Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI セキュア・デスクトップ 概要

OCI セキュア・デスクトップ 概要

2023年6月にリリースされたOracle Cloud Infrastructureのセキュア・デスクトップ・サービス(OCI Secure Desktops)の概要資料です。

2023/7/27: 初版
2023/11/15: スライド7にデスクトップ・ユーザ用のURLを追記
2024/7/10: Image Builder, Readiness Checker追加
2024/9/13: 最新情報を反映。価格と提供リージョン数を修正。
2024/9/24: 価格を修正。プール作成のスライドを修正。
2024/11/5: 新機能の内容を UI およびユーザー操作のページに追加。

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Transcript

  1. Copyright © 2024, Oracle and/or its affiliates 2 仮想デスクトップ(VDI)のユースケース 分散した

    リモートワーク環境 タスク作業者 コールセンター デバイス持込(BYOD): 契約社員、教育機関 計算中心の アプリケーション
  2. OCI Secure Desktops - セキュア・デスクトップ・サービス • OCI上でデスクトップ環境を迅速にデプロイし、セキュアに利用可能なマネージド・サービス • クライアント端末のローカルにデータを持たせず、OCI側で管理することでセキュリティを向上 •

    OCIテナンシ内のコンピュート、ネットワーク、ストレージ・サービス上で動作 • OCIコンソールから作成、管理。デスクトップ利用ユーザの認証、認可もOCI IAMに統合 • ブラウザのみでデスクトップ・アクセスが可能。クライアントアプリも利用可能。 • サポートOS:Oracle Linux 7, 8、 Windows 10, 11 • 価格 • Oracle Cloud Infrastructure - Secure Desktop : ¥3,100 / Desktop per Month (最小10) • 利用するコンピュート、ストレージ課金 • (必要に応じてOS費用。Windowsの場合はBYOLが必要) OCI OCI上で迅速かつセキュアに利用できる仮想デスクトップのサービス OCI セキュア・デスクトップ Copyright © 2024, Oracle and/or its affiliates 3 ユーザ ブラウザ データ セキュア・デスクトップ (on Compute VM) アプリケーション 認証 No Data, No Apps 利用可能なリージョンはドキュメント参照 (Tokyoは対応、Osakaは未対応)
  3. OCI オンプレミス データの保護、管理の簡素化 仮想デスクトップによるメリット Copyright © 2024, Oracle and/or its

    affiliates 4 ユーザ 端末 データ 仮想デスクトップ (Compute VM上) 認証 OCIセキュア・デスクトップを 利用する場合 通常のクライアントアクセス の場合 • 各種ウェブ・ブラウザのみでも動作 • データやアプリケーションの保持は不要 • シンクライアント • デスクトップ管理集約 アプリケーション データ アプリケーション OCI オンプレミス ユーザ 端末 データ 認証 アプリケーション データ アプリケーション 認証 • 企業内データやアプリケーションの配置 • ファットクライアント • 端末を個別管理 認証 認証
  4. Copyright © 2024, Oracle and/or its affiliates • マネージド・サービスとして提供されているため簡単に迅 速にデプロイが可能。

    • 必要に応じて柔軟にデスクトップ数の増減を行うことが可 能。インフラの準備期間などが不要なため迅速にビジネ スニーズに対応。 • 他のOCI上のサービスと同じく、OCIコンソールから一括 管理が可能。 • カスタムイメージを利用することで既存環境からの移行も 容易。 • 認証/認可の仕組みはOCIのIAMに統合されているため、 他のサービスとあわせてIAMで一括管理が可能。 • 利用した分だけ課金される。不要な時間帯はデスクトッ プを停止しておくことでコストを最適化。 OCI セキュア・デスクトップのメリット Desktop-as-a-Service マネージド・サービス 柔軟性 統合された集中管理 容易なリフト&シフト OCIセキュリティと統合された OCIネイティブなVDIソリューション コスト効率 5
  5. VDI のメリット + OCI のメリット + α OCI セキュア・デスクトップのメリット Copyright

