fbpx

SSL VPNの成長:次のSSL VPNにより多くを要求する時間

数年前、企業はリモートアクセスのコストと複雑さを軽減するためにSSL VPNに目を向け始めました。 初期のSSL VPNは、IPSec VPNクライアントに関連するITの苦痛を和らげることに焦点を当て、より多くのリモートワーカーが一般的なビジネスアプリケーションにアクセスできるようにWebブラウザを使用していました。 この価値命題により、多くの企業はレガシーVPNを再考し、SSLリモートアクセスの導入を成功させるように促しました。

それ以来、ビジネスニーズは進化を続けています。 今日の労働力はこれまで以上にモバイル性が高く、ますます多様化するデバイスや場所から、さまざまなビジネスアプリケーションやシステムへのアクセスを要求しています。 IT部門は、絶えず変化する接続ニーズを満たすためのより効率的で効果的な方法を見つける必要があります。 さらに、企業の資産をマルウェアや侵害にさらすことなく、企業の規制やプライバシー法で義務付けられている制御と可視性を維持しながら、そうする必要があります。

幸い、SSL VPNゲートウェイも成熟しています。 現代の製品は、古いアクセス制限を超え、IT管理が強化され、自動化が進んでいます。 組織が今日のモビリティの課題を克服するために動いているとき、長引く誤解を解消し、次のSSL VPNにさらに多くを要求する時が来ました。

神話#1:SSL VPNは、Webおよびブラウザーインターフェイスアプリケーションのみをサポートする

事実:今日のSSL VPNは、「クライアントレス」ブラウザインターフェースからシンクライアントSSLトンネリングまで、あらゆるTCP / IPアプリケーションをサポートするアクセス方法の選択肢を提供します。

初期のSSL VPNはHTTPプロキシとして始まり、ワーカーは通常のブラウザだけを使用してVPNゲートウェイ経由でWebアプリケーションにアクセスできるようになりました。 非Webアプリケーションに到達するために、SSL VPNは、各ビジネスプログラムに固有のブラウザベースのGUIとコンテンツトランスレータを実装しました。 たとえば、ワーカーはJavaフロントエンドを使用してネットワークファイルサーバーとやり取りし、SSL VPNゲートウェイに依存してHTTPリクエストをネイティブのWindows SMBプロトコルに変換します。

しかし、急速に変化するビジネスニーズに対応するために、SSL VPNはブラウザーインターフェイスアプリケーションをはるかに超えて拡張する必要がありました。 今日の製品は、SSLを介して非Webプロトコルをトンネリングすることにより、ほぼすべてのアプリケーションをサポートできるブラウザー起動シンクライアントを提供します。 多くのシンクライアントは、指定されたポートに送信されたメッセージを傍受し、VPNゲートウェイを介してプライベートアプリケーションサーバーにTCPセッションを転送します。 一部のユーザーはIPパケットを傍受し、すべてのユーザートラフィックをVPNゲートウェイ経由でプライベートネットワークにルーティングします。 SSL VPNシンクライアントは、ユビキタスアクセスデリバリープラットフォームとしてブラウザを引き続き活用しながら、ビジネスアプリケーションの範囲を大幅に拡大できます。

神話#2:SSL VPNは通常のWebポータルと同じ

事実:SSL VPNは、各ユーザーの個々のリソースとアプリケーションのアクセス権を反映および適用する高度にカスタマイズされたポータルビューを提供できます。

SSL VPNゲートウェイは単純なWebアクセスコンセントレータとして始まったかもしれませんが、現在の製品は洗練された動的アクセスポータルを提供しています。 静的Webポータルは、すべてのユーザーに単一のサービスの同じブラウザーベースのビューを提供します。 アクセスは各サーバーによって独立して制御され、データを区分化するためにさまざまな静的ポータルを必要とする多様なユーザーグループがあります。

