社内のWebへのアクセスに際して各種の認証に対応のReverse Proxyを構築&運用する構成例です。リバースプロキシへのアクセス時のユーザー認証としては
- Active Directory認証
- OTP認証
- SSLクライアント認証
- SAML認証 ( ゼロトラスト対応 )
- LDAP認証
- 指紋認証や顔認証( FIDO2 / WebAuthn )
などが利用できます。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。複数の認証を組み合わせて多要素認証での運用や冗長構成(HA)での運用にも対応しています。
VPNの場合
VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生
一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。
リバースプロキシの場合
リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。
ターゲットWebの隠蔽
リバースプロキシ先のWebサイト名を隠蔽することが出来ます。
VPNとリバースプロキシの比較
| VPN | リバースプロキシ | |
| ターゲット | ネットワーク | Webサーバー |
| ツール | 専用のVPN クライアント | Webブラウザ |
| 速度 | 混雑時には速度の低下など | Web閲覧と同等の速度 |
| 端末側の負荷 | 利用端末にも相応の負荷がかかるモバイル端末のバッテリー消費の増大 | Web閲覧と同等の軽い負荷 |
| セキュリティ | VPN利用の認証が脆弱な場合がある
例 ID/PasswdでのVPNの利用 |
リバースプロキシへのアクセスに認証を設定可能多要素認証などでセキュリティレベルの向上を図れる |
用意および設定する機器
各種の認証機能に対応のリバースプロキシとしては、
「Powered BLUE Reversse Proxy アプライアンス」 を利用します。
リバースプロキシの運用先
「Powered BLUE Reversse Proxy アプライアンス」は
仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます
- 仮想環境 ( VMware / Hyper-V )
- クラウド環境( AWS / Azure / VPS 他)
【1】AD認証のリバースプロキシ構成
対応の認証方式
- Active Directory認証
ADサーバーの構築
Windows Serever 上にADサーバーを構築&設定します
リバースプロキシ側の設定 AD認証
リバースプロキシでActive Directoryの認証方式を選択します
- Basic認証
- LDAP認証
- Kerberos認証
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(AD認証)
1)リバースプロキシへアクセス
2)AD認証(アカウントやパスワードを入力)
3)ADの認証後にリダイレクト先のWebページを表示
【2】AD認証+SSLクライアント認証
対応の認証方式
- Active Directroy認証
- SSLクライアント認証
ADサーバーの構築
Windows Serever 上にADサーバーを構築&設定します
リバースプロキシ側の設定 AD認証
リバースプロキシでActive Directoryの認証方式を選択します
- LDAP認証
- Kerberos認証
リバースプロキシ側でのSSLクライアント認証 設定
- Private-CA 機能により、SSLクライアント証明書を発行します
- Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示
【3】ワンタイムパスワード認証のリバースプロキシ構成
対応の認証方式
- OTP認証
- QRコード対応
- 「OTP+任意のパスワード」の組み合わせに対応
- TOTP / HOTP 対応
対応のソフトウエアトークン
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
- Google Authenticator
- WinAuth
- Authy
- IIJ SmartKey
- Microsoft Authenticator
- 他
リバースプロキシのワンタイムパスワード設定
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応
認証のステップ(ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リダイレクト先のWebサイトの表示
【4】SSLクライアント認証のリバースプロキシ構成
SSLクライアント認証の有効化
- リバースプロキシのSSLクライアント認証を有効にします
- *Private-CA 機能により、SSLクライアント証明書を発行します
SSLクライアント認証のアクセスコントロール
- 時間帯や曜日によるアクセス制限
- 部門によるアクセス制限
例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証)
1)リバースプロキシにアクセス
2)SSLクライアント認証
3)認証後にリダイレクト先のWebを表示
SSLクライアント証明書が無効の場合
【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構成
ワンタイムパスワードの設定
SSLクライアント認証の有効化
- Webサーバー側のSSLクライアント認証を有効にします
- 時間帯や曜日によるアクセスコントロール
- 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にリバースプロキシにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 リダイレクト先のWebサイトの表示
【6】SAML認証のリバースプロキシ構成
- ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します
対応の認証方式
- SAML認証
idPの設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側でSAML認証の有効化
- リバースプロキシ側でSAML認証を有効にします
- リバースプロキシ側にユーザーアカウントは不要です
認証のステップ(SAML認証)
1)リバースプロキシへアクセス
2)初回のみ idP へアクセス ( シングルサインオン )
3)idPの認証後にリバースプロキシ先のWebにリダイレクト
* SP initiated SAML および idP initiated SAMLに対応
【7】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成
idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- SSLクライアント認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側 SAML認証の有効化
- リバースプロキシ側でSAML認証を有効にします
- リバースプロキシ側にユーザーアカウントは不要です
SSLクライアント認証
idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)リバーススプロキシへアクセス(SSLクライアント認証)
2) idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にリダイレクト先のWebサイトにアクセス
【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成
idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- ワンタイムパスワード認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側 SAML認証の有効化
- Webサーバー側でSAML認証を有効にします
- Webサーバー側にユーザーアカウントは不要です
リバースプロキシ側 ワンタイムパスワード認証
idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)OTP表示
2) リバースプロキシへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)
【9】指紋認証や顔認証(FIDO2 / WebAuthn)
FIDO2 / 生体認証を利用したリバースプロキシで社内Webへアクセス
リバースプロキシへのアクセス時の生体認証により「なりすまし」を防止します
iPhone / iPad / アンドロイド + 指紋認証 / 顔認証 のユーザー
 |
 |
例 生体認証を利用したパスワードレス認証
(「スマートフォンの所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( スマートフォンの顔認証や指紋認証の機能を利用 )
③ 認証後にリバース先のターゲットWebへリダイレクト
PC + FIDO2・指紋認証キー のユーザー
|
 |
|
 |
 |
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 2要素目の認証 指紋認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト
【10】冗長構成
ロードバランサー配下での運用構成
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応
自社環境とクラウド環境の組み合わせ
ロードバランサーなどはクラウド環境側のリソースを利用する構成
マルチAZ構成
異なるアベイラビリティゾーン(AZ)を利用して認証対応のリバースプロキシにより耐障害性の向上
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
idP連携でのロードバランサー配下での運用構成
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応
idP連携でのマルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
【11】WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。