オンプレの社内設置のNASへ社外からアクセス / リバースプロキシを利用して多要素認証やSSOで運用

LAN内に設置のオンプレのNAS / ファイルサーバーへ、社外から安全にアクセスさせる方法としては、認証機能に対応のリバースプロキシを経由させることで対応が出来ます。

一般的なオンラインストレージは、Web GUIからのアクセスをサポートしており、ID/Passwd認証でログインが出来ます。

NAS 認証

 

 

【リバースプロキシ&多要素認証

リモートワークなどで社外から、社内のNASへアクセスさせる場合にはリバースプロキシを利用します。その際に、リバースプロキシの認証機能を利用して多要素認証や2段階認証などを追加でNASへのアクセスを行います。認証対応のリバースプロキシを経由することでNAS側の変更をすることなく認証機能を強化する運用が可能です。

  • 社内からは 「ID/Passwd認証」 でNASへアクセス
  • 社外からは 「認証機能の追加のリバースプロキシ」 経由でNASへアクセス

 

 

 

【認証機能に対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種の認証機能を有する  Powered BLUE アプライアンスが利用できます。

リバースプロキシでの認証機能としては

  • ワンタイムパスワード認証
  • SSLクライアント認証
  • SAML認証
  • OIDC認証
  • AD認証
  • FIDO2生体認証

などに対応しており、自社のポリシーに適した認証を追加して運用ができます。

 

 

【SSLクライアント認証時のアクセス】

SSLクライアント証明書  有効

 

 

SSLクライアント証明書  無効

 

【SSLクライアント認証時のアクセスコントロール】

有効なSSLクライアント証明書を有している場合でも、アクセスコントロールを設定可能です。

  1.  組織や部門でのアクセス制限
  2.  曜日や時間帯でのアクセス制限
  3.  特定ユーザーでのアクセス制限
  4.  端末を紛失したAさんのアクセス禁止

 

 

【ワンタイムパスワード認証】

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

 

 

【idP連携の代理認証でのSSOアクセス】

OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う方法として

  • OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用して、ユーザーの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンをします。構成に際してWebの改修は不要です。またWebシステムのOSにも依存しません。

 

 

【SSOリバースプロキシ・アプライアンス製品

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

 

【idP連携でのOIDC/SAML認証のリバースプロキシからWebへ代理入力&SSO】

 

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

 

 

【代理認証】

OIDC / SAML認証に対応のリバースプロキシからターゲットWebへ「ID / パスワード」の代理入力を行います。

  1. ユーザーから「ID / パスワード」の入力不要
  2. ターゲットWebを「SSOのメンバー」として構成

 

 

代理入力のSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ  idP へアクセス
  3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

【Powered BLUE アプライアンスの構成】

  • OS  RedHat 8.x / RockyLinux 8.x 対応
  • Web / DNS / SMTP / IMAP / POP
  • DKIM / DMARC / SPF(送信元ドメイン認証)
  • 各種の認証に対応のリバースプロキシ
  • Let’s  Encrypt  対応

 

 

 

Powered BLUE アプライアンスの簡単運用】

ひとり情シスでの運用にも対応

  • サーバーの自己監視機能やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能
  • GUIでのサーバーやアプリの設定

 

 

Powered BLUE アプライアンスの運用先】

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

 

【WAN側に設置のサーバーへのアクセス】

WAN側に設置のNASへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内NASサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

 

ログの長期保存&ローテーション

任意期間のログ保存

ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年間での運用の例

 

 

受信ログの指定キーワードでのトラップ&メール通知

  •  アラートには任意のキーワードでトラップを設定
  •  トラップが連続した場合でも、送信メールの間隔を設定
    (例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)

 

 

 

【デモサーバー】

Powered BLUEの  デモサーバー

 

【お問合せ】

 

 

 

ご質問やご相談など