テレワークやリモートワークに際して、社内LAN側で運用のSharePointや各種のWebサーバーへ社外からリバースプロキシ経由でアクセスさせる方法です。VPNなどではアクセスが集中すると処理が遅くなるケースありますが、今回はブラウザから簡単に利用出来る認証機能に対応のReverse Proxyを経由して、社内のSharePointやRocketChat、グループウエアなどのWebへアクセスさせます。HAによる冗長化構成や、複数のアベイラビリティゾーン構成(マルチリージョン)でのリバースプロキシの運用にも対応しています。
LAN内のSharePointへReverse Proxy経由でアクセス
VPNの場合
アクセス集中により、VPN速度の低下など
リバースプロキシの場合
リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバーを隠蔽することができます。
既存のWeb環境を変更することなくリバースプロキシの導入が可能です。
リバースプロキシの認証方法
リバースプロキシ先のWebに認証がないケースや認証が脆弱なケースでも、リバースプロキシで認証を行うことで、セキュリティ・レベルを確保します。
【1】リバースプロキシ & ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用
【4】リバースプロキシ & SAML認証
【5】リバースプロキシ & SAML認証とSSLクライアント認証の併用
【6】リバースプロキシ & AD認証
【7】リバースプロキシ & AD認証とSSLクライアント認証の併用
【8】HA & マルチAZ
【9】WANやクラウド側のWeb
各種の認証機能に対応のリバースプロキシとして、「Powered BLUE リバースプロキシ」を利用します。
Powered BLUE リバースプロキシは、AWSやクラウドをはじめ、VMWareやHyper-Vなどの仮想環境での運用に対応の仮想アプライアンスとして提供しています。仮想環境にインポートするだけで簡単に運用が出来ます。
【1】リバースプロキシ & ワンタイムパスワード認証
対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy
リバースプロキシにアクセス時にワンタイムパスワード認証を行います
ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて
●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey
などの無償のソフトウエアトークンなどを利用できます
簡単登録
QRコードを読み込むだけの簡単登録
ワンタイムパスワード認証のアクセス手順
- ワンタイムパスワードを表示
- リバースプロキシへアクセス(ワンタイムパスワード認証)
- 認証後にリダイレクト先のWebサイトが表示(例 SharePoint)
【2】リバースプロキシ & SSLクライアント認証
リバースプロキシへのアクセス時にSSLクライアント認証を行います
対応のモデル
Powered BLUE Private CA & Reverse Proxy
Private-CA機能&SSLクライアント認証
- Private-CA 機能によりSSLクライアント証明書を発行します
- Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います
特徴
- リバースプロキシへのアクセス時にパスワードの入力不要
- 日時などでのリバースプロキシへのアクセスコントロールが可能
アクセスコントロール 例
- 組織や部門でのアクセス制限
- 曜日や時間帯でのアクセス制限
- 特定ユーザーでのアクセス制限
- 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
有効なSSLクライアント証明書のない場合
リバースプロキシでアクセスが拒否されます
証明書 〇 証明書 ✖
【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用
リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います
対応のモデル
Powered BLUE Web Station
特徴
- 多要素認証によりリバースプロキシの認証の強度が上がります
認証のステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 (リバースプロキシ)
3)ワンタイムパスワードを入力 (リバースプロキシ)
4)認証後にリバースプロキシ先のWebが表示(例 RocketChat)
【4】リバースプロキシ & SAML認証
リバースプロキシへのアクセス時にSAML認証を行います
idP / IDaaS
idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。
既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます
SAML-SP
Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ)として動作します
対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS
特徴
- シングルサインオン/SAML認証に対応のリバースプロキシとして運用が出来ます
認証のステップ
1)リバースプロキシにアクセス(SP-initiated SAML)
2)SAML認証
3)認証後にリバースプロキシ先のターゲットのWebが表示
【5】リバースプロキシ & SAML認証とSSLクライアント認証の併用
リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。
特徴
- リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます
【6】リバースプロキシ & AD認証
リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル Powered BLUE Reverse Proxy for AD
特徴
- リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。
AD認証時の手順
1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示
【6】リバースプロキシ & SSLクライアント認証+AD認証
リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル Powered BLUE Reverse Proxy for AD
特徴
- リバースプロキシへのアクセスに際して、多要素認証で運用ができます。
SSLクライアント認証&AD認証時の手順
1)リバースプロキシへアクセス
2)SSLクライアント認証
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示
【7】HA & マルチリージョン
ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。
ロードバランサー配下での運用
認証対応のリバースプロキシはシングルリージョン(シングルAZ)のロードバランサー配下に設置・運用
マルチAZでの運用
認証対応のリバースプロキシの設置・運用先
- リージョンA 東日本データセンター
- リージョンB 西日本データセンター
【8】WAN側設置のWeb
クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。
認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。