システム管理者のための vpn徹底活用法 · システム管理者のための...

システム管理者のためのVPN徹底活用法～自由なアクセスとセキュリティを両立させるために～

システム管理者のためのVPN徹底活用法～自由なアクセスとセキュリティを両立させるために～

Ｆ５ネットワークスジャパン株式会社プロダクトマーケティングマネージャー帆士敏博

2

© 2007 F5 Networks, Inc. All rights reserved.

Ｆ５ネットワークス概要

米国ワシントン州シアトルに本社、世界各国に地域拠点

１９９６年の設立以来トラフィック管理分野に注力

１９９９年NASDAQ上場（ＦＦＩＶ）

Layer ４－７固定スイッチ世界市場でNo.1*1

SSL VPNアプライアンスの日本市場でNo.1*2

Webアプリケーションの新たなセキュリティ市場を確立

約１，０００名の従業員

全世界に１０，０００社以上の顧客企業

３０，０００システム以上の導入実績

*1 出典：Dell’Oro Group CY Q1 2005 Market Share Report (Layer 4-7, Fixed) Switched Ethernet Server

Load Balancing Report, May 16, 2005. *2 Frost & Sullivan “ The Asia Pacific Network Security Market (2004) ”

Ｆ５は、アプリケーション･デリバリ･ネットワーキングのグローバルリーダーです。

3


Agenda

・FirePassとは？

・システム管理者から見たVPN導入ポイント

・デモ（エンドポイント・セキュリティ）

・事例紹介

4


FirePass(SSL VPN)とは？

インターネット

ノートPC

携帯端末

自宅

メインフレーム

各種サーバ

ユーザのPC

どんなリソースにも柔軟に接続どこからでも安全に

インターネットカフェ

SSLで暗号化

• SSL暗復号化• 認証• ユーザ管理• 接続ポータル• ログの記録／レポート• Webベースのアプリ接続• 非Webベースのアプリ接続

5


2005年度 SSL VPNマーケットシェア（国内）

「F5は引き続きアプリケーション・デリバリにおけるリーダシップ企業の地位を保っており、競争の激しい日本市場の各分野において、F5のFirePass 製品は増加の一途をたどっています。エンドポイントセキュリティチェックなどの製品特長、価格、パフォーマンス性の高さなど、FirePassはエンタープライズ市場に対してだけでなく、SSL VPNサービスを提供しているサービスプロバイダに対しても強い牽引力を持っています。」

Jay Tan, Frost & Sullivan社

2004年度に引き続き、FirePassがシェアNo.1 ！エンドポイント・セキュリティ・チェック(ビジュアルポリシーエディタ)、モバイル対応、

日本語GUIなど日本市場に焦点を当てた機能により、2年連続シェアNo.1

2005年度日本国内SSL VPN市場ベンダー別売上シェア

出典：Asia Pacific Network Security Market (2005), #4Y73-74, ©2006 Frost & Sullivan

6


SSL VPN IPSec VPN暗号化きわめて強固きわめて強固認証サーバ認証、クライアント認証サーバ認証、クライアント認証、パケット認証暗号化の範囲 TCPアプリケーションデータ全てのIPトラフィック接続形態リモートアクセス LAN間接続/リモートアクセスクライアントセキュリティ強固弱い

導入に必要な物 Webブラウザのみ専用ゲートウェア装置/専用クライアントソフト、デジタル証明書

導入・管理簡単難しい利用実績 SSLは標準技術ゲートウェイ、クライアントの互換性に難あり

SSL VPNの利便性

IPSec VPNより、はるかに手軽で設定が容易かつセキュリティが高い

– SSL VPNは、クライアントにWebブラウザのみでリモートアクセスVPNが実現

– IPSec VPNは、専用クライアントソフトが必要であり管理・運用コストが増大

ソフトウェア配布作業、バージョンアップ、ドライバとの相性等

– IPSec VPNは、クライアントのセキュリティ・チェック機能が弱い

7


FirePass 製品ラインナップ

2シリーズ 9モデルのラインナップ– FirePass 1200シリーズ（1205/1210/1220/1230）

– FirePass 4100シリーズ (4110/4120/4130/4140/4150)

