AD認証対応のリバースプロキシ経由で社内Webへアクセス / SSLクライアント認証との併用 / テレワークでのVPNの代替

Active DirectoryのKerberos認証やLDAP認証、Basic認証に対応のCentOS / RedHatで動作するリバースプロキシを利用します。リモートワークやテレワーク時にVPNの代替としてブラウザのみで簡単に社内Webへアクセスが出来ます。

 

◉ AD認証に対応のリバースプロキシ

Active Directroy認証に対応の https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

機能

  • リバースプロキシ機能
  • リバースプロキシのAD認証
  • リバースプロキシのSSLクライアント認証
  • リバースプロキシのHA対応

 

運用構成

  • LAN側に設置のWebへのアクセス

 

運用先

Powered BLUE Reverse Proxy for AD の運用先

  • 仮想環境 ( VMware / Hyper-V )

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

*仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

 

  • クラウド環境( AWS / Azure / VPS 他)

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

https://www.mubit.co.jp/sub/products/blue/img2/cloud-2.png

 

対応の認証方式

Active Directroyとの

  • Basic認証
  • Kerberos認証
  • LDAP認証

など

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

 

Active Directroy サーバー

Windows Serever 上にADサーバーを構築&設定します

 

Powered BLUE アプライアンス

https://www.mubit.co.jp/sub/products/img2/pb-vm-3.png

VMware/Hyper-V 環境の場合、Powered BLUE Reverse Proxy for AD アプライアンスのサーバーイメージを仮想環境にインポート&認証方式やリバースプロキシのリダイレクト先を指定します。

 

認証の設定

利用する認証を選択します

 

リバースプロキシの設定

リバースプロキシのリダイレクト先を指定します(複数のリバース先を設定できます)

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

 

認証のステップ(AD認証)

1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

 

多要素認証での運用にも対応

 SSLクライアント認証 +  AD 認証

AD認証連携に加えてPrivate-CA機能やSSLクラアント認証機能も有しており、リバースプロキシへアクセス時の多要素認証での運用にも対応

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

  • リバースプロキシの認証 = SSLクライアント認証 +  AD認証

 

 

SSLクライアント認証の有効化

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

 

SSLクライアント認証でのアクセス制限

  • 時間帯や曜日によるアクセスコントロール
  • 例 月曜日から金曜日 9時から18時 までの時間帯のみのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証のステップ(SSLクライアント認証+AD認証)

1)SSLクライアント認証
2)リバースプロキシへアクセス
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

冗長運用

リバースプロキシのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応(Active-Activeでの運用に対応)

 

ロードバラアンサー配下での運用構成

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により耐障害性の向上

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

 

WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

 

VPNとリバースプロキシの比較

VPNの場合

アクセス集中により、VPN速度の低下などが発生

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png

 

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/zero-trust-15.png

 

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

 

ターゲットサーバーの隠蔽

ユーザーから見えるのはリバースプロキシまでです。リバース先のターゲットのサーバ・ドメイン名を隠蔽します。

  • リバースプロキシ   https://rev-proxy.xxx.com/
  • ターゲット              https://target.yyy.co.jp/zzz
  • リダイレクト設定   https://rev-proxy.xxx.com/ ---> https://target.yyy.co.jp/zzz
  • ユーザーブラウザへの表示 https://rev-proxy.xxx.com/zzz

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。