このトピックでは、WUYING Workspace のセキュリティ関連のポリシーについて説明します。
背景情報
クラウドデスクトップのセキュリティ関連ポリシーには、以下が含まれます。
ユーザーログイン制御:ログイン方法の制御とクラウドデスクトップアクセス IP アドレスホワイトリスト。
表示セキュリティ:スクリーンショット防止とウォーターマーク。
クリップボード制御:制御の粒度とコピー権限。
データセキュリティ:ファイル転送、Web クライアントのファイル転送、フルスピード転送制御。
ネットワークアクセス:セキュリティグループ制御とドメイン名アクセス制御。
画面録画監査。
イメージ管理:クラウドデスクトップイメージのリセット。
エンドユーザーによるカスタムスナップショット。
ユーザーログイン制御
利用シーン
[ログイン方法の制御] ポリシーは、エンドユーザーがクラウドデスクトップへの接続に使用できる WUYING 端末の種類を制限します。
たとえば、企業の情報セキュリティを確保するために、管理者はポリシーを設定して、Windows クライアント、macOS クライアント、および からのみクラウドデスクトップへの接続を許可することができます。
[クラウドデスクトップアクセス IP ホワイトリスト] ポリシーは、クラウドデスクトップへの接続に使用できる WUYING 端末の IP アドレス範囲を制限します。
たとえば、企業の情報セキュリティを確保するために、管理者はオフィス内の WUYING 端末の CIDR ブロックをホワイトリストに追加できます。これにより、従業員はオフィス内の WUYING 端末からのみクラウドデスクトップに接続でき、他の場所からは接続できなくなります。
設定
設定項目 | 説明 |
ログイン方法の制御 | エンドユーザーが使用できる WUYING 端末の種類を制限します。オプションは次のとおりです。
デフォルトでは、すべてのオプションが選択されています。必要に応じて端末タイプの選択を解除してください。 |
クラウドデスクトップアクセス IP ホワイトリスト | クラウドデスクトップに接続できる WUYING 端末の IP アドレス範囲を指定します。 [IP アドレス範囲の追加] をクリックします。[IP CIDR ブロックの追加] ダイアログボックスで、許可する [送信元 CIDR ブロック] を入力し、[OK] をクリックします。 IP アドレス範囲は CIDR 形式である必要があります。例: |
表示セキュリティ
利用シーン
[スクリーンショット防止] 機能は、画面キャプチャや画面録画によるデータ漏洩を防ぎます。
たとえば、建築設計会社は、設計図の不正使用を防ぐために、クラウドデスクトップのスクリーンショット防止ポリシーを有効にします。これにより、ユーザーはオンプレミスデバイスのスクリーンショットツールを使用して、クラウドデスクトップの画面をキャプチャまたは録画できなくなります。
[ウォーターマーク] 機能は、データ漏洩を防ぎ、監査証跡を提供します。
たとえば、広告会社はクラウドデスクトップのウォーターマークを有効にします。従業員がクラウドデスクトップ上の内部ファイルをスクリーンショットで撮影した場合、そのスクリーンショットには管理者が指定したウォーターマークが含まれます。これにより、内部ファイルの漏洩を効果的に防ぐことができます。データ漏洩が発生した場合、ウォーターマークは重要な監査証跡にもなります。
適用範囲
設定項目 | 最小イメージバージョン | クライアントと最小バージョン |
スクリーンショット防止 | 要件なし | Windows クライアントおよびmacOS クライアント V5.2 |
不可視ウォーターマークの強度 | 1.8.0 | 要件なし |
不可視ウォーターマークの撮影防止 | 1.8.0 | 任意のクライアント V6.7 |
設定
設定項目 | 説明 |
スクリーンショット防止 | スクリーンショット防止機能は、データ漏洩防止のために使用されます。この機能を有効にすると、エンドユーザーはオンプレミスデバイスのスクリーンショットツールを使用して、クラウドデスクトップの画面をキャプチャまたは録画できなくなります。 説明
|
ウォーターマーク | ウォーターマーク機能は、データ漏洩防止のために使用されます。予防と監査の両方の役割を果たします。 可視ウォーターマーク可視ウォーターマークは肉眼で見ることができます。ウォーターマークの内容と表示スタイルを設定できます。
