システム管理者のための vpn徹底活用法 · システム管理者のための...
TRANSCRIPT
システム管理者のためのVPN徹底活用法~自由なアクセスとセキュリティを両立させるために~
システム管理者のためのVPN徹底活用法~自由なアクセスとセキュリティを両立させるために~
F5ネットワークスジャパン株式会社プロダクトマーケティングマネージャー帆士 敏博
2
© 2007 F5 Networks, Inc. All rights reserved.
F5ネットワークス概要
米国ワシントン州シアトルに本社、世界各国に地域拠点
1996年の設立以来トラフィック管理分野に注力
1999年NASDAQ上場(FFIV)
Layer 4-7固定スイッチ世界市場でNo.1*1
SSL VPNアプライアンスの日本市場でNo.1*2
Webアプリケーションの新たなセキュリティ市場を確立
約1,000名の従業員
全世界に10,000社以上の顧客企業
30,000システム以上の導入実績
*1 出典:Dell’Oro Group CY Q1 2005 Market Share Report (Layer 4-7, Fixed) Switched Ethernet Server
Load Balancing Report, May 16, 2005. *2 Frost & Sullivan “ The Asia Pacific Network Security Market (2004) ”
F5は、アプリケーション・デリバリ・ネットワーキングのグローバルリーダーです。
3
© 2007 F5 Networks, Inc. All rights reserved.
Agenda
・FirePassとは?
・システム管理者から見たVPN導入ポイント
・デモ(エンドポイント・セキュリティ)
・事例紹介
4
© 2007 F5 Networks, Inc. All rights reserved.
FirePass(SSL VPN)とは?
インターネット
ノートPC
携帯端末
自宅
メインフレーム
各種サーバ
ユーザのPC
どんなリソースにも 柔軟に接続どこからでも安全に
インターネットカフェ
SSLで暗号化
• SSL暗復号化• 認証• ユーザ管理• 接続ポータル• ログの記録/レポート• Webベースのアプリ接続• 非Webベースのアプリ接続
5
© 2007 F5 Networks, Inc. All rights reserved.
2005年度 SSL VPNマーケットシェア(国内)
「F5は引き続きアプリケーション・デリバリにおけるリーダシップ企業の地位を保っており、競争の激しい日本市場の各分野において、F5のFirePass 製品は増加の一途をたどっています。エンドポイントセキュリティチェックなどの製品特長、価格、パフォーマンス性の高さなど、FirePassはエンタープライズ市場に対してだけでなく、SSL VPNサービスを提供しているサービスプロバイダに対しても強い牽引力を持っています。」
Jay Tan, Frost & Sullivan社
2004年度に引き続き、FirePassがシェアNo.1 !エンドポイント・セキュリティ・チェック(ビジュアルポリシーエディタ)、モバイル対応、
日本語GUIなど日本市場に焦点を当てた機能により、2年連続 シェアNo.1
2005年度 日本国内SSL VPN市場 ベンダー別売上シェア
出典:Asia Pacific Network Security Market (2005), #4Y73-74, ©2006 Frost & Sullivan
6
© 2007 F5 Networks, Inc. All rights reserved.
SSL VPN IPSec VPN暗号化 きわめて強固 きわめて強固認証 サーバ認証、クライアント認証 サーバ認証、クライアント認証、パケット認証暗号化の範囲 TCPアプリケーションデータ 全てのIPトラフィック接続形態 リモートアクセス LAN間接続/リモートアクセスクライアントセキュリティ 強固 弱い
導入に必要な物 Webブラウザのみ専用ゲートウェア装置/専用クライアントソフト、デジタル証明書
導入・管理 簡単 難しい利用実績 SSLは標準技術 ゲートウェイ、クライアントの互換性に難あり
SSL VPNの利便性
IPSec VPNより、はるかに手軽で設定が容易かつセキュリティが高い
– SSL VPNは、クライアントにWebブラウザのみでリモートアクセスVPNが実現
– IPSec VPNは、専用クライアントソフトが必要であり管理・運用コストが増大
ソフトウェア配布作業、バージョンアップ、ドライバとの相性等
– IPSec VPNは、クライアントのセキュリティ・チェック機能が弱い
7
© 2007 F5 Networks, Inc. All rights reserved.
FirePass 製品ラインナップ
2シリーズ 9モデルのラインナップ– FirePass 1200シリーズ (1205/1210/1220/1230)
– FirePass 4100シリーズ (4110/4120/4130/4140/4150)
FirePass 1200シリーズ1Uの筐体最大同時接続100ユーザスモール/ミディアム企業に最適な価格帯(153万円~)冗長化に対応
FirePass 4100シリーズ2Uの筐体最大同時接続2000ユーザエンタープライズ用途に最適な豊富な機能を標準搭載冗長化・クラスタリング(最大20000同時接続)にも対応GbEポート搭載SSLアクセラレータ標準搭載
ICSA認定取得
8
© 2007 F5 Networks, Inc. All rights reserved.
