テレワークで社内Webへアクセス / VPNとリバースプロキシの比較やVPNの遅延解消策など / VPNの代替策

テレワークやリモートワークで、社内LAN側で運用のWebサーバーへ社外からアクセスさせる場合

  • VPN
  • リバースプロキシ

などの方法があります

 

例 LAN内のSharePointへのアクセスhttps://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

例 LAN内のWebMail / Roundcubeへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

VPNとリバースプロキシの比較

VPN リバースプロキシ
ターゲット ネットワーク Webサーバー
ツール 専用のVPN クライアント Webブラウザ
速度 混雑時には速度の低下など Web閲覧と同等の速度
端末側の負荷 利用端末にも相応の負荷がかかる

モバイル端末のバッテリー消費の増大

Web閲覧と同等の軽い負荷
セキュリティ VPNのアクセスに認証が必要 リバースプロキシへのアクセスに認証を設定可能
安全性 VPN利用の認証が脆弱な場合がある リバースプロキシでのアクセス認証に依存

 

VPNへのアクセス集中による遅延など

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png

*負荷が高い場合には、VPN回線の多重化による負荷分散を図る

*Webべースのサービスの場合には、リバースプロキシを利用する

*VPNそのもののセキュリティレベルは高いが、VPNへアクセスする際のセキュリティレベルが低い場合があるので注意( 例  ID/パスワードのみでVPNの利用が可能 )

 

 

リバースプロキシの場合

https://www.mubit.co.jp/sub/products/blue/img2/brauza-1.png

VPNと異なり、リバースプロキシでは利用者はブラウザのみで利用ができます。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバー名・ドメイン名を隠蔽することが可能。

*リバースプロキシ先のサーバーとして他社サーバーのサービスを利用の場合でも、利用者に見えるのはリバースプロキシサーバーまでです

 

リバースプロキシの各種認証

リバースプロキシへアクセス時に各種の認証が適用できます。これにより社内側のWebサーバーへも安全なアクセスが可能です。

【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & OTP/ワンタイムパスワード認証 & SSLクライアント認証
【4】リバースプロキシ & SSO/SAML認証 (identity aware proxy)

 

リバースプロキシ&ワンタイムパスワード認証後に社内のSharepointへアクセス 例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/otp-access-1-1.png

 

リバースプロキシの冗長化や負荷分散

ロードバランサーを利用

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチAZ構成

Route53やGSLBを使い、広域負荷分散を行います

・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

WAN側に設置のWebの認証強化

リバースプロキシ経由のみで指定のWebへアクセスする運用でセキュリティを確保できます。

 

認証対応のリバースプロキシ

各種の認証機能付属のリバースプロキシとしては

https://www.mubit.co.jp/sub/products/img2/arrow-finger.gif Powered BLUE Reverse-Proxy

が対応しています