GSLB」カテゴリーアーカイブ

VPN代替としてリバースプロキシ経由で社内Webへアクセス / AD認証-ワンタイムパスワード認証-SSLクライアント認証-ゼロトラストに対応

社内のWebへのアクセスに際して各種の認証に対応のReverse Proxyを構築&運用する構成例です。リバースプロキシへのアクセス時のユーザー認証としては

  • Active Directory認証
  • OTP認証
  • SSLクライアント認証
  • SAML認証  ( ゼロトラスト対応 )
  • LDAP認証
  • ベーシック認証
  • ダイジェスト認証

などが利用できます。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。複数の認証を組み合わせて多要素認証での運用や冗長構成(HA)での運用にも対応しています。

 

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png

 

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

 

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

 

VPNとリバースプロキシの比較

VPN リバースプロキシ
ターゲット ネットワーク Webサーバー
ツール 専用のVPN クライアント Webブラウザ
速度 混雑時には速度の低下など Web閲覧と同等の速度
端末側の負荷 利用端末にも相応の負荷がかかるモバイル端末のバッテリー消費の増大 Web閲覧と同等の軽い負荷
セキュリティ VPN利用の認証が脆弱な場合がある

例 ID/PasswdでのVPNの利用

リバースプロキシへのアクセスに認証を設定可能多要素認証などでセキュリティレベルの向上を図れる

 

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reversse Prox  アプライアンス」 を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-2.png

 

リバースプロキシの運用先

https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reversse Prox  アプライアンス」は

仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

 

  • 仮想環境 ( VMware / Hyper-V )

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

 

  • クラウド環境( AWS / Azure / VPS 他)

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

 

https://www.mubit.co.jp/sub/products/blue/img2/cloud-2.png

 

 

【1】AD認証のリバースプロキシ構成

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

対応の認証方式

  • Active Directory認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

 

ADサーバーの構築

Windows Serever 上にADサーバーを構築&設定します

 

リバースプロキシ側の設定 AD認証

リバースプロキシでActive Directoryの認証方式を選択します

  • Basic認証
  • LDAP認証
  • Kerberos認証

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(AD認証)

1)リバースプロキシへアクセス
2)AD認証(アカウントやパスワードを入力)
3)ADの認証後にリダイレクト先のWebページを表示

 

 

【2】AD認証+SSLクライアント認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-ssl-rev-2.png

 

対応の認証方式

  • Active Directroy認証
  • SSLクライアント認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

ADサーバーの構築

Windows Serever 上にADサーバーを構築&設定します

 

リバースプロキシ側の設定 AD認証

リバースプロキシでActive Directoryの認証方式を選択します

  • LDAP認証
  • Kerberos認証

 

リバースプロキシ側でのSSLクライアント認証 設定

  • Private-CA 機能により、SSLクライアント証明書を発行します
  • Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示

 

 

【3】ワンタイムパスワード認証のリバースプロキシ構成

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

対応の認証方式

  • OTP認証
  • QRコード対応
  • 「OTP+任意のパスワード」の組み合わせに対応
  •  TOTP / HOTP  対応

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

  • Google Authenticator
  • WinAuth
  • Authy
  • IIJ SmartKey
  • Microsoft Authenticator

 

リバースプロキシのワンタイムパスワード設定

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

 

認証のステップ(ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リダイレクト先のWebサイトの表示

 

 

【4】SSLクライアント認証のリバースプロキシ構成

 

SSLクライアント認証の有効化

  • リバースプロキシのSSLクライアント認証を有効にします
  • *Private-CA 機能により、SSLクライアント証明書を発行します

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

 

SSLクライアント認証のアクセスコントロール

  • 時間帯や曜日によるアクセス制限
  • 部門によるアクセス制限

例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証)

1)リバースプロキシにアクセス
2)SSLクライアント認証
3)認証後にリダイレクト先のWebを表示

 

SSLクライアント証明書が無効の場合

https://www.powered.blue/sub/products/img2/ssl-web-4.png

 

 

【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構

 

ワンタイムパスワードの設定

 

SSLクライアント認証の有効化

  • Webサーバー側のSSLクライアント認証を有効にします

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

  • 時間帯や曜日によるアクセスコントロール
  • 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にリバースプロキシにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 リダイレクト先のWebサイトの表示

 

 

【6】SAML認証のリバースプロキシ構成

  • ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

対応の認証方式

  • SAML認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側でSAML認証の有効化

  • リバースプロキシ側でSAML認証を有効にします
  • リバースプロキシ側にユーザーアカウントは不要です

 

認証のステップ(SAML認証)

1)リバースプロキシへアクセス
2)初回のみ idP へアクセス ( シングルサインオン )
3)idPの認証後にリバースプロキシ先のWebにリダイレクト

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/11/idp-sso-1.png

 

 

【7】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/idp-sp-19-1.png

 

対応の認証方式

  • SAML認証
  • SSLクライアント認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側 SAML認証の有効化

  • リバースプロキシ側でSAML認証を有効にします
  • リバースプロキシ側にユーザーアカウントは不要です

 

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)リバーススプロキシへアクセス(SSLクライアント認証)
2)   idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にリダイレクト先のWebサイトにアクセス

 

 

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

 

対応の認証方式

  • SAML認証
  • ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側 SAML認証の有効化

  • Webサーバー側でSAML認証を有効にします
  • Webサーバー側にユーザーアカウントは不要です

 

リバースプロキシ側 ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)OTP表示
2)   リバースプロキシへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)

 

 

【9】冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応

https://www.powered.blue/sub/products/img2/single-az-rev-1.png

 

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

https://www.powered.blue/sub/products/img2/single-az-rev-2.png

 

マルチAZ構成

異なるアベイラビリティゾーン(AZ)を利用して認証対応のリバースプロキシにより耐障害性の向上

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.powered.blue/sub/products/cloud/img2/multi-az-rev-1.png

 

idP連携でのロードバランサー配下での運用構成
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応

https://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-3.png

 

idP連携でのマルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-2.png

 

【10】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。