SSL VPNは、許可されたすべてのアプリケーションとリソースへのきめ細かいアクセスを各個人に提供する高度にカスタマイズ可能なポータルを提供することにより、これをより効率的かつ効果的に実現できます。 さらに、SSL VPNは、認証されたユーザーIDだけでなく、アクセスの取得に使用されるエンドポイントも考慮する場合があります。 次に、アプリケーションとリソースのルールを使用して、アクセスを許可するユーザー、それらが実行するアクション、およびリソースの名前と表示方法を決定できます。 このようにして、組織は各個人および状況に合わせて調整されたポータルビューを提示でき、すべてのアクセスを制御および追跡するために単一のゲートウェイに依存します。

神話#3:SSL VPNはPDAや電話からのアクセスをサポートしていない

事実:SSL VPNは、Windows CE、Symbian、Palm、さらにはWAP電話を実行しているデバイスを含む幅広いデバイスからアクセスできるようになりました。

ブラウザベースのアクセスのみに重点を置いたSSL VPNは、レガシーIPSec VPNクライアントがこれまでにないほど多くのエンドポイントデバイスに到達しました。 しかし、初期のWebフロントエンドやシンクライアントの中には、Win32 PCでしか実行できないActiveXコントロールや、小さな画面のPDAでは使いづらいブラウザーインターフェイスなど、新しい互換性の懸念を生み出すものがありました。

従業員のモビリティが成長するにつれて、ワイヤレスハンドヘルドデバイスからのアクセスのセキュリティ保護はもはや「便利」ではなくなりました。多くの企業にとって、これは今やビジネスの必要性です。 幸い、SSL VPNはエンドポイントプラットフォームのサポートも拡張しています。 シンクライアントはLinuxとMac OSに移植され、Javaのほぼ普遍的な範囲を利用しています。 新しいWebフロントエンドは、Windows Mobile、Symbian、およびPalmスマートフォンのモバイル操作環境に自動的に適応します。 一部のSSL VPNは、WAPブラウザを備えた「通常の」携帯電話をサポートしています。 iPhoneやAndroidなどの新しいモバイルデバイスが登場し続ける中、現代のSSL VPNは、モバイルワーカー全体に一貫して安全なアクセスを提供するのに適しています。

神話#4:SSL VPNは、管理されていないPC上の企業資産をマルウェアにさらす

事実:SSL VPNは、承認されたビジネスリソースへのアクセスを許可するかどうか、およびその方法を決定する前に、エンドポイントの状態とコンプライアンスを評価できます。

通常のWebブラウザを使用することで、初期のSSL VPNは、インターネットカフェの在宅勤務者の自宅のPCやビジネスパートナーなどの管理されていないエンドポイントからのリモートアクセスを可能にしました。 しかし、管理されていないシステムは本質的にマルウェアに対して脆弱であり、善意の人々でさえ、機密データを残しておくという残念な傾向があります。 このような環境では、認証され暗号化されたトンネルだけでは十分ではありません。企業のリソースとデータも、損失、盗難、または攻撃から隔離する必要があります。

SSL VPNは進化し、管理されていないPC上だけでなく、すべてのエンドポイントに対して、これらの課題に対処しています。 具体的には、SSLセッションをコンジットとして使用して、ユーザーを認証したりアクセスを承認したりする前に、各エンドポイントの整合性を評価できます。 たとえば、一部のSSL VPNは、エンドポイントOSのバージョン/パッチとアンチウイルスの存在/署名を照会できます。 一部のユーザーは、ハードウェアアドレスやホスト証明書などの信頼できるエンドポイント識別子を探すことができます。一部のSSL VPNは、企業のセキュリティポリシーに準拠しているかどうか、管理されたエンドポイントをチェックすることもできます。 このインテリジェンスを利用して、企業はマルウェアの脅威を軽減するためのアクセス決定を行うことができます。 たとえば、ポリシーでは、最低限の安全要件を満たせないエンドポイントを拒否し、対応するラップトップからのトンネルアクセスを許可し、他の場所での狭い「キオスクモード」アクセスを許可します。