    © 2024, Oracle and/or its affiliates 6 VDI のメリット = デスクトップ仮想化のメリット + クラウドのメリット OCI のメリット: エンタープライズ向けの堅牢なクラウド +α OCI セキュア・デスクトップで 特徴的なメリット デスクトップ仮想化のメリット • ローカル端末として各種デバイスに対応 • デスクトップの集中管理 • ローカル端末にデスクトップ側OSやアプリケーショ ンのインストール・設定が不要 • ローカル端末にデータを残さない設定可 • 通信可能な範囲でどこからでも利用可能 クラウドのメリット • さらなる集中管理 • デスクトップの自動・動的配備 • デスクトップのインストール作業不要 • クラウド側リソースを柔軟に利用可能 • ライセンスは従量課金サービスに含まれる • インターネット経由でどこからでも利用可能 ミッション・クリティカルワークロードに対応 • 安定した高性能とセキュリティを実現する フラット・ネットワークとオフ・ボックス仮想化 • 高性能・高可用性・高拡張性を持つ コンバージドDBのマネージド・サービス 非常に高いセキュリティを無償・低コストで • セキュリティ・バイ・デザイン • 強力、完全なテナント分離 • 階層型権限管理、コンパートメント・モデル • 強制的な暗号化 • 自動化されたセキュリティ管理 • リスクのある設定を自動検知 • セキュリティポリシーの自動有効化 • 自動化されたバックアップとリカバリ • データ中心のセキュリティ • 多層防御、ゼロ・トラスト 圧倒的なコスト・パフォーマンス • 業界初の性能/管理SLA • CPUとメモリ量を柔軟にカスタマイズ • 外部通信コストが圧倒的低価格 • Linux デスクトップ対応 • ネイティブ・バイナリとウェブ・ブラウザ両クライ アントに対応したアクセス・ポータル • ベアメタル・インスタンス対応 • デスクトップ起動停止スケジュール機能 • ドライブ・マッピング機能 • Active Directory 無しでも動作 • デスクトップ・プール作成が非常に容易 • 自社製独自VDIプロトコルを使用 • 性能・容量単価が低く抑えられているOCI コンピュート・ストレージ・ネットワークを利用 • OCI で対応しているコンピュート・シェイプと OSに対応、リソースの自由度が高い • 負荷により一時的に自動 CPU 増量可 • 入力の無いデスクトップを課金含め停止可 • マルチモニタ (3個まで) 対応
  6. OCIリージョン Copyright © 2024, Oracle and/or its affiliates 7 •

    デスクトップ・ユーザはブラウザ経由でエンドユーザ用のWebア プリケーションのURLにアクセスし、デスクトップ選択して起動 • OCIテナンシの認証を行い、権限を付与されているデスクトップ プールにアクセスが可能 • 各ユーザごとに個別のデスクトップが起動でき、他人のデスクトップ にはアクセスできない • デスクトップ・ユーザがデスクトップを起動すると、お客様テナン シ内にコンピュート・インスタンスが起動される • インスタンスが起動するためのイメージやシェイプ、ネットワークはあ らかじめ管理者が設定 • 自テナンシ内のプライベートなネットワークで起動 • デスクトップは各ユーザごとに永続化(ブロックボリュームにデー タ保持) • 異なる場所からアクセスしても同じように利用可能 • データはすべてお客様テナンシの中に存在 • デスクトップ・プールは管理者がOCIコンソールから作成、管理 セキュア・デスクトップのアーキテクチャ概要 デスクトップ ストレージ デスクトップ・ユーザ アクセス用URL ・・・ ・・・ デスクトップ・ユーザ VCN Private Subnet セキュアな プライベート アクセス インターネット お客様テナンシ サービス・テナンシ
  7. Copyright © 2024, Oracle and/or its affiliates 8 1. 管理者から通知された接続用URLにアクセス