FirePass 1200シリーズ1Uの筐体最大同時接続100ユーザスモール／ミディアム企業に最適な価格帯（153万円～）冗長化に対応

FirePass 4100シリーズ2Uの筐体最大同時接続2000ユーザエンタープライズ用途に最適な豊富な機能を標準搭載冗長化・クラスタリング（最大20000同時接続）にも対応GbEポート搭載SSLアクセラレータ標準搭載

ICSA認定取得

8


接続形式と対応アプリケーション

モバイル端末（PalmなどのPDA, iモード, WAP, PocketPC）から接続

●○モバイルアクセス

ホスト系サービス（VT100, VT320, Telnet, X-Term, IBM 3270/5250）

○○レガシーホスト

ターミナルサービス（Citrix PresentationServer,

Microsft WTS, VNC）●●ターミナルサーバ・アダプタ

TCPアプリケーション（Exchange, Lotus Notes, FTP, Oracle, SAPなど）

●●アプリケーション・トンネル

共有ファイル（SMB, Windows Workgroup, Windowsドメイン, Novell 5.1/6.0）

●●Windowsファイル

Webブラウザによるメールの読み書き

（POP3, IMAP, SMTP）●●モバイルEメール

イントラネット（HTTP, HTTPS）、OWA, iNotes等●●ウェブ・アプリケーション

TCP/UDPアプリケーション

（すべてのIPアプリケーション）。IPsecと同等の接続●●ネットワークアクセス

対応アプリケーション／機能FirePass 4100

FirePass 1200

接続機能

●＝標準対応／○＝オプション対応

①ネットワークアクセス

②ポータルアクセス

③アプリケーション

アクセス

④モバイルアクセス

9


FirePassへの接続

1. ユーザはまず、WebブラウザからFirePassへ接続

2. ユーザ認証後、FirePassのポータル画面へ

ユーザID&パスワードを入力FirePassのポータル画面（Webtop）

10


ポータルアクセス

Webブラウザを使って、社内リソースへアクセス

・Webアプリケーション（HTTP/HTTPS）

・モバイルEメール（POP/IMAP/SMTP）

・ファイルサーバ（Windows）

どこからでも社内にリモートアクセス

・WebブラウザがあればOK

・携帯電話やPDAでも可能

・モバイルアクセスを使うとより便利■Webアプリケーション

・社内イントラのWebサーバ

・ブラウザベースのメールサーバ

（Outlook Web Access）

・キャッシュクリーンナップ対応

ブラウザが読み込んだキャッシュを残さない

(ファイル、ユーザID/パスワード/URL履歴等)

