VDI(Virtual Desktop Infrastructure)と VPN(Virtual Private Network)と ゼロトラスト の実装 BeyondCorp と

f:id:ts0818:20200409225219j:plain

真理省(The Ministry of Truth、ニュースピークでは Minitrueオセアニアプロパガンダに携わる。政治的文書、党組織、テレスクリーンを管理する。また、新聞などを発行しプロレフィードを供給するほか、歴史記録や新聞を党の最新の発表に基づき改竄し、常に党の言うことが正しい状態を作り出す。

1984年 (小説) - Wikipedia

⇧ ご存知、『1984年(著:ジョージ・オーウェル)』に出てくる真理省。監視社会の恐ろしさを描いた傑作ですね。

1984』(1984ねん、Nineteen Eighty-Four)は、イギリスの作家ジョージ・オーウェル小説1949年刊行。単に『1984』とも。

1984年 (小説) - Wikipedia

⇧ 1949年の35年後を想定してたってことっすかね?

1984年の35年後は、2019年ということで、2019年の35年後は、2054年ですか。その頃には、『1984年』の刊行当時の1949年から105年後っすか。

監視社会が来る~!?

ただ、監視を良いことに使えば、みんなが幸せになれる世界が来る?ということを信じたい、どうもボクです。

そんでは、レッツトライ~。

 

VDI(Virtual Desktop Infrastructure)

Wikipediaさんにお聞きしてみた。

デスクトップ仮想化(デスクトップかそうか; desktop virtualization)とは、クライアント仮想化とも呼ばれるが、クライアントサーバモデルで、仮想化を使い複数のデスクトップ環境を実行すること。

デスクトップ仮想化 - Wikipedia

⇧ デスクトップ仮想化って概念があって、

仮想デスクトップインフラストラクチャー (VDI; virtual desktop infrastructure もしくは virtual desktop interface) とは、仮想環境のためのハードウェアとソフトウェアを含むデスクトップ仮想化のためのサーバーシステムを指す

デスクトップ仮想化 - Wikipedia

⇧ デスクトップ仮想化を実現するためのシステム構成を、VDI(Virtual Desktop Infrastructure)っていうみたいですね。

デスクトップ環境をサーバー側で実行するかクライアント側で実行するかでリモートデスクトップ方式とクライアントハイパーバイザー方式に分かれる。

デスクトップ仮想化 - Wikipedia

⇧ 2つの方式がありますと。

インターネット越しにパブリック・クラウドから提供した場合 DaaS (Desktop as a Service) と呼ばれる。

デスクトップ仮想化 - Wikipedia

⇧ プライベート・クラウドの場合は、DaaSにはならんのかね?

リモートデスクトップ方式はプレゼンテーション仮想化と呼ばれることもある。

デスクトップ仮想化 - Wikipedia

⇧ 紛らわしいな。

 

By the way、皆の衆。

VDI(Virtual Desktop Infrastructure)に関わってくるのが、「画面転送プロトコル」ですと。

techtarget.itmedia.co.jp

 仮想化技術に関する情報サイトBrianMadden.comと仮想環境におけるグラフィックス処理の専門家団体であるTeam Remote Graphics Expertsは2018年1月、Webセミナーを開催し、主要画面転送プロトコルである「Citrix HDX」「VMware Blast Extreme」「Microsoft Remote Desktop Protocol(Microsoft RDP)」が使用するコーデックについて解説した。

Citrix、VMware、Microsoftを比較、画面転送プロトコルが使用するコーデックの差とは:NVIDIAのハードウェアエンコード「NVENC」 - TechTargetジャパン 仮想化

⇧ 上記サイト様によりますと、主に、

組織 画面転送プロトコル
Citrix Citrix HDX 
VMware  VMware Blast Extreme 
Microsoft Microsoft Remote Desktop Protocol(Microsoft RDP) 

⇧ 3つ巴的な様相を呈しているそうです。

 画面転送プロトコルにおいて、コーデックは仮想デスクトップのデータをデコードしてエンドユーザーのデバイスに表示する役割を担う。各プロトコルが使用するコーデックには、画像コーデックとビデオコーデックがある。

Citrix、VMware、Microsoftを比較、画面転送プロトコルが使用するコーデックの差とは:NVIDIAのハードウェアエンコード「NVENC」 - TechTargetジャパン 仮想化

⇧ ってことで、コーデックこそが仮想デスクトップの肝なのだと。

 

