オンプレ対応

クローズドネットワークやオンプレ環境で運用する必要のある場合のビジネスチャットとしては、Slack互換の機能を備えたMattermostは選択枝の一つとなります。

コンパライアンス上、SaaSなどのチャットサービスを利用できない場合でも機密情報や個人情報を組織内に保存でき、ビジネスチャットサービスを利用することができます。

Mattermostのライセンス

Mattermostは、無償で利用できるTeam EditionやAD認証やSSOに対応の有償版（E10/E20）などがあります。

Mattermostの認証強化

テレワークなどで、Mattermostアクセス時の認証強化として「SSLクライアント認証」でアクセスされることが出来ます。

利用機器は、「Powered BLUE fort Mattermost」を使います

• Mattermostの機能
• SSLクライアント認証
• リバースプロキシ
• Private CA
• スケジュールバックアップ
• ログのトラップや保存

の機能を、1台で運用が出来ます。SSLクラアント認証はMattermostのTeam Editionの他、E10  / E20 でも対応が可能です。

SSLクライアント証明書が有効な場合

SSLクライアント証明書が無効な場合

時間帯でのアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Mattmermostへのアクセスコントロールを設定出来ます。

１）組織や部門でのアクセス制限
２）曜日や時間帯でのアクセス制限
３）特定ユーザーでのアクセス制限
４）端末を紛失したＡさんのアクセス禁止

認証のパターン

アクセス元によってSSLクラアイント認証の有無を設定できます

• 社内からのアクセス　SSLクライアント認証　無し
• 社外からのアクセス　SSLクライアント認証　あり

運用形態

オールインワン構成（リバースプロキシとMattermostを1台で運用）

分離構成（リバースプロキシとMattermostを分離 2台構成で運用）

閉域網での運用

提供形態

運用先に合わせた、仮想アプライアンスでの提供

対応の運用先

• 仮想基盤　VMwareESXi / Hyper-V / Nutanix
• クラウド　AWS / Azure / VPS

Mattermostデモ

　デモサーバー

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• VPN
• リバースプロキシ
• ゼロトラスト

などの方法があります。

リバースプロキシはWebでのアクセスとなるために、VPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくターゲットのWebへのアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。リバースプロキシに各種の認証を設定することにより、安全にターゲットのWebへアクセスすることが可能です。

例　LAN内のSharePointへのアクセス

例　LAN内のWebMail / Roundcubeへのアクセス

例　LAN内のMattermost / ビジネスチャットへのアクセス

VPNとリバースプロキシの比較

VPNへのアクセス集中による遅延など

VPNは仕様上、利用する機器や回線に大きな負荷がかかるために大人数での同時アクセスを処理する用途には向いておりません。

VPNへアクセスする際のセキュリティレベルが低い場合があるので注意（ 例  ID/パスワードのみでVPNの利用が可能など )

VPNでネットワークに接続してしまうと、全てのサーバーにアクセスできてしまい、セキュリティリスクが高い。

リバースプロキシの場合

VPNと異なり、リバースプロキシではユーザーはブラウザのみで利用ができます。また基本的にはWebでのアクセスなので、機器や回線に負荷をかけずに利用できます。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバー名・ドメイン名を隠蔽することが可能。

ターゲットサーバーの隠蔽

• リバースプロキシ　  https://rev-proxy.xxx.com/
• ターゲット              https://target.yyy.co.jp/zzz
• リダイレクト設定　  https://rev-proxy.xxx.com/　－－－＞ https://target.yyy.co.jp/zzz
• ユーザーブラウザへの表示　https://rev-proxy.xxx.com/zzz

＊リバースプロキシ先のサーバーとして他社サーバーのサービスを利用の場合でも、ユーザーに見えるのはリバースプロキシサーバーまでです。

リバースプロキシの各種認証

リバースプロキシへアクセス時に各種の認証が適用できます。これにより社内側のWebサーバーへも安全なアクセスが可能です。リバースプロキシに複数の認証を組み合わせての多要素認証での運用もできます。

リバースプロキシ先のWebサーバーの「認証機能が弱い」　もしくは　「認証がない」場合でも認証対応のリバースプロキシ経由でセキュアなアクセスが可能です

【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & OTP/ワンタイムパスワード認証＋SSLクライアント認証
【4】リバースプロキシ & AD認証
【5】リバースプロキシ & AD認証＋SSLクライアント認証
【6】リバースプロキシ & ゼロトラスト対応SAML認証  (IAP : Identity Aware Proxy)
【7】リバースプロキシ & SAML認証＋SSLクライアント認証
【8】リバースプロキシ & パスワードレス生体認証（ FIDO2 / WebAuthn )

認証対応のリバースプロキシ

各種の認証機能付属のリバースプロキシとしては

　Powered BLUE Reverse-Proxy

が対応しています

◉ リバースプロキシ＆「ワンタイムパスワード認証」後に社内のSharepointへアクセス

認証のステップ

◉ リバースプロキシ＆「SSLクライアント認証」後に社内のWebへアクセス

認証のステップ

有効なSSLクライアント証明書の無い場合

◉ リバースプロキシ＆「SSLクライアント認証+ワンタイムパスワード認証」後に社内のWebへアクセス

認証のステップ

◉ リバースプロキシ＆「AD認証」後に社内Webへアクセス

認証のステップ

◉ リバースプロキシ＆「SSLクライアント認証＋AD認証」後に社内Webへアクセス

認証のステップ

 ◉ リバースプロキシ＆ゼロトラスト対応「SAML認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

リバースプロキシは、「ID認識型リバースプロキシ」として「SAML認証」で動作します

任意のidPと連携して、ゼロトラスト構成での運用が出来ます

認証のステップ

① リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン ）
③ idPの認証後にリダイレクト先のWebサイトの表示

 ◉ リバースプロキシ＆「SAML認証+SSLクライアント認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

idP側の認証とは別に、リバースプロキシで自社LAN内にアクセス時のSSLクライアント認証を設定して運用をします

認証のステップ

◉ リバースプロキシの生体認証

ユーザー側の生体認証を元にパスワードレスでリバースプロキシへのアクセスコントロールを行い、ターゲットのWebシステムへリダイレクトさせる運用が出来ます。

スマートフォンやタブレットのユーザーは、自身で保有の端末の指紋認証や顔認証の機能を使用します。パソコンユーザーは、USB接続のFIDO2対応の生体認証器を使用してリバースプロキシのアクセス認証を行うことが出来ます。

Android / iPhone / iPad  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「スマートフォンの所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ スマートフォンの顔認証や指紋認証の機能を利用 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 　指紋認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

◉ リバースプロキシの冗長化や負荷分散

ロードバランサーを使用。リバースプロキシの自動同期モードと組み合わせて、冗長構成で運用します。

ロードバランサーはクラウド環境側のリソースを利用する構成

マルチAZ構成

Route53やGSLBを使い、広域負荷分散を行います。

・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

◉ WAN側に設置のWebアクセスの認証強化

リバースプロキシ経由のみで指定のWebへアクセスする運用でセキュリティを確保できます。WAN側に設置のサーバーへもセキュアにアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

LAN内のSharePointへReverse Proxy経由でアクセス

VPNの場合

アクセス集中により、VPN速度の低下など

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバーを隠蔽することができます。

既存のWeb環境を変更することなくリバースプロキシの導入が可能です。

リバースプロキシの認証方法

リバースプロキシ先のWebに認証がないケースや認証が脆弱なケースでも、リバースプロキシで認証を行うことで、セキュリティ・レベルを確保します。

【１】リバースプロキシ ＆ ワンタイムパスワード認証
【２】リバースプロキシ ＆ SSLクライアント認証
【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用
【４】リバースプロキシ ＆ SAML認証
【５】リバースプロキシ ＆ SAML認証とSSLクライアント認証の併用
【６】リバースプロキシ ＆ AD認証
【７】リバースプロキシ ＆ AD認証とSSLクライアント認証の併用
【８】HA ＆ マルチAZ
【９】WANやクラウド側のWeb

各種の認証機能に対応のリバースプロキシとして、「Powered BLUE リバースプロキシ」を利用します。

Powered BLUE リバースプロキシは、AWSやクラウドをはじめ、VMWareやHyper-Vなどの仮想環境での運用に対応の仮想アプライアンスとして提供しています。仮想環境にインポートするだけで簡単に運用が出来ます。

【１】リバースプロキシ ＆ ワンタイムパスワード認証

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

簡単登録

QRコードを読み込むだけの簡単登録

ワンタイムパスワード認証のアクセス手順

• ワンタイムパスワードを表示
• リバースプロキシへアクセス（ワンタイムパスワード認証）
• 認証後にリダイレクト先のWebサイトが表示（例　SharePoint)

【２】リバースプロキシ ＆ SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

対応のモデル
Powered BLUE Private CA & Reverse Proxy

Private-CA機能＆SSLクライアント認証

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

特徴

• リバースプロキシへのアクセス時にパスワードの入力不要
• 日時などでのリバースプロキシへのアクセスコントロールが可能

アクセスコントロール　例

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

証明書　〇　　　　　　　　　証明書　

【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

対応のモデル
Powered BLUE Web Station

特徴

• 多要素認証によりリバースプロキシの認証の強度が上がります

認証のステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証 (リバースプロキシ）
３）ワンタイムパスワードを入力 (リバースプロキシ）
４）認証後にリバースプロキシ先のWebが表示（例　RocketChat)

【４】リバースプロキシ ＆ SAML認証

リバースプロキシへのアクセス時にSAML認証を行います

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP

Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ）として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

特徴

• シングルサインオン/SAML認証に対応のリバースプロキシとして運用が出来ます

認証のステップ

１）リバースプロキシにアクセス（SP-initiated SAML)
２）SAML認証
３）認証後にリバースプロキシ先のターゲットのWebが表示

【５】リバースプロキシ ＆ SAML認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

特徴

• リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

【６】リバースプロキシ ＆ AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

AD認証時の手順

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（AD認証）
３）ADの認証後にリバース先のWebを表示

【６】リバースプロキシ ＆ SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

SSLクライアント認証＆AD認証時の手順

１）リバースプロキシへアクセス
２）SSLクライアント認証
３）アカウントやパスワードを入力（AD認証）
４）ADの認証後にリバース先のWebを表示

【７】HA ＆ マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン（シングルAZ）のロードバランサー配下に設置・運用

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

• リージョンA　東日本データセンター
• リージョンB　西日本データセンター

【８】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

デモサイト

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。