    • Tokyoリージョンの場合 https://published.desktops.ap-tokyo-1.oci.oraclecloud.com/client 2. ログイン画面でテナンシ名、ユーザ名/パスワードを入力 3. セキュア・デスクトップWebアプリケーション画面が開く 4. プリファレンスで優先クライアントの設定が可能 • Webクライアント:ブラウザ内でデスクトップに接続 • インストール済クライアント:クライアントアプリケーションが起動してデスク トップに自動的に接続される(初回はダウンロードとインストールが必要) デスクトップ・ユーザからの利用の流れ 1 Webクライアントとインストール済クライアントの違い Webクライアント • ブラウザから直接リモートのデスクトップに接続 • オーディオ IN/OUT, クライアントのドライブマッピングは非サポート • 画像のコピー&ペーストは非サポート インストール済クライアント • インストールしたアプリケーションからリモートのデスクトップに接続 • オーディオ IN/OUT, クライアントのドライブマッピングを含めたデスク トップへの完全なアクセス。
  8. Copyright © 2024, Oracle and/or its affiliates 9 5. 割り当て済デスクトップから利用したいデスクトップ・プール名をクリックしてデスクトップを開く

    • 初回アクセス時は、ステータスが「使用可能 - 新規デスクトップ」から「使用可能」にが変わるまで待ってから、再度デスクトップを開く。 デスクトップ・ユーザからの利用の流れ 2 Webクライアントの場合 インストール済クライアントの場合 ブラウザ内でデスクトップに接続 クライアントツールが起動してデスクトップに接続
  9. Copyright © 2024, Oracle and/or its affiliates 10 6. マルチモニタ利用方法

    • インストール済クライアントで複数モニターの使用をサポート • デスクトップをモニター間で移動したり拡張することが可能。 • 最大3つのモニターを使用可能 • サポートされる端末のOS:Microsoft Windows 10/11、Oracle Linux 7/8、MacOS • Windows または Linux デスクトップ • マルチモニタ接続時に、デスクトップウィンドウの最大化ボタン を押すと、画面が接続中の全モニタに拡張される • 元のデスクトップ画面に戻すには、画面の中央上部にカーソルを移動させると表示されるドロップダウンメニューバーのボタンを押す • MacOS デスクトップ • ウィンドウヘッダにある緑の最大化アイコン からドロップダウンメニューを表示し Enter Full Screen メニューを選択すると、画面が接続中の 全モニタに拡張される • 元のデスクトップ画面に戻すには、同アイコンのドロップダウンメニューから Exit Full Screen メニューを選択する デスクトップ・ユーザからの利用の流れ 3
  10. Copyright © 2024, Oracle and/or its affiliates 11 1. 事前準備

    1. IAMポリシーの作成 • サービス向けのポリシー • ユーザ向けのポリシー(管理ユーザ向けとデスクトップ・ユーザ向け) 2. ネットワークの準備 2. デスクトップ・イメージの作成 3. デスクトップ・プールの作成 4. デスクトップ・ユーザの作成と通知 管理者による環境構築作業
  11. 起動するデスクトップで利用されるゴールデン・イメージの登録 デスクトップ・イメージをコンピュートのカスタム・イメージとして準備し、インポートする サポートされるOS • Oracle Linux 7, Oracle Linux 8:Oracle提供の事前構成済イメージを利用することも可能。

    • Windows 10, Windows 11:イメージの作成が必要。ドキュメントの手順に沿って作成しインポートすること。 注意 • 通常のBYOI手順と似ているが、セキュア・デスクトップのイメージとして利用するためのフリーフォーム・タグを付ける必要がある • Windowsの場合はOCI CLIでのインポートが必要 デスクトップ・イメージ Copyright © 2024, Oracle and/or its affiliates 12 セキュア・デスクトップ用イメージとして必須のタグ oci:desktops:is_desktop_image true oci:desktops:image_os_type Oracle Linux / Windows oci:desktops:image_version <version>
  12. セキュア・デスクトップのWindowsイメージを簡単に準備することができるツール群 セキュア・デスクトップでイメージ作成する際、Windowsイメージはユーザ側で準備する必要がある。 Windowsイメージ作成の工数を削減するためのツール群が提供されている。 • イメージ・ビルダー • 簡単に数ステップでWindowsのデスクトップ・イメージを作成可能 • サポートされるイメージ: •

