fbpx

ZTAで境界のないセキュリティを実現!ビジネスの未来を確保する

組織が「ビジネスの未来」へと移行するにつれ、従来のアプローチでは変化する脅威の状況に対処できなくなります。重要なリソースを維持および保護するには、脅威管理機能を強化する必要があります。

組織の境界が狭くなり、従業員はセキュリティの新しい境界になりました。日和見的な脅威の攻撃者からの保護が重要になり、強力なセキュリティ文化を組織に組み込む必要性が強調されます。

現在のデジタル時代は、コンピューティングの主要な推進力として浮上しているモバイルおよびクラウドエコシステムによって支えられており、このエコシステムを保護する従来のメカニズムは解消されています。これにより、重要な企業インフラストラクチャを保護し、安全なネットワークアーキテクチャを確立するための管理を行うことがさらに重要になります。

ただし、ユーザーが組織外からシステムやクラウドベースのアプリケーション全体で情報にアクセスして共有するデバイスや操作のモバイル性により、これらの対策の実装は困難です。このような問題により、組織は、情報へのアクセスと共有に使用されるエンドポイントデバイスの保護に集中することが不可欠になっています。

続きを読む

ネットワークセキュリティの未来はクラウドにある

デジタルビジネスの変革は、ネットワークとセキュリティサービスの設計パターンを逆転させ、データセンターではなく、ユーザーやデバイスのIDに焦点を移します。セキュリティとリスク管理のリーダーは、この変化に対処するために、クラウドで提供される統合された安全なアクセスサービスエッジを必要としています。

続きを読む

ゼロトラストネットワークアクセス(ZTNA)とゼロトラストモデルの違い

今日、データ侵害の被害に遭うことはほぼ避けられません。免疫のある組織はありません。Facebook、マリオット、さらには政府機関でさえ被害を受けています。現在、専門家は、データの盗難よりも​​深刻な影響を予測しており、データやシステムの操作、会社の機密情報や知的財産の完全な暴露を含みます。同時に、データ保護を実施する際の困難がかつてないほど困難になり、緊急性が高まっています。

ほとんどの攻撃は、認証情報の侵害、脆弱なエンドポイント、管理されていないIoTデバイス、またはアプリケーションやリソースへの保護されていないアクセスが原因です。攻撃者はネットワークへのエントリポイントを獲得し、リソースの発見と制御の拡大を開始します。しかし、組織は意図しない間違いに対しても脆弱です。最近の調査では、人的エラーがデータ侵害の2番目に大きな原因でした。

続きを読む

ZTNAを使用してユーザーが望むエクスペリエンスを提供する

いつでも、どこでも、どのデバイスからでも従業員へのアプリアクセスを保護します。

ユーザーベースが進化しました

それは2020年であり、従業員はもはやオフィスに限定されていません。彼らは自宅、ホテル、空港で働いています。彼らが使用するデバイスは、エンドポイントチームから提供された管理対象のBlackBerryデバイスではなくなりました。これらは、レジャーと仕事の両方に使用される個人用BYODスマートフォン、タブレット、およびラップトップです。

従業員を確保するだけでなく、会社の給与計算に参加しているサードパーティの請負業者にも責任があります。これらすべてのユーザーは、すべてのデバイス、場所、アプリケーションタイプで、プライベートアプリへの同一のアクセス権が必要です。セキュリティを犠牲にすることなく、これらのデバイスからのアクセスを提供することは、ある時点では不可能でした。もはやそうではありません。

ユーザーのポートフォリオを確認する

現在グローバルに分散している多様な労働力により、プライベートアプリケーションへの安全なアクセスを提供することは、ITチームにとって課題となっています。従業員の見た目は15年前とは異なるかもしれませんが、共通点はまだあります。すべてのユーザーは、ビジネスを円滑に運営するために、プライベートアプリケーションへの高速で信頼性の高いアクセスを必要としています。現代の労働力は次のようになります。

旅行者

Sam Davis、営業担当副社長

「私はおそらく75%の確率で出張しています。多くの場合、私は空港、ホテル、または顧客のサイトで待機時間中に仕事を終わらせようとしています。私の仕事の設定は常に変化しているかもしれませんが、私は顧客により良いサービスを提供できるように、ビジネスリソースにすばやくアクセスする必要があります。」

