Web認証対応のリバースプロキシをNutanixで運用 / 社内Webへのセキュアアクセス

既存のWebサーバーへアクセスに際して、各種のWeb認証に対応のリバースプロキシサーバー経由でセキュアにWebアクセスさせる構成例です。認証機能に対応のリバースプロキシは、Nutanix上で運用します。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/04/nutanix-1-1.png

 

リバースプロキシ構成

テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/rev-proxy-4.png

 

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png

 

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

 

Let’s Encrypt 対応

Powered BLUE Reverse Proxyでは、SSLサーバー証明書としてLet’s Encryptにも対応しています。リバースプロキシのサイトに、Let’s Encryptを適用して自動更新での運用が出来ます。

 

 

Nutanixでのリバースプロキシ構成例

 

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reversse Prox  アプライアンス」 を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-2.png

 

リバースプロキシの運用先

https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reversse Prox  アプライアンス」は

Nutanix上で運用します

 

Powered BLUE Reverse Proxyアプライアンスは、「ユーザーVM」として動作します

 

【1】AD認証のリバースプロキシ構成

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

対応の認証方式

  • Active Directory認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

 

ADサーバーの構築

Windows Serever 上にADサーバーを構築&設定します

 

リバースプロキシ側の設定 AD認証

リバースプロキシでActive Directoryの認証方式を選択します

  • Basic認証
  • LDAP認証
  • Kerberos認証

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(AD認証)

1)リバースプロキシへアクセス
2)AD認証(アカウントやパスワードを入力)
3)ADの認証後にリダイレクト先のWebページを表示

 

 

【2】AD認証+SSLクライアント認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-ssl-rev-2.png

 

対応の認証方式

  • Active Directroy認証
  • SSLクライアント認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

ADサーバーの構築

Windows Serever 上にADサーバーを構築&設定します

 

リバースプロキシ側の設定 AD認証

リバースプロキシでActive Directoryの認証方式を選択します

  • LDAP認証
  • Kerberos認証

 

リバースプロキシ側でのSSLクライアント認証 設定

  • Private-CA 機能により、SSLクライアント証明書を発行します
  • Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示

 

 

【3】ワンタイムパスワード認証のリバースプロキシ構成

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

対応の認証方式

  • OTP認証
  • QRコード対応
  • 「OTP+任意のパスワード」の組み合わせに対応
  •  TOTP / HOTP  対応

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

  • Google Authenticator
  • WinAuth
  • Authy
  • IIJ SmartKey
  • Microsoft Authenticator

 

リバースプロキシのワンタイムパスワード設定

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

 

認証のステップ(ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リダイレクト先のWebサイトの表示

 

 

【4】SSLクライアント認証のリバースプロキシ構成

 

SSLクライアント認証の有効化

  • リバースプロキシのSSLクライアント認証を有効にします
  • *Private-CA 機能により、SSLクライアント証明書を発行します

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

 

SSLクライアント認証のアクセスコントロール

  • 時間帯や曜日によるアクセス制限
  • 部門によるアクセス制限

例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証)

1)リバースプロキシにアクセス
2)SSLクライアント認証
3)認証後にリダイレクト先のWebを表示

 

SSLクライアント証明書が無効の場合

https://www.powered.blue/sub/products/img2/ssl-web-4.png

 

 

【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構

 

ワンタイムパスワードの設定

 

SSLクライアント認証の有効化

  • Webサーバー側のSSLクライアント認証を有効にします

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

  • 時間帯や曜日によるアクセスコントロール
  • 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号)を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

 

認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にリバースプロキシにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 リダイレクト先のWebサイトの表示

 

 

【6】SAML認証のリバースプロキシ構成

  • ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

対応の認証方式

  • SAML認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側でSAML認証の有効化

  • リバースプロキシ側でSAML認証を有効にします
  • リバースプロキシ側にユーザーアカウントは不要です

 

認証のステップ(SAML認証)

1)リバースプロキシへアクセス
2)初回のみ idP へアクセス ( シングルサインオン )
3)idPの認証後にリバースプロキシ先のWebにリダイレクト

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/11/idp-sso-1.png

 

 

【7】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/idp-sp-19-1.png

 

対応の認証方式

  • SAML認証
  • SSLクライアント認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側 SAML認証の有効化

  • リバースプロキシ側でSAML認証を有効にします
  • リバースプロキシ側にユーザーアカウントは不要です

 

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)リバーススプロキシへアクセス(SSLクライアント認証)
2)   idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にリダイレクト先のWebサイトにアクセス

 

 

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

 

対応の認証方式

  • SAML認証
  • ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

リバースプロキシ側 SAML認証の有効化

  • Webサーバー側でSAML認証を有効にします
  • Webサーバー側にユーザーアカウントは不要です

 

リバースプロキシ側 ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)OTP表示
2)   リバースプロキシへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)

【10】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。