テレワークやリモートワークで、社内LAN側で運用のWebサーバーへ社外からアクセスさせる場合
- VPN
- リバースプロキシ
- ゼロトラスト
などの方法があります。
リバースプロキシはWebでのアクセスとなるために、VPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくターゲットのWebへのアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。リバースプロキシに各種の認証を設定することにより、安全にターゲットのWebへアクセスすることが可能です。
例 LAN内のSharePointへのアクセス
例 LAN内のWebMail / Roundcubeへのアクセス
例 LAN内のMattermost / ビジネスチャットへのアクセス
VPNとリバースプロキシの比較
VPN | リバースプロキシ | |
ターゲット | ネットワーク | Webサーバー |
ツール | 専用のVPN クライアント | Webブラウザ |
速度 | 混雑時には速度の低下など | Web閲覧と同等の速度 |
端末側の負荷 | 利用端末にも相応の負荷がかかる
モバイル端末のバッテリー消費の増大 |
Web閲覧と同等の軽い負荷 |
セキュリティ | VPNのアクセスに認証が必要 | リバースプロキシへのアクセスに認証を設定可能
多要素認証などでセキュリティレベルの向上を図れる |
安全性 | VPN利用の認証が脆弱な場合がある | リバースプロキシでのアクセス認証に依存 |
VPNへのアクセス集中による遅延など
VPNは仕様上、利用する機器や回線に大きな負荷がかかるために大人数での同時アクセスを処理する用途には向いておりません。
VPNへアクセスする際のセキュリティレベルが低い場合があるので注意( 例 ID/パスワードのみでVPNの利用が可能など )
VPNでネットワークに接続してしまうと、全てのサーバーにアクセスできてしまい、セキュリティリスクが高い。
リバースプロキシの場合
VPNと異なり、リバースプロキシではユーザーはブラウザのみで利用ができます。また基本的にはWebでのアクセスなので、機器や回線に負荷をかけずに利用できます。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバー名・ドメイン名を隠蔽することが可能。
ターゲットサーバーの隠蔽
- リバースプロキシ https://rev-proxy.xxx.com/
- ターゲット https://target.yyy.co.jp/zzz
- リダイレクト設定 https://rev-proxy.xxx.com/ ---> https://target.yyy.co.jp/zzz
- ユーザーブラウザへの表示 https://rev-proxy.xxx.com/zzz
*リバースプロキシ先のサーバーとして他社サーバーのサービスを利用の場合でも、ユーザーに見えるのはリバースプロキシサーバーまでです。
リバースプロキシの各種認証
リバースプロキシへアクセス時に各種の認証が適用できます。これにより社内側のWebサーバーへも安全なアクセスが可能です。リバースプロキシに複数の認証を組み合わせての多要素認証での運用もできます。
リバースプロキシ先のWebサーバーの「認証機能が弱い」 もしくは 「認証がない」場合でも認証対応のリバースプロキシ経由でセキュアなアクセスが可能です
【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & OTP/ワンタイムパスワード認証+SSLクライアント認証
【4】リバースプロキシ & AD認証
【5】リバースプロキシ & AD認証+SSLクライアント認証
【6】リバースプロキシ & ゼロトラスト対応SAML認証 (IAP : Identity Aware Proxy)
【7】リバースプロキシ & SAML認証+SSLクライアント認証
【8】リバースプロキシ & パスワードレス生体認証( FIDO2 / WebAuthn )
認証対応のリバースプロキシ
各種の認証機能付属のリバースプロキシとしては
が対応しています
◉ リバースプロキシ&「ワンタイムパスワード認証」後に社内のSharepointへアクセス
認証のステップ
◉ リバースプロキシ&「SSLクライアント認証」後に社内のWebへアクセス
認証のステップ
有効なSSLクライアント証明書の無い場合
◉ リバースプロキシ&「SSLクライアント認証+ワンタイムパスワード認証」後に社内のWebへアクセス
認証のステップ
◉ リバースプロキシ&「AD認証」後に社内Webへアクセス
認証のステップ
◉ リバースプロキシ&「SSLクライアント認証+AD認証」後に社内Webへアクセス
認証のステップ
◉ リバースプロキシ&ゼロトラスト対応「SAML認証」後に社内Webへアクセス
iDaaSやidPとの連携
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携
リバースプロキシは、「ID認識型リバースプロキシ」として「SAML認証」で動作します
任意のidPと連携して、ゼロトラスト構成での運用が出来ます
認証のステップ
① リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリダイレクト先のWebサイトの表示
◉ リバースプロキシ&「SAML認証+SSLクライアント認証」後に社内Webへアクセス
iDaaSやidPとの連携
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携
idP側の認証とは別に、リバースプロキシで自社LAN内にアクセス時のSSLクライアント認証を設定して運用をします
認証のステップ
◉ リバースプロキシの生体認証
ユーザー側の生体認証を元にパスワードレスでリバースプロキシへのアクセスコントロールを行い、ターゲットのWebシステムへリダイレクトさせる運用が出来ます。
スマートフォンやタブレットのユーザーは、自身で保有の端末の指紋認証や顔認証の機能を使用します。パソコンユーザーは、USB接続のFIDO2対応の生体認証器を使用してリバースプロキシのアクセス認証を行うことが出来ます。
Android / iPhone / iPad + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「スマートフォンの所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( スマートフォンの顔認証や指紋認証の機能を利用 )
③ 認証後にリバース先のターゲットWebへリダイレクト
PC + FIDO2・指紋認証キー のユーザー
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 2要素目の認証 指紋認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト
◉ リバースプロキシの冗長化や負荷分散
ロードバランサーを使用。リバースプロキシの自動同期モードと組み合わせて、冗長構成で運用します。
ロードバランサーはクラウド環境側のリソースを利用する構成
マルチAZ構成
Route53やGSLBを使い、広域負荷分散を行います。
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
◉ WAN側に設置のWebアクセスの認証強化
リバースプロキシ経由のみで指定のWebへアクセスする運用でセキュリティを確保できます。WAN側に設置のサーバーへもセキュアにアクセスができます。
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。