リバースプロキシ構成

テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

Let’s Encrypt 対応

Powered BLUE Reverse Proxyでは、SSLサーバー証明書としてLet’s Encryptにも対応しています。リバースプロキシのサイトに、Let’s Encryptを適用して自動更新での運用が出来ます。

Nutanixでのリバースプロキシ構成例

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Prox  アプライアンス」　を利用します。

リバースプロキシの運用先

「Powered BLUE Reversse Prox  アプライアンス」は

Nutanix上で運用します

Powered BLUE Reverse Proxyアプライアンスは、「ユーザーVM」として動作します

【１】AD認証のリバースプロキシ構成

対応の認証方式

• Active Directory認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• Basic認証
• LDAP認証
• Kerberos認証

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（AD認証）

１）リバースプロキシへアクセス
２）AD認証（アカウントやパスワードを入力）
３）ADの認証後にリダイレクト先のWebページを表示

【2】AD認証＋SSLクライアント認証

対応の認証方式

• Active Directroy認証
• SSLクライアント認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• LDAP認証
• Kerberos認証

リバースプロキシ側でのSSLクライアント認証 設定

• Private-CA 機能により、SSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【3】ワンタイムパスワード認証のリバースプロキシ構成

対応の認証方式

• OTP認証
• QRコード対応
• 「OTP＋任意のパスワード」の組み合わせに対応
•  TOTP / HOTP  対応

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

• Google Authenticator
• WinAuth
• Authy
• IIJ SmartKey
• Microsoft Authenticator
• 他

リバースプロキシのワンタイムパスワード設定

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

認証のステップ（ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リダイレクト先のWebサイトの表示

【4】SSLクライアント認証のリバースプロキシ構成

SSLクライアント認証の有効化

• リバースプロキシのSSLクライアント認証を有効にします
• *Private-CA 機能により、SSLクライアント証明書を発行します

SSLクライアント認証のアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 部門によるアクセス制限

例　月曜日から金曜日　9時から18時　までの時間帯のみリバースプロキシへのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証）

１）リバースプロキシにアクセス
２）SSLクライアント認証
３）認証後にリダイレクト先のWebを表示

SSLクライアント証明書が無効の場合

【5】ワンタイムパスワード認証＋SSLクライアント認証のWeb構成

ワンタイムパスワードの設定

SSLクライアント認証の有効化

• Webサーバー側のSSLクライアント認証を有効にします

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　まで時間帯のみのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にリバースプロキシにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　リダイレクト先のWebサイトの表示

【6】SAML認証のリバースプロキシ構成

• ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

対応の認証方式

• SAML認証

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側でSAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

認証のステップ（SAML認証）

1）リバースプロキシへアクセス
2）初回のみ idP へアクセス ( シングルサインオン ）
3）idPの認証後にリバースプロキシ先のWebにリダイレクト

【７】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• SSLクライアント認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）リバーススプロキシへアクセス（SSLクライアント認証）
２)   idPへアクセス ( シングルサインオン / 初回のみ ）
３）idPの認証後にリダイレクト先のWebサイトにアクセス

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• ワンタイムパスワード認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• Webサーバー側でSAML認証を有効にします
• Webサーバー側にユーザーアカウントは不要です

リバースプロキシ側　ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）OTP表示
２)   リバースプロキシへアクセス ( ワンタイムパスワード認証 ）
３）idPのSAML認証後にWebサイトの表示（シングルサインオン / 初回のみ）

【10】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

自社運用のWebサイトへアクセスする際に、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアにWebアクセスが出来ます。

認証対応のWebアプライアンス

Nutanix上では、各種のWeb認証に対応のWebアプライアンスとして、「Powered BLUE Webアプライアンス」　を利用します。

冗長機能はNutanix側の機能を使うため、アプライアンスの運用が簡単です。

Nutanixでの運用

Powered BLUE Webアプライアンスは、「ユーザーVM」として動作します

Web アプライアンスの機能

• マルチサイト / マルチドメイン対応Webサーバー機能
• Private-CA / SSLクラアント認証
• ワンタイムパスワード認証
• Active DIrectory認証
• idP連携SAML認証
• DNS / Mail サーバー機能
• パッチの自動適用機能
• サーバーのモニタリング機能（ひとり情シス対応）

