Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた

372 Aufrufe

Veröffentlicht am

020年8月27日に開催した第28回ニフクラエンジニアミートアップ「VMwareユーザーのためのクラウド超入門~ニフクラ編/VMware vExpert受賞者が語るvSphere 7 アップグレードとクラウド活用」における、富士通クラウドテクノロジーズ株式会社 プリンシバルエンジニア 五月女雄一のセッション『vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた』のスライド。

概要:富士通クラウドテクノロジーズでは、ニフクラデスクトップサービス(専有型のDaaS)として販売しているサービスを自ら使ってテレワークを実践しています。どんなサービスなのか、その裏側についても多少触れながら自社実践例を紹介します。

Veröffentlicht in: Ingenieurwesen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた

  1. 1. Confidential Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 富士通クラウドテクノロジーズ株式会社 プリンシパルエンジニア 五月女 雄一 vSphere+NSX+Horizon+DeepSecurityな環境で 自らテレワークしてみた ~富士通クラウドテクノロジーズの場合~ ×
  2. 2. 本日お話する内容(アジェンダ) ◼発表者バックグラウンド ◼弊社テレワーク導入状況 ◼テレワーク導入における工夫と対応 • テレワーク導入に必要なサービスやセキュリティ対策 • コミュニケーション方法の改善(ユースケース) ◼テレワーク導入で大事な事 • 反省も込めて 2Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED ※資料は後ほど公開します ※気になる点は随時チャットへ
  3. 3. 発表者バックグラウンド 3Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED ◼名前 • 五月女 雄一(SAOTOME Yuichi) / @ysaotome ◼所属 • クラウドインフラ本部 • エンジニアタスクフォース(ETF) ◼仕事 • ニフクラ何でも屋(インフラエンジニア) • 企画・設計・開発・運用 • 物理作業からサービス開発、顧客提案 • 本執筆、記事投稿、講演 • ニフクラパーカー作ったり • vExpert 2020 • 社内業務環境改善 • ChatOps環境整備 • 「会社をエンジニアリングで回す」ための施策推進 ◼その他 • 趣味はインフラ設計構築とアウトドア
  4. 4. 富士通クラウドテクノロジーズにおける テレワーク導入状況 4Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  5. 5. 原則出社禁止後のオフィス(2020/04/01) 5Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 02/03注意喚起(テレワーク推奨開始)⇒ 03/30原則出社禁止(原則テレワーク開始) 弊社が原則テレワーク実現に至った実践例を紹介 2020/04/01 2020/04/01
  6. 6. テレワーク導入における工夫と対応 6Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  7. 7. 弊社テレワーク導入の歴史 ~2000年代 夜間コール・外出時の み対応可能な端末が一 部に配布される (VPNベースの環境) ~2010年代 24/365システム保 有部隊を中心にマ ネージャー単位毎 に適用範囲拡大 2017年~ 社給スマホ・社給モバイル ルーター・シンクライアント 配布開始。部門単位でのテレ ワークトライアル開始 (DaaS/VDIベースの環境) 2018年~ テレワーク・デ イズへ参加開始 2019年~ トライアル内容 を人事制度等に も反映し 正式制度化 2020年 03月30日~ 原則テレワーク継続 (ゼロトラストな環境 を目指す) 7Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  8. 8. 利便性とセキュリティ(とコスト)の両立が求められる ◼銀の弾丸は無い • 利用規模や会社の状況に応じて段階的に対応していく事が現実解 ◼弊社テレワーク導入の歴史から学ぶ段階対応(メリット・デメリットの一例を記載) 1. クラウドVPNベースの環境 • メリット:とても安いコストで短期間に開始出来る、エンドユーザーへの教育も比較的低コスト • デメリット:VPNのスケール、インシデント発生に至るリスク範囲が広い 2. DaaS/VDIベースの環境(一部ゼロトラストを導入) • メリット:準備さえ終わればスケールやエンドユーザーサポートが容易、インシデント発生範囲をかなり絞れる • デメリット:それなりの導入コストと環境準備が必要 3. 完全なゼロトラスト環境を志向 • メリット:インシデント発生範囲を極小化、導入さえ終わればシンプルなシステム構成を実現可能 • デメリット:対象となる社内環境やツールがゼロトラストの考え方に対応している必要 8Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  9. 