既存のWebサーバーへアクセスに際して、各種のWeb認証に対応のリバースプロキシサーバー経由でセキュアにWebアクセスさせる構成例です。認証機能に対応のリバースプロキシは、Nutanix上で運用します。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。
リバースプロキシ構成
テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。
VPNの場合
VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生
リバースプロキシの場合
リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。
Let’s Encrypt 対応
Powered BLUE Reverse Proxyでは、SSLサーバー証明書としてLet’s Encryptにも対応しています。リバースプロキシのサイトに、Let’s Encryptを適用して自動更新での運用が出来ます。
Nutanixでのリバースプロキシ構成例
用意および設定する機器
各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Prox アプライアンス」 を利用します。
リバースプロキシの運用先
「Powered BLUE Reversse Prox アプライアンス」は
Nutanix上で運用します
Powered BLUE Reverse Proxyアプライアンスは、「ユーザーVM」として動作します
【1】AD認証のリバースプロキシ構成
対応の認証方式
- Active Directory認証
ADサーバーの構築
Windows Serever 上にADサーバーを構築&設定します
リバースプロキシ側の設定 AD認証
リバースプロキシでActive Directoryの認証方式を選択します
- Basic認証
- LDAP認証
- Kerberos認証
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(AD認証)
1)リバースプロキシへアクセス
2)AD認証(アカウントやパスワードを入力)
3)ADの認証後にリダイレクト先のWebページを表示
【2】AD認証+SSLクライアント認証
対応の認証方式
- Active Directroy認証
- SSLクライアント認証
ADサーバーの構築
Windows Serever 上にADサーバーを構築&設定します
リバースプロキシ側の設定 AD認証
リバースプロキシでActive Directoryの認証方式を選択します
- LDAP認証
- Kerberos認証
リバースプロキシ側でのSSLクライアント認証 設定
- Private-CA 機能により、SSLクライアント証明書を発行します
- Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示
【3】ワンタイムパスワード認証のリバースプロキシ構成
対応の認証方式
- OTP認証
- QRコード対応
- 「OTP+任意のパスワード」の組み合わせに対応
- TOTP / HOTP 対応
対応のソフトウエアトークン
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
- Google Authenticator
- WinAuth
- Authy
- IIJ SmartKey
- Microsoft Authenticator
- 他
リバースプロキシのワンタイムパスワード設定
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応
認証のステップ(ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リダイレクト先のWebサイトの表示
【4】SSLクライアント認証のリバースプロキシ構成
SSLクライアント認証の有効化
- リバースプロキシのSSLクライアント認証を有効にします
- *Private-CA 機能により、SSLクライアント証明書を発行します
SSLクライアント認証のアクセスコントロール
- 時間帯や曜日によるアクセス制限
- 部門によるアクセス制限
例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証)
1)リバースプロキシにアクセス
2)SSLクライアント認証
3)認証後にリダイレクト先のWebを表示
SSLクライアント証明書が無効の場合
【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構成
ワンタイムパスワードの設定
SSLクライアント認証の有効化
- Webサーバー側のSSLクライアント認証を有効にします
- 時間帯や曜日によるアクセスコントロール
- 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応
認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にリバースプロキシにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 リダイレクト先のWebサイトの表示
【6】SAML認証のリバースプロキシ構成
- ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します
対応の認証方式
- SAML認証
idPの設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側でSAML認証の有効化
- リバースプロキシ側でSAML認証を有効にします
- リバースプロキシ側にユーザーアカウントは不要です
認証のステップ(SAML認証)
1)リバースプロキシへアクセス
2)初回のみ idP へアクセス ( シングルサインオン )
3)idPの認証後にリバースプロキシ先のWebにリダイレクト
【7】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成
idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- SSLクライアント認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側 SAML認証の有効化
- リバースプロキシ側でSAML認証を有効にします
- リバースプロキシ側にユーザーアカウントは不要です
SSLクライアント認証
idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)リバーススプロキシへアクセス(SSLクライアント認証)
2) idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にリダイレクト先のWebサイトにアクセス
【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成
idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- ワンタイムパスワード認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
リバースプロキシ側 SAML認証の有効化
- Webサーバー側でSAML認証を有効にします
- Webサーバー側にユーザーアカウントは不要です
リバースプロキシ側 ワンタイムパスワード認証
idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)OTP表示
2) リバースプロキシへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)
【10】WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。