等を有しています。Nutanix上では、ユーザーVMとしてGUIからすべての設定や運用が可能です。

運用構成　例

• Webトップページは、ワールドワイドに公開
• 特定のディレクトリにWeb認証を設定
• デイレクトリごとに異なるWeb認証設定や複数のWeb認証設定
• 複数の仮想サイトに異なるWeb認証を設定（マルチドメイン・マルチサイト）

プラグイン

GUIからの簡単インストール・セットアップに対応

• WordPressでのWebサイト作成
• Let’s EncrptでのSSL証明書の取得＆自動更新
• php 7.x
• WebMail

WordPress  構築・運用　例

WordPress バージョン更新　4.9.2     5.7

Let’s Encrypt 自動更新　例

対応のWeb認証方式

【１】Web & OTP/ワンタイムパスワード認証
【２】Web & SSLクライアント認証
【３】Web & ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】Web & AD認証 ( Active Directory連携 )
【５】Web & AD認証 +  SSLクライアント認証
【６】Web & SAML認証
【７】Web & SAML認証＋ SSLクライアント認証

【１】 OTP/ワンタイムパスワード 認証対応 Web

ワンタイムパスワードのアカウント管理とワンタイムパスワード認証、Webを1台で運用

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

ワンタイムパスワード認証対応のWebサイト運用例

アクセス手順
1）ワンタイムパスワードの表示
2）Webサイトにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　Webサイトの表示

【２】 SSLクライアント 認証対応 Web

Private CA 機能/SSLクライアント証明書の発行・管理および・Webサイトの構築・SSLクライアント認証を1台で運用

Private-CA / SSLクライアント証明書発行 / SSLクライアント認証対応のWebサイト運用例

SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webへのアクセスコントロールが設定出来ます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

認証のステップ（SSLクライアント認証）

１）Webにアクセス
２）SSLクライアント認証
３）認証後にWebを表示

SSLクライアント証明書が無効の場合

【3】 SSLクライアント 認証+ワンタイムパスワード認証対応 Web

SSLクライアント認証とワンタイムパスワード認証（多要素認証のWebサイト）を運用

Private-CA / SSLクライアント認証+ワンタイムパスワード認証対応のWebサイト運用例

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にWebサイトにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　Webサイトの表示

【４】 AD認証対応 Web

ADサーバーとAD認証連携での運用

AD認証設定

AD認証対応のWebサイト運用例

認証のステップ（AD認証）

1）Webサイトへアクセス
2）AD認証後にWebサイトの表示

【５】 SSLクライアント認証＋AD認証対応 Web

SSLクライアント認証とAD認証の併用での運用（多要素認証）

AD認証設定

SSLクライアント認証 設定

SSLクライアント認証＋AD認証対応のWebサイト運用例

認証のステップ（SSLクライアント認証＋AD認証）
１）Webへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にWebページを表示

【６】 SAML認証対応 Web

idPと連携してSAML認証のWebサイトの運用（ID認識型Webサーバーとして動作）

• SSO（シングルサインオン）対応
• ゼロトラスト対応のWebサイトの構築・運用

対応のidP

SAML認証に対応のidP / iDaaS と連携できます
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

ID認識型Webサイト運用例

　idP側の設定

• idPへアカウントを作成
• SAML認証を有効
• アクセスポリシーを設定

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

• Webサイトの認証を設定したいディレクトリのSAML認証を有効

認証のステップ

①   ID認識型Webサイトへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にWebサイトの表示

【７】 SSLクライアント認証＋SAML認証対応 Web

idPの認証とは別に、自社Webへのアクセスに自社のCA/SSLクライアント認証を併用で運用

• SSLクライアント認証（自社独自の認証）
• SSO（シングルサインオン）対応
• ゼロトラスト対応のWebサイトの構築・運用

ID認識型Webサイト運用例

　idP側の設定

• idPへアカウントを作成
• SAML認証を有効
• アクセスポリシーを設定

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

• Webサイトの認証を設定したいディレクトリのSAML認証を有効

SSLクライアント認証

idP側の認証とは別にWebページへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定

認証のステップ

①   ID認識型Webサイトへアクセス（SSLクライアント認証）
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にWebサイトの表示

終わりに

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください