前書き
リモート接続は企業の生産性にとって非常に重要であり、SSLはリモートアクセスツールとして事実上の標準となっています。技術としてのSSL VPNは、IPsecおよびその他の形式のリモートアクセスよりもはるかに深いセキュリティレベルを提供します。
今日の混雑SSL VPN市場では、それはです利用可能なソリューションの広い範囲に圧倒さになりやすいです。明らかに、SSL VPN製品を購入する際に考慮すべき多くの要素があり、最良の選択を可能にしたいと考えています。このSSL VPN評価ガイドは、組織のニーズに最適なSSL VPNソリューションを選択する際に考慮すべき基準を識別、説明、および優先順位付けする上で重要なリソースとして機能します。
選択基準
考え出すでは、選択基準のセキュリティとユーザー体験:SSL VPNのによって提供される機能は、次の2つの主要な側面に照らして評価する必要があります。セキュアなアクセスソリューションの真に成功した展開は、両方の側面を考慮しないと達成できません。組織の長期的なニーズにも対応でき、ネットワークアーキテクチャとシームレスに統合でき、強力な管理ツールを提供できるSSL VPNを探してください。最適なプロバイダーは、次の主要分野で優れています。
- パフォーマンスとスケーラビリティ
- セキュリティ
- 使いやすさ
- 会社の評判
- テクノロジーリーダーシップ
セキュリティ
SSL VPNの場合、名前自体は、使用されているセキュリティ対策の1つを意味します。ただし、SSLはVPNを作成しません。つまり、暗号化だけでは、今日のアプリケーションに必要なセキュリティを提供するには不十分です。SSL VPNベースのソリューションが提供する利点は、さまざまな保護層の組み合わせにあります。
- SSL VPNファイアウォール
- 強化されたOS
- ネットワークギャッピング
- クライアント側のセキュリティ
- AAA
- ネットワークの露出(様々なアクセス・モード)を減らす
- アプリケーションレベルのフィルタリング
- 仮想化とネットワークの分離
最も、VPN自体はあくまで境界型セキュリティの延長です。ゼロトラストセキュリティやVPNによる境界型セキュリティからゼロトラストネットワークへの移行を行いたい場合は別の記事をご覧ください。
SSL VPNファイアウォール
暗号化はしばしば両刃の剣になる可能性があります。それは無差別であり、友人と敵の両方に機密性を提供します。暗号化の結果、SSL VPNアプライアンスの前に配置されたファイアウォールは、通常、トラフィックを復号化する機能がないため、アプライアンスに送信されたデータを検査できません。前面にファイアウォールがないと、SSL VPNアプライアンスはあらゆる種類のネットワークの脅威にさらされるため、ファイアウォール機能が必要になります。これらの機能には、サービス拒否(DoS)保護(DDoS保護を含む)が含まれ、アプリケーション層を通じてネットワークから保護を適用する必要があります。
ベンダーに尋ねるべき重要な質問:
- 1.アプライアンスにはファイアウォールタイプの機能がありますか?
- 2.これらの機能はどのレイヤーに適用されますか?
- 3.どのタイプのDoS / DDoS保護を利用できますか?
- 4.これらの機能を使用すると、パフォーマンスにどのような影響がありますか?
強化されたOSとSSLスタック
ほとんどのオペレーティングシステムは、その一般的な性質により、ネットワーク関連の脆弱性を公開しています。Linux、Windows、その他の商用オペレーティングシステムは、さまざまな目的に使用できるように設計されており、多くの場合これらの目的は相反するため、攻撃にさらされます。最も弱い場所が最も脆弱性をもたらすことはよく知られています。
SSL VPNアプライアンスがあらゆる種類のネットワークの脅威に直接さらされる可能性が最も高いことを考慮すると(前のセクションで説明したように、アプライアンスによって提供されるファイアウォール機能とともに)、基盤となるオペレーティングシステムが実行するように設計されていることが重要です特定の義務、したがって、潜在的な脆弱性に変わる可能性のある不要なインターフェースを公開しません。
さらに、多くのSSL VPNベンダーは、SSLスタックをOpenSSL(SSL / TLSプロトコルのオープンソース実装)に基づいています。OpenSSLは1998年の立ち上げ以来、HeartbleedからPOODLE、Logjamなど、数百とは言わないまでも何十もの脆弱性レポートを提供してきました。
ベンダーに尋ねるべき重要な質問:
- 5.アプライアンスはどのタイプのOSに基づいていますか?
- 6.攻撃への露出を減らすためにOSに何が行われましたか?
- 7. OSの強度を保証するためにどのような種類のテストが実行されましたか?
- 8.製品は本番環境のトラフィックをOpenSSLに依存していますか?
ギャップ
SSL VPNアプライアンスは企業ネットワークへのゲートウェイとして機能するため、エンドユーザーがセキュリティで保護されたリソースとアプリケーションへの直接接続を確立できないように、セキュリティで保護されていないネットワークとセキュリティで保護されたネットワークの間にギャップを作成することが重要です。
ベンダーに尋ねるべき重要な質問:
- 9.アプライアンスは、あらゆるタイプの「ギャップ」テクノロジーを実装していますか?
- 10.このテクノロジは、エンドユーザーがリソースへの直接接続を開くことを妨げますか?
- 11.このテクノロジーにはどのようなスループット制限がありますか?
仮想化およびネットワーク分離
内部および外部の両方の複数のユーザーコミュニティをサポートするには、既存のインフラストラクチャを活用することが重要です。これらのコミュニティには、従業員、パートナー、顧客、デモサイトなどが含まれます。各コミュニティには、独自のルックアンドフィールとカスタマイズのオプションがあり、独立した管理グループが管理できる必要があります。さらに、特定のコミュニティーの一部であるユーザーは、別のコミュニティーのインフラストラクチャーにアクセスすることはできません。
ベンダーに尋ねるべき重要な質問:
- 12.デバイスは、同じアプライアンスで関心のある複数のコミュニティをサポートしていますか?
- 13.コミュニティごとにカスタマイズできる機能は何ですか?
- 14.特定のコミュニティのユーザーが別のコミュニティに関連付けられているリソースにアクセスできないようにするために、どのような保護メカニズムが組み込まれていますか?
アプリケーションレベルのフィルタリング
SSL VPNソリューションに必要な細かい粒度のアクセス制御を実現するには、アプライアンスがプロトコルコンテンツに基づいてアクセス制御ポリシーを実施できる必要があります。
ベンダーに尋ねるべき重要な質問:
- 15.アプリケーションフィルタリングはアプライアンスで提供されますか?
- アプリケーションレベルのフィルタリングで検査できるプロトコルは何ですか?
クライアント側のセキュリティ
SSL VPNアプライアンスは、保護されていないデバイスが保護されたネットワークロケーションにアクセスするリスクをうっかり導入する可能性があるため、SSL VPNアプライアンスがクライアント側のセキュリティ機能を提供することが重要です。これらの機能により、管理者はさまざまなパラメーター(管理者が決定)に基づいてモバイルまたはリモートワークステーションまたはモバイルデバイス(ホストチェック)によってもたらされるリスクを評価し、評価の結果を、それを利用するユーザーに許可されるアクセスの形式に関連付けることができます。デバイス(したがって、リスクレベルが高すぎると判断された場合はアクセスを禁止します)。
また、クライアント側のセキュリティにより、管理者はユーザーセッションの過程で取り残される可能性のある「足跡」を排除できます。SSL VPNアプライアンスへのアクセスは、多くの場合ユーザーのインターネットブラウザーに基づいているため、ローカルキャッシュエントリがブラウザーに保存される場合があります。クライアント側のセキュリティにより、管理者はこれらのエントリを削除できます。SSL VPN対応のアクセスがブラウザーとユーザーアカウントを介して行われる場合、ユーザーが別のPCまたはモバイルデバイスを使用し、それらすべてが会社発行のものであるとは限りません。これらのマシンによってもたらされる主なリスクは、企業の機密情報がユーザーによって取り残される可能性があることです。このリスクを排除するために、リモートデスクトップアクセスアプリケーションを使用して、データがネットワークを離れることがなく、ユーザーのデバイスに置き忘れられないようにすることができます。
主要なスマートモバイルデバイスのオペレーティングシステムでは、SSL VPNアプリを使用して、スマートフォンやタブレットによるブラウザベースのアクセスのリスクを排除することもできます。
ベンダーに尋ねるべき重要な質問:
- 16.アプライアンスにはホストチェック機能がありますか?その場合、ホストマシンで確認できる情報の種類(ウイルス対策ソフトウェア、レジストリ値など)は何ですか?
