Comments
Description
Transcript
システム管理者のための VPN徹底活用法 システム管理者
システム管理者のための VPN徹底活用法 ~自由なアクセスとセキュリティを両立させるために~ ~自由なアクセスとセキュリティを両立させるために~ F5ネットワークスジャパン株式会社 プロダクトマーケティングマネージャー 帆士 敏博 2 F5ネットワークス概要 F5は、アプリケーション・デリバリ・ネットワーキングの グローバルリーダーです。 米国ワシントン州シアトルに本社、世界各国に地域拠点 1996年の設立以来トラフィック管理分野に注力 1999年NASDAQ上場(FFIV) Layer 4-7固定スイッチ世界市場でNo.1*1 SSL VPNアプライアンスの日本市場でNo.1*2 Webアプリケーションの新たなセキュリティ市場を確立 約1,000名の従業員 全世界に10,000社以上の顧客企業 30,000システム以上の導入実績 *1 出典:Dell’Oro Group CY Q1 2005 Market Share Report (Layer 4-7, Fixed) Switched Ethernet Server Load Balancing Report, May 16, 2005. *2 Frost & Sullivan “ The Asia Pacific Network Security Market (2004) ” © 2007 F5 Networks, Inc. All rights reserved. 3 Agenda ・FirePassとは? ・システム管理者から見たVPN導入ポイント ・デモ(エンドポイント・セキュリティ) ・事例紹介 © 2007 F5 Networks, Inc. All rights reserved. 4 FirePass(SSL VPN)とは? どこからでも安全に どんなリソースにも 柔軟に接続 SSLで暗号化 ノートPC メインフレーム インターネット インターネットカフェ 各種サーバ 携帯端末 自宅 © 2007 F5 Networks, Inc. All rights reserved. • • • • • • • SSL暗復号化 認証 ユーザ管理 接続ポータル ログの記録/レポート Webベースのアプリ接続 非Webベースのアプリ接続 ユーザのPC 5 2005年度 SSL VPNマーケットシェア(国内) 2004年度に引き続き、FirePassがシェアNo.1 ! エンドポイント・セキュリティ・チェック(ビジュアルポリシーエディタ)、モバイル対応、 日本語GUIなど日本市場に焦点を当てた機能により、2年連続 シェアNo.1 2005年度 日本国内SSL VPN市場 ベンダー別売上シェア 「F5は引き続きアプリケーション・デリバリ におけるリーダシップ企業の地位を保って おり、競争の激しい日本市場の各分野に おいて、F5のFirePass 製品は増加の一 途をたどっています。エンドポイントセキュ リティチェックなどの製品特長、価格、パ フォーマンス性の高さなど、FirePassは エンタープライズ市場に対してだけでなく、 SSL VPNサービスを提供しているサービス プロバイダに対しても強い牽引力を持っ ています。」 Jay Tan, Frost & Sullivan社 出典:Asia Pacific Network Security Market (2005), #4Y73-74, ©2006 Frost & Sullivan © 2007 F5 Networks, Inc. All rights reserved. 6 SSL VPNの利便性 IPSec VPNより、はるかに手軽で設定が容易かつセキュリティが高い – SSL VPNは、クライアントにWebブラウザのみでリモートアクセスVPNが実現 – IPSec VPNは、専用クライアントソフトが必要であり管理・運用コストが増大 ソフトウェア配布作業、バージョンアップ、ドライバとの相性等 – IPSec VPNは、クライアントのセキュリティ・チェック機能が弱い 暗号化 認証 暗号化の範囲 接続形態 クライアントセキュリティ SSL VPN きわめて強固 サーバ認証、クライアント認証 TCPアプリケーションデータ リモートアクセス 強固 導入に必要な物 Webブラウザのみ 導入・管理 利用実績 簡単 SSLは標準技術 © 2007 F5 Networks, Inc. All rights reserved. IPSec VPN きわめて強固 サーバ認証、クライアント認証、パケット認証 全てのIPトラフィック LAN間接続/リモートアクセス 弱い 専用ゲートウェア装置/専用クライアントソフ ト、デジタル証明書 難しい ゲートウェイ、クライアントの互換性に難あり 7 ICSA認定取得 FirePass 製品ラインナップ 2シリーズ 9モデルのラインナップ – FirePass 1200シリーズ (1205/1210/1220/1230) – FirePass 4100シリーズ (4110/4120/4130/4140/4150) FirePass 1200シリーズ 1Uの筐体 最大同時接続100ユーザ スモール/ミディアム企業に最適な 価格帯(153万円~) 冗長化に対応 FirePass 4100シリーズ 2Uの筐体 最大同時接続2000ユーザ エンタープライズ用途に最適な豊富な機能を標準搭載 冗長化・クラスタリング(最大20000同時接続)にも対応 GbEポート搭載 SSLアクセラレータ標準搭載 © 2007 F5 Networks, Inc. All rights reserved. 