認証機能付きリバースプロキシの構築/AD認証/SAML認証/ワンタイムパスワード認証/SSLクライアント認証/ゼロトラスト対応

社内LAN側に設置のWebサーバーやオンプレミスで運用のWebサーバーに、自社で運用の認証機能付きリバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

リバースプロキシの認証機能としては、認証なし、Active Directory認証、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/ゼロトラスト対応のSAML認証など、各種認証の組み合わせによる多要素認証などで社内LAN側のWebへアクセスさせることが出来ます。セキュリティの要件や用途に合わせて、リバースプロキシに複数の認証機能を組み合わせる多要素認証での運用にも対応しています。

冗長構成での運用にも対応しており、HAやマルチリージョンでの運用が出来ます(Route53やGSLBによるマルチAZ環境)

 

ブラウザのみで利用

https://www.mubit.co.jp/sub/products/blue/img2/burauza-1.png

社内Webへのアクセスに際してリバースプロキシを利用する場合、リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。

VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。VPNの代替として利用ができます。ゼロトラストシステムのような大掛かりな構成は必要なく、リバースプロキシ単体のみでの導入が可能です。

 

リバースプロキシの構成

シンプルな構成では、リバースプロキシ1台で運用します。冗長化や負荷分散の場合には、ロードバランサ配下で運用します。

リバースプロキシとしては、各種の認証に対応のリバースプロキシ・アプライアンス https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy」を利用します。

製品の特徴としては

  • 認証対応のリバースプロキシ
  • インターネットサーバー機能(Mail / Web / DNS )
  • Let’s Encrypt などに対応
  • ひとり情シスでの運用に対応

などの機能を有したリバースプロキシ・アプライアンスです。

 

製品の形態

仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

仮想対応

VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/hyper-v-3.png

クラウド対応

AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、Fujitsu Hybrid IT Service ( 富士通 )、Enterprise Cloud ( NTT communications )、VPS他

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

 

Powered BLUE リバースプロキシの各種認証

Powered BLUE のリバースプロキシは、以下のパターンでの認証&運用に対応しています

 

【1】基本 リバースプロキシ & 認証なし
【2】OTP リバースプロキシ & ワンタイムパスワード認証
【3】SSLクライアント認証 リバースプロキシ & SSLクライアント認証
【4】Active Directory認証 リバースプロキシ & AD認証
【5】SSO認証 リバースプロキシ & SAML2.0認証 ( idP連携・ゼロトラスト対応 )
【6】ID / パスワード代理入力 リバースプロキシ & ID / パスワード代理入力 ( idP連携 )
【7】多要素認証 リバースプロキシ & 各種認証の組み合わせ
【8】HA マルチリージョン /  冗長化 & 多要素認証
【9】WAN側Webへのアクセス リバースプロキシ & 認証

 

 

【1】基本 Powered BLUE Reverse Proxy でのリバースプロキシ設定

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

  • 複数のリバース先の設定に対応
  • リバース先のポート( http/https/ポート番号 )の指定に対応
  • 終端までSSL通信での運用に対応
  • リバースプロキシー運用のWebサイトにLet’s EncryptによるSSL化にも対応

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

リバースプロキシサイトのSSLのサーバー証明書

SSLのサーバー証明書としては

  • サイトのSSL自己証明
  • パブリックなSSLサーバー証明書
  • Let’s EncryptでのSSLサーバー証明書

に対応しています。

Let’s EncryptによるSSL化 例

 

 

【2】ワンタイムパスワード認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

リバースプロキシへのアクセスに、ID/パスワードとワンタイムパスワード(OTP)による2要素認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870/OTPのリバースプロキシ付属モデルを利用します。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

トークン

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

  • Google Authenticator ( iOS / Android対応 )
  • WinAuth ( Windows対応 )
  • Authy ( iOS / Android / Windows / Mac / Linux対応 )
  • IIJ SmartKey ( iOS / Android対応 )
  • Microsoft Authenticator ( iOS / Android対応 )

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-1.png

ユーザーやコードの管理

利用するユーザーに、スマフォ端末などのカメラから各自のQRコードをトークンに読み込ませます。カメラのないPCなど端末から利用の場合のコードの発行にも対応。

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

スマフォへの登録方法

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

アクセス手順

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リバースプロキシ先のWebサイトの表示

 

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

 

【3】SSLクライアント認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1.png

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 Private CAのリバースプロキシ付属モデルを利用します。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用することが出来ます。

https://www.mubit.co.jp/sub/products/ca/img2/ca-rev-1.png

SSLクライアント認証 例

グループウエアへのアクセス例
SSLクライアント証明書 〇   SSLクライアント証明書 ✕

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

ロードバランサ対応

Powered BLUE では、Private-CAとSSLクライアント認証&リバースプロキシを分離しての運用に対応しています。ロードバランサでは、SSL通信をスル―させてリバースプロキシ側でSSLクライアント認証を行います。SSLクライアント認証後に、リバースプロキシによりターゲットのWebへリダイレクトさせます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/LB-63-ssl.png

Private CAの設定ポイント

ロードバランサー配下で運用の場合、Private CAからCRLの提供を許可するクライアントのリバースプロキシサーバーを指定します ( CRLの提供を許可するリバースプロキシのIPアドレス )