- 17.どのブラウザがサポートされていますか?
- 18.管理者権限は必要ですか?
- 19.サポートされているオペレーティングシステムを教えてください。
- 20.アプライアンスにはキャッシュクリーニング機能がありますか?
- 21.アプライアンスは安全なリモートデスクトップ機能を提供していますか?
- 22.クライアントプロファイルに基づいて、どのレベルのアクセス制御を実施できますか?
- 23アプリはスマートモバイルデバイスで利用できますか。利用できる場合、どのような種類の保護が提供されますか?
認証
認証は、ユーザーのIDを確立するための最初のステップです。認証に関連する複雑さの大部分は、統合に関係しています。ほとんどの組織には既存の標準認証インターフェース(RADIUSやLDAPなど)があり、アプライアンスは特別な構成なしでこれらのインターフェースと統合できる必要があります。
レガシーシステム、データベースなど、非標準のインターフェイスが使用されている場合、課題が存在します。これらの場合、アプライアンスがこれらの非標準インターフェースとの迅速な統合を可能にするカスタマイズインフラストラクチャを提供することが重要です。
認証の特殊なケースは、SSLクライアント側の証明書に関係しています。クライアント側の証明書は、SSL接続の確立のための追加の保護レベルであり、各クライアントは独自の一意の証明書で自身を識別する必要があります。SSL VPNアプライアンスの場合、ログインページはSSL接続を介して提示されるため、このプロセスはログインページがユーザーに提示される前に行われます。多くの場合、クライアント側の証明書は、ユーザーセッションの唯一の識別子として使用されます(たとえば、USBベースのクライアント側の証明書)。完全に保護するには、ユーザーセッションを証明書の内容に関連付けることができる必要があります。
ベンダーに尋ねるべき重要な質問:
- 24.サポートされている認証方法(および必要な構成)は?
- RADIUS
- LDAP
- Active Directory
- NDS
- SecurID
- 証明書ベース
- ローカル
- その他
- 25.サーバー側の構成が必要な標準的な方法はありますか?
- 26.異なる二要素または多要素認証インターフェースはどのように処理されますか?
- 27.認証をオフにすることはできますか?
- 28.複数の認証インターフェースを同時にサポートできますか?
認可
ロールベースの承認は、ほとんどすべてのセキュリティポリシーと規制の重要な部分です。管理者は、組織内のユーザーの役割(または関連付け)に基づいて、情報およびアプリケーションへのアクセスを制限できる必要があります。これらのポリシーは、最も複雑な要件に対応できる十分な柔軟性を備えている必要があります。また、変更と更新を簡単かつ迅速に適用できるように、できるだけ動的にする必要があります。
許可ポリシーに関連する最も重要な要素は、それらが提供する許可の細分性です。以下のために例のURLに基づいてフィルタリングできるWebベースの認可ポリシーは、防止は、特定のサーバーのポート80にアクセスすることをIPベースのポリシーよりも細かいです。
加えて認可ポリシーは、多くの場合、重要な統合の複雑さを紹介します。ポリシーはどこに保存する必要がありますか?ユーザーとグループにどのように関連付ける必要がありますか?これらの複雑さを回避し、円滑な統合を可能にするために、アプライアンスは可能な限り最大の柔軟性を提供し、ポリシーをローカルおよび外部サーバーに保存できるようにし、管理者が外部情報を相互に関連付けられるようにする必要があります(そのソースは通常は外部認証サーバー)、ローカルに保存されたポリシー。ためには配達非常にきめ細かいアクセス制御へのSSL VPNソリューションは、アクセス制御ポリシーを適用できるようにする必要があります。
ベンダーに尋ねるべき重要な質問:
- 29.サポートされているポリシーのタイプ(Webベース、共有ディレクトリ、TCPなど)は?
- 30.ポリシーはPERMITまたはDENYポリシーとして定義されていますか?
- 31.ポリシーを設計するとき、「ホワイトリスト」および「ブラックリスト」のアプローチを適用することは可能ですか?