ローカル

Danielle Allen、財務マネージャー

「私はカリフォルニア州サンノゼの本社に拠点を置いており、ほとんどの場合「オフィス」の従業員です。他の従業員から毎日、支払いについてのリクエストを受け取ります。私は常に財務アプリケーションを使用しており、迅速にアクセスして、要求を確実に把握できるようにする必要があります。」

請負業者

Elaina Thalin 、ウェブ開発請負業者

「私はこの会社と約8か月間契約しています。私は従業員でもオフィスでもありませんが、仕事を終わらせるためにいくつかのプライベートアプリケーションにアクセスする必要があります。それらにアクセスできない場合、私は本当に自分の仕事をすることができません。」

WFH- er

Justin Miller、マーケティングマネージャー

「私はフロリダに住んでおり、ハリケーンなどの気象警報の影響をよく受けます。当時、私は自分の責任を守りながら、自分と家族の安全を確保する必要がありました。」

ユーザーのタイプや職務に関係なく、従業員はどこにいてもプライベートアプリケーションにすばやく安全にアクセスできる必要があります。これを可能にし、セキュリティがユーザーの生産性に影響を与えないようにするには、ITに適切なテクノロジーを活用する必要があります。これが、VPNが現代の労働力に適していない理由です。

ユーザーはVPNよりも価値がある

VPNは30年以上前に開発されたため、セキュリティ設計の欠陥によりユーザーエクスペリエンスが低下しているため、今日の現代の労働力での使用にはもはや十分ではありません。

レイテンシが高く、規模が限定的で、エクスペリエンスが悪い

VPNは、ネットワークへのアクセスを保護するために設計されました。つまり、アプリがパブリッククラウドで実行されている場合でも、すべてのユーザートラフィックが最初にデータセンターにバックホールされます。これにより、ネットワークトロンボーンが発生し、ユーザーの待ち時間が長くなります。また、VPNアプライアンスにはユーザー容量の制限があり、同時に多くの同時ユーザーがVPNサーバーにアクセスしている場合、その影響が大きくなる可能性があります。

繰り返しログインと接続の切断

ネットワークが変更されるか、非アクティブになるたびに、VPN接続は切断されます。現在のモバイルワーカーの場合、これは非常に頻繁に発生する可能性があり、その結果、ユーザーのフラストレーションと生産性の損失につながります。

VPNを使用するタイミングの混乱…

多くの場合、ユーザーはパブリックアプリケーションとプライベートアプリケーションの違いを知らない場合があります。現在、アプリケーションがクラウドに移行しているため、VPN をいつ、どこで、どのように使用すべきかをユーザーが理解するのはさらに困難です。言うまでもなく、VPN はユーザーにとってシームレスでも直感的でもありません。

何千ものDVDプレーヤーを接続してNetflixを構築できなかったのと同じように、いつでもどこでも専用のアプリケーションアクセスソリューションを利用して、専用のアクセスを構築する必要があります。それらは常に利用可能で、拡張性が高く、ユーザー中心である必要があります。VPNアプライアンスをデータセンターに後付けしたり、仮想化したり、クラウドに配置したりしても、モバイルワールドが生み出すユーザーエクスペリエンスやネットワークセキュリティ関連の課題は解決されません。新しいアプローチが必要です。

ZTNAでユーザーの生産性を確保する

パブリッククラウド、SSH、RDP、カスタムイントラネット、またはWebベースのタイムシートアプリでSAPにアクセスする場合、ユーザーエクスペリエンスは常にシームレスである必要があります。これが、ガートナーが組織にリモートアクセスVPNの代わりにゼロトラストネットワークアクセス(ZTNA)テクノロジーを採用することを推奨する理由です。

ほとんどの場合、ZTNAサービスはクラウドでホストされ、ポリシーを使用して、特定のプライベートアプリケーションにアクセスできる承認済みユーザーを決定します。これらのポリシーでは、ユーザーのID 、グループ、デバイスのポスチャ、およびその他のいくつかの基準が考慮されます。

多くのZTNAサービスは完全にクラウドで提供されるため、ユーザーはサービスの多くのグローバルプレゼンスポイントの1つに接続でき、プライベートポイントへの安全な接続を仲介します。これは、VPNアプライアンスよりも優れた可用性とはるかに大きなスケールを提供します。ユーザーがネットワークに配置されることはないため、トラフィックはデータセンターにバックホールされなくなりました。つまり、ZTNAサービスは、エンドユーザーへのアクセスをシームレスにしながら、ビジネスへのリスクを最小限に抑えることができます。

