月別アーカイブ: 2019年10月

社内Webへ外部から安全にアクセス・認証機能対応のリバースプロキシを利用

モバイルPCやスマートデバイスのブラウザを利用して、社内LAN側のWebシステムへ社外/WANから安全にアクセスさせる方法について

インターネット側に、認証機能に対応のリバースプロキシを設置して「認証後」に社内のWebへリダイレクトさせることが出来ます。社内Web側の認証機能が「弱い」もしくは「認証がない」場合でも、運用ができます。

例 社内に設置のSharepoint へのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

例 社内のWebMailへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

リバースプロキシの特徴

  • インターネット回線とブラウザで利用可能
  • モバイル端末用の閉域網やVPNは不要
  • エンドユーザー側の負担が少ない
  • リバースプロキシ先のWebサーバーを外部から隠蔽出来る

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/reverse-proxy-1.png

今回は、認証機能に対応のリバースプロキシとして「Powered BLUE リバースプロキシ 」アプライアンスを利用します。

 

リバースプロキシでの認証方法

認証方式としては

  • ワンタイムパスワード認証 (OTP認証)
  • SSLクライアント認証 (証明書認証)
  • AD認証
  • SAML認証 (シングルサインオン)

など

複数の認証を組み合わせての運用や、ユーザーやリバースプロキシ先のタ―ゲットのWebサイトに応じて認証方式を変更しての運用も可能です。

 

各種のリバースプロキシの認証方式の特徴・比較

認証方式 特徴
ワンタイムパスワード認証 無償のソフトウエア・トークンなどで導入費用を抑える事が可能

使い捨てパスワードに為、安全性が高い

アクセス時に毎回パスワードを入力する必要がある

SSLクライアント認証 証明書に有効期限がある

曜日や時簡帯によるアクセス制限が可能

証明書の失効などでのアクセス制限が可能

パスワードの入力は不要

AD認証 Windowsで広く使われている認証方式

KerberosやLDAPに対応

SSLクライアント認証などとの併用も可能

SAML認証 既にiDaaS/IdPなどを利用の場合に導入が可能

SSOで認証済みであれば、パスワードの入力不要

リバースプロキシ上での独自認証の設定が可能

 

Powered BLUE リバースプロキシの特徴

各種の認証に機能に対応のリバースプロキシとして、Powered BLUE リバースプロキシを利用します。

https://www.mubit.co.jp/sub/products/img2/pb-vm-3.png

  • アプライアンス(仮想 / クラウド / ハードウエアに対応)
  • 任意の場所での運用
  • 自社管理での運用
  • 電源オンですぐに運用
  • ひとり情シスでの運用

 

リバースプロキシの設定例

・複数のリバース先を設定可能
・リバース先のポート(http/https/ポート番号)を指定可能
・終端までSSL通信での運用が可能

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

 

【1】 OTP/ワンタイムパスワード 認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2/otp-3.png

google authenticatorなどの無償のソフトウエア・トークン対応

QRコード / 2次元バーコード対応

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/qr-2.png

 

ワンタイムパスワードのユーザー管理・認証とリバースプロキシを1台で運用

対応のモデルは  Powered BLUE 870 / OTP & Reverse Proxy

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-rev-1-1.png

 

【2】SSLクライアント 認証付属 リバースプロキシ

Private CA機能を有しており、SSLクライアント証明書の発行・管理・認証とリバースプロキシまでを1台で運用

対応のモデルは  Powered BLUE Private CA & Reverse Proxy

 

【3】 ワンタイムパスワード認証+SSLクライアント認証付属 リバースプロキシ (多要素認証)

Private CA機能をとSSLクライアント証明書の発行・管理・認証およびワンタイムパスワード認証とリバースプロキシまでを1台で運用

認証の併用やそれぞれの単独認証などユーザーやリバース先などで、利用の認証を変えることが可能

対応のモデルは https://www.mubit.co.jp/sub/products/img2/arrow-finger.gif  Powered BLUE Web Station

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

 

【4】 AD認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

社内のADと連携出来ます。AD認証に対応のリバースプロキシとして動作

Kerberos認証やLDAP認証に対応

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

対応のモデルは  Powered BLUE Reverse Proxy for AD

 

【5】 SSLクライアント認証+AD認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

社内のADと連携出来ます。「SSLクライアント認証とAD認証」に対応の多要素認証のリバースプロキシとして動作

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

対応のモデルは  Powered BLUE Reverse Proxy for AD

 

 

【6】 SSO/SAML2.0 認証付属 リバースプロキシ

iDaaS/idpをご利用の場合に連携出来ます。SAML認証に対応のSP(サービスプロバイダ)&ID認識型リバースプロキシとして動作します。

 

ゼロトラスト対応のSSO(シングル・サインオン)で運用

iDaaS/idp としては、SAML 2.0 に対応の Azure AD / G Suites / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE /  Keycloak 他 と連携出来ます

https://www.mubit.co.jp/sub/products/blue/img2/zero-trust-17.png

 

対応のモデルは  Powered BLUE Reverse Proxy for SSO / IDaaS

 

【7】 SSO/SAML2.0 認証付属 リバースプロキシ+独自認証

iDaaS/idPのSAML認証とは別に、自社管理で運用するリバースプロキシ上でSSLクライアント認証やワンタイムパスワード認証の設定にも対応

社内Webへのアクセスに際して、IDaaSとは異なる自社のポリシーに準じた独自の認証を設定して運用する場合には有効です

 

ID認識型リバースプロキシ+SSLクライアント認証

https://www.mubit.co.jp/sub/products/blue/img2/zero-trust-ssl-2.png

 

ID認識型リバースプロキシ+ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-21.png

 

対応のモデルは  Powered BLUE Reverse Proxy for SSO / IDaaS

 

【冗長化】

ロードバランサー配下での運用構成

シングルAZ + ロードバランサー

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

マルチAZでの運用構成

異なるアベイラビリティゾーン(AZ)での運用により耐障害性の向上

マルチAZ + GSLB

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

WAN側Webへの認証強化

WAN側設置のWebへアクセスを「認証対応のリバースプロキシ経由に限定」

認証機能のない社内Webサーバーをクラウドの公開基盤側に移設して運用する場合にも、セキュリティレベルを確保できます

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

終わりに

既存で運用のWebへのアクセスに認証機能付きのリバースプロキシを導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。