    Windows 11 (64ビット)、ProfessionalまたはEnterpriseエディション。(現時点では英語ISOのみをサポート) • Preparing a VM Using the OCI Secure Desktops Image Builder • レディネス・チェッカー • 作成されたWindowsイメージをOCIにインポートする前に、要件を満たしているかを確認するツール • RDPの無効化やロック画面、NTPの無効化などのチェックを実施 それぞれ、以下のサポート・ドキュメントからダウンロードして利用可能 • How To Create a Windows Image For Use With OCI Secure Desktops Using the OCI Secure Desktops Image Builder (Doc ID 3004854.1) • How To Confirm Compliance Using The OCI Secure Desktops Image Readiness Checker (Doc ID 3010275.1) Windowsイメージ用イメージ・ビルダーとレディネス・チェッカー Copyright © 2024, Oracle and/or its affiliates 13
  13. OCI上で起動するデスクトップの定義や環境情報 管理者はイメージ、シェイプ、ネットワークなどを指定してデスクトップ・プールを定義 用途に応じて複数のプールを作成可能 デスクトップ・ユーザがアクセスした際に定義に基づいて各ユーザに紐づいたインスタンスが起動される デスクトップ・プール Copyright © 2024, Oracle and/or

    its affiliates 14 セキュア・デスクトップ デスクトップ・プール コンピュート VMインスタンス ブロック・ボリューム 各デスクトップ・ユーザがアクセスすると、 デスクトップ・プール内に各ユーザ専用の VMインスタンスが起動。(迅速な起動 のためインスタンスをスタンバイ状態にし て起動しておくことも可能) 各ユーザごとにボリュームが紐づき、 データを永続保存可能 ・・・ ・・・ デスクトップの起動停止スケジュールを設定することも可能 • 例)金曜日の夕方に停止し、月曜日の朝に起動することで、休日の間の コンピュート・インスタンス課金のコストを削減。
  14. 15 デスクトップ・プールの作成 1 Copyright © 2024, Oracle and/or its affiliates

    デスクトップ・プールの設定項目 名前 デスクトップ・プールの名前 説明 デスクトップ・プールの説明 プールの開始/停止時間 プールの利用開始/終了日時 管理者連絡先詳細 デスクトップ・ユーザから管理者へのコンタクト用 管理者権限 デスクトップ・ユーザーのデスクトップでの管理者権限有無 プール・サイズ 最大サイズ、スタンバイサイズの指定 • 最大サイズ:最小10。プール作成時点から削除するまで、 最大サイズ分がSecure Desktop課金の対象となる。 • スタンバイ:ユーザがアクセスした際に迅速に利用できるように するためインスタンスを起動状態にしておく 作成ウィザードで必要事項を 入力してデスクトッププールを作成
  15. Copyright © 2024, Oracle and/or its affiliates 16 デスクトップ・プールの作成 2

    デスクトップ・プールの設定項目 配置 配置するアベイラビリティ・ドメインを選択 デスクトップ・イメージ 用意したイメージから選択。作成後に変更不可。 Use dedicated virtual machine host 使用ライセンス要件などから、専用仮想マシンホスト (DVH) を使用する場合に選択。DVHでは下記フレキシブル・シェイプ でのカスタマイズとバースト可能インスタンスの利用は不可。 Desktop virtual machine shape type 仮想マシンタイプをフレキシブルまたは fixed (固定) から選択。 fixed は OCPU 数とメモリサイズの決まったシェイプから選択、 フレキシブルはOCPU数とメモリ量を個別に指定可能かつ 下記バースト可能インスタンスを使用可能。 デスクトップ・シェイプ 起動するコンピュート・インスタンスのシェイプ指定。 作成後に変更不可。 • フレキシブル・シェイプ指定 (VM.Standard.E5.Flex など) • 高 (8 OCPUs, 16GB メモリー) • 中 (4 OCPUs, 8GB メモリー) • 低 (2 OCPUs, 4GB メモリー) • カスタム: OCPU 数 (1-64 の整数値) とメモリ量を (OCPU 数以 上で 4-1024 の整数値) 指定 • fixed シェイプ指定(VM.Standard2.1など) ベースラインの使用量 /OCPU 平常時はベースライン%のCPUを使用し必要な際にはバース トするバースト可能インスタンスとして作成。 (OCPU数 x ベースライン% が1以上である必要がある) fixed
  16. Copyright © 2024, Oracle and/or its affiliates 17 デスクトップ・プールの作成 3