ここで、ちょっと脱線。

MicrosoftのRDP(Remote Desktop Protocol)は、

 このRDPは、上図のように操作用PCと処理用PCを1対1でつなぐだけでなく、1対多すなわちサーバ集約型のサービスとしても利用できる。以前はターミナル・サービスと呼ばれていたが、Windows Server 2008 R2からはリモート・デスクトップ・サービス(RDS)と名前を変えて提供されている。

第1回 デスクトップの仮想化とVDIの違いを知っていますか? (4/4):Windows Server 2008 R2によるVDI実践入門 - @IT

⇧ 1対1の接続だけでなく、1対多でもイケるそうな。この1対多の接続をRDS(Remote Desktop Service)というそうな。

 一般的なVDIは、サーバの仮想化技術であるハイパーバイザ上に仮想デスクトップを作り、その仮想デスクトップをリモートから利用するところから始まる。プレゼンテーションの仮想化技術はPC-PC間の通信でも利用できるので、デスクトップの実体が前述のRDSのような物理マシン(サーバ)ではなく、ハイパーバイザ上の仮想マシンであっても構わないわけだ。

第1回 デスクトップの仮想化とVDIの違いを知っていますか? (4/4):Windows Server 2008 R2によるVDI実践入門 - @IT

⇧ サーバ上に仮想デスクトップを10000台ぐらい用意しておけば、シンクライアント端末10000台分の接続に耐えうる、つまり10000人が利用できると。

実際には、同時アクセスとかの問題で、レスポンスの遅延や接続の不安定さなどといった課題が出てくるとは思いますが。

 

ちなみに、「VDI(Virtual Desktop Infrastructure)」と「RDS(Remote Desktop Service)」の違いは、

techtarget.itmedia.co.jp

 VDIでは、エンドユーザーは一般的に、データセンターにある自分専用の仮想マシンにアクセスする。IT部門は、メモリやCPUといった仮想リソースの割り当て方を決めることができる。

「VDI」「RDS」の違いは? クライアント仮想化の2大手段を比較:それぞれのメリットとデメリットを確認 - TechTargetジャパン 仮想化 

 RDSでは、サーバで共有したOSとデスクトップにエンドユーザーがアクセスする。エンドユーザー向けのリソースは、全エンドユーザーを網羅する1つのリソースプールから提供する。

「VDI」「RDS」の違いは? クライアント仮想化の2大手段を比較:それぞれのメリットとデメリットを確認 - TechTargetジャパン 仮想化

⇧ ってな感じですと。

 

「RDS(Remote Desktop Protocol)」と「RDSH(Remote Desktop Protocol)」ってのも、

techtarget.itmedia.co.jp

 RDSは技術面でようやくRDSHに追い付いた。どちらを使ってもアプリケーションとデスクトップを仮想化することは可能で、コストの差は以前ほどないだろう。

Microsoftの2大 仮想デスクトップ、「RDS」と「RDSH」のどちらを選ぶべきか:判断材料は「コスト」「機能」「互換性」 - TechTargetジャパン 仮想化

⇧ 選択の難しさがあるあるらしい。

 

そんな、仮想デスクトップですが、やっぱり、遠く離れた場所からネットワーク越しに使えてこそナンボでしょ、というわけで、出てくるのがVPN(Virtual Private Network)ですと。

 

VPN(Virtual Private Network)

Wikipediaさんにお聞きしてみた。

Virtual Private Network(バーチャル プライベート ネットワーク、VPN)は、インターネット(本来は公衆網である)に跨って、プライベートネットワークを拡張する技術、およびそのネットワークである。

Virtual Private Network - Wikipedia

⇧ プライベートネットワークって言うと、、

VPNによって、イントラネットなどのプライベートネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。

Virtual Private Network - Wikipedia

イントラネットなんかが有名ですかね。

実際には、企業なんかだと、支社とか存在して、イントラネットも複数あるんですかね?そうであると仮定すると、イントラネット同士でアクセスしたいってことあるあるだと思うんですが、

イントラネット間の接続は専用線で構築する場合と、インターネット上に仮想の専用線を構築する場合がある。一般的に専用線を用いるケースの方がコストが高いが、セキュリティは強固である。

イントラネット - Wikipedia

⇧ セキュリティの兼合いから、企業に属する人しかアクセス出来て欲しくないわけですと。

昨今ではインターネットが普及したこととコスト削減のため、Virtual Private Networkの利用も多い。

イントラネット - Wikipedia

⇧ そこで、VPN(Virtual Private Network)ってのが良いんじゃない?って流れがあるわけですと。

 