神話#5:キーストロークロガーによってSSL VPN認証が侵害される可能性がある

事実:SSL VPNは、外部認証サーバーまたは組み込みの強力な認証サービスと組み合わせて、強力な認証方法を使用してこの脅威を阻止できます。

マルウェア自体が進化しました。 組織化されたサイバー犯罪者は、金銭的利益を得るために個人情報の盗難にますます焦点を合わせています。 スパイウェアは一般的になりました。特に、侵害されたエンドポイントをリモートで管理される攻撃プラットフォームに変えるトロイの木馬です。 キーストロークロガートロイの木馬は、エンドポイントのセキュリティチェックが完了する前に再利用可能なテキストパスワードをキャプチャする可能性があるため、VPN管理者にとって特に懸念事項です。

現在のSSL VPNはこの脅威に対処しています。 一部のユーザーは、テキストパスワードを回避するために「仮想キーボード」を表示できます。 ほとんどは、エンタープライズの2要素認証サーバー(RSA SecurIDなど)とペアにすることができます。 しかし、balanvimgの強さ、使いやすさ、およびコストは困難な場合があります。 強力な認証を容易にするために、一部のSSL VPNは、ハードウェアトークンや外部認証サーバーの購入を必要としないワンタイムパスワードを生成できます。 Socanは、VPNの強力な認証方法をそれほど堅牢ではないLANログイン(Active Directoryなど)にマッピングし、企業のパスワードをキーストロークロガーに公開することなくシングルサインオンエクスペリエンスを提供することもできます。

神話#6:SSL VPNが企業データを自宅および公共のPCに漏洩する

事実:SSL VPNは、各ユーザーが実行できることを制限し、SSLセッション中にデータを安全に保ち、ログオフ時にデータを削除することで、これを回避できます。

SSL VPNは、きめ細かいアクセス制御を実施することにより、家庭用PCと公共用PCによってもたらされるリスクを長期にわたって軽減しています。 たとえば、ポリシーは、完全に信頼されているエンドポイントからのシンクライアントSSLまたはIPトンネルを拒否したり、テキスト形式ではなくグラフィックで表示されたファイルへの読み取り専用アクセスを提供したりできます。 さらに、ほとんどのSSL VPNは、非アクティブなユーザーを自動的に切断し、usebrowser履歴、キャッシュされたオブジェクト、一時ファイルのトレースを削除できるセッション後のクリーンアップオプションを提供します。

ただし、SSL VPNが安全なリモートアクセスの主流になるにつれて、労働力は変化しています。 ますます多くのSSL VPNユーザーが、同じ管理されていないエンドポイントから企業リソースに繰り返しアクセスする「頻繁なチラシ」になっています。 これらのユーザーは、より広いアクセスとある程度の永続性が与えられた場合、より生産的に操作できます。たとえば、SSL VPNセッションと安全な仮想デスクトップをペアリングすると、セッション間で暗号化されたままの一貫した安全な実行環境を提供できます。 つまり、すべての管理対象外のエンドポイントはパブリックPCではなく、より差別的なSSL VPNにより、セキュリティを損なうことなくユーザーエクスペリエンスを向上させることができます。

神話#7:SSL VPN接続が大幅にダウンし、繰り返しログインする必要がある

事実:VPNは高可用性とシングルサインオン技術を使用して、ユーザーを継続的に接続し、最大限の生産性を維持できます。

IPSec VPNユーザーは、接続が失われることの痛みを知っています。 ネットワークレイヤートンネルは、IPアドレスが変更されたときに再確立を必要とし、アプリケーションセッションを中断し、VPNにではなく各アプリケーションに繰り返しログインする必要があります。 あまりにも頻繁に、IPSecユーザー、特に遊牧無線ユーザーは、イライラして非生産的になります。