- 32.ポリシーはユーザー、グループ、またはその両方に関連付けることができますか?
- 33.ポリシーはどのように保存および取得されますか?
- 34.ポリシーを外部サーバーに保存できますか?
- 35.ポリシーをアプライアンスのローカルに保存できますか?
- 36.外部サーバーからの情報に基づいて、ポリシーをローカルで取得できますか?
監査
広範な監査証跡は、すべてのセキュリティ関連の規制とポリシーの主要な要件です。監査情報は、セキュリティとステータス監視の両方の理由で簡単に分析できる形式で生成する必要があります。
ベンダーに尋ねるべき重要な質問:
- 37.監査証跡はどのように提供されますか?
- 38.ロギングのどのフォーマットがサポートされていますか?
- 39.どのような情報が記録されますか?
- 40.ログで使用できるツールは何ですか?
アクセスモード(ネットワーク露出)
SSL VPNソリューションの独自の「クライアントレス」アクセス方式により、リモートおよびモバイルアクセス用のIPsecテクノロジーを追い抜くことができました。SSL VPNテクノロジーが進化し成熟するにつれ、いくつかのクライアントベースのオプションも導入されました。それらのほとんどは、事前インストールを必要としない動的クライアントです。ただし、SSL VPNソリューションの主な利点の1つは、依然としてさまざまなアクセスモードです。
これらのアクセスモードを使用すると、管理者は最小限のネットワークレベルの露出でアプリケーションを拡張できるため、ネットワークへのリスクが大幅に軽減されます。ほとんどのSSL VPNソリューションは、次のアクセスモードのバリエーションを提供します。
- ネイティブWebアプリケーションとファイル共有のサポート、およびモバイル環境用に開発されたHTML5アプリのサポート(最小のネットワーク露出)
- シンクライアントのサポート(ネットワークへの露出が少ない)
- クライアント/サーバーアプリケーションのサポート、リダイレクト(中程度のネットワーク露出)とも呼ばれる
- ネットワークレベルのアクセス(完全なネットワーク露出)
当然のことながら、可能な限り最小限のネットワーク露出を優先することをお勧めします。したがって、ネイティブWebアプリケーションとファイル共有サポート、および/またはモバイルデバイス用の安全なHTML5アプリを利用します。ただし、実際には、トンネリング(リダイレクトや完全なネットワークレベルのアクセスなど)を必要とする多くのレガシネットワーキングアプリケーションが展開されています。したがって、一方ではネットワークへの露出を減らし、もう一方では便利で簡単なアクセスを提供するアクセスモードの組み合わせをエンドユーザーに提供できることが重要です。たとえば、HTML5は、ActiveX、Java、またはその他の複雑で使いにくいエンドポイントテクノロジーを必要とせずに、ブラウザーのみで任意のアクセス方法をシームレスに起動する必要があります。
このようなケースのもう1つの例は、ネットワークレベルのアクセスとネイティブファイル共有の組み合わせです。さまざまなトンネリングサービスを通じてWindowsファイル共有を提供することは可能かもしれませんが、このタイプの機能を可能にするために開かれている必要があるポートに関連するさまざまな脅威にネットワークをさらします。したがって、管理者は許可ポリシーを使用してこれらのポートをブロックすることを選択できます。この場合、ユーザーはアプライアンスが提供するネイティブファイル共有を利用できます。これは、ユーザーが複数のアクセスモードを同時に使用できる場合にのみ可能です。
ベンダーに尋ねるべき重要な質問:
- 41.ソリューションはどのタイプのアクセスモードを提供しますか?
- 42.どのタイプのアプリケーションがサポートされていますか?
- 43.基盤となるテクノロジー(Java、ActiveX など)は何ですか?
- 44. IPアドレス、DNSホスト名、またはその両方に基づいてリソースへのアクセスを提供できますか?
- 45.どのタイプのシンクライアントがサポートされていますか?
- 46. MSターミナルサービスを介してアプリケーションを公開できますか?
- 47. Citrix Metaframeを介してアプリケーションを公開できますか?
- 48. Citrix統合にはどのような構成が必要ですか?
- 49.クライアントはどのようにしてエンドユーザーに配信されますか?
