OCI セキュア・デスクトップ 概要

Transcript

1. Oracle Cloud Infrastructure セキュア・デスクトップ 概要 Oracle Cloud Infrastructure Secure Desktops

   2023/11/15 日本オラクル株式会社 OCIソリューション部

2. 分散した リモートワーク環境 タスク作業者 コールセンター グラフィック系 アプリケーション 教育機関、BYOD Copyright © 2023,

   Oracle and/or its affiliates 2 仮想デスクトップ（VDI）のユースケース

3. OCI Secure Desktops - セキュア・デスクトップ・サービス • OCI上でデスクトップ環境を迅速にデプロイし、セキュアに利用可能なマネージド・サービス • クライアント端末のローカルにデータを持たせず、OCI側で管理することでセキュリティを向上 •

   OCIテナンシ内のコンピュート、ネットワーク、ストレージ・サービス上で動作 • OCIコンソールから作成、管理。デスクトップ利用ユーザの認証、認可もOCI IAMに統合 • ブラウザのみでデスクトップ・アクセスが可能。クライアントアプリも利用可能。 • サポートOS：Oracle Linux 7, 8、 Windows 10, 11 • 価格 • Oracle Cloud Infrastructure - Secure Desktop ： ¥700 / Desktop per Month (最小10) • 利用するコンピュート、ストレージ課金 • (必要に応じてOS費用。Windowsの場合はBYOLが必要) OCI OCI上で迅速かつセキュアに利用できる仮想デスクトップのサービス OCI セキュア・デスクトップ Copyright © 2023, Oracle and/or its affiliates 3 ユーザ ブラウザ データ セキュア・デスクトップ (on Compute VM) アプリケーション 認証 No Data, No Apps 2023年7月現在、Tokyoを含む18のリージョンで利用可能

4. OCI オンプレミス データの保護、管理の簡素化 仮想デスクトップによるメリット Copyright © 2023, Oracle and/or its

   affiliates 4 ユーザ 端末 データ セキュア・デスクトップ (on Compute VM) 認証 OCIセキュア・デスクトップを 利用する場合 通常のクライアントアクセス の場合 • ウェブ・ブラウザのみ • データやアプリケーションの保持は不要 • シンクライアント アプリケーション データ アプリケーション OCI オンプレミス ユーザ 端末 データ 認証 アプリケーション データ アプリケーション 認証 • 企業内データやアプリケーションの配置 • ファットクライアント • 端末を個別管理

5. Copyright © 2023, Oracle and/or its affiliates • マネージド・サービスとして提供されているため簡単に迅 速にデプロイが可能。

   • 必要に応じて柔軟にデスクトップ数の増減を行うことが可 能。インフラの準備期間などが不要なため迅速にビジネ スニーズに対応。 • 他のOCI上のサービスと同じく、OCIコンソールから一括 管理が可能。 • カスタムイメージを利用することで既存環境からの移行も 容易。 • 認証/認可の仕組みはOCIのIAMに統合されているため、 他のサービスとあわせてIAMで一括管理が可能。 • 利用した分だけ課金される。不要な時間帯はデスクトッ プを停止しておくことでコストを最適化。 OCI セキュア・デスクトップのメリット Desktop-as-a-Service マネージド・サービス 柔軟性 統合された集中管理 容易なリフト&シフト OCIセキュリティと統合された OCIネイティブなVDIソリューション コスト効率 5

6. OCIリージョン Copyright © 2023, Oracle and/or its affiliates 6 •

   デスクトップ・ユーザはブラウザ経由でエンドユーザ用のWebア プリケーションのURLにアクセスし、デスクトップ選択して起動 • OCIテナンシの認証を行い、権限を付与されているデスクトップ プールにアクセスが可能 • 各ユーザごとに個別のデスクトップが起動でき、他人のデスクトップ にはアクセスできない • デスクトップ・ユーザがデスクトップを起動すると、お客様テナン シ内にコンピュート・インスタンスが起動される • インスタンスが起動するためのイメージやシェイプ、ネットワークはあ らかじめ管理者が設定 • 自テナンシ内のプライベートなネットワークで起動 • デスクトップは各ユーザごとに永続化（ブロックボリュームにデー タ保持） • 異なる場所からアクセスしても同じように利用可能 • データはすべてお客様テナンシの中に存在 • デスクトップ・プールは管理者がOCIコンソールから作成、管理 セキュア・デスクトップのアーキテクチャ概要 デスクトップ ストレージ デスクトップ・ユーザ アクセス用URL ・・・ ・・・ デスクトップ・ユーザ VCN Private Subnet セキュアな プライベート アクセス インターネット お客様テナンシ サービス・テナンシ