一言でVPNと言っても、様々なプロトコルが利用されるため、そのオプションによって様々な利用が可能である。VPN=暗号化技術という誤解が多いが、それは利用するプロトコルやオプションによって異なる。VPNで利用されるプロトコルには、SSH/TLSSSL)/IPsec/PPTP/L2TP/L2F/MPLSなどがある。

Virtual Private Network - Wikipedia

プロトコルによっては、暗号化の無いものもあり、PPTP(Point to Point Tunneling Protocol)なんかは、認証や暗号化の機能が無いらしく、他から機能を持ってくる感じになるらしい。

またトンネリングの形態として、IPパケットを融通する、いわゆる「レイヤ3」で実現する方法と、イーサネットフレーム等を融通する、いわゆる「レイヤ2」で実現する方法がある。

Virtual Private Network - Wikipedia

VPNは、「イーサネット」と「IP」の2タイプに大別できるらしく、

  • インターネットVPN
    • LAN型VPN(サイト間VPN、site-to-site VPNとも)
    • リモートアクセス型VPN
    • SSL-VPN
  • IP-VPN

ってな感じらしい。 

 

そんなVPNですが、これから徐々にポストVPNといった存在のものにシフトしていくんではないかという動きがあるようです。 

xtech.nikkei.com
xtech.nikkei.com

 

 

VDIとVPNのジレンマ

仮想デスクトップをネットワーク越しに実現したいけど、一般的なインターネット経由じゃ企業の機密情報が漏洩してしまうではないか、からの~、VPN(Virtual Private Network)でした。

が、このVDIとVPNの関係の哀しい宿命と言いますか、相殺し合っている部分が出てきてしまいますと。

例えば、ヴイエムウェア社のVDI製品「VMware Horizon View」の画面転送プロトコル「PC over IP (PCoIP)」は、UDP(User Datagram Protocol:コネクションレスであり、信頼性よりもデータ転送効率性を重視している)をベースとした高速・高効率のプロトコルだ。

今さら聞けない「ロードバランサの基本」(6) デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を | マイナビニュース

⇧ 速さこそ正義、というVDIに対し、

しかし通常、リモートアクセス環境ではSSL VPNゲートウェイVPNトンネルを利用するケースが多い。このVPNトンネルは、TCP(Transmission Control Protocol : 転送効率よりも、データを届ける信頼性を重視している)をベースとしており、ネットワークの遅延やパケットロスによる転送効率の低下が激しい。

今さら聞けない「ロードバランサの基本」(6) デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を | マイナビニュース

⇧ 確実に届けることこそ正義、というVPN

VDIとVPNが1つに結ばれた時、

この場合、TCPをベースとしたVPNトンネル内にUDPをベースとしたPCoIPをカプセリングする格好となるため、ネットワークの遅延やパケットロスに起因するTCPのパフォーマンス劣化の悪影響を受け、せっかくの「UDPベースの高速性」というメリットを台無しにしてしまい、デスクトップ画面のカクカク問題を引き起こしやすい。

今さら聞けない「ロードバランサの基本」(6) デスクトップ仮想化「VDI」の落とし穴。ネットワークは再点検を | マイナビニュース

⇧ 不協和音を奏でてしまうのであった!

まさに、

通りゃんせ 通りゃんせ
ここはどこの 細道じゃ
天神さまの 細道じゃ
ちっと通して 下しゃんせ
御用のないもの 通しゃせぬ
この子の七つの お祝いに
お札を納めに まいります
行きはよいよい 帰りはこわい
こわいながらも
通りゃんせ 通りゃんせ

通りゃんせ - Wikipedia

⇧ 通しておくんなまし、と...

まぁ、そんなこんなで、だったら、VPN(Virtual Private Network)止めちゃえば良いじゃないっていう発想が出てきて、実際にやってのけたのが、そう、Googleさんです。

 

thinkit.co.jp

⇧ SD-WANとかじゃ駄目だったんですかね?

