LoginSignup
8
6

More than 5 years have passed since last update.

@Mak-Ito(Mak Ito)

VDI環境とインターネット分離における落とし穴

Last updated at Posted at 2016-02-18

はじめに

昨今「インターネット分離」という言葉をよく耳にします。
インターネット分離とは、業務で使う社内端末や基幹系システムをインターネットと分離することであり、総務省が推奨していることもあってこのコンセプトが注目されています。

仮想デスクトップ(VDI)導入

業務端末をインターネットから分離する場合でも、メールのやり取り、ウェブブラウザでの情報検索、ウェブベースの業務アプリケーションなどインターネットを使わないと仕事にならない業務が多いのが現状です。そこで仮想デスクトップ(VDI)環境を導入し、インターネットを使う業務は業務端末からVDI環境へログインした上でVDI上で行うことにすれば業務端末はインターネットから分離したままで済みます。

クラウド上のVDI環境との接続

サーバなど機器の購入や機器を設置するデータセンターの契約をすることなく、簡単に導入できるのがクラウド上のVDI環境です。VMware Horizon Airもその中の1つです。接続方法としてIPSec VPNまたは閉域網を活用したDirect Connectが使えるため、クラウド上のVDI環境へセキュアに接続ができます。
Qiita-1.png

SSL証明書の実装

仮想デスクトップ環境にはポータルサイトがあり、管理者が仮想デスクトップを管理したり、ユーザが仮想デスクトップにアクセスするときに必ずポータルサイトにアクセスします。ポータルサイトはブラウザでアクセスしたり、端末にインストールする仮想デスクトップ接続用のクライアントアプリケーションからアクセスします。ポータルアクセスをセキュアにするためにポータルを管理するサーバにSSL証明書をインストールしますが、インターネット分離の環境ではこのSSL証明書に関連する仕様に注意が必要です。

CRLとCTL

SSL証明書は通常Digicertなど第三者の証明期間から発行されます。社内端末から仮想デスクトップ環境のポータルにアクセスすると、SSL証明書が有効なものであるかどうかを検証するためにCRL(証明書失効リスト)とCTL(証明書信頼リスト)を確認します。

CRLについて

CRLについては下記のURLを参照してください。
https://jp.globalsign.com/service/knowledge/ca/

CTLについて

CTLについては下記のURLを参照してください。
http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx

インターネット分離の落とし穴

ここで注意しなければならないのは「インターネット分離」によって、インターネットへのアクセスが遮断された社内端末はインターネット上にあるCRLとCTLを参照することができません。結果として社内端末上でポータルにアクセスしようとしているブラウザまたはクライアントアプリケーションはエラーを返します。SSL証明書の検証を無視するように設定した場合はポータルアクセスできるものの、確認作業がタイムアウトするまでブラウザまたはクライアントアプリケーションは「応答なし」の状態になります。ネットワーク環境によって違いはあるものの、CRLとCTLの確認のタイムアウトはそれぞれ5秒から7秒程度です。一旦ポータルにアクセスして仮想デスクトップを使うようになった後も、15分に1回程度はSSL証明書の検証が発生して10秒から15秒程度「応答なし」の状態となるため、ユーザにとってはかなりのストレスとなります。
Qiita-3.png

CRLに対するアクション

CRLの確認先はSSL証明書によって異なります。発行機関の確認は下記URLを参照してください。
https://jp.globalsign.com/service/ssl/knowledge/authentification.html
CRLに対するアクションは以下の3つのいずれかです。
1. インターネット接続できる社内ファイルサーバでCRLを定期的に取得し、社内端末ログインスクリプトでCRLをそのサーバから取得して更新するように設定する。
2. インターネット接続できる社内ファイルサーバでCRLを定期的に取得し、社内DNSを設定してCRL確認先をそのサーバに向けるようにする。
3. 社内のWindowsサーバで証明書を発行する(下記URL参照)。
http://www.infraexpert.com/study/sslserver6.html
https://technet.microsoft.com/ja-jp/library/cc753296.aspx

CTLに対するアクション

下記のURLを参考にしてCTLの確認先を最新のCTLがダウンロードできる社内サーバに変更するか、CTL更新動作の機能を無効にしてください。
http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx

Qiita-2.png

8
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
8
6