9. 補足:ゼロトラスト(Zero Trust)とは何か 9Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED Zero Trust 5つの基本原則 1. ネットワークは常に脅威にさらされていると考える 2. 外部だけでなく内部ネットワークにも常に脅威が潜んでいると考える 3. 内部ネットワークだからといって必ずしも安全では無い 4. 全てのデバイス、ユーザー、ネットワークトラフィックやフローには認証・認可が必要 5. アクセスを制御するポリシーは動的に適用され、できるだけ多くの情報ソースから作成する必要がある 「盲目的に信頼せず、すべて常に検証する」 というセキュリティへの考え方 Never Trust , Always Verify
  10. 10. 1. クラウドVPNベースの環境 クラウドVPNを活用したテレワーク環境 テレワーク利用者 リモート アクセスVPN 拠点間 VPN 業務サーバー VPN接続数の増減を コンパネから柔軟に設定 RDP環境やADサーバなどを クラウド上に柔軟に配置 ファイアウォール機能に よるセキュアな接続制御 社内サーバとクラウド間 は拠点間VPNで接続 社内のルーター機能に拡張性が なくても、クラウドにさえ 接続すればOK クラウドVPNのメリット 社内 10Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  11. 11. リモートアクセスVPNゲートウェイとは 11Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED リモートアクセスVPNゲートウェイはL3 VPNとしてお客様オフィス、外出先などから ニフクラのプライベートLANへセキュアに接続できるリモートアクセス型のVPNサービスです。 クライアントソフトウェアを使い、社外よりクラウド上の社内シス テムへセキュアにアクセスが可能 閉域網の敷設・機器の設置・ネットワーク改修などの導入負荷なく、 セキュリティ対策を実現 同時接続50、100、1000ユーザまでの3プラン 複数の部署や業務ごとなど、業務に応じた柔軟な利用が可能 ニフクラ環境のシステムへのメンテナンス回線として利用、社外か らセキュアにアクセスできるのでメンテナンス作業の負担を軽減 利用料金は、月額または従量制! 利用頻度に応じて選択可能 (※) お客様環境 プライベート環境 リモートアクセス VPNゲートウェイ 物流センターで 外出先で 社内システムサーバー SSL-VPN お客様オフィスで SSL-VPN ※リモートアクセスVPNゲートウェイ利用料金のほかにプライベートLAN利用料金と SSL証明書費用(SSL証明書をお持ちでない場合のみ)が必要です 50/GW
  12. 12. コントロールパネルから作成 12 Step1 ネットワーク設定から 「リモートアクセスVPNGW作成」を選択 Step2 プラン、トンネルモードなど基本設定と暗号ス イートを設定し、確認画面にて「作成」 Step3 ネットワークに反映されたら、作成完了 ※サーバー証明書・クライアント証明書は別途用意が必要です
  13. 13. リモートアクセスVPNゲートウエイ接続までの流れ 13 Step1 Step2 Step3 コントロールパネルからリモートアクセスVPN ゲートウェイの「ユーザー作成」 ポータルサイトからクライアントソフトウェアを ダウンロード、インストール クライアントソフトウェアでSSL-VPN接続
  14. 14. 構成例:社内システムへセキュアかつシンプルに接続したい Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 自宅環境等 リモートアクセス VPNゲートウェイ VPNゲートウェイ ルーター 業務サーバー 業務端末 社内(オフィス) L2TPv3/IPsecにて接続 項目 数 量 月額費用 備考 リモートアクセスVPN ゲートウェイ(small) 1 ¥9,800 コネクション数 50 接続まで可能 10TB/月まで転送量 無料 プライベートLAN 1 ¥5,000 拠点間VPNゲートウェ イ(small) 1 ¥12,000 ニフクラ環境からオ ンプレミス環境への L2延伸に利用 ファイアウォール (ゼロトラスト構成) 1 ¥0 拠点間VPNゲート ウェイのグローバル NW側、プライベー トNW側両NICに対 して適用 合計 ¥26,800 <ご利用イメージ> ①自宅PC(モバイルPC)からニフクラへSSL-VPN接続 ②拠点間VPNゲートウェイとオンプレミス環境に設置のルーターをVPN接続 ③ニフクラ環境とオンプレミス環境をVPNGW経由でL2接続 ニフクラ上にセキュアなネットワーク接続ポイントを構築 プライベートLAN 必要に応じて ADサーバーな ども設置可能 14 ニフクラ
