Active DirectoryのKerberos認証やLDAP認証、Basic認証に対応のCentOS / RedHatで動作するリバースプロキシを利用します。リモートワークやテレワーク時にVPNの代替としてブラウザのみで簡単に社内Webへアクセスが出来ます。
◉ AD認証に対応のリバースプロキシ
Active Directroy認証に対応の 「Powered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。
機能
- リバースプロキシ機能
- リバースプロキシのAD認証
- リバースプロキシのSSLクライアント認証
- リバースプロキシのHA対応
運用構成
- LAN側に設置のWebへのアクセス
運用先
Powered BLUE Reverse Proxy for AD の運用先
- 仮想環境 ( VMware / Hyper-V )
*仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます
- クラウド環境( AWS / Azure / VPS 他)
対応の認証方式
Active Directroyとの
- Basic認証
- Kerberos認証
- LDAP認証
など
Active Directroy サーバー
Windows Serever 上にADサーバーを構築&設定します
Powered BLUE アプライアンス
VMware/Hyper-V 環境の場合、Powered BLUE Reverse Proxy for AD アプライアンスのサーバーイメージを仮想環境にインポート&認証方式やリバースプロキシのリダイレクト先を指定します。
認証の設定
利用する認証を選択します
リバースプロキシの設定
リバースプロキシのリダイレクト先を指定します(複数のリバース先を設定できます)
認証のステップ(AD認証)
1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示
◉ 多要素認証での運用にも対応
SSLクライアント認証 + AD 認証
AD認証連携に加えてPrivate-CA機能やSSLクラアント認証機能も有しており、リバースプロキシへアクセス時の多要素認証での運用にも対応
- リバースプロキシの認証 = SSLクライアント認証 + AD認証
SSLクライアント認証の有効化
SSLクライアント認証でのアクセス制限
- 時間帯や曜日によるアクセスコントロール
- 例 月曜日から金曜日 9時から18時 までの時間帯のみのアクセス許可
認証のステップ(SSLクライアント認証+AD認証)
1)SSLクライアント認証
2)リバースプロキシへアクセス
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示
SSLクライアント証明書の無い場合
◉ 冗長運用
リバースプロキシのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応(Active-Activeでの運用に対応)
ロードバラアンサー配下での運用構成
クラウド環境と自社環境のミックス構成
ロードバランサーなどはクラウド環境側のリソースを利用する構成
マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により耐障害性の向上
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
◉ WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
◉ VPNとリバースプロキシの比較
VPNの場合
アクセス集中により、VPN速度の低下などが発生
一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。
リバースプロキシの場合
リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。
ターゲットサーバーの隠蔽
ユーザーから見えるのはリバースプロキシまでです。リバース先のターゲットのサーバー・ドメイン名を隠蔽します。
- リバースプロキシ https://rev-proxy.xxx.com/
- ターゲット https://target.yyy.co.jp/zzz
- リダイレクト設定 https://rev-proxy.xxx.com/ --> https://target.yyy.co.jp/zzz
- ユーザーブラウザへの表示 https://rev-proxy.xxx.com/zzz
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。