月別アーカイブ: 2020年6月

テレワークで社内Webへアクセス / VPNの代替としてリバースプロキシを利用 / FIDO2生体認証にも対応

テレワークやリモートワークで、社内LAN側で運用のWebサーバーへ社外からアクセスさせる場合

  • VPN
  • リバースプロキシ
  • ゼロトラスト

などの方法があります。

リバースプロキシはWebでのアクセスとなるために、VPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくターゲットのWebへのアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。リバースプロキシに各種の認証を設定することにより、安全にターゲットのWebへアクセスすることが可能です。

 

 

例 LAN内のSharePointへのアクセスhttps://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

例 LAN内のWebMail / Roundcubeへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

例 LAN内のMattermost / ビジネスチャットへのアクセス

 

 

VPNとリバースプロキシの比較

VPN リバースプロキシ
ターゲット ネットワーク Webサーバー
ツール 専用のVPN クライアント Webブラウザ
速度 混雑時には速度の低下など Web閲覧と同等の速度
端末側の負荷 利用端末にも相応の負荷がかかる

モバイル端末のバッテリー消費の増大

Web閲覧と同等の軽い負荷
セキュリティ VPNのアクセスに認証が必要 リバースプロキシへのアクセスに認証を設定可能

多要素認証などでセキュリティレベルの向上を図れる

安全性 VPN利用の認証が脆弱な場合がある リバースプロキシでのアクセス認証に依存

 

VPNへのアクセス集中による遅延など

VPNは仕様上、利用する機器や回線に大きな負荷がかかるために大人数での同時アクセスを処理する用途には向いておりません。

 

 

 

 

 

 

VPNへアクセスする際のセキュリティレベルが低い場合があるので注意( 例  ID/パスワードのみでVPNの利用が可能など )

VPNでネットワークに接続してしまうと、全てのサーバーにアクセスできてしまい、セキュリティリスクが高い。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/zero-trust-15.png

 

 

リバースプロキシの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/brauza-2.png

VPNと異なり、リバースプロキシではユーザーはブラウザのみで利用ができます。また基本的にはWebでのアクセスなので、機器や回線に負荷をかけずに利用できます。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバー名・ドメイン名を隠蔽することが可能。

 

ターゲットサーバーの隠蔽

  • リバースプロキシ   https://rev-proxy.xxx.com/
  • ターゲット              https://target.yyy.co.jp/zzz
  • リダイレクト設定   https://rev-proxy.xxx.com/ ---> https://target.yyy.co.jp/zzz
  • ユーザーブラウザへの表示 https://rev-proxy.xxx.com/zzz

*リバースプロキシ先のサーバーとして他社サーバーのサービスを利用の場合でも、ユーザーに見えるのはリバースプロキシサーバーまでです。

 

 

リバースプロキシの各種認証

リバースプロキシへアクセス時に各種の認証が適用できます。これにより社内側のWebサーバーへも安全なアクセスが可能です。リバースプロキシに複数の認証を組み合わせての多要素認証での運用もできます。

リバースプロキシ先のWebサーバーの「認証機能が弱い」 もしくは 「認証がない」場合でも認証対応のリバースプロキシ経由でセキュアなアクセスが可能です

【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & OTP/ワンタイムパスワード認証+SSLクライアント認証
【4】リバースプロキシ & AD認証
【5】リバースプロキシ & AD認証+SSLクライアント認証
【6】リバースプロキシ & ゼロトラスト対応SAML認証  (IAP : Identity Aware Proxy)
【7】リバースプロキシ & SAML認証+SSLクライアント認証
【8】リバースプロキシ & パスワードレス生体認証( FIDO2 / WebAuthn )

 

認証対応のリバースプロキシ

各種の認証機能付属のリバースプロキシとしては

https://www.mubit.co.jp/sub/products/img2/arrow-finger.gif Powered BLUE Reverse-Proxy

が対応しています

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-2.png

 

 

リバースプロキシ&「ワンタイムパスワード認証」後に社内のSharepointへアクセス

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/otp-access-1-1.png

 

 

リバースプロキシ&「SSLクライアント認証」後に社内のWebへアクセス

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-ssl-rev-1.png

 

認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/ssl-web-2.png

 

有効なSSLクライアント証明書の無い場合

https://www.powered.blue/sub/products/img2/ssl-web-4.png

 

 

リバースプロキシ&「SSLクライアント認証+ワンタイムパスワード認証後に社内のWebへアクセス

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-ssl-otp-rev-1.png

 

認証のステップ

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

 

◉ リバースプロキシ&「AD認証」後に社内Webへアクセス

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

 

◉ リバースプロキシ&「SSLクライアント認証+AD認証」後に社内Webへアクセス

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-ssl-rev-2.png

 

認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

 リバースプロキシ&ゼロトラスト対応「SAML認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

リバースプロキシは、「ID認識型リバースプロキシ」として「SAML認証」で動作します

任意のidPと連携して、ゼロトラスト構成での運用が出来ます

 

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

認証のステップ

① リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリダイレクト先のWebサイトの表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/11/idp-sso-1-624x488.png

 

 

 ◉ リバースプロキシ&SAML認証+SSLクライアント認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

idP側の認証とは別に、リバースプロキシで自社LAN内にアクセス時のSSLクライアント認証を設定して運用をします

 

認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-ssl-saml-1.png

 

 

◉ リバースプロキシの生体認証

ユーザー側の生体認証を元にパスワードレスでリバースプロキシへのアクセスコントロールを行い、ターゲットのWebシステムへリダイレクトさせる運用が出来ます。

スマートフォンやタブレットのユーザーは、自身で保有の端末の指紋認証や顔認証の機能を使用します。パソコンユーザーは、USB接続のFIDO2対応の生体認証器を使用してリバースプロキシのアクセス認証を行うことが出来ます。

 

 

 

Android / iPhone / iPad  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「スマートフォンの所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( スマートフォンの顔認証や指紋認証の機能を利用
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 2要素目の認証  指紋認証
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

 

◉ リバースプロキシの冗長化や負荷分散

ロードバランサーを使用。リバースプロキシの自動同期モードと組み合わせて、冗長構成で運用します。

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

 

ロードバランサーはクラウド環境側のリソースを利用する構成

https://www.powered.blue/sub/products/img2/single-az-rev-2.png

 

マルチAZ構成

Route53やGSLBを使い、広域負荷分散を行います。

・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

◉ WAN側に設置のWebアクセスの認証強化

リバースプロキシ経由のみで指定のWebへアクセスする運用でセキュリティを確保できます。WAN側に設置のサーバーへもセキュアにアクセスができます。

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。