  15. 15. 15Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED デスクトップの基盤に オールフラッシュ型ストレージを採用 ローカルPCと遜色ない ユーザーエクスペリエンスを提供 VMware NSX × Trend Micro Deep Securityによる マイクロセグメンテーションとマルウェア自動検知を組み込み実装 面倒なNSXとDeep Securityの管理・運用不要 仮想デスクトップ毎のアイソレーションを実現する事により、 最新セキュリティ攻撃への耐性を高めている 7,000件以上の導入実績を持つ ニフクラIaaSと同等の品質 ニフクラの各種機能と連携できますので、 柔軟なVDI環境を構築できます ニフクラ デスクトップ 3つの特徴 ハイパフォーマンス 高い品質と柔軟性ゼロトラスト・セキュリティ 2. DaaS/VDIベースの環境 ニフクラデスクトップサービス(専有型)を活用したテレワーク環境
  16. 16. 概要:ハイパフォーマンス 16 ローカルPCと遜色ないユーザーエクスペリエンス(使い勝手)を実現 起動が遅く操作も緩慢な事で、事務用途に限られていた従来型VDIから脱却 https://youtu.be/pr8z1UA5RsA Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  17. 17. 自宅環境等 特徴:ゼロトラスト・セキュリティ 17 プライベートNW(論理的に分割) FW Internet グローバルNW 閉域網VMware NSX Trend Micro Deep Security FW FW FW ダイレクト ポートFW DHCP FW DNS FW FS FW AD デスクトップ毎のマイクロセグメンテーション、 マルウェア感染時の自動隔離により、高い攻撃耐性を実現 デスクトップ領域 サーバー領域 マルウェア感染し、駆除出来ない場合、 対象デスクトップのネットワークを 自動で遮断します(デフォルト設定) デスクトップ基盤 IaaS基盤 Horizon DaaS NIFCLOUD VPNゲー トウェイ Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 隣のデスクトップへ 接続出来ない (デフォルト設定)
  18. 18. vSphere + NSX + Deep Security で実現する構成 18Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED お客様が利用するデスクトップ ネットワークとストレージへのI/Oを インターセプトしてインフラ基盤でチェック 引用元:https://blogs.vmware.com/vmware-japan/2018/03/nsx4v-and-trend-micro-deep-security_03.html
  19. 19. vSphere + NSX + Deep Security で実現する機能 19Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED Webレピュテーション動作イメージ図 エージェントレスWebレピュテーションサービス(透過Proxy) Webからの脅威の出所である不正URLアクセスを未然にブロック 自動/手動ブラックリストリスト・手動ホワイトリスト
  20. 20. vSphere + NSX + Deep Security で実現する機能 20Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED エージェントレス不正プログラム対策(アンチマルウェア) リアルタイム検索/手動検索 ◼ 各仮想デスクトップへエージェントインストール不要(通知エージェントのみ) マルウェア検索はFJCTがサービス提供(FJCT管理下の専用リソースで処理) ◼ マルウェア対策管理ソフトウエアの運用不要(デフォルト設定も提供)Q パターンファイル更新設定など、各種コンポーネントの設定・運用はFJCTがサービス提供 (FJCT管理下の専用リソースで処理) ◼ ウイルススキャンなどでデスクトップ動作が遅くならない ■エージェント型の場合 • 各デスクトップにウイルス対策ソフトをインストール • パターンファイルも各デスクトップに配信される • ウイルススキャンなどで動作が重くなる ■エージェントレス型の場合 • マルウェア対策はFJCTが提供する専用リソースで実施 • パターンファイルも各デスクトップに配信されない • デスクトップ利用者は、ウイルススキャンなどでデスク トップ動作が重くならず、快適に利用できる。
  21. 21. 自宅環境等 特徴:高い品質と柔軟性 21 プライベートNW(論理的に分割) FW Internet グローバルNW VMware NSX Trend Micro Deep Security FW FW FW ダイレクト ポートFW DHCP FW DNS FW FS FW AD NIFCLOUD デスクトップ領域 サーバー領域 ADDNSDHCP FS お客様オフィス VPNゲー トウェイ VPNゲー トウェイ デスクトップ基盤 IaaS基盤 Horizon DaaS Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 閉域網 ニフクラで実績ある接続方法により、既存環境(オンプレミス等)と柔軟な連携