    デスクトップ・プールの設定項目 ストレージ デスクトップ・ストレージ (ユーザーのホームディレクトリ) の 利用有無、デスクトップ・ストレージのボリューム・サイズ、 バックアップ・ポリシー Desktop pool network デスクトップ・インスタンスが稼働するVCN、サブネットの指定。 拡張オプションによりネットワーク・セキュリティ・グループを指定 することも可能。 Private access network オンにするとプライベート・エンドポイントからのアクセスのみが 許可され、指定した VCN、サブネットにプライベート・エンドポイ ントが作成され、プライベート・エンドポイントにドメイン名と IP アドレスが付与される。 拡張オプションによりネットワーク・セキュリティ・グループを指定 することも可能。 オンプレミス ネットワーク OCI セキュア・デスクトップ プライベート・エンドポイント VCN FastConnect VPN クライアント端末 デスクトップ デスクトップ・ユーザ アクセス用URL インターネット (アウトバウンド) リダイレクト
  17. デスクトップ・プールの作成 5 デスクトップ・プールの設定項目 Desktop management policy ハイバネーション機能またはスケジュールの設定 (併用不可) Action on

    inactivity: デスクトップが非アクティブ状態 (入力デバイスからの入力が無 い状態) となった際の動作を選択 (なし/切断) 「切断」選択時に Grace period (5-1440 の整数で何分か 指定) が経過するとそのデスクトップは切断 (disconnect) 状 態となる。 Action on disconnect: デスクトップが上記により切断状態となった際の動作を選択 (なし/停止) 「停止」選択時に Grace period (15-1440 の整数で何分 か指定) が経過するとそのデスクトップは停止される (ハイバ ネーション)。停止デスクトップに再度アクセスすると以前の実行 状態で復元される。 上記 2 項目が「なし」の場合にプールの起動・停止スケジュー ルを設定可能 Use cron expression to schedule recurring times to start or stop desktops in the pool. Start and stop times cannot be the same. All times are in UTC: デスクトップの起動/停止スケジュールを時刻で指定 (休日停止/平日起動など) Copyright © 2024, Oracle and/or its affiliates 19
  18. Copyright © 2024, Oracle and/or its affiliates 20 デスクトップ・プールの管理 起動済のデスクトップやスタンバイ状態のデスク

    トップを確認できる。 管理者側から停止や起動も可能。 利用中のデスクトップは、デスクトップ・ユーザの OCIDが紐づく。
  19. Copyright © 2024, Oracle and/or its affiliates 21 各デスクトップ・プールへのデスクトップ・ユーザからのアクセス権限はIAMポリシーで定義 例)

    デスクトップ・ユーザごとに個別のデスクトップが割り当たるため、権限を持つコンパートメン ト内のデスクトップ・プール内であっても、他のユーザのデスクトップにはアクセスできないよ うになっている。 利用者に対しては、IAMユーザを作成して適切なグループに所属させたうえで、 アクセス用のURLやログイン情報を管理者から連絡する。 デスクトップ・ユーザのアクセス Allow group Windows_Users to use published-desktops in compartment Desktops:Windows_Desktops Allow group Linux_Users to use published-desktops in compartment Desktops:Linux_Desktops
  20. 価格見積もり例 = デスクトップユーザー数分の課金+コンピュート・ストレージ・ネットワークの標準課金 • デスクトップ・ユーザ: 100、 シェイプ: VM.Standard.E5.Flex, 2 OCPU,

    4 GB Memory、 ブート・ボリューム: 50 GB、ブロック・ボリューム: 50GB、 イメージ: 10 GB 価格サンプル Copyright © 2024, Oracle and/or its affiliates 22 全デスクトップを常時起動し続けている場合 スケジューリングの設定をして、デスクトップを 480時間/月 だけ起動する場合 ※社内試算値120GB/デスクトップ/月より約84デスクトップまではOCIでのアウトバウンド通信無償枠 (10TB/月)に収まる計算 単価 メトリック 数量 期間 計 Oracle Cloud Infrastructure - Secure Desktop ¥3,100 Desktop per Month 100 1 ¥310,000 Compute - Standard - E5 - OCPU ¥4.6500 OCPU per hour 200 744 ¥691,920 Compute - Standard - E5 - Memory ¥0.3100 Gigabyte per hour 400 744 ¥92,256 Block Volume Storage ¥3.9525 GB storage capacity/month 10000 1 ¥39,525 Block Volume Performance Units ¥0.2635 Performance units per GB / month 100000 1 ¥26,350 Custom Image Storage ¥3.9535 Gigabyte storage capacity per month 10 1 ¥40 1ヵ月合計 ¥1,160,091 単価 メトリック 数量 期間 計 Oracle Cloud Infrastructure - Secure Desktop ¥3,100 Desktop per Month 100 1 ¥310,000 Compute - Standard - E5 - OCPU ¥4.6500 OCPU per hour 200 480 ¥446,400 Compute - Standard - E5 - Memory ¥0.3100 Gigabyte per hour 400 480 ¥59,520 Block Volume Storage ¥3.9525 GB storage capacity/month 10000 1 ¥39,525 Block Volume Performance Units ¥0.2635 Performance units per GB / month 100000 1 ¥26,350 Custom Image Storage ¥3.9535 Gigabyte storage capacity per month 10 1 ¥40 1ヵ月合計 ¥881,835
  21. Copyright © 2024, Oracle and/or its affiliates 24 サポートされるOSは? •

    Oracle Linux 7 and 8 がサポートされています。Oracle Linux 9 は今後サポート予定です。 • Microsoft Windows 10 and 11 がサポートされています。Microsoft Windowsの場合はライセンスの持ち込み(Bring your own license, BYOL)が必要です。 価格はいくらですか? • (1) OCI Secure Desktop課金 ¥3,100 /Desktop per Month(最小10デスクトップから) + (2) 利用するコンピュート・インスタンス課金とブロック・ ボリューム、カスタムイメージのストレージ課金 (+ (3) Windowsの場合はBYOL) が必要です。 • デスクトップ課金はデスクトップ・プールを作成してから削除するまで、プールで定義したデスクトップ数分課金されます。1時間単位で課金計算されるため、 たとえばデスクトップ・プール作成後3時間で削除すれば3時間分の課金となります。 • コンピュート課金は、通常のコンピュートと同じく課金されます。(オンデマンドStandardシェイプであれば停止中は課金停止) • Windows OSの場合、デフォルトでは専用仮想マシンホスト(DVH)利用となるためDVHのコンピュート課金が必要です。 どの種類のインスタンスが利用できますか? • OCIセキュアデスクトップでは、オンデマンドのVMとDVH利用のVMを両方サポートしています。 • Windowsデスクトップ・プールのデフォルトはDVH利用となります。もしお客様がクラウド環境で専用ホスト以外での利用が可能なMicrosoft license agreementをお持ちであれば、DVH利用を行わないように設定することも可能です。Microsoftライセンスの詳細については、お客様とMicrosoft社ま たは販売代理店様の間でご確認ください。 どのシェイプがサポートされていますか? • OCIセキュア・デスクトップでは、AMDとIntelベースのシェイプをサポートしています。 課金情報の確認方法は? • プールに付くフリーフォームタグでフィルタして確認可能ですが、プールの権限や管理範囲などが他と別ならコンパートメントで分けることを検討ください。 FAQ