それはさておき、GoogleVPNを止めたという話に関連してくるのが、「ゼロトラスト」っていう概念ですと。

 

 

 

ゼロトラスト(Zero Trust)

Wikipediaさんによりますと、

ゼロトラストForrester ResearchのアナリストJohn Kindervag(ジョン・キンダーバグ)により提唱された概念である。 

サイバーセキュリティ - Wikipedia

アメリカの市場調査の会社のアナリストJohn Kindervag って言う御仁が提唱されたそうな。

従来のセキュリティ対策ではネットワークの境界で攻撃の遮断が可能であり、境界内は信頼できる事を前提としていたが、標的型攻撃や内部犯行の広がりによりこうした前提は崩れており、攻撃者が内部に侵入してくるのを前提とした対策が必要となる。

サイバーセキュリティ - Wikipedia

⇧ 限定的な性善説を維持していくのは不可能となってきて、

それに対しゼロトラストは従来型のセキュリティ対策よりも「性悪説」に基づいており、組織内ネットワークであっても、ユーザがデータやリソースにアクセスする際、ユーザが利用しているデバイスの信頼性とユーザ自身の信頼性とを動的に評価してデータやリソースへのアクセス認可を行う

サイバーセキュリティ - Wikipedia

⇧ もう、すべてを性悪説で考える、「誰も信じない」という前提に立つ考え方ですと。

 

www.atmarkit.co.jp

 パロアルト・ネットワークスは2014年5月23日、フォレスター・リサーチが2010年に提唱した「ゼロトラスト・ネットワーク・セキュリティ」の考え方をメディア関係者に解説した。社内は安全であるという前提に立って境界を守るやり方では守れなくなった現状を考え、「信頼しないことを前提とし、全てのトラフィックを検査、ログ取得を行う」という性悪説のアプローチだ。

パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説:もう誰も信用しない? - @IT

⇧ ゼロトラストは2010年発祥ということで、10年ほど経つんですね、わたしゃ最近、知ったけど。

 

BeyondCorp

んで、ゼロトラスト を実際に実現したもので有名なのがGoogleのBeyondCorpってものらしいですと。

BeyondCorp では、人や端末がネットワークの内側にいるか外側にいるかではなく、IDや端末が信頼されているかどうかに基づいて計算を行い、個々のサービスへのアクセスを必要に応じて許可します。

https://services.google.com/fh/files/misc/ggl18009_gc_security_book_jp_version.pdf?hl=JA

⇧ 端末の信頼性のみを担保するってことなんすかね?

端末が悪意のある人の手に落ちた場合、どうするんかいな? 

従来から使用されてきた VPN はこれよりも安全性が低いため、Google では使用していません。

https://services.google.com/fh/files/misc/ggl18009_gc_security_book_jp_version.pdf?hl=JA

⇧ あ、そうっすか...まじか、その根拠を知りたいけどね。 

 

mrasu.hatenablog.jp 

GitHubのを眺めていたら、ORYのoathkeeperを見つた。
これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。

BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明

⇧ 相変わらず、Googleさんの影響力は強いですな。

koduki.hatenablog.com

私も初めて「Google VPN辞めたってよ」的な話を聞いた時には「????」という感じだったので、今回はゼロトラストセキュリティあるいはBeyondCorp関して話していこうと思います。

BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明

⇧ まったく同感です、館長。

BeyondCorpについては、上記サイト様が詳しいです。

 

2020年8月5日(水)追記:↓ ここから

SDP(Software-Defined Perimeter)ってものが、

cloudsecurityalliance.org

Software-Defined Perimeterに加えて、今日のセキュリティ環境には2つの新しいアプローチがあります。最初は業界アナリスト会社Forresterによって推進された「ゼロトラスト」コンセプトと、Google社内の「BeyondCorp」イニシアチブです。

https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2020/03/sdp_architecture_guide_v2_J_FINAL.pdf

⇧ 「ゼロトラスト」と「BeyondCorp」のアプローチの前に存在してたんだと、「CSA(Cloud Security Alliance)」が公開してる『Software-Defined Perimeter ARCHITECTURE GUIDE』ってので紹介されてますと。

www.uniadex.co.jp

SASEとはSecure Access Service Edgeの略で、現時点では「セキュアにアクセスできるサービスを提供する"あれ"」くらいしか分かりません。

1分で分かるかも?「SASE(サシー)」~ DXに必要なセキュリティー ~ - ITセキュリティーアネックス - IT SECURITY ANNEX -

SASEはクラウドを前提としたセキュリティー設計であり、自社のデータセンターですらクラウドサービスの一つとして取り扱うというコンセプトがあります。

1分で分かるかも?「SASE(サシー)」~ DXに必要なセキュリティー ~ - ITセキュリティーアネックス - IT SECURITY ANNEX -

⇧ からの~

www.uniadex.co.jp

以前「SASE」についてのブログを書きましたが、その時に登場した機能の一つが「ZTNA/SDP」です。ZTNAはZero Trust Network Accessの略であり、SDPはSoftware Defined Perimeterの略となっています。それぞれ全く違う名称ですが実は同じソリューションを表しています。

1分で分かるかも?「ZTNA/SDP」~VPNのその先へ~ - ITセキュリティーアネックス - IT SECURITY ANNEX -

⇧ このあたりも、『Software-Defined Perimeter ARCHITECTURE GUIDE』を参考にしてるんですかね?