  22. 22. 構成例と価格感 22Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED ベーススペック 1vCPU/4GBメモリ /80GBディスク 1vCPU/4GBメモリ /160GBディスク 10パック ¥77,000 ¥119,000 20パック ¥148,000 ¥230,000 30パック ¥210,000 ¥327,000 50パック ¥330,000 ¥510,000 100パック ¥600,000 ¥930,000 200パック ¥1,100,000 ¥1,700,000 月額費用 「2vCPU/8GBメモリ」をご利用の場合は、 1vCPU/4GBを2スペック消費。 「4vCPU/16GBメモリ」をご利用の場合は、 1vCPU/4GBを4スペック消費。 パックを購入して自由に組み合わせて利用可能 1vCPU/4GBメモリをベーススペックとして必要な合計リソースを購入 合計リソースの範囲で業務に応じて自由に組み合わせを選択し仮想デスクトップの生成が可能
  23. 23. テレワーク導入に必要なサービスやセキュリティ対応 対象者の明確化と認証・認可徹底 • 弊社ではOneLogin(IDaaS)連携し、Slackおよびその他システム間連携時の認証・認可・トレーサビリティを管理 • 氏名、所属、その他情報を人事情報と連動して自動Provisioning • 認可分類:社員、スタッフ、協力会社、協業会社 • 利用者は全員OneLoginで管理(約650名分を管理) 社給VDI・社給スマホ・社端末頒布とアクセス制御 • オフィスでも出先でも自宅でも活用可能 • ホワイトボード撮影 ⇒ Slackで議論継続 • 顧客先からSlackで議事メモ作成・リアルタイムにQA 23Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED デスクトップサービス (専有型) 潤沢な開発環境 社給スマホ 個人端末(BYOD) 社給端末 最大4vCPU/16GB提供
  24. 24. サポート コミュニケーション方法の改善~ChatOpsとは?~ 24Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 運用エンジニア(SRE) 開発エンジニア マーケティング セールス バックオフィス ChatBot API API API API API • 社長を含む、全社員へ公開されたチャンネル(場所)での情報交換強制(ためらい排除) • 「音声(口伝)」でなく「文字」でメタ情報付きで残す。何時、誰が、何のために。 • ChatBot/API連携を推進し、情報処理の自動化および属人化排除 情報のオープン化・データ化
  25. 25. 原則テレワーク前と後での変化:チーム会編 25Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED リモート参加者も同等 対策どうし よう? 暫定対処 は・・・ Before(前) After(後) みんなでGitLabの画面を見てディスカッション ・リモートワークの人にも画面配信 ・アクションアイテムやメモやSlackとGitLabへ 対策どうし よう? 暫定対処 は・・・ リモートになっても基本は同じ ・全員へ画面配信 ・アクションアイテムやメモやSlackとGitLabへ
  26. 26. テレワーク導入で大事な事(反省も込めて) テレワーク導入は自社や自分だけでは成り立たない • チームメンバー、家族、お客様、取引先、協力会社等、事業を構成する全ての方々の協力が必要 推進にあたり課題が沢山出るため、大方針が大事(トップダウンでの方針策定) • 端末、ネットワークのパフォーマンス問題 ⇒VPNで手軽に開始し、DaaS/VDI、ゼロトラストへ • サービス連携時のセキュリティポリシー問題 ⇒人的では無く、システムでの担保に投資すべき • 自宅の机や椅子などの什器・通信費や光熱費の問題 ⇒通信費補助、テレワーク備品補助 • 派遣・委託を含む社員の勤怠管理やメンタルケア、身体ケア問題 ⇒関係各社調整、Virtual保健室 • 物理業務の管理(請求書、実機対応等)問題 ⇒関係各社調整、適材適所での出勤との組み合わせ 追加情報 • 第25回 ニフクラエンジニアミートアップ 『全社でテレワークやってみてわかったこと話します。』 • https://blog.pfs.nifcloud.com/20200520_engineer_meetup • 動画アーカイブにて、現場視点の事例を交えた工夫を共有 26Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
  27. 27. テレワーク環境構築支援で最大8万円までニフクラを値引き! 27Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED ニフクラ相談窓口 検索お問い合わせはこちらまで 特典1 新規申込特典として、申込月から 最大3カ月間、 最大3万円まで値 引き 特典2 テレワークキャンペーン特典とし て、申込月の3カ月後から最大3 カ月間、最大5万円まで値引き
  28. 28. Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED 本資料で利用されている文章、イラスト、ロゴ、写真、動画、その他のすべての情報は、 富士通クラウドテクノロジーズ株式会社、または第三者が著作権を有しております。 個人的な利用など著作権法によって認められる場合を除き、著作権者の事前の許可なく、 これらの情報を利用 (複製、改変、配布、公衆送信等を含みます。) することはできません。

×