ゼロトラストネットワークアクセス(ZTNA)アーキテクチャ

ZTNAのコンポーネントについては下記の箇条書きが概要になります。より詳しく知りたい方はZTNAとは何かを詳しく解説した他の記事についてご確認ください。

  1. セキュアなアプリまたはブラウザーアクセス
    • 認証のためにトラフィックをIDPプロバイダーにリダイレクトします
    • クライアントコネクタは自動的にトラフィックをパブリックサービスエッジにルーティングします
    • ブラウザアクセスにより、Webベースのアプリケーションにアクセスするときのデバイス上のクライアントの必要性がなくなります
  2. パブリックサービスエッジ
    • ユーザーとアプリの接続を保護します
    • すべてのカスタマイズされた管理ポリシーを適用します
  3. アプリコネクタ
    • クラウドやデータセンターのプライベートアプリケーションの前に座っています
    • パブリックサービスエッジからの要求にのみ応答します
    • インバウンド接続なしで、裏返しの接続でのみ応答します

ユーザーが望むエクスペリエンスの提供を開始する

ユーザーが生産的になるようにするには、ZTNAサービスを検討してください。

オーストラリア国立銀行のインフラストラクチャ、クラウド、ワークプレイスのEGMであるスティーブデイがどのようにして彼のユーザーの生産性を向上させたかを必ずチェックしてください。

ルートベースVPNの構成

この記事では、次の間でルートベースVPNを構成する方法について説明します。

  • 2つのCheck Point Embedded NGXゲートウェイ
  • Check Point SmartLSM 拡張機能の有無にかかわらず、Check Point SmartCenter R60 以降を使用している組み込みNGXゲートウェイとCheck Point VPN-1 Pro NGXゲートウェイ

前書き

ルートベースのVPNを構成することにより、大規模ネットワークのネットワークおよびVPN管理の効率を向上させることができます。ルートベースのVPNは、VPNトンネルを介したルーティング接続を可能にするため、リモートVPNサイトは動的または静的ルーティングスキームに参加できます。

静的ルーティングスキームでは、特定のサブネットから送信されたパケット、または特定のサブネットに送信されたパケットの静的ルートを構成する必要があります。このようなスキームでは、ネットワークトポロジが変化するたびに静的ルートを再構成する必要があるため、主に小規模または比較的変化しないネットワークに適しています。

「従来の」VPNを介して静的ルートを持つルートベースVPNを使用する利点は、VPNトンネルが通常のオペレーティングシステム(OS)インターフェイスとして動作することです。これは、インターフェースが上下するときに、VPNトンネルがルーティングの決定で考慮されることを意味します。各ルートに「コスト」を割り当てることにより、ルーティングの決定に影響を与えることができます。組み込みNGXアプライアンスは、常に最低コストのネクストホップを介してパケットをルーティングします。

たとえば、あるインターネット接続(WAN2)で実行されているフレームリレー回線と、別のインターネット接続(WAN)で実行されているルートベースのVPN(VTI1)がある場合、会社は本社(HQ)への2つの静的ルートを構成できます。 ):1つはフレームリレー回線(WAN2)を経由し、もう1つはVPN(VTI1)を経由します。WAN2を経由するルートのコストが10で、VTI1を経由するルートのコストが20の場合、通常、HQへのトラフィックはWAN2を経由します。WAN2に障害が発生すると、トラフィックはVTI1を通過し、WAN2が回復すると、トラフィックは再びWAN2を通過します。

絶えず変化するネットワークでは、OSPF(Open Shortest Path First)動的ルーティングスキームと組み合わせたルートベースのVPNを使用することをお勧めします。OSPFは、単一の自律システム(AS)内のルーター間でルーティング情報を配布します。AS内の各ルーターは、ローカル状態(つまり、ルーターの使用可能なインターフェイスと到達可能なネイバー)をAS内の他のルーターに配布し、他のルーターのリンク状態アドバタイズを使用して、ASトポロジー全体を記述するデータベースを構築および維持します。したがって、内部ネットワークを追加するなどしてネットワークトポロジに変更を加えると、ネットワークトポロジへのすべての変更でルーターが自動的に更新されます。