8 接続形式と対応アプリケーション FirePass 1200 FirePass 4100 ネットワークアクセス ● ● ウェブ・アプリケーション ● ● イントラネット(HTTP, HTTPS)、OWA, iNotes等 モバイルEメール ● ● Webブラウザによるメールの読み書き (POP3, IMAP, SMTP) Windowsファイル ● ● 共有ファイル(SMB, Windows Workgroup, Windowsドメ イン, Novell 5.1/6.0) アプリケーション・トンネル ● ● TCPアプリケーション(Exchange, Lotus Notes, FTP, Oracle, SAPなど) ターミナルサーバ・アダプタ ● ● レガシーホスト ○ ○ ホスト系サービス(VT100, VT320, Telnet, X-Term, IBM 3270/5250) モバイルアクセス ○ ● モバイル端末(PalmなどのPDA, iモード, WAP, PocketPC) から接続 接続機能 ①ネットワークアクセス ②ポータルアクセス ③アプリケーション アクセス ④モバイルアクセス ●=標準対応/○=オプション対応 © 2007 F5 Networks, Inc. All rights reserved. 対応アプリケーション/機能 TCP/UDPアプリケーション (すべてのIPアプリケーション)。IPsecと同等の接続 ターミナルサービス(Citrix PresentationServer, Microsft WTS, VNC) 9 FirePassへの接続 1. ユーザはまず、WebブラウザからFirePassへ接続 2. ユーザ認証後、FirePassのポータル画面へ ユーザID&パスワードを入力 FirePassのポータル 画面(Webtop) © 2007 F5 Networks, Inc. All rights reserved. 10 ポータルアクセス Webブラウザを使って、社内リソースへ アクセス ・Webアプリケーション(HTTP/HTTPS) ・モバイルEメール(POP/IMAP/SMTP) ・ファイルサーバ(Windows) どこからでも社内にリモートアクセス ・WebブラウザがあればOK ・携帯電話やPDAでも可能 ・モバイルアクセスを使うとより便利 ■Webアプリケーション ・社内イントラのWebサーバ ・ブラウザベースのメールサーバ (Outlook Web Access) ・キャッシュクリーンナップ対応 ブラウザが読み込んだキャッシュを残さない (ファイル、ユーザID/パスワード/URL履歴等) © 2007 F5 Networks, Inc. All rights reserved. 11 ネットワークアクセス ②ActiveXコントロールが起動 ③SSL VPNのトンネルが確立 ①接続先のネットワークをクリック © 2007 F5 Networks, Inc. All rights reserved. 12 ネットワークアクセス リモートデバイスを社内ネットワークに完全に接続 – – 全てのIPアプリケーションが利用可能 TCPアプリケーション / UDPアプリケーション 通信中にポート番号が変わるようなアプリケーション インターネットと社内のトラフィックを完全に分割可能(スプリット・トンネル) 専用VPNソフトのインストールは不要 – 完全な「クライアントレス」環境を実現 マルチ・プラットフォーム対(Win32/Macintosh/Linux/PocketPC) IPSec VPNと同等の機能を実現しつつ、管理コストを大幅に低減 – 同等の機能をVPN専用ソフトを使って実現する場合、運用負荷はIPsec VPNと 同じになってしまいます! ネットワークアクセス時のリスクをなくす充実の「クライアント・セキュリティ」 機能を搭載 © 2007 F5 Networks, Inc. All rights reserved. 13 モバイルアクセス モバイルデバイス向けの軽量な画面でFirePassにアクセス – ミニブラウザを使って、以下の操作が可能 • メールの送受信 • Webブラウズ(モバイル用アプリ) • ドキュメントの閲覧 各種のデバイスに対応 – Palm OS / PocketPC / iモードなどの携帯電話 FirePassログイン画面 FirePassポータル ウェブトップを自動切換え メールサーバや ファイルサーバ、PC © 2007 F5 Networks, Inc. All rights reserved. 14 管理者向け機能 © 2007 F5 Networks, Inc. All rights reserved. 15 SSL VPNのセキュリティリスク 個人所有のPC (情報漏えいの危険) パッチがあたっていない (セキュリティホールの内在) 休眠PC ビジネスセンターPC 社内ネットワーク SSL VPN 自宅PC インターネット ウイルス定義ファイルが古い (ウイルス感染) スパイウェアが稼働 (パスワード盗聴) こうした危険を含むデバイスからリモートア クセスされるSSL VPNでは、エンドポイント・ セキュリティ対策が必須とされる インターネットカフェ © 2007 F5 Networks, Inc. All rights reserved. 