SSL VPNは本質的にこれらのIPSec制限をバイパスします。 SSLセッションは、接続が失われた後、ユーザーの介入なしに、迅速かつ自動的に再開されます。 一部のSSL VPNは、ネットワークローミングを容易にするためにさらに進んでいます。 たとえば、ユーザーの認証済み状態は、接続が一時的に失われている間も保持されるか、シングルサインオンによって透過的に復元されます。 IPパケットをトンネリングするSSL VPNは、ローミング時に変更されない仮想アドレスを使用します。 最後に、高可用性SSL VPNクラスタは、ゲートウェイのメンテナンスまたは障害時にユーザーを継続的に接続し続けることができます。

神話#8:SSL VPNポリシーは複雑で管理が難しい

事実:SSL VPNは中央のポリシーマネージャーを使用し、エンタープライズ認証サーバーおよびディレクトリと統合して管理を簡素化できます。

確かに、SSL VPNポリシーが扱いにくくなる可能性はたくさんあります。 きめ細かいポリシー、複数のアクセス方法、エンドポイントセキュリティチェッカー、およびカスタマイズ可能なポータルを備えたVPN管理者は、望ましい結果を達成するために賢く使用する必要がある多くの能力を持っています。

ここでは、経験が成熟したSSL VPN製品は何年にもわたって改良されてきたということを示しています。グループまたはロールベースのポリシー、再利用可能なポリシーオブジェクト、テンプレートなどの手法により、SSL VPN管理が合理化されました。 SMBは、ウィザードや組み込みの整合性チェッカーや認証サービスを活用することができます。 大企業は、エンタープライズ認証サーバーとの統合、複数のゲートウェイのシングルポイントポリシー管理、コンプライアンス監査とレポートのための統合ログを活用できます。

神話#9:SSL VPNはIPSec VPNと同じように展開が難しい

事実:SSL VPNは、クライアントのインストールとプロビジョニングを回避するため、ユーザーの自動登録とセルフサービス管理により、クライアントレスとシンクライアントを交互に提供します。

SSL VPNは、IPSec VPNに関連する最も重要なコストであるクライアントソフトウェアのインストール、構成、更新に対処するために作成されました。 今日、クライアントレスSSL VPNアクセスは、ソフトウェア管理を完全に回避して、多くのユーザーのニーズを満たすことができます。 ただし、SSL VPNシンクライアントのソフトウェア管理の種類が異なることを心配する人もいます。

これは一部の製品には当てはまるかもしれませんが、すべてのSSL VPNに当てはまるわけではありません。 シンクライアントとWebフロントエンドは、プラットフォームの依存関係を減らすために進化しています。 インストール可能なクライアントを提供するSSL VPNは、ポータルページリンクを使用してそれらを提供します。 ほとんどの場合、ポータルは最高のシンクライアントを自動的に起動するだけで、ユーザーの関与や推測は不要です。 シンクライアントとWebフロントエンドを必要に応じてダウンロードすると、常に最新バージョンが使用されます。 そして、クライアント構成の更新があります。 ポリシーは、各セッションのゲートウェイで適用されます。 SSL VPNは、パスワードの更新やポータルショートカットのカスタマイズなど、ユーザー主導の変更のためのセルフサービスWebインターフェイスを提供することもできます。 つまり、SSL VPNは、インストールされたクライアントのコストを回避するだけでなく、ブラウザのパラダイムによって管理の総コストを削減します。

結論

明らかに、SSL VPNはここ数年で大きな進歩を遂げています。 新しいSSL VPNゲートウェイは、総所有コストを抑えながら、従来のVPNゲートウェイよりもはるかに優れた機能を提供します。 ただし、製品の機能はさまざまです。細心の注意を払い、独自のビジネスニーズを満たすソリューションを選択してください。

尚、本記事ではSSL VPNについて紹介しましたが、本来にはSSL VPNは境界型セキュリティの延長であり、内部犯行やサプライチェーン攻撃には対応出来ません。より包括的に防御力を高めるためにVPNをゼロトラストネットワークにリプレイスしたり、ZTNAを導入することを検討してください。

SNSでもご購読できます。

コメントを残す

*