OSPF動的ルーティングスキームでルートベースVPNを使用すると、静的ルーティングスキームでルートベースVPNと同じ利点があります。ただし、静的ルーティングスキームの障害検出機能はネクストホップゲートウェイの可用性の検出に限定されていますが、これらの機能は動的ルーティングスキームの方が優れています。が迅速に検出され、ルーティングテーブルが更新されて、次善の(最短の)オープンパスが存在する場合、そのパスを経由して障害を迂回します。

OSPFは標準プロトコルなので、動的ルーティングスキームには、組織内のチェックポイントと非チェックポイントの両方のルーターを含めることができます。

尚、このドキュメントにはスタティックルーティングスキームとOSPFダイナミックルーティングスキームの両方のルートベースVPNの構成に関する情報が含まれています。ただしセキュリティの観点から考えるとVPN自体NGです。VPNをゼロトラストへ移行する必要があります。より詳細な内容にご感心あれば、是非他の記事もご覧ください。

組み込みNGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNを構成するには:

  1. 各ゲートウェイで、もう一方のゲートウェイをVPNサイトとして追加します。たとえば、ゲートウェイAで、ゲートウェイBをVPNサイトとして追加します。ゲートウェイBで、ゲートウェイAをVPNサイトとして追加します。後述の「VPNサイトの追加」を参照してください。
  2. 次のいずれかを実行します。
    • 静的ルーティングスキームを使用するには、各ゲートウェイで、他のゲートウェイの背後にあるネットワークへの静的ルートを追加します。後述の「静的ルートの追加」を参照してください。
    • OSPF動的ルーティング方式を使用するには、各ゲートウェイでOSPFを構成します。後述の「ゲートウェイでのOSPFの構成」を参照してください。

VPNサイトの追加

VPNサイトを追加するには:

  1. メインメニューの[VPN]をクリックし、[VPNサイト]タブをクリックします。「VPNサイト」ページに、VPNサイトのリストが表示されます。
  2.  [新しいサイト]をクリックします。VPN-1 Edge VPNサイトウィザードが開き、[VPNサイトウィザードへようこそ]ダイアログボックスが表示されます。
  3.  [サイト間VPN]をクリックします。
  4. 次へをクリックします。[VPNゲートウェイアドレス]ダイアログボックスが表示されます。
  5. 必要に応じてフィールドに入力します。詳細については、ユーザーガイドを参照してください。
  6. 次へをクリックします。[VPNネットワーク構成]ダイアログボックスが表示されます。
  7. Route Based VPNをクリックします。
  8. 次へをクリックします。Route Based VPNダイアログボックスが表示されます。
  9. [トンネルローカルIP]フィールドに、VPNトンネルのこの端のローカルIPアドレスを入力します。これは、VPNサイトごとに一意である必要があります。ゲートウェイAに構成したトンネルローカルIPアドレスは、ゲートウェイBのトンネルリモートIPアドレスになります。たとえば、たとえば、ゲートウェイAのローカルIPアドレスを192.168.10.10, then you must configure the remote IP address on gateway Bとした192.168.10.10として構成するとします。
  10. [トンネルリモートIP]フィールドに、VPNトンネルのリモートエンドのIPアドレスを入力します。これは、VPNサイトのVTI(仮想トンネルインターフェース)です。これは、VPNサイトごとに一意である必要があります。ゲートウェイAで構成するトンネルリモートIPアドレスは、ゲートウェイBでトンネルローカルIPアドレスになります。たとえば、ゲートウェイAのリモートIPアドレスを192.168.10.20として構成する場合、ゲートウェイBのローカルIPアドレスを192.168.10.20として構成する必要があります。
  11. OSPF動的ルーティングを使用するには、[OSPFコスト]フィールドに、動的ルーティングを目的としたこのリンクのコストを入力します。OSPFは常に、コストが最も低いルートを介してトラフィックを送信することを好みます。デフォルト値は10です。
  12. 次へをクリックします。
  13. 必要に応じてウィザードを完了します。詳細については、ユーザーガイドを参照してください。[VPNサイト]ページが再び表示され、新しいサイトが表示されます。

静的ルートの追加

スタティックルーティングスキームを使用する場合は、スタティックルートを作成して、「VPNサイトの追加」で設定したVTIを介して送信するトラフィックを指定する必要があります。

または、後述の「ゲートウェイでのOSPFの構成」の手順を使用してOSPFを構成できます。

静的ルートを追加するには:

  1. メインメニューの[ネットワーク]をクリックし、[ルート]タブをクリックします。[静的ルート]ページが表示され、既存の静的ルートのリストが示されます。
  2. [新しいルート]をクリックします。Static Route Wizardが開き、Step 1:Source and Destinationダイアログボックスが表示されます。
  3. [ソース]ドロップダウンリストで、[ANY]を選択します。
  4. [宛先]ドロップダウンリストで、[指定されたネットワーク]を選択します。新しいフィールドが表示されます。
  5. [ネットワーク]フィールドに、リモートネットワークのIPアドレスを入力します。
  6. [ネットマスク]ドロップダウンリストで、サブネットマスクを選択します。
  7. 次へをクリックします。[ステップ2:次ホップとメトリック]ダイアログボックスが表示されます。
  8. ネクストホップIPフィールドに、リモートネットワーク宛てのパケットをルーティングする先のIPアドレスを入力します。これは、2ページの「VPNサイトの追加」で構成したリモートネットワークのVTI(仮想トンネルインターフェイス)です。
  9. [メトリック]フィールドに、静的ルートのメトリックを入力します。ゲートウェイは、パケットの宛先と一致し、メトリックが最小のルートにパケットを送信します。デフォルト値は10です。
  10. 次へをクリックします。[ルート]ページが再び表示され、新しい静的ルートが表示されます。

ゲートウェイでのOSPFの構成

OSPF動的ルーティング方式を使用する場合は、ゲートウェイでOSPFを構成する必要があります。OSPFの構成は、CLIコマンドを介して行われます。Embedded NGXポータルのコマンドラインインターフェイスを使用するか、SSH(Secure Shell)管理プロトコルを使用して、必要なコマンドを実行できます。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

または、後述の「静的ルートの追加」の手順を使用して、静的ルーティングスキームを構成できます。

OSPFを構成するには

  1. 次のコマンドを入力して、OSPFを有効にします。
    set ospf mode internal
  2. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
  3. 次のコマンドを入力して、ローカルVTIを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルVTIのIPアドレス。
    mask:ローカルVTIのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 1.1.1.1 mask 0.0.0.0 area 0.0.0.0
  4. OSPFが正しく構成されていることを確認するには、次のコマンドを入力します。
    • info ospf neighbor
    • info ospf routes
      OSPFネイバーおよびルータに関する情報が表示されます。

注:組み込みNGXゲートウェイは、OSPFを構成するためのいくつかの追加コマンドをサポートしています。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

組み込みNGX ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNの構成に使用される方法は、組み込みNGX ゲートウェイがSmartCenter によって管理されているか、外部で管理されているかによって異なります。

外部管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

ルートベースVPNを構成するには:

  1. 以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
      注:「一般プロパティー」タブで、「外部管理ゲートウェイ」チェック・ボックスを選択する必要があります。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。11ページの「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. 次の手順を実行して、ルートベースVPN用の組み込みNGXゲートウェイを準備します。
    1. SmartCenter をVPNサイトとして追加します。前述の「VPNサイトの追加」を参照してください。
    2. 次のいずれかを実行します。
      • 静的ルーティング方式を使用するには、VPN-1 Pro NGXゲートウェイの背後にあるネットワークに静的ルートを追加します。前述の「静的ルートの追加」を参照してください。
      • OSPF動的ルーティングスキームを使用するには、OSPFを設定します。前述の「ゲートウェイでのOSPFの構成」を参照してください。

SmartCenter 管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

注:この手順は、ファームウェアバージョン6.0.53以降の組み込みNGXゲートウェイに関連しています。

ルートベースVPNを構成するには:

  1. 1以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。後述の「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. Embedded NGXゲートウェイをSmartCenterに接続します。詳細については、ユーザーガイドの「サービスセンターへの接続」を参照してください。
  3. 次の手順を実行して、SmartCenterの組み込みNGXゲートウェイオブジェクトにルートベースのVPNを構成します。
    1. VPNサイトとしてVPN-1 Pro NGXゲートウェイを追加し、関連するOSPFまたは静的ルート設定を含むCLIスクリプトを作成します。スクリプトには、エンタープライズVPNサイトを無効にする次のコマンドも含める必要があります。
      set vpn enterprise-site disabled true注:このコマンドはEmbedded NGXバージョン6.5から使用できます。バージョン6.0を使用している場合は、Enterprise VPNサイトをローカルで無効にする必要があります。詳細については、ユーザーガイドの「VPNサイトの有効化/無効化」を参照してください。たとえば、次のスクリプトは、OSPF 動的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドはOSPFモードを設定し、3番目のコマンドは組み込みNGXゲートウェイの背後の内部ネットワークを設定し、4番目のコマンドは組み込みNGXローカルVTIを設定し、最後のコマンドはエンタープライズVPN サイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72
      gateway2undefined loginmode automatic configmode routebased authmethod
      sharedsecret typesitetosite keepalive disabled bypassnat enabled
      bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1
      undefined netmask1 undefined net2undefined netmask2 undefined net3
      undefined netmask3 undefined usepfs falsephase1ikealgs automatic
      phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic
      phase2exptime 3600 phase2dhgroup automatic dnsname
      212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      set ospf mode internalset ospf router-id 10
      clear ospf network
      add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
      add ospf network address 1.1.1.1 mask 255.255.255.255 area 0.0.0.0

      次のスクリプトは、静的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドは静的ルートをVPN-1 Pro NGXゲートウェイに追加し、最後のコマンドはエンタープライズVPNサイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72 gateway2undefined loginmode automatic configmode routebased authmethod sharedsecret typesitetosite keepalive disabled bypassnat enabled bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1 undefined netmask1 undefined net2undefined netmask2 undefined net3 undefined netmask3 undefined usepfs falsephase1ikealgs automatic phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic phase2exptime 3600 phase2dhgroup automatic dnsname 212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      clear routes
      add route network 192.168.10.0 mask 255.255.255.0 gateway 2.2.2.2

      関連するCLIコマンドについては、 『組み込みNGX CLIリファレンスガイド』を参照してください。

    2. スクリプトをゲートウェイオブジェクトに追加します。13ページの「組み込みNGXゲートウェイへのCLIスクリプトの追加」を参照してください。

組み込みNGXゲートウェイのVPN設定の構成

組み込みNGXゲートウェイVPN設定を構成するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [VPNを有効にする]チェックボックスをオンにします。
  3. [サイト間ゲートウェイとして接続]をクリックします。
  4. 必要に応じて、残りのフィールドに入力します。詳細については、SmartCenterのドキュメントを参照してください。
  5. OKをクリックします。

VPN-1 Pro NGXゲートウェイでのOSPFの構成

OSPFを構成するには:

  1. VPN-1 Pro NGXゲートウェイで、次のコマンドを入力して、VPN-1 Pro NGXゲートウェイにVTIを作成します。
    vpn shell
    interface
    add
    numbered
    numbered localIP remoteIP peerName
    Where:
    localIP:VPN-1 Pro NGXゲートウェイのIPアドレス。
    remoteIP:ゲートウェイのIPアドレス。
    peerName:ゲートウェイオブジェクトの名前。
    たとえば、最後のコマンドは次のようになります:numbered 2.2.2.2 1.1.1.1 edge_ospf
  2. 次のコマンドを入力して、OSPFを有効にします。
    router
    enable
    configure terminal
    router ospf routerName
    where:
    routerName:OSPFルーターの名前。
    例:router ospf 100
  3. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    network address mask area
    Where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:network 192.168.200.0 0.0.0.255 area 0.0.0.0
  4. 次のコマンドを入力して、VTIを公開します。network address mask area
    where:
    address:ピアVTIのIPアドレス
    mask:必ず0.0.0.0に設定します。
    area:OSPFエリアのIPアドレス。
    例:network 1.1.1.1 0.0.0.0 area 0.0.0.0

組み込みNGXゲートウェイへのCLIスクリプトの追加

組み込みNGXゲートウェイにCLIスクリプトを追加するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [詳細]タブをクリックします。Advancedタブが表示されます。
  3. 準備したCLIスクリプトをコピーして、[構成スクリプト]テキストボックスに貼り付けます。
  4. OKをクリックします。

ゼロトラスト採用レポート

ゼロトラストは、コンテキスト制御(ユーザー、デバイス、アプリなど)に基づいてプライベートアプリへの最小特権アクセスを提供する新しいセキュリティモデルとして急速に普及しています。これを可能にするために、多くのチームが、VPNやDMZなどの従来のインフラストラクチャを置き換えることができる最新のクラウドファーストテクノロジーを採用しています。