11


①接続先のネットワークをクリック

②ActiveXコントロールが起動

③SSL VPNのトンネルが確立

ネットワークアクセス

12


リモートデバイスを社内ネットワークに完全に接続

– 全てのIPアプリケーションが利用可能

TCPアプリケーション / UDPアプリケーション

通信中にポート番号が変わるようなアプリケーション

– インターネットと社内のトラフィックを完全に分割可能（スプリット・トンネル）

専用VPNソフトのインストールは不要

– 完全な「クライアントレス」環境を実現

マルチ・プラットフォーム対（Win32/Macintosh/Linux/PocketPC）

IPSec VPNと同等の機能を実現しつつ、管理コストを大幅に低減

– 同等の機能をVPN専用ソフトを使って実現する場合、運用負荷はIPsec VPNと同じになってしまいます！

ネットワークアクセス時のリスクをなくす充実の「クライアント・セキュリティ」機能を搭載

ネットワークアクセス

13


モバイルアクセス

モバイルデバイス向けの軽量な画面でFirePassにアクセス

– ミニブラウザを使って、以下の操作が可能

• メールの送受信

• Webブラウズ（モバイル用アプリ）

• ドキュメントの閲覧

各種のデバイスに対応

– Palm OS / PocketPC / iモードなどの携帯電話

ウェブトップを自動切換え

メールサーバやファイルサーバ、PC

FirePassログイン画面 FirePassポータル

14


管理者向け機能

15


インターネット

インターネットカフェ

ビジネスセンターPC

自宅PC

個人所有のPC（情報漏えいの危険）

ウイルス定義ファイルが古い（ウイルス感染）

休眠PC

パッチがあたっていない（セキュリティホールの内在）

スパイウェアが稼働（パスワード盗聴）

社内ネットワーク

こうした危険を含むデバイスからリモートアクセスされるSSL VPNでは、エンドポイント・セキュリティ対策が必須とされる

SSL VPN

SSL VPNのセキュリティリスク

16


エンドポイント・セキュリティ・チェックフロー

ログオン前チェック

ログオン画面

ポータル画面の表示ポータル画面

FirePassクライアントPC

ログオン画面の表示

プロテクテッド設定

17


ビジュアルポリシーエディタ

アクション

ルール

エンドページ

アクションの定義

ルールの定義

インスペクタの指定

18


エンドポイント・セキュリティ・チェック項目

2種類のインスペクタ

– サーバサイド・インスペクタ： HTTPヘッダから得られる基本情報

• セッションに関する時間情報、クライアントOS情報、

ユーザエージェント情報、クライアント証明書の情報など

– 以下のクライアント側から情報を取得するインスペクタ

インスペクター名機能Googleデスクトップサーチチェッカー Googleデスクトップサーチの存在をチェックWindowsアンチウィルスチェッカーウイルス対策の強制とウイルスのチェックWindowsファイアウォールチェッカーファイアウォールの存在をチェックバーチャルキーボード有効化バーチャルキーボードを有効プロテクテッドワークスペースインスペクタプロテクテッドワークスペースを有効拡張Windows情報 Windows OSに関する拡張情報を取得Internet Explorer情報 Microsoft Internet Explorerに関する追加情報を取得Windowsプロセスチェッカー Windows PC上で動作するプロセスに関する情報を取得Windowsレジストリチェッカー Windows PC上のレジストリキー情報を取得Windowsファイルチェッカー Windows PC上のファイルに関する情報を取得ロガーログオンログにユーザ定義の情報を書き込む

19


企業が抱える課題：アクセスポリシーの管理

Microsoft

Exchange

イントラネット

人事システム

従業員グループ

営業部グループ

多数のアプリケーション、サーバ、ユーザグループが存在

アクセスポリシーの定義が複雑

アプリケーションの数が増え、アクセスポリシーの管理に収拾がつかない

多数のユーザグループ多数のリソース

エンタープライズは広範囲なビジネスアプリケーションを世界規模で導入

エンタープライズは、従業員、パートナー、サプライヤ、顧客ごとに多数のグループにより運用

VPNにとって、ユーザーとリソースの管理性は、運用時のキーチャレンジで、大きな障害となる

市場の広がり

•

•

•

20


ユーザ管理機能とアクセスコントロール

ユーザをグループ単位で管理

– ユーザは複数のグループに所属可能

– グループにサーバリソース割当てる

– グループごとに異なる認証方法を割り当て

– ユーザは、グループに割当てられているサーバリソースにアクセス

豊富な認証機能

– 組み込みの内部データベース

– 以下の外部認証システムとの連携

外部のみにユーザデータベースを保持し、二重管理を防ぐ

• Radius

• LDAP

• Active Directory

• Windowsドメイン

ユーザ情報とともにグループ属性の受け渡し可能

21


ログ／レポート機能の画面

アプリケーションの利用状況を示したログ（誰がいつ、どのサーバにアクセスして、何をしたのか詳細にわかります）

サーバの負荷状態を示すレポート

22


Agenda



・デモ(エンドポイント・セキュリティ)

