こんにちは。 VMware の松田です。
今回は Horizon Air におけるインターネット分離における注意点について紹介します。
インターネット分離とは、業務で使う社内端末や基幹系システムをインターネットと分離することを本ブログでは意味しています。
仮想デスクトップ(VDI)導入
業務端末をインターネットから分離する場合でも、メールのやり取り、ウェブブラウザでの情報検索、ウェブベースの業務アプリケーションなどインターネット を使わないと仕事にならない業務が多いのが現状です。
そこで仮想デスクトップ(VDI)環境を導入し、インターネットを使う業務は業務端末から VDI 環境 へログインした上で VDI 上で行うことにすれば業務端末はインターネットから分離したままにすることができます。
クラウド上のVDI環境との接続
サーバなど機器の購入や機器を設置するデータセンターの契約をすることなく、簡単に導入できるのがクラウド上の VDI 環境であり、VMware Horizon Air もその中の 1 つです。
接続方法として IPSec VPN または閉域網を活用した Direct Connect が使えるため、クラウド上の VDI 環境へセキュアに接続ができます。
SSL証明書の実装
Horizon Air にはポータルサイトがあり、管理者が仮想デスクトップを管理したり、ユーザが仮想デスクトップにアクセスするときに必ずポータル サイトにアクセスします。
ポータルサイトはブラウザでアクセスしたり、端末にインストールする仮想デスクトップ接続用のクライアントアプリケーション (VMware Horizon Client) からアクセスします。
ポータルサイトへのアクセスをセキュアにするためにポータルを管理するサーバに SSL 証明書をインストールしますが、インターネット分離の環境ではこの SSL 証明書に関連する動作に注意が必要です。
CRLとCTL
SSL 証明書は通常 Digicert など第三者の証明期間から発行されます。社内端末から仮想デスクトップ環境のポータルにアクセスすると、
SSL 証明書が有効なものであるかどうかを検証するために CRL(証明書失効リスト)と CTL(証明書信頼リスト) を確認します。
CRL については下記サイトが参考になると思います。
認証局(CA:Certification Authority)とは?
https://jp.globalsign.com/service/knowledge/ca/
CTL については下記サイトが参考になると思います。
セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化
https://blogs.technet.microsoft.com/jpsecurity/2013/06/11/2854544-kb2813430/
インターネット分離の注意点
ここで注意しなければならないのは「インターネット分離」によって、インターネットへのアクセスが遮断された社内端末はインターネット上にある CRL と CTL を参照することができません。
結果として社内端末上でポータルにアクセスしようとしているブラウザまたはクライアントアプリケーションはエラーを返 します。
SSL 証明書の検証を無視するように設定した場合はポータルアクセスできるものの、確認作業がタイムアウトするまでブラウザまたはクライアントア プリケーションは「応答なし」の状態になる場合があります。
ネットワーク環境によって違いはあるものの、CRL と CTL の確認のタイムアウトはそれぞれ 5 秒程度です。
また、一旦ポータルにアクセスして仮想デスクトップを使うようになった後も、定期的に SSL 証明書の検証が発生するため、数秒程度 「応答なし」の状態となる場合があります。
CRL に対するアクション
CRL の確認先は SSL 証明書によって異なります。発行機関の確認は下記サイトが参考になると思います。
SSLサーバ証明書の確認方法
https://jp.globalsign.com/service/ssl/knowledge/authentification.html
CRL に対するアクションは以下の3つのいずれかが考えられます。
1. インターネット接続できる社内ファイルサーバで CRL を定期的に取得し、社内端末ログインスクリプトで CRL をそのサーバから取得して更新するように設定する。
2. インターネット接続できる社内ファイルサーバで CRL を定期的に取得し、社内 DNS を設定して CRL 確認先をそのサーバに向けるようにする。
3. 社内サーバで証明書を発行し、既存の証明書を置き換える
CTLに対するアクション
CTL の確認先を最新の CTL がダウンロードできる社内サーバに変更するか、CTL 更新動作の機能を無効することで対応可能です。下記サイトが参考になると思います。
セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化
https://blogs.technet.microsoft.com/jpsecurity/2013/06/11/2854544-kb2813430/
[参考情報]
View users inside the firewall might experience a 15-second delay when connecting to View Connection Server, while Windows attempts to reach Windows Update Server (2020988)
http://kb.vmware.com/kb/2020988
管理者が、接続されていない Windows 環境で信頼されている CTL と許可されていない CTL を更新できるようにする更新プログラムについて
https://support.microsoft.com/ja-jp/kb/2813430
信頼されたルートおよび許可されない証明書を構成する
https://technet.microsoft.com/ja-jp/library/dn265983.aspx
CRL 配布ポイントを指定する
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
SSL-VPN Certificate Auth 2 - Windows Server
http://www.infraexpert.com/study/sslserver6.html
【免責事項】
本ブログに記載された内容は情報の提供のみを目的としたもので、正式な VMware のテストやレビューを受けておりません。
内容についてできる限り正確を期すよう努めてはおりますが、いかなる明示または暗黙の保証も責任も負いかねます。
本ブログの情報は、使用先の責任において使用されるべきものであることを、あらかじめご了承ください。
このブログに記載された製品の仕様ならびに動作に関しては、各社ともにこれらを予告なく改変する場合があります。
非営利目的の個人利用の場合において、自由に使用してもかまいませんが、営利目的の使用は禁止させていただきます。