2019ゼロトラスト導入レポートは、企業がアプリをパブリッククラウドに移行し、ますますモバイルワーカーをサポートする際にビジネスを安全に保ち、リスクを最小限に抑えながら優れたユーザーエクスペリエンスと可視性を提供することで、組織にゼロトラストの価値を明らかにします。

続きを読む

IPSec VPNのベストプラクティス

多くのベンダーが、IPSec トンネルを構築できる物理アプライアンスと仮想アプライアンスを提供しています。これらの製品は標準のIPSec トンネルをサポートしますが、さまざまなベンダー間でいくつかの非互換性があります。このドキュメントでは、インターネット経由でIPSec VPNを使用してオンプレミスネットワークをOracle Cloud Infrastructureに接続し、最も成功する方法のベストプラクティスを提供します。ルーティングプロトコルと概念、IPSec VPNテクノロジーと構成、およびOracle Cloud Infrastructureの概念とコンポーネントに精通していることを前提としています。このドキュメントには、さまざまなIPSec VPNソリューションの展開に役立つ、シンプル、冗長、および複雑な使用例も含まれています。

尚、本記事ではあくまでIPsec VPNの解説にとどめますが、本来境界型セキュリティではなくゼロトラストネットワークの実現を目指すべきです。VPNからゼロトラストへの移行は他の記事をご参照ください。

続きを読む

WLANホットスポットの運用のためのデータ保護 :VPNルーティングソリューション

1.外出先でもオンライン

インターネットへのワイヤレスアクセスポイント、いわゆるWLANホットスポットは、外出先でインターネットにアクセスするための安価で現在普及しているソリューションです。 10年前、ラップトップまたはPDAによる「モバイルインターネット」は非常に高価で、大都市圏でほぼ独占的に利用可能でした。それ以来、WLANテクノロジは大幅に発展し、広く普及しました。 今日、行楽客やビジネス旅行者は、手頃な価格または無料で多くの場所でインターネットにアクセスしています。BITKOMによると、2010年10月にドイツで約15,000のWiFiホットスポット1がありました。 それ以来、少なくとも店舗数は3倍以上に増え、2013年11月までに5,100以上になりました。

インターネットへのパブリックルートとしてのWLANホットスポット

個人での使用に加えて、WLANホットスポットの商用利用も近年の普及の拡大に貢献しています。さまざまな請求およびアクセス制御システムにより、支払いと安全なログインが可能になります。ログインは通常、Webブラウザを介して行われます。 アクセスデータを入力すると、インターネットへのアクセスが解除されます。 その後、請求は、通常はオペレーターやユーザーの手間をほとんどかけずに、それぞれのプロバイダーの外部請求システムを介して実行されます。

2.リスク:調査はホットスポット事業者につながります

ただし、空港、ホテル、カフェ、キャンプ場でのWLANテクノロジーの急速な普及にはリスクが伴います。 インターネットユーザーだけでなく、ホットスポットオペレーターも、データとプライバシーの保護を懸念しています。 「インターネットユーザーが私のホットスポットを違法な目的で悪用した場合、警察は私のドアのそばにいますか?」

これは完全に間違っているわけではありません。 家の検索とハードウェアの没収は依然として例外ですが、不正なファイル転送などの誤用が発生した場合、警察はホットスポットのオペレーターを調査します-それと関係があるかどうかは関係ありません。一意に割り当て可能なホットスポットIPアドレスは、データトラフィックで常に認識できるためです。 この送信者IDがインターネットプロバイダーによって保存されている場合、調査員はそれを人にリンクできます。これにより、WLANホットスポットのオペレーターに直接つながります。

いつでも識別可能

通常、WiFiホットスポットとインターネットは直接接続されています。 欠点は、ホットスポットIPアドレスが公に識別できることです。 これは、インターネットユーザーが音楽やビデオファイルの違法ダウンロードなどのためにパブリックアクセスポイントを使用するとすぐに問題になる可能性があります。この場合、データトラフィックで送信されるのはユーザーIPアドレスではなく、ホットスポットのIPアドレスです。 ここで認証が不要な場合、インターネットユーザーは痕跡を残しません。警察はホットスポットオペレーターにのみ連絡できます。

