VPN」カテゴリーアーカイブ

自社Webシステムのゼロトラスト対応 / ID認識型リバースプロキシでの構成方法

ZERO-Trustで社内Webへ簡単にアクセス

導入の敷居が高そうなゼロ・トラストを、なるべく簡単に自社Webシステムへのアクセスに利用する方法です。

 

VPNの問題点

VPNを使ったセキュリティモデルは「境界防御モデル」と呼ばれ、一度VPN経由で境界内に入った場合には、境界内の各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

また、VPNでのアクセスはネットワークや機器にかかる負荷が高いため、在宅社員がリモートワークで一斉にアクセスすると、「遅い」とか「つながらない」などの状況に陥ります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png

 

ゼロトラストのセキュリティ

ID認証をセキュリティ境界として、認証を受けたユーザーや機器のみがターゲットのアプリにアクセスができるモデルが、ゼロトラストセキュリティの考え方です。ゼロトラスト・モデルでは、利用するID認識型プロキシ( IAP : Identity Aware Proxy )がセキュリティの境界となります。

 

 

ID認識型プロキシ( IAP : Identity Aware Proxy )

 Microsoftをはじめ、各社から様々なZero-Trustのサービスや製品が提供されています。Zero-Trustモデルでは

1)idP (ユーザーIDおよび認証の管理)

2)ID認識型プロキシ( IAP : Identity Aware Proxy)

の2つが必要です。

 

ID認識型プロキシ( IAP : Identity Aware Proxy ) には、「透過型プロキシ」と「リバースプロキシ」の2つの方式があります。利用するID認識型プロキシのタイプにより導入時のコストや構成が大きく変わります。

 

WANから、オンプレの社内LAN側のWebサーバーへアクセスさせる際の比較

ID認識型プロキシの方式 透過プロキシ・タイプ リバースプロキシ・タイプ
idP idP 必須 idP 必須
Firewall ポリシー http/https 外向き http/https 内向き
Proxyの台数 WAN/LAN側にそれぞれ1台

合計2台

WAN側に1台のみ
エージェント ターゲットWebへのエージェントのインストールが必須 エージェントは不要
ターゲットWebのOS エージェントがインストールできるOSに限定される ターゲットWebのOSは問わない
ベンダーロックイン 発生しやすい 発生しない

透過プロキシタイプの場合は、社内のFirewallのポリシーは従来通りにWeb(http/https)は外向きのポリシーのままで利用ができます。ただしPorxyの台数が2台とターゲットのWebへのエージェントのインストールが必要のため、導入時の構成が大掛かりとなります。透過プロキシタイプの製品やサービスによっては利用するidPやターゲットWebのOSが限定されるケースもあり、ベンダーロックインが生じる場合もあります。

リバースプロキシの場合は、社内のFirewallのポリシーはターゲットWeb(http/https)はLANへの内向きのポリシーを設定します。ターゲットのWebへのエージェントのインストールは不要のため、リバースプロキシの1台のみで手軽に導入が出来ます。利用するidPなども広く選択できることやターゲットWebのOSの制約もないので、ベンダーロックインなども発生しない。

 

 

ゼロトラストの導入に際して

自社Webへのアクセスに際して、ゼロトラスト・セキュリティを簡単に導入するために、認証サーバーとして「SAML認証対応のidP」とID認識型プロキシとして「SAML認証に対応のSP&リバースプロキシ」で構成をします。

 

 

必要な機器

  •  SAML認証に対応のidP

SAML認証に対応のidPとしては、Azure AD / G Suite / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G SuiteなどのiDaaSや自社で運用の Keycloak / OpenAM 他などが利用できます。

 

  • ID認識型リバースプロキシ( IAP : Identity Aware Proxy )

「SAML認証に対応のSP機能とリバースプロキシ」を1台で運用出来る「ID認識型リバースプロキシ」アプライアンス

Powered BLUE Reverse Proxy for SSO / IDaaSを利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

 

 

Zero Trust モデルの構成&アクセス

SP Initiated-SAMLでの社内Webへのアクセス 例

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-10.png

 

設定の手順

idP側の設定

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側の設定

  • リバースプロキシのSAML認証を有効にします
  • リバースプロキシのリダイレクト先のWeb-URLを指定します
  • SAML-SP対応のリバースプロキシには、ユーザーアカウントの作成は不要です

 

 

ゼロトラストでの認証のステップ

1)リバースプロキシへアクセス
2)idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にリバースプロキシ先のWebにリダイレクト

 

 

WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、ID認識対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、ID認識対応のリバースプロキシ経由でのアクセスに限定することにより、ゼロ・トラスト・セキュリティの構成に組み込んでセキュアなWebアクセスができます。

 

 

冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応

 

 

マルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。