設定中、下のプレビューエリアで可視ウォーターマークの表示スタイルをプレビューできます。 不可視ウォーターマーク不可視ウォーターマークは肉眼では見えません。WUYING Workspace が提供するデフォルトの不可視ウォーターマークアルゴリズムは、悪意のある改ざんを防ぐために、異なる Alibaba Cloud アカウント ID に基づいてウォーターマーク情報を暗号化します。不可視ウォーターマークの設定項目は次のとおりです。
|
転送ログのクエリ
ファイル転送の詳細なレコードをクエリする方法については、「ファイル転送ログの表示」をご参照ください。
データセキュリティ
適用範囲
ローカルディスクマッピング
クリップボード制御:
テキストと画像は、条件なしで転送できます。
ファイル転送には、Windows クライアント (V7.3 以降) が必要です。
詳細な制御には、クラウドデスクトップのイメージバージョンが 2.4 以降である必要があります。そうでない場合、すべてのコピー操作は拒否されます。
Web クライアントのファイル転送:[アップロードとダウンロードを許可] に設定されていても、HDX プロトコルを使用する Linux クラウドデスクトップではこの設定は有効になりません。これらのクラウドデスクトップでファイル転送機能を使用するには、デフォルトのシステムポリシー (すべて有効なポリシー) を使用する必要があります。
設定
設定項目 | 説明 |
ローカルディスクマッピング | |
ローカルディスクマッピング | ローカルデバイスのディスクをクラウドコンピューターのディスクにマッピングします。これにより、クラウドコンピューターはローカルデバイスのディスクにアクセスできるようになります。有効な値:
|
クリップボード制御 | |
制御の粒度 | クリップボード権限設定が有効になる範囲を選択します。オプションは次のとおりです。
|
テキストのコピー権限 | データ型ごとにクリップボード権限を設定します。オプションは次のとおりです。
|
リッチテキスト/画像のコピー権限 | |
ファイル/フォルダのコピー権限 | |
テキストコピー制限 | コピーされるテキストの上限を設定します。エンドユーザーがテキストをコピーすると、制限を超えた部分はトリミングされます。 |
データセキュリティ | |
Web クライアントのファイル転送 | Web クライアントを使用して、クラウドデスクトップとオンプレミスデバイス間でファイルを転送できるかどうかを設定します。 |
ネットワークアクセス
ドメイン名アクセス制御
ドメイン名アクセス制御ポリシーは、クラウドデスクトップ内から指定されたドメイン名へのアクセスを許可または拒否します。たとえば、会社の規則で従業員が勤務時間中に仕事に関係のない Web サイトにアクセスすることを禁止している場合、管理者はエンターテインメント Web サイトのドメイン名を DNS 拒否ルールに追加できます。
利用シーン
デフォルトでは、クラウドデスクトップ内から任意のドメイン名へのアクセスが許可されています。ドメイン名アクセス制御は、指定されたドメイン名へのアクセスを許可または拒否するために使用され、ドメイン名アクセス権限の多層的で詳細な制御をサポートします。
たとえば、次の表に示すドメイン名があるとします。表に示すように DNS ルールを設定して、詳細な権限制御を実装できます。
ドメイン名 | 例 | アクセスポリシー | 説明 |
セカンドレベルドメイン名 |
| 許可 | クラウドデスクトップが |
サードレベルドメイン名 |
| 拒否 | クラウドデスクトップが |
| 許可 | クラウドデスクトップが | |
フォースレベルドメイン名 |
| 拒否 | クラウドデスクトップが |
| 許可 | クラウドデスクトップが | |
| 許可 |
制限事項
ドメイン名の制限
エンドユーザーがクラウドデスクトップを正常に使用できるように、次の予約済みセキュリティドメイン名は DNS ルールの対象外です。つまり、クラウドデスクトップは常にこれらのドメイン名にアクセスできます。これらのドメイン名のアクセスポリシーを拒否に設定しても、ルールは有効になりません。
*.gws.aliyun*.aliyun.com*.alicdn.com*.aliyunpds.com*.aliyuncds.com*.aliyuncs.com
オペレーティングシステムの制限
ドメイン名アクセス制御ポリシーは、Windows オペレーティングシステムを実行しているクラウドデスクトップでのみ有効になります。
ルール数の制限
最大 300 個の DNS ルールを設定できます。
設定
[ドメイン名アクセス制御 (旧 DNS ポリシー)] セクションで、[DNS ルールの追加] をクリックします。[DNS ルールの追加] ダイアログボックスで、次の設定を行い、[OK] をクリックします。
設定項目 | 説明 |