接続形式と対応アプリケーション
モバイル端末(PalmなどのPDA, iモード, WAP, PocketPC)から接続
●○モバイルアクセス
ホスト系サービス(VT100, VT320, Telnet, X-Term, IBM 3270/5250)
○○レガシーホスト
ターミナルサービス(Citrix PresentationServer,
Microsft WTS, VNC)●●ターミナルサーバ・アダプタ
TCPアプリケーション(Exchange, Lotus Notes, FTP, Oracle, SAPなど)
●●アプリケーション・トンネル
共有ファイル(SMB, Windows Workgroup, Windowsドメイン, Novell 5.1/6.0)
●●Windowsファイル
Webブラウザによるメールの読み書き
(POP3, IMAP, SMTP)●●モバイルEメール
イントラネット(HTTP, HTTPS)、OWA, iNotes等●●ウェブ・アプリケーション
TCP/UDPアプリケーション
(すべてのIPアプリケーション)。IPsecと同等の接続●●ネットワークアクセス
対応アプリケーション/機能FirePass 4100
FirePass 1200
接続機能
●=標準対応/○=オプション対応
①ネットワークアクセス
②ポータルアクセス
③アプリケーション
アクセス
④モバイルアクセス
9
© 2007 F5 Networks, Inc. All rights reserved.
FirePassへの接続
1. ユーザはまず、WebブラウザからFirePassへ接続
2. ユーザ認証後、FirePassのポータル画面へ
ユーザID&パスワードを入力FirePassのポータル画面(Webtop)
10
© 2007 F5 Networks, Inc. All rights reserved.
ポータルアクセス
Webブラウザを使って、社内リソースへアクセス
・Webアプリケーション(HTTP/HTTPS)
・モバイルEメール(POP/IMAP/SMTP)
・ファイルサーバ(Windows)
どこからでも社内にリモートアクセス
・WebブラウザがあればOK
・携帯電話やPDAでも可能
・モバイルアクセスを使うとより便利■Webアプリケーション
・社内イントラのWebサーバ
・ブラウザベースのメールサーバ
(Outlook Web Access)
・キャッシュクリーンナップ対応
ブラウザが読み込んだキャッシュを残さない
(ファイル、ユーザID/パスワード/URL履歴等)
11
© 2007 F5 Networks, Inc. All rights reserved.
①接続先のネットワークをクリック
②ActiveXコントロールが起動
③SSL VPNのトンネルが確立
ネットワークアクセス
12
© 2007 F5 Networks, Inc. All rights reserved.
リモートデバイスを社内ネットワークに完全に接続
– 全てのIPアプリケーションが利用可能
TCPアプリケーション / UDPアプリケーション
通信中にポート番号が変わるようなアプリケーション
– インターネットと社内のトラフィックを完全に分割可能(スプリット・トンネル)
専用VPNソフトのインストールは不要
– 完全な「クライアントレス」環境を実現
マルチ・プラットフォーム対(Win32/Macintosh/Linux/PocketPC)
IPSec VPNと同等の機能を実現しつつ、管理コストを大幅に低減
– 同等の機能をVPN専用ソフトを使って実現する場合、運用負荷はIPsec VPNと同じになってしまいます!
ネットワークアクセス時のリスクをなくす充実の「クライアント・セキュリティ」機能を搭載
ネットワークアクセス
13
© 2007 F5 Networks, Inc. All rights reserved.
モバイルアクセス
モバイルデバイス向けの軽量な画面でFirePassにアクセス
– ミニブラウザを使って、以下の操作が可能
• メールの送受信
• Webブラウズ(モバイル用アプリ)
• ドキュメントの閲覧
各種のデバイスに対応
– Palm OS / PocketPC / iモードなどの携帯電話
ウェブトップを自動切換え
メールサーバやファイルサーバ、PC
FirePassログイン画面 FirePassポータル
14
© 2007 F5 Networks, Inc. All rights reserved.
管理者向け機能
15
© 2007 F5 Networks, Inc. All rights reserved.
インターネット
インターネットカフェ
ビジネスセンターPC
自宅PC
個人所有のPC(情報漏えいの危険)
ウイルス定義ファイルが古い(ウイルス感染)
休眠PC
パッチがあたっていない(セキュリティホールの内在)
スパイウェアが稼働(パスワード盗聴)
社内ネットワーク
こうした危険を含むデバイスからリモートアクセスされるSSL VPNでは、エンドポイント・セキュリティ対策が必須とされる
SSL VPN
SSL VPNのセキュリティリスク
16
© 2007 F5 Networks, Inc. All rights reserved.