・事例紹介

23


管理者からみたVPN導入のポイント

・VPN機器に求めること

1.手間をかけたくない

2.セキュリティレベルは落とせない

・FirePassの活用ポイント

1. ユーザ管理 / アクセスコントロール

2. エンドポイント・セキュリティをスムーズに構築

3. 利用アプリケーションとFirePassのアクセス方式の関係

4. 管理者権限の委任

5. 認証の強化

24


1. ユーザ管理/アクセスコントロール

・FirePassのユーザアカウントのコンセプトマスターグループ/リソースグループ/認証/

アクセスコントロール/エイリアスグループの活用

・アクセスコントロールのために既存のリソースの洗い出し

・既存の認証システムとの連携－内部データベース vs 外部データベース

－管理負荷を削減できる外部データベース

－アカウントの入社/退社/移動/昇進等への対応

25


2. エンドポイント・セキュリティをスムーズに構築

ポイント：徐々にセキュリティを実装することで、トラブルを避ける

ステップ1 ：本来、対策されているべきセキュリティレベルの確認

ステップ2 ：現状の把握

FirePassのロガー機能を利用し、データ収集を行う

ステップ3 ：ユーザへの事前アナウンス

FirePassのメッセージ機能を活用

ステップ4 ：細かなアクセスコントロール

FirePassのプロテクテッド設定を行い、全てのアクセスを拒否しない

ステップ５：ポリシー違反ユーザからの｢つながらない！｣の問い合わせに対する対応

FirePassのメール機能、ログ機能を利用して解析しサポート

26


3. 利用アプリケーションとFirePassのアクセス方式の関係

・ネットワークアクセスを利用するユーザが多い－全てのIPアプリケーションを利用可能

－実データには何も変更を加えないカプセリング技術を利用しているので

トラブルがほとんど無い

－接続確立後にアプリケーションを自動起動可能

－クライアントOS上で管理者権限が必要

－ユーザとIPアドレスの静的割当てを利用しセキュリティを向上

・Webアプリケーション・アクセス利用時には事前検証が必要－オリジンサーバのURLをFirePassのURLへの書換えを行う

－複雑なWebアプリケーションは、うまく表示できないケースがある

－ Sedスクリプトの利用、オリジンサーバのHTML変更を必要とするケースがある

－管理者権限を必要としない

→パワーユーザ権限で利用可能なダイナミック・アップトンネルの活用

27


4. 管理者権限の委任

・大規模なシステムの運用管理

－管理者が一人だと、負荷が高まる

－ FirePassの管理領域機能を利用すれば、管理者権限を

複数の管理者に委任し、一人あたりの負荷を減らす

－ユーザにも、制限付きの管理者権限を委任可能

28


5. 認証の強化

・利便性の代償(クライアントを選ばない)

悪意を持つ人間にいつでも、どこからでも、どんな端末からでも

不正アクセスされてしまうリスクを伴う

・認証を強化しているユーザが大半

認証ベンダーと連携し、ワンタイムパスワード/PKI/2要素認証/

端末の特定/生体認証を利用しなりすましリスクを軽減

インターネットインターネット

SSL

機密情報

ゲートウェイセキュリティ認証に伴うリスク

正規ユーザになりすまし

認証システムベンダーと提携する事で強化

エンドポイント・セキュリティ・チェック

29


Agenda




・事例紹介

30


Agenda




・事例紹介

31


FirePass 導入事例一覧

32


東京大学様・背景/要件/課題－セキュリティリスクを考慮し、学内ネットワークへのリモートアクセスは禁止

－長期出張の多い教授からのリモートアクセスのニーズが高まる

－学内ネットワークには機密性の高いデータがあるため、セキュアなリモートアクセス

環境の構築が要件

・選定ポイント－FirePassとPKI(Pentio)を連携する事でセキュリティを高める事が可能

－MACやLinuxなど幅広いクライアントをサポート

－他社製品と比較をおこなったが、セキュリティとパフォーマンスが良い

－ドキュメントの充実、管理者画面が日本語化されており操作が容易

・導入効果－学内業務の効率がアップ。教職員向けのWebポータル、サイボーズ、物品発注システム

の利用が可能になり、学外からの情報共有が可能。

－今後、電子ジャーナル、学生の成績管理など利用可能なアプリケーションを順次拡大予定。

33


ソニー生命保険様・背景/要件/課題

－ダイアルアップを利用したリモートアクセス環境からブロードバンド回線への対応

－ライフプランナーおよび代理店(2700店舗) 7600ユーザが利用

－ IPSecへのリプレイスを断念（ソフトウェア設定の手間、接続できない環境があった)

－個人情報を扱うためにセキュリティが不可欠

－アクセスコントロール(ライフプランナーと代理店のアクセス情報)

・選定ポイント

－営業支援システム「AIOS2000」が利用可能

－携帯電話からのアクセスが可能

－クライアント端末の特定(エンドポイント・セキュリティを利用して、レジストリをチェック)

・導入効果

－高速でセキュリティの高いリモートアクセス環境の構築を実現

－ライフプランナーの生産性の向上

34


システム管理者のための vpn徹底活用法 · システム管理者のための...

Documents