例が Palo Alto
Networks VM シリーズを NetScaler SDX 上で実⾏する機能で、NetScaler の広範囲に及ぶセキュリ
ティ機能に次世代のエンタープライズセキュリティプラットフォーム機能を加え、⾼度なマルウェ
アと標的型攻撃など、既知と未知の両方の脅威を阻⽌することができます。
www.citrix.co.jp
6
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
強⼒なセキュリティ管理と可視化
幅広いアクセス管理および脅威防⽌機能と同様に重要であるのが、
NetScaler の強⼒なセキュリティ
管理と可視化機能です。
事実上すべての組織内および Web 上のリソースのための統合フロントエンドとして、
NetScaler は、
他とは異なるアクセスポリシーの作成および管理を簡素化にする便利な集中型のアプローチを提供
します。ユーザーには、アクセスルールに⼀貫性があるというメリットがあり、それと同時に、
「⾒
過ごす」可能性が減ることで IT のセキュリティリスクが低減します。
NetScaler Insight Center を使⽤すると、管理者もすべての HTTP および ICA ベースのセッション全
体の完全な可視性が得られます。広範なイベントログ、完全な RADIUS アカウンティング、管理ア
クションの徹底した監査証跡、強⼒なレポート作成機能と組み合わせることで、既知のセキュリティ
インシデントを調査できるだけでなく、悪⽤および感染したクライアントや組織の VDI に対する攻
撃の明確な兆候をプロアクティブに明らかにすることが可能です。
セキュリティを超えて
VDI を適切に保護するだけでは、アプリケーション/デスクトップ仮想化のメリットを最大限に引き
出すのに十分ではありません。企業は、どのようなソリューションであれ導入を決定したら、その
可⽤性、パフォーマンス、およびスケーラビリティを確保する必要があります。結局のところ、仮
想デスクトップ環境のセキュリティがどれほど強化されていても、⼀貫して利⽤可能でなければメ
リットはありません。あるいは、実際はそうでなくとも、利⽤されていないとユーザーが感じるほ
どパフォーマンスが低い場合も意味がありません。この点においても、組織のアプリケーション/デ
スクトップ仮想化インフラストラクチャー⽤のフロントエンドソリューションとして NetScaler は
間違いなく優れています。NetScaler は、魅⼒的なネットワークセキュリティ機能セットに加え、次
の機能も提供します。
• エンタープライズクラスのサーバー負荷分散、広域負荷分散(GSLB)、ヘルスモニタリング機能
を組み合わせて、仮想デスクトップの可⽤性とビジネス継続性を確保
• ネットワークを介して仮想デスクトップのパフォーマンスを向上させるだけでなく、ユーザーエ
クスペリエンスを合理化するために収集されたさまざまなメカニズム
• 仮想デスクトップインフラストラクチャーのシームレスな拡張を可能にするインテリジェント
な負荷分散とサーバーオフロード機能
まとめ
⾼性能なシングルまたはマルチテナントハードウェアアプライアンス、あるいは柔軟性のあるソフ
トウェアベースの仮想アプライアンスとして利⽤可能な NetScaler は、今日の仮想デスクトップソ
リューションのフロントエンドとして簡単かつ費⽤対効果的に導入できます。⾼度なアクセスおよ
びデータ制御機能、多層防御、強⼒なセキュリティ管理、および可視化機能など最強のセットを提
供することで、NetScaler はアプリケーション/デスクトップ仮想化を採⽤するときの組織の期待を
裏切らないだけでなく、それ以上のメリットを提供します。NetScaler は、単なるセキュリティソ
リューションにとどまらず、IT 管理者が仮想デスクトップ実装の可⽤性、可視化、パフォーマンス、
およびスケーラビリティを大きく向上させる手助けをします。
www.citrix.co.jp
7
ホワイトペーパー
仮想デスクトップインフラストラクチャーの保護
Citrix について
Citrix (NASDAQ:CTXS) は、仮想化、モビリティ管理、ネットワーキングおよび SaaS ソリューションの融合を通じて、ビジ
ネスや人々に新しい方法でよりよい働き方を実現する Software-Defined Workplace への変革を牽引しています。Citrix のソ
リューションは、セキュアなモバイルワークスペースによりビジネスのモバイル化を推進します。モバイルワーク スペースで
は、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケーション、デスクトップ、データ、コミュニケー
ションに瞬時にアク セスすることができます。シトリックスの 2014 年度の年間売上⾼は 31.4 億ドルで、その製品は世界中の
33 万以上の企業や組織において 1 億人以上の 人々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご
覧ください。
©2015 Citrix Systems, Inc. All rights reserved. Citrix、NetScaler, NetScaler AppFirewall および NetScaler Gateway は、Citrix
Systems, Inc.の米国あるいはその他の国における登録商標または商標です。その他の社名、商品名はそれぞれの所有者の商標ま
たは登録商標です。
E0815/PDF/10444
J1215/PDF
www.citrix.co.jp
8