16 エンドポイント・セキュリティ・チェックフロー クライアントPC FirePass ログオン前チェック ログオン画面 ログオン画面の表示 プロテクテッド設定 ポータル画面の表示 ポータル画面 © 2007 F5 Networks, Inc. All rights reserved. 17 ビジュアルポリシーエディタ ルール アクションの定義 アクション インスペクタの指定 ルールの定義 エンドページ © 2007 F5 Networks, Inc. All rights reserved. 18 エンドポイント・セキュリティ・チェック項目 2種類のインスペクタ – サーバサイド・インスペクタ: HTTPヘッダから得られる基本情報 • セッションに関する時間情報、クライアントOS情報、 ユーザエージェント情報、クライアント証明書の情報など – 以下のクライアント側から情報を取得するインスペクタ インスペクター名 機能 Googleデスクトップサーチの存在をチェック Googleデスクトップサーチチェッカー Windowsアンチウィルスチェッカー ウイルス対策の強制とウイルスのチェック Windowsファイアウォールチェッカー ファイアウォールの存在をチェック バーチャルキーボード有効化 バーチャルキーボードを有効 プロテクテッドワークスペースインスペクタプロテクテッドワークスペースを有効 拡張Windows情報 Windows OSに関する拡張情報を取得 Microsoft Internet Explorerに関する追加情報を取得 Internet Explorer情報 Windowsプロセスチェッカー Windows PC上で動作するプロセスに関する情報を取得 Windowsレジストリチェッカー Windows PC上のレジストリキー情報を取得 Windowsファイルチェッカー Windows PC上のファイルに関する情報を取得 ロガー ログオンログにユーザ定義の情報を書き込む © 2007 F5 Networks, Inc. All rights reserved. 19 企業が抱える課題:アクセスポリシーの管理 多数のアプリケーション、サーバ、ユーザグループが存在 アクセスポリシーの定義が複雑 アプリケーションの数が増え、アクセスポリシーの管理に収拾がつかない 多数のユーザグループ 多数のリソース 市場の広がり • エンタープライズは広範 人事システム 囲なビジネスアプリケー ションを世界規模で導入 • エンタープライズは、従 従業員グループ イントラネット Microsoft Exchange 営業部グループ 業員、パートナー、サプラ イヤ、顧客ごとに多数の グループにより運用 • VPNにとって、ユーザーと リソースの管理性は、運 用時のキーチャレンジで、 大きな障害となる © 2007 F5 Networks, Inc. All rights reserved. 20 ユーザ管理機能とアクセスコントロール ユーザをグループ単位で管理 – – – ユーザは複数のグループに所属可能 グループにサーバリソース割当てる グループごとに異なる認証方法を割り当て – ユーザは、グループに割当てられているサーバリソースにアクセス 豊富な認証機能 – – 組み込みの内部データベース 以下の外部認証システムとの連携 外部のみにユーザデータベースを保持し、二重管理を防ぐ • • • • Radius LDAP Active Directory Windowsドメイン ユーザ情報とともにグループ属性の受け渡し可能 © 2007 F5 Networks, Inc. All rights reserved. 21 ログ/レポート機能の画面 サーバの負荷状態 を示すレポート アプリケーションの利用状況を示 したログ(誰がいつ、どのサーバに アクセスして、何をしたのか詳細 にわかります) © 2007 F5 Networks, Inc. All rights reserved. 22 Agenda ・FirePassとは? ・システム管理者から見たVPN導入ポイント ・デモ(エンドポイント・セキュリティ) ・事例紹介 © 2007 F5 Networks, Inc. All rights reserved. 23 管理者からみたVPN導入のポイント ・VPN機器に求めること 1.手間をかけたくない 2.セキュリティレベルは落とせない ・FirePassの活用ポイント 1. 2. 3. 4. 5. ユーザ管理 / アクセスコントロール エンドポイント・セキュリティをスムーズに構築 利用アプリケーションとFirePassのアクセス方式の関係 管理者権限の委任 認証の強化 © 2007 F5 Networks, Inc. All rights reserved. 24 1. ユーザ管理/アクセスコントロール ・FirePassのユーザアカウントのコンセプト マスターグループ/リソースグループ/認証/ アクセスコントロール/エイリアスグループの活用 ・アクセスコントロールのために既存のリソースの洗い出し ・既存の認証システムとの連携 -内部データベース vs 外部データベース -管理負荷を削減できる外部データベース -アカウントの入社/退社/移動/昇進等への対応 © 2007 F5 Networks, Inc. All rights reserved. 