- 50.バージョンはどのように更新されますか?
- 51.フルおよびスプリットトンネリング設定はサポートされていますか?
- 52. IPアドレスはどのように割り当てられますか?
- 54.基盤となるテクノロジーは何ですか(仮想アダプター、PPTP、L2TP、リダイレクト)?
- 54.このモードは他のアクセスモードと共存できますか(たとえば、このアクセスモードとネイティブWebアプリケーションを同時に使用できますか)?
- 55.このモードでサポートされているオペレーティングシステムを教えてください。
ユーザー体験
エンドユーザーエクスペリエンスは、さまざまな要因によって決定されます。
- パフォーマンス–データへのアクセスとアプリケーションの実行速度。
- ユーザーインターフェイスのカスタマイズ–知識レベルとニーズに対して直感的なインターフェイスをユーザーに提供する機能。
- 直感的な使用–さまざまなアクセスモードを簡単かつ直感的に使用できます。インストールは必要ないか、最小限のインストールのみで、ユーザーの操作を最小限に抑える必要があります。
- 高可用性– アクセスを保証するために最小限のダウンタイムが必要です。
ユーザーエクスペリエンスの重要性は明白であり、生産性の主な要因です。ただし、優れたユーザーエクスペリエンスにより、サポートとヘルプデスクへの問い合わせの量が減少することも忘れてはなりません。
パフォーマンス
SSL VPN製品のパフォーマンス能力を測定するには、さまざまなパラメーターを考慮する必要があります。
- 同時ユーザーセッションの最大数-同時にログインできるユーザの最大数
- 同時SSL接続の最大数-デバイスが維持することができることをSSL接続の最大数。各ユーザーセッションに少なくとも1つの接続が必要であると仮定すると、この数は、同時ユーザーセッションの最大数以下である必要があります。
- SSL操作の最大数- SSL毎秒ハンドシェイク(または鍵交換)の数を述べるためにSSLデバイスで一般的であるが、しかし、これはSSL活性の一部のみを覆っているので、狭い定義です。したがって、このパラメーターの定義には、最初のSSLハンドシェイクとそれに続くバルク暗号化の両方を含める必要があります。
- 最大のバルク暗号化スループット– SSL VPNデバイスによって実行される暗号化のほとんどはバルクであり、これはSSLの対称暗号化部分です。
これらのパラメータは互いに補完し合う必要があります。たとえば、適切な数の同時ユーザーセッションをサポートするだけでは十分ではありません。同時ユーザーセッションの数は、適切な量のSSL操作(1秒あたりの高いトランザクションレート、高いスループット)で補完する必要があります。トレードオフは明確です。秒ごとの少ないオペレーションと、ユーザーごとの手段遅くパフォーマンスとユーザーエクスペリエンスの低下です。最初のユニットが適切な数の同時ユーザーセッションをサポートしている場合でも、パフォーマンスとスケーラビリティの不一致により、追加のユニットが購入されます。
無負荷状態では、すべてのアプライアンスで遅延が発生します。しかし、デバイスが動作すると予想されるレベルでデバイスがロードされると、アプライアンスの真の意欲が伝わります。優れたデバイスは、許容できるユーザーエクスペリエンスを提供しながら、より高いスループットを処理できる必要があります。
ベンダーに尋ねるべき重要な質問:
- 56.アプライアンスはSSL暗号化にハードウェアアクセラレーションを使用していますか?
- 57.同時ユーザーセッションの最大数はいくつですか?
- 58.同時SSL接続の最大数はいくつですか?
- 59.時間単位あたりのSSL操作の最大数はいくつですか?
- 60.バルクSSLスループットとは何ですか?
- 61.無負荷状態でアプライアンスによって追加されるレイテンシはどのようなものですか?
- 62.対象となる作業負荷でどのような待ち時間が発生しますか?
