LAN内に設置のオンプレのNAS / ファイルサーバーへ、社外から安全にアクセスさせる方法としては、認証機能に対応のリバースプロキシを経由させることで対応が出来ます。
一般的なオンラインストレージは、Web GUIからのアクセスをサポートしており、ID/Passwd認証でログインが出来ます。
NAS | 認証 |
【リバースプロキシ&多要素認証】
リモートワークなどで社外から、社内のNASへアクセスさせる場合にはリバースプロキシを利用します。その際に、リバースプロキシの認証機能を利用して多要素認証や2段階認証などを追加でNASへのアクセスを行います。認証対応のリバースプロキシを経由することでNAS側の変更をすることなく認証機能を強化する運用が可能です。
- 社内からは 「ID/Passwd認証」 でNASへアクセス
- 社外からは 「認証機能の追加のリバースプロキシ」 経由でNASへアクセス
【認証機能に対応のリバースプロキシ】
認証機能に対応のリバースプロキシとしては、各種の認証機能を有する Powered BLUE アプライアンスが利用できます。
リバースプロキシでの認証機能としては
- ワンタイムパスワード認証
- SSLクライアント認証
- SAML認証
- OIDC認証
- AD認証
- FIDO2生体認証
などに対応しており、自社のポリシーに適した認証を追加して運用ができます。
【SSLクライアント認証時のアクセス】
SSLクライアント証明書 有効
SSLクライアント証明書 無効
【SSLクライアント認証時のアクセスコントロール】
有効なSSLクライアント証明書を有している場合でも、アクセスコントロールを設定可能です。
- 組織や部門でのアクセス制限
- 曜日や時間帯でのアクセス制限
- 特定ユーザーでのアクセス制限
- 端末を紛失したAさんのアクセス禁止
【ワンタイムパスワード認証】
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
【idP連携の代理認証でのSSOアクセス】
OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う方法として
- OIDC認証やSAML認証に対応のID認識型リバースプロキシ
を利用して、ユーザーの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンをします。構成に際してWebの改修は不要です。またWebシステムのOSにも依存しません。
【SSOリバースプロキシ・アプライアンス製品】
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
【idP連携でのOIDC/SAML認証のリバースプロキシからWebへ代理入力&SSO】
「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
【代理認証】
OIDC / SAML認証に対応のリバースプロキシからターゲットWebへ「ID / パスワード」の代理入力を行います。
- ユーザーから「ID / パスワード」の入力不要
- ターゲットWebを「SSOのメンバー」として構成
【代理入力のSSO利用ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
【Powered BLUE アプライアンスの構成】
- OS RedHat 8.x / RockyLinux 8.x 対応
- Web / DNS / SMTP / IMAP / POP
- DKIM / DMARC / SPF(送信元ドメイン認証)
- 各種の認証に対応のリバースプロキシ
- Let’s Encrypt 対応
【Powered BLUE アプライアンスの簡単運用】
ひとり情シスでの運用にも対応
- サーバーの自己監視機能やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
- GUIでのサーバーやアプリの設定
【Powered BLUE アプライアンスの運用先】
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
【WAN側に設置のサーバーへのアクセス】
WAN側に設置のNASへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内NASサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
【ログの長期保存&ローテーション】
任意期間のログ保存
ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年間での運用の例
受信ログの指定キーワードでのトラップ&メール通知
- アラートには任意のキーワードでトラップを設定
- トラップが連続した場合でも、送信メールの間隔を設定
(例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)
【デモサーバー】
Powered BLUEの デモサーバー