7. Copyright © 2023, Oracle and/or its affiliates 7 1. 管理者から通知された接続用URLにアクセス

   • Tokyoリージョンの場合 https://published.desktops.ap-tokyo-1.oci.oraclecloud.com/client 2. ログイン画面でテナンシ名、ユーザ名/パスワードを入力 3. セキュア・デスクトップWebアプリケーション画面が開く 4. プリファレンスで優先クライアントの設定が可能 • Webクライアント：ブラウザ内でデスクトップに接続 • インストール済クライアント：クライアントアプリケーションが起動してデスク トップに自動的に接続される（初回はダウンロードとインストールが必要） デスクトップ・ユーザからの利用の流れ 1 Webクライアントとインストール済クライアントの違い Webクライアント • ブラウザから直接リモートのデスクトップに接続 • オーディオ IN/OUT, クライアントのドライブマッピングは非サポート • 画像のコピー&ペーストは非サポート インストール済クライアント • インストールしたアプリケーションからリモートのデスクトップに接続 • オーディオ IN/OUT, クライアントのドライブマッピングを含めたデスク トップへの完全なアクセス。

8. Copyright © 2023, Oracle and/or its affiliates 8 5. 割り当て済デスクトップから利用したいデスクトップ・プール名をクリックしてデスクトップを開く

   • 初回アクセス時は、ステータスが「使用可能 - 新規デスクトップ」から「使用可能」にが変わるまで待ってから、再度デスクトップを開く。 デスクトップ・ユーザからの利用の流れ 2 Webクライアントの場合 インストール済クライアントの場合 ブラウザ内でデスクトップに接続 クライアントツールが起動してデスクトップに接続

9. Copyright © 2023, Oracle and/or its affiliates 9 1. 事前準備

   1. IAMポリシーの作成 • サービス向けのポリシー • ユーザ向けのポリシー（管理ユーザ向けとデスクトップ・ユーザ向け） 2. ネットワークの準備 2. デスクトップ・イメージの作成 3. デスクトップ・プールの作成 4. デスクトップ・ユーザの作成と通知 管理者による環境構築作業

10. 起動するデスクトップで利用されるゴールデン・イメージの登録 デスクトップ・イメージをコンピュートのカスタム・イメージとして準備し、インポートする サポートされるOS • Oracle Linux 7, Oracle Linux 8：Oracle提供の事前構成済イメージを利用することも可能。

    • Windows 10, Windows 11：イメージの作成が必要。ドキュメントの手順に沿って作成しインポートすること。 注意 • 通常のBYOI手順と似ているが、セキュア・デスクトップのイメージとして利用するためのフリーフォーム・タグを付ける必要がある • Windowsの場合はOCI CLIでのインポートが必要 デスクトップ・イメージ Copyright © 2023, Oracle and/or its affiliates 10 セキュア・デスクトップ用イメージとして必須のタグ oci:desktops:is_desktop_image true oci:desktops:image_os_type Oracle Linux / Windows oci:desktops:image_version <version>

11. OCI上で起動するデスクトップの定義や環境情報 管理者はイメージ、シェイプ、ネットワークなどを指定してデスクトップ・プールを定義 用途に応じて複数のプールを作成可能 デスクトップ・ユーザがアクセスした際に定義に基づいて各ユーザに紐づいたインスタンスが起動される デスクトップ・プール Copyright © 2023, Oracle and/or

    its affiliates 11 セキュア・デスクトップ デスクトップ・プール コンピュート VMインスタンス ブロック・ボリューム 各デスクトップ・ユーザがアクセスすると、 デスクトップ・プール内に各ユーザ専用の VMインスタンスが起動。（迅速な起動 のためインスタンスをスタンバイ状態にし て起動しておくことも可能） 各ユーザごとにボリュームが紐づき、 データを永続保存可能 ・・・ ・・・ デスクトップの起動停止スケジュールを設定することも可能 • 例）金曜日の夕方に停止し、月曜日の朝に起動することで、休日の間の コンピュート・インスタンス課金のコストを削減。

12. 12 デスクトップ・プールの作成 Copyright © 2023, Oracle and/or its affiliates 作成ウィザードで必要事項を入

    力してデスクトッププールを作成 デスクトップ・プールの設定項目 デスクトップ・イメージ 用意したイメージから選択。作成後に変更不可。 デスクトップ・シェイプ 起動するコンピュート・インスタンスのシェイプ指定。作成後に 変更不可。 • 固定シェイプ指定（VM.Standard2.1など） • フレックス・シェイプ指定 • Flex Low (2 OCPUs, 4GB RAM) • Flex Medium (4 OCPUs, 8GB RAM) • Flex High (8 OCPUs, 16GB RAM) プール・サイズ 最大サイズ、スタンバイサイズの指定 • 最大サイズ：最小10。プール作成時点から削除するまで、最大サイ ズ分がSecure Desktop課金の対象となる。 • スタンバイ：ユーザがアクセスした際に迅速に利用できるようにするた めインスタンスを起動状態にしておく プールの開始/停止時間 プールの利用開始/終了時間 管理者連絡先 デスクトップ・ユーザから管理者へのコンタクト用 管理者権限 デスクトップの管理者権限有無 ストレージ ボリューム利用有無、ボリューム・サイズ、バックアップ・ポリシー ネットワーキング インスタンスが稼働するVCN、サブネットの指定 デバイス・アクセス・ポリシー クリップ・ボード、オーディオ、ドライブ・マッピング 通常のスケジュール デスクトップの起動/停止スケジュール （休日停止/平日起動など）