『すべてを疑う』ってのは、デカルトさんを彷彿とさせますね。

全てについて疑うべし(De omnibus dubitandum)という方法的懐疑により、自分を含めた世界の全てが虚偽だとしても、まさにそのように疑っている意識作用が確実であるならば、そのように意識している我だけはその存在を疑い得ない。「自分は本当は存在しないのではないか?」と疑っている自分自身の存在は否定できない。―“自分はなぜここにあるのか”と考える事自体が自分が存在する証明である(我思う、ゆえに我あり)、とする命題である。コギト命題といわれることもある。哲学史を教える場合の一般的な説明によれば、デカルトはこれを哲学の第一原理に据え、方法的懐疑に付していた諸々の事柄を解消していった、とされる。

我思う、ゆえに我あり - Wikipedia

我思う、故に我在り」(われおもう、ゆえにわれあり、Je pense, donc je suisCogito ergo sum)は、デカルトが仏語の自著『方法序説』(Discours de la méthode)の中で提唱した有名な命題である。

我思う、ゆえに我あり - Wikipedia

⇧ 「疑いようのない存在」それを見つけたらセキュリティが達成される、そんな日が来ますかね?

 

2020年8月5日(水)追記:↑ ここまで

2020年9月22日(火)追記:↓ ここから

Netskopeがゼロトラストを実践してる?らしい。

www.cybernet.co.jp

では今後、リモートアクセスをどのように実現するのが適切なのでしょうか。この問いへの回答として提示したいのが、Netskope社が提供する「Netskope Private Access(NPA)」の活用です。

リモートアクセスの主役だったインターネットVPN。ゼロトラスト時代には他の手法へとバトンを渡すことに?|クラウドセキュリティ(CASB) Netskope - サイバネット

これは、オンプレミスシステムとパブリッククラウドの両方をカバーした、ハイブリッド環境のリモートアクセス手段を提供するサービスです。リモートユーザーはNetskope社が提供する「Netskope Edge」に接続するだけで、そこから複数のシステムやサービスにシームレスにアクセスできるようになります。NPAは暗号化通信を行うため、VPNと同様に通信経路上の盗聴・改ざんを防止できます。また、アクセスするデバイスは会社が認可した管理デバイスか否かのチェックがされるため、VPN以上のセキュリティを確保可能です。

リモートアクセスの主役だったインターネットVPN。ゼロトラスト時代には他の手法へとバトンを渡すことに?|クラウドセキュリティ(CASB) Netskope - サイバネット

このサービスを利用するには、ユーザー端末側にNetskopeクライアントを導入する必要があります。Netskopeクライアントは、Netskope社が提供するCASBやSWGと共通のものになっているため、これらの機能を統合した形で利用することも可能です。またデータセンターやパブリッククラウド側には「Netskopeパブリッシャー」を導入する必要がありますが、VPN装置を設置する必要はありません。

リモートアクセスの主役だったインターネットVPN。ゼロトラスト時代には他の手法へとバトンを渡すことに?|クラウドセキュリティ(CASB) Netskope - サイバネット

このようにNPAは、インターネットVPNを超える利便性、データセンターの負荷軽減、ゼロトラストセキュリティに対応した高いセキュリティレベルを実現できます。今後はVPNからNPAへの移行も増えていくのではないでしょうか。

リモートアクセスの主役だったインターネットVPN。ゼロトラスト時代には他の手法へとバトンを渡すことに?|クラウドセキュリティ(CASB) Netskope - サイバネット

⇧ ってな感じですと。

Netskopeは、

Netskope is an American software company providing a computer security platform. The platform offers cloud-native solutions to businesses for data protection and defense against threats in cloud applications, cloud infrastructure, and the web. Netskope’s Cloud Access Security Brokers (CASB) product has been recognized by Gartner as a leader in its field.

Netskope is based in Santa Clara, California, with a software development facility in Bangalore, India, and further offices in San FranciscoRedmondNew YorkSt. LouisLondonMelbourne, and Singapore.

https://en.wikipedia.org/wiki/Netskope

アメリカの会社らしい、コンピューターのセキュリティに特化してるみたいね、クラウドに強いってことかね。

2020年9月22日(火)追記:↑ ここまで

ネットワークの世界も、技術革新が早いな~

IT業界しんどいな...

今回はこのへんで。