しかし、なぜ最初に捜査当局をホットスポット事業者に送るのですか? 通常、これは役に立ちません。通常、外部のサービスプロバイダーがアクセス制御と課金を引き継ぐためです。 警察を請求システムのプロバイダーまたはインターネットサービスプロバイダーに直接誘導する方が理にかなっています。調査に関連するデータがあれば、そこにあります。

3. VPNサーバーによるプライバシーの強化

インターネット上のホットスポット事業者の身元をより適切に保護し、法執行官による不必要な訪問を回避するソリューションを開発しました。 要求に応じて、いわゆる「仮想プライベートネットワーク」(VPN)により、パブリックデータトラフィック内のWLANホットスポットのオペレーターを特定できなくなります。 代わりに、捜査官に導かれます。

4.VPNルーティングの機能

すべてのホットスポットは通常インターネットに直接接続されており、IPアドレスによって明確に識別できます。 ホットスポットオペレーターがVPNルーティングを使用することを決定した場合、状況は異なります。 ここでは、すべてのホットスポットトラフィックが最初にサーバー経由でルーティングされます。 背景:インターネットへの接続をトンネリングすることにより、ホットスポットIPアドレスは、データセンター内のVPNサーバーの識別子に置き換えられます。 これは、トラフィックがVPNサーバー経由でリダイレクトされるすべてのホットスポットに異なるIPアドレスが与えられることを意味します-ホットスポットオペレーターは匿名のままです。

VPNサーバーをホットスポットに動的に割り当てるシステムに依存しています。 この負荷分散は、各ホットスポットに利用できる十分なリソースがあることを意味します。 ホットスポット側では、速度はホットスポットルーターの計算能力によって制限される可能性があります。 最速のデバイスであるアプライアンスは、複数の並列インターネット接続と複数のVPNサーバーで負荷分散をマスターするため、100メガビット/秒を超える速度を問題なく管理できます。

最高のデータスループットと最速の応答時間が重要であり、VPNルーティングなしで実行できるすべての人が、VPNルーティングなしのホットスポットを操作できます。DSLがインターネット接続として使用される場合、VPNルーティングがなくても調査当局は直接ルーティングされます。

5.ホットスポットオペレーターの観点から見たホットスポットVPNルーティング

ホットスポットオペレーターが「VPNルーティング」オプションを選択した場合、当局との回避可能な接触を回避できることを確認します。 結局のところ、プライベートまたは商用のWiFiホットスポットを運営している人は誰も家に警察を置きたくないのです。 隣人や顧客の前での家の捜索や発作-オペレーターが最終的に完全に無実であっても、たとえば法的に保護されたファイルを転送するためにユーザーがホットスポットを悪用したため、画像が損傷する可能性があります。 VPNサーバーを使用すると、このようなシナリオを簡単に回避できます。

当局は、ホットスポット事業者が関与することなくホットスポットに向けられます。 そこで、捜査官は、捜査に必要であり、法的要件の枠組みの中で保管されている情報を受け取ります。 WLANホットスポットの機能と構成は変更されていないため、ホットスポットのオペレーターとユーザーはVPNサーバーの使用にほとんど気づきません。

VPNルーティングは、マウスをクリックするだけでアクティブになります。 VPN構成は、中央のサーバーから完全に自動的にロードされます。

 

尚、本記事ではVPNについて詳しく解説しましたが、VPNは本質的に境界型セキュリティであり、VPNはゼロトラストへの移行が急務です。その内容については別の記事で詳しく解説しているので、気になった方は是非ご確認ください。

BIG-IPシステムによる安全なリモートアクセス

モバイルおよびリモートの労働力の急速な成長により、1つのアプライアンスで数万人の同時ユーザーをサポートする組織のニーズが高まっています。このため、F5 はBIG-IP Edge GatewayとBIG-IP Access Policy Manager (APM)で高性能で同時実行性の高いSSL VPN を開発し、エンタープライズITが既存のリモートアクセスソリューションを移行できるようにしました。

続きを読む

AWSでのHIPAAセキュリティとコンプライアンスのための設計

顧客がAmazon Web Services(AWS)を使用して、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)で規制されている機密性の高いワークロードを実行する方法を簡単に説明します。保護された医療情報(PHI)を保護するためのHIPAAプライバシーおよびセキュリティルール、AWSを使用して転送中および保存中のデータを暗号化する方法、およびAWS機能を使用してPHIを含むワークロードを実行する方法に焦点を当てます。

続きを読む