  • 負荷分散先のリバースプロキシ / CRL サーバー No1 = 192.168.100.58
  • 負荷分散先のリバースプロキシ / CRL サーバー No2 = 192.168.100.73

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/ca-crl-11.png

リバースプロキシ&SSLクライアント認証サーバー側の設定のポイント

  • CAからCRLを自動入手出来る設定 ( 取得先CA  http://ca-server.mubit.com )
  • crlの同期スケジュールを指定(更新間隔)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/web-crl-1.png

 

 

【4】Active Directory認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

リバースプロキシへのアクセスに、AD認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Reverse Proxy for AD を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/ad-web-1.png

AD認証では、リバースプロキシにはユーザーアカウントが不要なため、ひとり情シス環境でも簡単に運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

認証のステップ(AD認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

2要素認証

「AD認証+SSLクライアント認証」などの2要素認証での運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

認証のステップ(SSLクライアント認証+AD認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

【5】ゼロトラスト対応SAML認証のID認識型リバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/saml-24-1.png

Powered BLUEのリバースプロキシは、SAML認証に対応のID認識型リバースプロキシとして動作します。IDaaSなどのidPと連携して、社内のWebサイトへSAML2.0に対応のSP機能を持つ、ID認識型リバースプロキシでアクセスさせます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-saml-2.png

社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML2.0対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

ユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。また部門や社員、会員ごとにリバースプロキシへのアクセスコントロールの設定・運用が可能です。リバースプロキシには、ユーザーアカウントがないため、SPとなるリバースプロキシ側からアカウント漏洩の心配はありません。

SP(サービス・プロバイダ)

SPとしては、SAML2.0に対応したSSOのリバースプロキシ機能を持つPowered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

idP(アイデンティティ・プロバイダ)

idPとしてはSAML2.0に対応した G suite、Azure ADやTrustLogin、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

SAML2.0の設定例

各社idPとSPでSAML2.0の認証を設定する例です

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

 

設定構成

以下のようなリバースプロキシ構成での設定例です

社内チャットへのリレイ

例 User —> https://wp-sam0.mubit.jp/ —-> http://sni-0.mubit.jp/

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/rocketchat-login-1.png

 

一般のWebページへのリレイ

例 User —> https://wp-sam1.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

Web Mailへのリレイ

例 User —> https://wp-sam2.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/

https://www.mubit.co.jp/sub/products/blue/img2/login.png

 

 

【6】ID/パスワードの代理入力の中継

社内LAN側にあるID/パスワード入力の必要なWebシステムへ、idPからリバースプロキシ経由でアクセスさせて、ターゲットのWebサーバーへプリセットされたID/パスワードの自動入力での運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/login-3.png

 

動作要件

  • IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/reverse-02.png

 

idPなど

フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては

  • TrustLogin
  • CloudGate UNO
  • onelogin
  • okta

などがあります。これらのidPと  https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for SSO/IDaaS を組み合わせて構築します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

各社idPとSPでSAML2.0の認証を設定する例です

を利用します。

社外から社内LAN側に設置のWebサーバーへアクセス時の自動ログインに有効です

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/reverse-02.png

 

ID/パスワードの自動入力

ターゲットWebサーバーへ、ID/パスワードを自動入力します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/roundcube-12.png

 

 

【7】多要素認証

Powered BLUE Reverse Proxy で

  • SSLクライアント認証
  • ワンタイムパスワード認証

を併用して運用する事が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-ssl-otp-rev-1.png

 

アクセス手順

1)ワンタイムパスワードの表示
2)SSLクライアント認証
3)  リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
4)認証の成功後 リバースプロキシ先のWebサイトの表示

 

SAML/SPでの多要素認証

社内LAN側に設置のWebサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた独自の認証を設定したい場合には有効です。

 

SAML SP&SSLクライアント認証

SP上でPrivate CAを運用 SSLクライアント証明書を発行して、SP/リバースプロキシ上でSSLクライアント認証を実行

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-2.png

 

SAML SP&ワンタイムパスワード認証

SP/リバースプロキシ上でワンタイムパスワード認証を運用

 

AD認証+SSLクライアント認証

Powered BLUE Reverse Proxy で

  • AD認証
  • SSLクライアント認証

を併用して運用する事が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-ssl-rev-2.png

 

認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示

 

 

【8】HA対応

ワンタイムパスワード認証・SAML認証・SSLクライアント認証機能のリバースプロキシは、自動同期機能により冗長構成での運用に対応しています。またRoute53やGSLBによるマルチAZ環境でも運用もできます。

 

ロードバランサー配下での構成

  • シングルリージョン(シングルAZ)+ ロードバランサー構成

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチリージョン(マルチAZ)での構成

回線やデータセンターが異なるために、耐障害性が向上します

  • リージョンA (東日本データセンター)
  • リージョンB (西日本データセンター)

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

【9】WAN側Webへのアクセス

WAN側のWebサーバーへのアクセスについて、WAN側Webの「認証が弱い」や「認証がない」場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することで、安全なWebアクセスでの運用が可能です。

 

デモサイト

Powered BLUE のデモサイトを用意しています

サーバーの操作や認証設定、各種の認証に対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。