ドメイン名 | DNS ルールを設定するドメイン名を入力します。一度に追加できるドメイン名は 1 つだけです。ワイルドカード文字 |
説明 | DNS ルールのカスタム説明。 |
アクセスポリシー | [許可] または [拒否] を選択できます。 説明
|
セキュリティグループ制御
セキュリティグループは、クラウドデスクトップのインバウンドおよびアウトバウンドトラフィックを制御してセキュリティを向上させるためのセキュリティメカニズムです。
利用シーン
セキュリティグループルールは、ルールの方向、権限付与ポリシー、優先度、プロトコルタイプ、ポート範囲などのプロパティによって定義されます。クラウドデスクトップとのデータ通信が確立される前に、システムはクラウドデスクトップに関連付けられているポリシーのセキュリティグループルールをチェックして、アクセスリクエストを許可するかどうかを決定します。
権限付与ポリシーが「許可」に設定されているルールの場合、アクセスリクエストがルールに一致すると、アクセスリクエストは許可されます。
権限付与ポリシーが「拒否」に設定されているルールの場合、アクセスリクエストがルールに一致すると、アクセスリクエストはインターセプトされ、データパケットは破棄されます。
必要に応じてインバウンドまたはアウトバウンドのセキュリティグループルールを追加して、クラウドデスクトップのインバウンドおよびアウトバウンドトラフィックを制御できます。以下のセクションでは、さまざまなシナリオでのセキュリティグループルールの設定例を示します。
例 1
デフォルトでは、クラウドデスクトップはすべてのアウトバウンドアクセスを許可します。次のアウトバウンドルールを追加して、クラウドデスクトップが特定の IP アドレスにのみアクセスできるようにすることができます。
ルール 1:すべてのアウトバウンドアクセスを拒否します。例:
ルールの方向
権限付与
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
アウトバウンド
拒否
2
すべて
-1/-1
0.0.0.0/0
ルール 2:特定の IP アドレスへのアクセスを許可します。このルールはルール 1 に基づいており、ルール 1 よりも高い優先度を持つ必要があります。例:
ルールの方向
権限付与
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
アウトバウンド
許可
1
適用可能なプロトコルタイプを選択します。
適切なポート範囲を設定します。
アクセスが許可される IP アドレス。例:192.168.1.1/32。
例 2
企業のプライベートネットワーク環境では、インバウンドルールを追加して特定の IP アドレスからのアクセスを許可できます。これにより、その IP アドレスがクラウドデスクトップにアクセスできるようになります。例:
ルールの方向 | 権限付与 | 優先度 | プロトコルタイプ | ポート範囲 | 権限付与オブジェクト |
インバウンド | 許可 | 1 | 適用可能なプロトコルタイプを選択します。 | 適切なポート範囲を設定します。 | アクセスが許可される IP アドレス。例:192.168.1.1/32。 |
例 3
クラウドデスクトップ A がポリシー A に関連付けられ、クラウドデスクトップ B がポリシー B に関連付けられているとします。企業のプライベートネットワーク環境では、クラウドデスクトップはデフォルトですべてのインバウンドアクセスを拒否するため、クラウドデスクトップ A と B は互いにアクセスできません。ポリシー A と B に次のインバウンドルールを追加して、クラウドデスクトップ A と B 間のネットワーク通信を有効にすることができます。
ポリシー A で、クラウドデスクトップ B からのアクセスを許可するインバウンドルールを追加します。例:
ルールの方向
認可
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
インバウンド
許可
1
適用可能なプロトコルタイプを選択します。
適切なポート範囲を設定します。
クラウドデスクトップ B の IP アドレス。
ポリシー B で、クラウドデスクトップ A からのアクセスを許可するインバウンドルールを追加します。例:
ルールの方向
権限付与
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
インバウンド
許可
1
適用可能なプロトコルタイプを選択します。
適切なポート範囲を設定します。
クラウドデスクトップ A の IP アドレス。
制限事項
ルール数の制限
最大 200 個のセキュリティグループルールを設定できます。