13. Copyright © 2023, Oracle and/or its affiliates 13 デスクトップ・プールの管理 起動済のデスクトップやスタンバイ状態のデスク

    トップを確認できる。 管理者側から停止や起動も可能。 利用中のデスクトップは、デスクトップ・ユーザの OCIDが紐づいている。

14. Copyright © 2023, Oracle and/or its affiliates 14 各デスクトップ・プールへのデスクトップ・ユーザからのアクセス権限はIAMポリシーで定義 例）

    デスクトップ・ユーザごとに個別のデスクトップが割り当たるため、権限を持つコンパートメン ト内のデスクトップ・プール内であっても、他のユーザのデスクトップにはアクセスできないよ うになっている。 利用者に対しては、IAMユーザを作成して適切なグループに所属させたうえで、 アクセス用のURLやログイン情報を管理者から連絡する。 デスクトップ・ユーザのアクセス Allow group Windows_Users to use published-desktops in compartment Desktops:Windows_Desktops Allow group Linux_Users to use published-desktops in compartment Desktops:Linux_Desktops

15. Copyright © 2023, Oracle and/or its affiliates 15 サポートされるOSは？ •

    Oracle Linux 7 and 8 がサポートされています。Oracle Linux 9 は今後サポート予定です。 • Microsoft Windows 10 and 11 がサポートされています。Microsoft Windowsの場合はライセンスの持ち込み（Bring your own license, BYOL）が必要です。 価格はいくらですか？ • (1) OCI Secure Desktop課金 ¥700 /Desktop per Month（最小10デスクトップから） + (2) 利用するコンピュート・インスタンス課金とブロック・ボ リューム、カスタムイメージのストレージ課金 （+ (3) Windowsの場合はBYOL） が必要です。 • デスクトップ課金はデスクトップ・プールを作成してから削除するまで、プールで定義したデスクトップ数分課金されます。1時間単位で課金計算されるため、 たとえばデスクトップ・プール作成後3時間で削除すれば3時間分の課金となります。 • コンピュート課金は、通常のコンピュートと同じく課金されます。（オンデマンドStandardシェイプであれば停止中は課金停止） • Windows OSの場合、デフォルトでは専用仮想マシンホスト(DVH)利用となるためDVHのコンピュート課金が必要です。 どの種類のインスタンスが利用できますか？ • OCIセキュアデスクトップでは、オンデマンドのVMとDVH利用のVMを両方サポートしています。 • Windowsデスクトップ・プールのデフォルトはDVH利用となります。もしお客様がクラウド環境で専用ホスト以外での利用が可能なMicrosoft license agreementをお持ちであれば、DVH利用を行わないように設定することも可能です。Microsoftライセンスの詳細については、お客様とMicrosoft社ま たは販売代理店様の間でご確認ください。 どのシェイプがサポートされていますか？ • OCIセキュア・デスクトップでは、AMDとIntelベースのシェイプをサポートしています。 FAQ

16. 価格見積もり例 • デスクトップ・ユーザ: 100、 シェイプ: Flex Low (Standard.E4, 2 OCPU,

    4 GB Memory)、 ブート・ボリューム: 50 GB、ブロック・ボリューム: 50GB、 イ メージ: 10 GB 価格サンプル Copyright © 2023, Oracle and/or its affiliates 16 全デスクトップを常時起動し続けている場合 単価 メトリック 数量 期間 計 Oracle Cloud Infrastructure - Secure Desktop ¥700.00Desktop per Month 100 1 ¥70,000.00 Compute - Standard - E4 - OCPU ¥3.50OCPU per hour 200 744 ¥520,800.00 Compute - Standard - E4 - Memory ¥0.21Gigabyte per hour 400 744 ¥62,496.00 Block Volume Storage ¥3.57GB storage capacity/month 10000 1 ¥35,700.00 Block Volume Performance Units ¥0.24Performance units per GB / month 100000 1 ¥23,800.00 Custom Image Storage ¥3.57Gigabyte storage capacity per month 10 1 ¥35.70 1ヵ月合計 ¥712,831.70 単価 メトリック 数量 期間 計 Oracle Cloud Infrastructure - Secure Desktop ¥700.00Desktop per Month 100 1 ¥70,000.00 Compute - Standard - E4 - OCPU ¥3.50OCPU per hour 200 480 ¥336,000.00 Compute - Standard - E4 - Memory ¥0.21Gigabyte per hour 400 480 ¥40,320.00 Block Volume Storage ¥3.57GB storage capacity/month 10000 1 ¥35,700.00 Block Volume Performance Units ¥0.24Performance units per GB / month 100000 1 ¥23,800.00 Custom Image Storage ¥3.57Gigabyte storage capacity per month 10 1 ¥35.70 1ヵ月合計 ¥505,855.70 スケジューリングの設定をして、デスクトップを 480時間/月 だけ起動する場合
17. None