エンドポイント・セキュリティ・チェックフロー
ログオン前チェック
ログオン画面
ポータル画面の表示ポータル画面
FirePassクライアントPC
ログオン画面の表示
プロテクテッド設定
17
© 2007 F5 Networks, Inc. All rights reserved.
ビジュアルポリシーエディタ
アクション
ルール
エンドページ
アクションの定義
ルールの定義
インスペクタの指定
18
© 2007 F5 Networks, Inc. All rights reserved.
エンドポイント・セキュリティ・チェック項目
2種類のインスペクタ
– サーバサイド・インスペクタ: HTTPヘッダから得られる基本情報
• セッションに関する時間情報、クライアントOS情報、
ユーザエージェント情報、クライアント証明書の情報など
– 以下のクライアント側から情報を取得するインスペクタ
インスペクター名 機能Googleデスクトップサーチチェッカー Googleデスクトップサーチの存在をチェックWindowsアンチウィルスチェッカー ウイルス対策の強制とウイルスのチェックWindowsファイアウォールチェッカー ファイアウォールの存在をチェックバーチャルキーボード有効化 バーチャルキーボードを有効プロテクテッドワークスペースインスペクタプロテクテッドワークスペースを有効拡張Windows情報 Windows OSに関する拡張情報を取得Internet Explorer情報 Microsoft Internet Explorerに関する追加情報を取得Windowsプロセスチェッカー Windows PC上で動作するプロセスに関する情報を取得Windowsレジストリチェッカー Windows PC上のレジストリキー情報を取得Windowsファイルチェッカー Windows PC上のファイルに関する情報を取得ロガー ログオンログにユーザ定義の情報を書き込む
19
© 2007 F5 Networks, Inc. All rights reserved.
企業が抱える課題:アクセスポリシーの管理
Microsoft
Exchange
イントラネット
人事システム
従業員グループ
営業部グループ
多数のアプリケーション、サーバ、ユーザグループが存在
アクセスポリシーの定義が複雑
アプリケーションの数が増え、アクセスポリシーの管理に収拾がつかない
多数のユーザグループ 多数のリソース
エンタープライズは広範囲なビジネスアプリケーションを世界規模で導入
エンタープライズは、従業員、パートナー、サプライヤ、顧客ごとに多数のグループにより運用
VPNにとって、ユーザーとリソースの管理性は、運用時のキーチャレンジで、大きな障害となる
市場の広がり
•
•
•
20
© 2007 F5 Networks, Inc. All rights reserved.
ユーザ管理機能とアクセスコントロール
ユーザをグループ単位で管理
– ユーザは複数のグループに所属可能
– グループにサーバリソース割当てる
– グループごとに異なる認証方法を割り当て
– ユーザは、グループに割当てられているサーバリソースにアクセス
豊富な認証機能
– 組み込みの内部データベース
– 以下の外部認証システムとの連携
外部のみにユーザデータベースを保持し、二重管理を防ぐ
• Radius
• LDAP
• Active Directory
• Windowsドメイン
ユーザ情報とともにグループ属性の受け渡し可能
21
© 2007 F5 Networks, Inc. All rights reserved.
ログ/レポート機能の画面
アプリケーションの利用状況を示したログ(誰がいつ、どのサーバにアクセスして、何をしたのか詳細にわかります)
サーバの負荷状態を示すレポート
22
© 2007 F5 Networks, Inc. All rights reserved.
Agenda
・FirePassとは?
・システム管理者から見たVPN導入ポイント
・デモ(エンドポイント・セキュリティ)
・事例紹介
23
© 2007 F5 Networks, Inc. All rights reserved.
管理者からみたVPN導入のポイント
・VPN機器に求めること
1.手間をかけたくない
2.セキュリティレベルは落とせない
・FirePassの活用ポイント
1. ユーザ管理 / アクセスコントロール
2. エンドポイント・セキュリティをスムーズに構築
3. 利用アプリケーションとFirePassのアクセス方式の関係
4. 管理者権限の委任
5. 認証の強化
24
© 2007 F5 Networks, Inc. All rights reserved.
1. ユーザ管理/アクセスコントロール
・FirePassのユーザアカウントのコンセプトマスターグループ/リソースグループ/認証/
アクセスコントロール/エイリアスグループの活用
・アクセスコントロールのために既存のリソースの洗い出し
・既存の認証システムとの連携-内部データベース vs 外部データベース
-管理負荷を削減できる外部データベース
-アカウントの入社/退社/移動/昇進等への対応
25
© 2007 F5 Networks, Inc. All rights reserved.