ユーザーインターフェイスのカスタマイズ
SSL VPNアプライアンスのユーザーインターフェイスは通常、ログイン、ポータル、ログアウト、さまざまなエラーページなどのさまざまなWebページで構成されています。さまざまなユーザー、パートナー、さまざまな部門の従業員など、さまざまなアプリケーションと情報を利用できます。これらのアプリケーションや情報へのアクセスは、その役割やニーズなどの多くのパラメーターに依存します。ユーザーごとに異なるユーザーインターフェイスが必要です。従業員のアクセス用に設計されたページは、パートナーのアクセスには適さない場合があります。
アクセスソリューションが効果的であるためには、各グループ(セキュリティ関連のグループと混同しないでください)がニーズに最適な設計を行えるように、ユーザーインターフェイスをカスタマイズできる必要があります。たとえば、パートナーアクセスログインは既存のパートナーWebサイト内から実行され、従業員は従業員専用の特別なURLにアクセスします。
ユーザーインターフェイスのカスタマイズは、ユーザーグループごとの特別なレイアウトを超えています。各組織には、独自の手順とビジネスロジックのニーズがあります。認証および独自の認証データベースとの統合後に特定のファイルを同期する必要性は、それらのニーズのほんの一例です。アクセスソリューションには、このようなカスタマイズを統合して操作する方法が必要です。
全体として、ユーザーインターフェイスは優れたユーザーエクスペリエンスの重要なコンポーネントです。ユーザーの生産性にとっても重要です。デザインがカスタムビジネスロジック統合の欠如であるかどうかに関係なく、ユーザーインターフェースが不十分なアクセスソリューションは、ユーザーの生産性を低下させます。
ベンダーに尋ねるべき重要な質問:
- 63.ユーザーインターフェイスのどのコンポーネントをカスタマイズできますか?
- ログインページ?
- ポータルページ?
- ログアウトページ?
- エラーページ?
- 64.ユーザーまたはグループのプロファイルごとにページをカスタマイズできますか?
- 65.これらの各ページをどのレベルまでカスタマイズできますか?
- カスタマイズ可能なロゴ?
- 既存のテンプレートの一部としてカスタマイズ可能なメッセージ?
- 既存の組織ポータルと統合しますか?
- 66.ベンダーの署名がない匿名ページを作成することはできますか?
直感的な使用
前述のように、SSL VPNソリューションの強みの1つは、提供するさまざまなアクセスモードです。ただし、これらの異なるオプションは、エンドユーザーを混乱させる可能性があります。したがって、これらのさまざまなモードができるだけ直感的であり、ユーザーの操作を最小限に抑えることが重要です。
ベンダーに尋ねるべき重要な質問:
- 67.いずれかのアクセスモードで事前インストールが必要ですか?
- 68.ユーザーが手動でトリガーする必要がある動的コンポーネントはありますか?
- 69.シングルサインオン(SSO)はサポートされていますか?
高可用性
高可用性は、完全に非表示にする必要があるエンドユーザーエクスペリエンスの一部です。最高のユーザーエクスペリエンスは一貫したものであり、ダウンタイムはないか、最小限です。この目標は、全体的なセキュリティの考慮事項の範囲内で達成する必要があります。
ベンダーに尋ねるべき重要な質問:
- 70.アプライアンスは高可用性をサポートしていますか?
- 高可用性はどのように実装されますか?
- 複数のユニットを一緒にクラスター化できますか?
- その場合、一緒にクラスター化できるユニットの最大数に制限はありますか?
- 71.高可用性には特別なハードウェアが必要ですか?
- 72.高可用性には特別な接続が必要ですか?
管理および管理
前のセクションで説明したさまざまなユーザーエクスペリエンスとセキュリティ関連の設定をすべてサポートすると、管理上の悪夢につながる可能性があります。そのため、SSL VPNアプライアンスは次の問題に対処する必要があります。
- 管理インターフェース– CLI、Webユーザーインターフェースなど
- コンポーネントの展開–さまざまな動的コンポーネント(ActiveX、Javaアプレットなど)をエンドユーザーにどのように展開しますか?
- 管理者特権–動的コンポーネントのいずれかが管理者特権またはその他の特権を必要としますか?
- 管理の委任–異なる管理者間で管理の負荷を委任できますか?
管理インターフェース
SSL VPNアプライアンスの管理者エクスペリエンスは、エンドユーザーエクスペリエンスと同様に重要です。さまざまな管理インターフェイスを提供すると、管理者が個々のタスクにより適したインターフェイスを選択できるため、管理タスクの複雑さが緩和されます。
ベンダーに尋ねるべき重要な質問:
- 73.アプライアンスが提供する管理インターフェースのタイプは何ですか?