25 2. エンドポイント・セキュリティをスムーズに構築 ポイント: 徐々にセキュリティを実装することで、トラブルを避ける ステップ1 : 本来、対策されているべきセキュリティレベルの確認 ステップ2 : 現状の把握 FirePassのロガー機能を利用し、データ収集を行う ステップ3 : ユーザへの事前アナウンス FirePassのメッセージ機能を活用 ステップ4 : 細かなアクセスコントロール FirePassのプロテクテッド設定を行い、全てのアクセスを拒否しない ステップ5: ポリシー違反ユーザからの「つながらない!」の問い合わせに対する対応 FirePassのメール機能、ログ機能を利用して解析しサポート © 2007 F5 Networks, Inc. All rights reserved. 26 3. 利用アプリケーションと FirePassのアクセス方式の関係 ・ ネットワークアクセスを利用するユーザが多い - 全てのIPアプリケーションを利用可能 - 実データには何も変更を加えないカプセリング技術を利用しているので トラブルがほとんど無い - 接続確立後にアプリケーションを自動起動可能 - クライアントOS上で管理者権限が必要 - ユーザとIPアドレスの静的割当てを利用しセキュリティを向上 ・Webアプリケーション・アクセス利用時には事前検証が必要 - - - - オリジンサーバのURLをFirePassのURLへの書換えを行う 複雑なWebアプリケーションは、うまく表示できないケースがある Sedスクリプトの利用、オリジンサーバのHTML変更を必要とするケースがある 管理者権限を必要としない →パワーユーザ権限で利用可能なダイナミック・アップトンネルの活用 © 2007 F5 Networks, Inc. All rights reserved. 27 4. 管理者権限の委任 ・ 大規模なシステムの運用管理 -管理者が一人だと、負荷が高まる - FirePassの管理領域機能を利用すれば、管理者権限を 複数の管理者に委任し、一人あたりの負荷を減らす -ユーザにも、制限付きの管理者権限を委任可能 © 2007 F5 Networks, Inc. All rights reserved. 28 5. 認証の強化 ・利便性の代償(クライアントを選ばない) 悪意を持つ人間にいつでも、どこからでも、どんな端末からでも 不正アクセスされてしまうリスクを伴う ・認証を強化しているユーザが大半 認証ベンダーと連携し、ワンタイムパスワード/PKI/2要素認証/ 端末の特定/生体認証を利用しなりすましリスクを軽減 エンドポイント・セキュリティ・チェック インターネット 認証に伴うリスク 正規ユーザになりすまし SSL 機密情報 ゲートウェイ セキュリティ 認証システムベンダーと提携する事で強化 © 2007 F5 Networks, Inc. All rights reserved. 29 Agenda ・FirePassとは? ・システム管理者から見たVPN導入ポイント ・デモ(エンドポイント・セキュリティ) ・事例紹介 © 2007 F5 Networks, Inc. All rights reserved. 30 Agenda ・FirePassとは? ・システム管理者から見たVPN導入ポイント ・デモ(エンドポイント・セキュリティ) ・事例紹介 © 2007 F5 Networks, Inc. All rights reserved. 31 FirePass 導入事例一覧 © 2007 F5 Networks, Inc. All rights reserved. 32 東京大学 様 ・背景/要件/課題 -セキュリティリスクを考慮し、学内ネットワークへのリモートアクセスは禁止 -長期出張の多い教授からのリモートアクセスのニーズが高まる -学内ネットワークには機密性の高いデータがあるため、セキュアなリモートアクセス 環境の構築が要件 ・選定ポイント -FirePassとPKI(Pentio)を連携する事でセキュリティを高める事が可能 -MACやLinuxなど幅広いクライアントをサポート -他社製品と比較をおこなったが、セキュリティとパフォーマンスが良い -ドキュメントの充実、管理者画面が日本語化されており操作が容易 ・導入効果 -学内業務の効率がアップ。教職員向けのWebポータル、サイボーズ、物品発注システム の利用が可能になり、学外からの情報共有が可能。 -今後、電子ジャーナル、学生の成績管理など利用可能なアプリケーションを順次拡大予定。 © 2007 F5 Networks, Inc. All rights reserved. 33 ソニー生命保険 様 ・背景/要件/課題 -ダイアルアップを利用したリモートアクセス環境からブロードバンド回線への対応 - ライフプランナーおよび代理店(2700店舗) 7600ユーザが利用 - IPSecへのリプレイスを断念(ソフトウェア設定の手間、接続できない環境があった) -個人情報を扱うためにセキュリティが不可欠 - アクセスコントロール(ライフプランナーと代理店のアクセス情報) ・選定ポイント -営業支援システム「AIOS2000」が利用可能 -携帯電話からのアクセスが可能 -クライアント端末の特定(エンドポイント・セキュリティを利用して、レジストリをチェック) ・導入効果 -高速でセキュリティの高いリモートアクセス環境の構築を実現 -ライフプランナーの生産性の向上 © 2007 F5 Networks, Inc. All rights reserved. 34 © 2007 F5 Networks, Inc. All rights reserved.