1. VMware NSX+Active Directory

ソフトバンクC&Sがおすすめする
VMwareソリューション
VMware NSX+Active Directory

VMware NSX+Active Directory

ネットワークとActive Directoryを使ったセキュリティー管理の「良いとこ取り」をご提案します。

セキュリティーに関することで
こんなお悩みはありませんか?

複数の社員が共有で利用する端末にセキュリティーを細かく設定することができない… セキュリティーのためにVDIを用意したのにネットワークセキュリティーが逆に弱くなった… そんな時は複数の社員が共有で利用する端末にセキュリティーを細かく設定することができない… セキュリティーのためにVDIを用意したのにネットワークセキュリティーが逆に弱くなった… そんな時は

NSXとActive Directoryを組み合わせれば
複雑な設定不要でユーザーごとのセキュリティー環境を簡単に変更できます

  • VMware NSX
  • Active Directory
  • お客さまが得られるメリット セキュリティーを動的に変更することが可能

NSXとは

VMware NSXとは、SDDC(Software Defined Data Center)を構成する要素の1つです。物理的なネットワークから分離された状態で、ネットワークの仮想化、抽象化を実現し、自由なネットワークの構成ときめ細やかなセキュリティーを提供します。またNSXは、仮想化の一元的ネットワーク管理・運用を可能とするネットワーク仮想化プラットフォームです。

NSXのことならvExpert
NSX受賞者在籍のソフトバンク
C&Sへご相談ください

NSXを導入するとネットワークとActive Direcory、
それぞれのセキュリティー管理の強みの
「良いとこ取り」が可能です

  • ネットワークによる管理の特長

    部門ごとにセグメントを分け、セグメント間をファイアウォールやL3スイッチを利用して、ファイアウォールルールをセットすることでセキュリティーを保ちます。

    ピンチアウトしてご確認くださいネットワークによる管理の特長

    課題

    • 端末IPを固定化しないと、細かいセキュリティー設定ができないため管理が大変。
    • 部門別にVLANを作成しセキュリティーを保っていたが、部門増加によるVLAN数が増えて、ACLの管理が大変(部門兼務者などが出ると実質対応不可)
    • 全社共通のサーバーは、ネットワークだけでは、柔軟なセキュリティー設定ができない。
  • Active Directoryによる管理の特長

    Active Directoryの設計は、OU(組織単位)とユーザー、ユーザーグループによって構成され、各種グループポリシーやファイルサーバーへのACLを設定することでセキュリティーを保ちます。

    ピンチアウトしてご確認くださいActive Directoryによる管理の特長

    課題

    • Active Directoryに対応していないシステムは、セキュリティー設定が不可能。
    • 部門別のファイルサーバー等で、人事異動が発生するたびに、権限の再付与が必要。
    • ACLでアクセス不可設定は可能だが、権限がないユーザーにもサーバーの存在やアクセス不可フォルダーの存在が見えてしまうため、攻撃やなりすましによるリスクを抱える。

お互いの課題を双方のセキュリティー設定でカバーつつも
二重の作業と設定矛盾の突き合わせなど、無駄な作業と設定ミスによる
セキュリティーの抜け穴(人為的ミス)の脅威がありました

そこで

そこで

VMware NSX

認証VLANのような複雑な設定は一切なく
双方の「良いとこ取り」なセキュリティーが手に入ります!

NSXのことならvExpert
NSX受賞者在籍のソフトバンク
C&Sへご相談ください

NSX + Active Directory を導入すると
このような違いがあります

ある企業の環境例

ピンチアウトしてご確認くださいVDIクライアント 人事システム(非AD連携) ファイルサーバー(AD連携) 総務部 192.168.1.0/24

  1. 1. VDIクライアントは、Horizon View流動デスクトップで構成する。
  2. 2. 社員はファイルサーバーへはアクセス可能だが、人事システムへのアクセスはできない。
  3. 3. 役員はファイルサーバーと人事システム、両方にアクセスすることが可能。
  4. 4. アルバイトは、人事システム、ファイルサーバーともにアクセスはできない。
  5. 5. 人事システムは、非AD連携でかつ旧式C/Sシステムで、パスワード設定がない(※)。

※ ネットワークで繋がっていると誰でもアクセス可能。

この場合どんなネットワークポリシーを組むか?

そこで

今までの場合

ピンチアウトしてご確認ください

今までの場合

今までの場合

  • ファイアウォールの限界

    ファイアウォールはL3で構成しないと、ルールが書けないため、人事システムとファイルサーバーを、別セグメントに配置する必要がある。

  • ADとネットワークが非連携であるための課題

    VDIを共有プールにすると、役員・一般社員・アルバイトかの判断がネットワーク的にできないため、VDIプールを分けプールごとに付与するIPアドレスを範囲を固定化する。もしくはユーザー専用割当てにするしかない。

NSX+Active Directoryを利用した場合

ピンチアウトしてご確認ください

NSX+Active Directoryを利用した場合

NSX+Active Directoryを利用した場合

  • Active Directory+分散ファイアウォールのポイント

    同じマシン(IPアドレス)でもログインユーザで識別可能

    ファイアウォールポリシーは、ログインしているユーザーで識別するので従来のようなIPアドレスに基づくポリシーではありません。そのため、同じ仮想マシンであってもログインした瞬間に、そのユーザーがアクセスできるポリシーが分散ファイアウォールに適用されます。

    L2ネットワーク環境下でも、柔軟なポリシーが設定可能

    同じセグメント内であっても、柔軟にネットワークアクセスの許可/不許可が可能となるので、細かなセキュリティーを設定するためにVLANが増大化するといった問題がなくなります。

  • Active Directory連係時のポイント

    仮想マシンはWindowsだけでなくLinuxも対応

    ADによる連携は、Windows OSは勿論、SSSDを利用したLinux(Unix系)OSであっても対応可能です。※1 ※2
    Linux VDIにおいても、AD+NSX-vによるマイクロセグメンテーションが可能です。

    • ※1 Linuxの場合、XWindow(GUI)のみをサポートします。Shell画面やリモートアクセス(SSH/VNC)等はマルチユーザーアクセスはサポートされません。またWindowsの場合は、RDSは未対応です。
    • ※2 すべてのWindows/Linux(Unix系)OSのサポートをしているわけではありません。個別検証が必要なケースも存在します。
  • 公共・医療現場での共有端末時のセキュリティーに

    共有端末を利用する公共や自治体の場合、端末IPによる制限では、セキュリティー設定に限界があります。NSXとActive Directoryの連携を行うことで、ログインしたユーザーごとにネットワークセキュリティーを動的に変更可能です。

  • VDI展開用マスターや固定プールを確実に減らせる

    セキュリティー設定はVDIにログインした瞬間にセキュリティーポリシーが適用されるため、プールやマスターの数を減らせます。またIPベースのセキュリティー設定のため、固定デスクトップを利用していた場合も、流動デスクトップでの運用に変更することが可能となり、運用コスト削減を見込むことができます。

他にも色々使えるNSXをぜひご検討ください

他にも色々使えるNSXをぜひご検討ください

NSXのことならvExpert NSX受賞者在籍のソフトバンクC&Sへご相談ください

VMware製品、販売パートナー制度に関するお問い合わせを受け付けております。お気軽にご相談ください。

  1. VMware NSX+Active Directory