- デバイスには管理用のCLIがありますか?
- デバイスはWebユーザーインターフェイスを提供していますか?
- デバイスはSNMPサポートを提供していますか?
- デバイスは、他のネットワーク管理ツールと組み合わせて使用できるプログラム可能な管理インターフェイスを提供していますか?
- 他のものは?
- 74.すべての管理タスクを任意のインターフェースから実行できますか?
- 75.そうでない場合、どのインターフェースでどのタスクを実行できますか?
配備されたコンポーネント
ほとんどのSSL VPNソリューションは、使用されている機能に応じて、さまざまなコンポーネントを展開します。これらのコンポーネントの展開は、シームレスに実行されない場合、サポート担当者に大きな負荷をかけ、最終的にはそのようなソリューションのサポートにかかるコストを引き上げることがあります。このセクションで説明するコンポーネントは、さまざまなトンネリングサービス(Javaアプレットなど)に必要な動的コンポーネントから、エンドユーザーデバイスレベルでのホストチェックおよびキャッシュクリーニングまでさまざまです。
さまざまなコンポーネントに関する追加の考慮事項は、管理者特権が必要かどうかです。たとえば、ActiveXコンポーネントは制限されたユーザーに対して実行されず、Javaアプレットがネットワークにアクセスできないようにブロックされ、スタンドアロンの実行可能ファイルが管理者権限のインストールを要求する可能性があります。一部では場合によって、これらのコンポーネントのみがインストールされた状態でいったん権限を必要とし、他の人に、彼らはこれらの権限彼らが使用されているすべての時間を必要とします。いずれの場合でも、管理者権限の必要性により、デプロイメントが大幅に複雑になるため、できるだけ回避する必要があります。
ベンダーに尋ねるべき重要な質問:
- 76.アプライアンスで使用されているすべてのコンポーネントは何ですか(ActiveX、Javaアプレット、さまざまなタイプの実行可能ファイル)?
- 77.上記の各コンポーネントについて、どの管理権限が必要ですか?
委任
運用上の利便性とセキュリティ上の理由から、通常、さまざまなコミュニティを管理するためにさまざまな管理者を割り当てる必要があります。アプライアンスは、異なる管理者間で管理ロールを委任できる方法を提供する必要があります。委任は、管理者のバッファリングも可能にする必要があります。基本的には、同じユニットに対して異なる管理者がお互いの責任に介入することなく許可されます。
ベンダーに尋ねるべき重要な質問:
- 78.アプライアンスでは複数の管理者を定義できますか?
- 79.異なる管理者に異なる管理ロールを割り当てることはできますか?
- 80.アプライアンスは、異なる管理者間で何らかのタイプの分離またはバッファリングを提供しますか?
結論
SSL VPNデバイスを適切に選択するには、現在および将来のニーズを理解し、検討中のさまざまなデバイスの機能を慎重に評価する必要があります。
アレイネットワークは、既存のSSL VPNソリューションの詳細を学習し、将来の開発について常に情報を提供するのに役立ちます。これにより、会社の安全なアクセス要件について最も情報に基づいた決定を行うことができます。AGシリーズの製品ページ、安全なリモートアクセスソリューションのページで詳細を確認するか、vxAG 仮想SSL VPNアプライアンスの30日間無料試用版を今すぐダウンロードしてください。
アレイネットワークについて
Array Networksは、5000を超える世界中のお客様に導入されているアプリケーション配信ネットワーキングのグローバルリーダーです。受賞歴のあるSpeedCore® ソフトウェア、アレイアプリケーション配信、WAN最適化、および安全なアクセスソリューションを搭載し、優れたパフォーマンスと総所有価値により、主要な企業、サービスプロバイダー、公共部門の組織に認められています。アレイは、シリコンバレーに本社を置き、世界中で250人以上の従業員に支えられており、強力な投資家、経営陣、収益の成長を遂げる収益性の高い企業です。モバイルおよびクラウドコンピューティングの分野で爆発的な成長を利用する態勢を整えているデロイト、IDC、Frost&Sullivanなどのアナリストやソートリーダーは、アレイネットワークスをその技術革新、優れた運用、市場機会で認めてきました。