インバウンドルールの制限
デフォルトでは、クラウドデスクトップはすべてのアウトバウンドアクセスを許可します。インバウンドアクセスは、次の原則に従います。
インターネット環境では、クラウドデスクトップはインバウンドアクセスをサポートしません。アクセスを許可するインバウンドセキュリティグループルールを設定しても、ルールは有効になりません。
企業のプライベートネットワーク環境では、クラウドデスクトップはデフォルトですべてのインバウンドアクセスを拒否します。ただし、特定の要件を満たすアクセスリクエストを許可するインバウンドセキュリティグループルールを設定できます。
設定
[セキュリティグループ制御] セクションで、[セキュリティグループルールの追加] をクリックします。[セキュリティグループルールの追加] ダイアログボックスで、次の設定を行い、[OK] をクリックします。
設定項目 | 説明 |
ルールの方向 |
|
権限付与 |
|
優先度 | 優先度の値の範囲は 1~60 です。値が小さいほど優先度が高くなります。同じタイプのルールの場合、最も優先度の高いルールが有効になります。 |
プロトコルタイプ | TCP、UDP、ICMP (IPv4)、および GRE プロトコルをサポートします。 |
ポート範囲 | アプリケーションまたはプロトコルによって開かれるポート。[プロトコルタイプ] に [カスタム TCP] または [カスタム UDP] を選択した場合、カスタムポートを設定できます。ポートを設定する際、特定のポート (例: |
権限付与オブジェクト | CIDR 形式の IPv4 アドレス範囲。 |
説明 | ルールのカスタム説明。 |
次のステップ
デフォルトでは、クラウドデスクトップはすべてのインバウンドアクセスを拒否し、すべてのアウトバウンドアクセスを許可します。これは、すべてのアウトバウンドアクセスを許可するデフォルトルールが存在することを意味します。この場合、追加したアウトバウンドルールはデフォルトルールと競合します。クラウドデスクトップが属するオフィスネットワークによっては、新しいルールを有効にするためにデフォルトルールの優先度を調整する必要がある場合があります。
新しいバージョンのオフィスネットワーク (ID 形式:リージョン ID+dir+10 桁の数字) を使用している場合、デフォルトルールの優先度は最も低くなります。追加したルールはすぐに有効になり、追加のアクションは必要ありません。
古いディレクトリからアップグレードされたオフィスネットワーク (ID 形式:リージョン ID+dir+17 文字の英数字) を使用している場合、デフォルトルールの優先度は最も高くなります。デフォルトルールの優先度を手動で調整する必要があります。手順は次のとおりです。
クラウドデスクトップが属するオフィスネットワークを見つけ、そのオフィスネットワーク ID をクリックします。
オフィスネットワーク詳細ページで、セキュリティグループ ID をクリックします。
[セキュリティグループ] ページで、セキュリティグループ ID をクリックします。
[セキュリティグループルール] ページで、[アウトバウンド] タブをクリックし、対応するルールの優先度を変更します。
優先度を 60 に設定することを推奨します。これにより、後で手動で追加するアウトバウンドルールがすぐに有効になります。
エンドユーザーによるカスタムスナップショット
エンドユーザーによるカスタムスナップショット
エンドユーザーによるカスタムスナップショットポリシーは、エンドユーザーがクライアントでカスタム復元ポイントを作成できるかどうかを制御します。
利用シーン
エンドユーザーは、復元ポイントを使用してクラウドデスクトップのデータをバックアップおよび復元できます。たとえば、重要なシステムファイルの変更などの危険な操作を実行する前に、エンドユーザーは復元ポイントを作成できます。
ユーザーのエラーや過剰な数の復元ポイントの作成によるリソースの浪費を防ぐために、管理者はこのポリシーを使用して、エンドユーザーがカスタム復元ポイントを作成できるかどうかを制御できます。
制限事項
この機能は、クラウドデスクトップが単一のユーザーに割り当てられている場合にのみ利用できます。
設定
[エンドユーザーによるカスタムスナップショット] セクションの右側にあるスイッチが [オン] の場合、エンドユーザーはクラウドデスクトップカードの [管理] ページでカスタム復元ポイントを設定できます。
[エンドユーザーによるカスタムスナップショット] セクションの右側にあるスイッチが [無効] の場合、カスタム復元ポイント機能のエントリは [管理] ページで非表示になり、エンドユーザーには表示されません。