2. エンドポイント・セキュリティをスムーズに構築
ポイント: 徐々にセキュリティを実装することで、トラブルを避ける
ステップ1 : 本来、対策されているべきセキュリティレベルの確認
ステップ2 : 現状の把握
FirePassのロガー機能を利用し、データ収集を行う
ステップ3 : ユーザへの事前アナウンス
FirePassのメッセージ機能を活用
ステップ4 : 細かなアクセスコントロール
FirePassのプロテクテッド設定を行い、全てのアクセスを拒否しない
ステップ5: ポリシー違反ユーザからの「つながらない!」の問い合わせに対する対応
FirePassのメール機能、ログ機能を利用して解析しサポート
26
© 2007 F5 Networks, Inc. All rights reserved.
3. 利用アプリケーションとFirePassのアクセス方式の関係
・ ネットワークアクセスを利用するユーザが多い- 全てのIPアプリケーションを利用可能
- 実データには何も変更を加えないカプセリング技術を利用しているので
トラブルがほとんど無い
- 接続確立後にアプリケーションを自動起動可能
- クライアントOS上で管理者権限が必要
- ユーザとIPアドレスの静的割当てを利用しセキュリティを向上
・Webアプリケーション・アクセス利用時には事前検証が必要- オリジンサーバのURLをFirePassのURLへの書換えを行う
- 複雑なWebアプリケーションは、うまく表示できないケースがある
- Sedスクリプトの利用、オリジンサーバのHTML変更を必要とするケースがある
- 管理者権限を必要としない
→パワーユーザ権限で利用可能なダイナミック・アップトンネルの活用
27
© 2007 F5 Networks, Inc. All rights reserved.
4. 管理者権限の委任
・ 大規模なシステムの運用管理
-管理者が一人だと、負荷が高まる
- FirePassの管理領域機能を利用すれば、管理者権限を
複数の管理者に委任し、一人あたりの負荷を減らす
-ユーザにも、制限付きの管理者権限を委任可能
28
© 2007 F5 Networks, Inc. All rights reserved.
5. 認証の強化
・利便性の代償(クライアントを選ばない)
悪意を持つ人間にいつでも、どこからでも、どんな端末からでも
不正アクセスされてしまうリスクを伴う
・認証を強化しているユーザが大半
認証ベンダーと連携し、ワンタイムパスワード/PKI/2要素認証/
端末の特定/生体認証を利用しなりすましリスクを軽減
インターネットインターネット
SSL
機密情報
ゲートウェイセキュリティ認証に伴うリスク
正規ユーザになりすまし
認証システムベンダーと提携する事で強化
エンドポイント・セキュリティ・チェック
29
© 2007 F5 Networks, Inc. All rights reserved.
Agenda
・FirePassとは?
・システム管理者から見たVPN導入ポイント
・デモ(エンドポイント・セキュリティ)
・事例紹介
30
© 2007 F5 Networks, Inc. All rights reserved.
Agenda
・FirePassとは?
・システム管理者から見たVPN導入ポイント
・デモ(エンドポイント・セキュリティ)
・事例紹介
31
© 2007 F5 Networks, Inc. All rights reserved.
FirePass 導入事例一覧
32
© 2007 F5 Networks, Inc. All rights reserved.
東京大学 様・背景/要件/課題-セキュリティリスクを考慮し、学内ネットワークへのリモートアクセスは禁止
-長期出張の多い教授からのリモートアクセスのニーズが高まる
-学内ネットワークには機密性の高いデータがあるため、セキュアなリモートアクセス
環境の構築が要件
・選定ポイント-FirePassとPKI(Pentio)を連携する事でセキュリティを高める事が可能
-MACやLinuxなど幅広いクライアントをサポート
-他社製品と比較をおこなったが、セキュリティとパフォーマンスが良い
-ドキュメントの充実、管理者画面が日本語化されており操作が容易
・導入効果-学内業務の効率がアップ。教職員向けのWebポータル、サイボーズ、物品発注システム
の利用が可能になり、学外からの情報共有が可能。
-今後、電子ジャーナル、学生の成績管理など利用可能なアプリケーションを順次拡大予定。
33
© 2007 F5 Networks, Inc. All rights reserved.
ソニー生命保険 様・背景/要件/課題
-ダイアルアップを利用したリモートアクセス環境からブロードバンド回線への対応
- ライフプランナーおよび代理店(2700店舗) 7600ユーザが利用
- IPSecへのリプレイスを断念(ソフトウェア設定の手間、接続できない環境があった)
-個人情報を扱うためにセキュリティが不可欠
- アクセスコントロール(ライフプランナーと代理店のアクセス情報)
・選定ポイント
-営業支援システム「AIOS2000」が利用可能
-携帯電話からのアクセスが可能
-クライアント端末の特定(エンドポイント・セキュリティを利用して、レジストリをチェック)
・導入効果
-高速でセキュリティの高いリモートアクセス環境の構築を実現
-ライフプランナーの生産性の向上
34
© 2007 F5 Networks, Inc. All rights reserved.