プロセキュ！

1.外出先でもオンライン

インターネットへのワイヤレスアクセスポイント、いわゆるWLANホットスポットは、外出先でインターネットにアクセスするための安価で現在普及しているソリューションです。 10年前、ラップトップまたはPDAによる「モバイルインターネット」は非常に高価で、大都市圏でほぼ独占的に利用可能でした。それ以来、WLANテクノロジは大幅に発展し、広く普及しました。 今日、行楽客やビジネス旅行者は、手頃な価格または無料で多くの場所でインターネットにアクセスしています。BITKOMによると、2010年10月にドイツで約15,000のWiFiホットスポット1がありました。 それ以来、少なくとも店舗数は3倍以上に増え、2013年11月までに5,100以上になりました。

インターネットへのパブリックルートとしてのWLANホットスポット

個人での使用に加えて、WLANホットスポットの商用利用も近年の普及の拡大に貢献しています。さまざまな請求およびアクセス制御システムにより、支払いと安全なログインが可能になります。ログインは通常、Webブラウザを介して行われます。 アクセスデータを入力すると、インターネットへのアクセスが解除されます。 その後、請求は、通常はオペレーターやユーザーの手間をほとんどかけずに、それぞれのプロバイダーの外部請求システムを介して実行されます。

2.リスク：調査はホットスポット事業者につながります

ただし、空港、ホテル、カフェ、キャンプ場でのWLANテクノロジーの急速な普及にはリスクが伴います。 インターネットユーザーだけでなく、ホットスポットオペレーターも、データとプライバシーの保護を懸念しています。 「インターネットユーザーが私のホットスポットを違法な目的で悪用した場合、警察は私のドアのそばにいますか？」

これは完全に間違っているわけではありません。 家の検索とハードウェアの没収は依然として例外ですが、不正なファイル転送などの誤用が発生した場合、警察はホットスポットのオペレーターを調査します-それと関係があるかどうかは関係ありません。一意に割り当て可能なホットスポットIPアドレスは、データトラフィックで常に認識できるためです。 この送信者IDがインターネットプロバイダーによって保存されている場合、調査員はそれを人にリンクできます。これにより、WLANホットスポットのオペレーターに直接つながります。

いつでも識別可能

通常、WiFiホットスポットとインターネットは直接接続されています。 欠点は、ホットスポットIPアドレスが公に識別できることです。 これは、インターネットユーザーが音楽やビデオファイルの違法ダウンロードなどのためにパブリックアクセスポイントを使用するとすぐに問題になる可能性があります。この場合、データトラフィックで送信されるのはユーザーIPアドレスではなく、ホットスポットのIPアドレスです。 ここで認証が不要な場合、インターネットユーザーは痕跡を残しません。警察はホットスポットオペレーターにのみ連絡できます。

しかし、なぜ最初に捜査当局をホットスポット事業者に送るのですか？ 通常、これは役に立ちません。通常、外部のサービスプロバイダーがアクセス制御と課金を引き継ぐためです。 警察を請求システムのプロバイダーまたはインターネットサービスプロバイダーに直接誘導する方が理にかなっています。調査に関連するデータがあれば、そこにあります。

3. VPNサーバーによるプライバシーの強化

インターネット上のホットスポット事業者の身元をより適切に保護し、法執行官による不必要な訪問を回避するソリューションを開発しました。 要求に応じて、いわゆる「仮想プライベートネットワーク」（VPN）により、パブリックデータトラフィック内のWLANホットスポットのオペレーターを特定できなくなります。 代わりに、捜査官に導かれます。

4.VPNルーティングの機能

すべてのホットスポットは通常インターネットに直接接続されており、IPアドレスによって明確に識別できます。 ホットスポットオペレーターがVPNルーティングを使用することを決定した場合、状況は異なります。 ここでは、すべてのホットスポットトラフィックが最初にサーバー経由でルーティングされます。 背景：インターネットへの接続をトンネリングすることにより、ホットスポットIPアドレスは、データセンター内のVPNサーバーの識別子に置き換えられます。 これは、トラフィックがVPNサーバー経由でリダイレクトされるすべてのホットスポットに異なるIPアドレスが与えられることを意味します-ホットスポットオペレーターは匿名のままです。

VPNサーバーをホットスポットに動的に割り当てるシステムに依存しています。 この負荷分散は、各ホットスポットに利用できる十分なリソースがあることを意味します。 ホットスポット側では、速度はホットスポットルーターの計算能力によって制限される可能性があります。 最速のデバイスであるアプライアンスは、複数の並列インターネット接続と複数のVPNサーバーで負荷分散をマスターするため、100メガビット/秒を超える速度を問題なく管理できます。

最高のデータスループットと最速の応答時間が重要であり、VPNルーティングなしで実行できるすべての人が、VPNルーティングなしのホットスポットを操作できます。DSLがインターネット接続として使用される場合、VPNルーティングがなくても調査当局は直接ルーティングされます。

5.ホットスポットオペレーターの観点から見たホットスポットVPNルーティング

ホットスポットオペレーターが「VPNルーティング」オプションを選択した場合、当局との回避可能な接触を回避できることを確認します。 結局のところ、プライベートまたは商用のWiFiホットスポットを運営している人は誰も家に警察を置きたくないのです。 隣人や顧客の前での家の捜索や発作-オペレーターが最終的に完全に無実であっても、たとえば法的に保護されたファイルを転送するためにユーザーがホットスポットを悪用したため、画像が損傷する可能性があります。 VPNサーバーを使用すると、このようなシナリオを簡単に回避できます。

当局は、ホットスポット事業者が関与することなくホットスポットに向けられます。 そこで、捜査官は、捜査に必要であり、法的要件の枠組みの中で保管されている情報を受け取ります。 WLANホットスポットの機能と構成は変更されていないため、ホットスポットのオペレーターとユーザーはVPNサーバーの使用にほとんど気づきません。

VPNルーティングは、マウスをクリックするだけでアクティブになります。 VPN構成は、中央のサーバーから完全に自動的にロードされます。

尚、本記事ではVPNについて詳しく解説しましたが、VPNは本質的に境界型セキュリティであり、VPNはゼロトラストへの移行が急務です。その内容については別の記事で詳しく解説しているので、気になった方は是非ご確認ください。

モバイルおよびリモートの労働力の急速な成長により、1つのアプライアンスで数万人の同時ユーザーをサポートする組織のニーズが高まっています。このため、F5 はBIG-IP Edge GatewayとBIG-IP Access Policy Manager （APM）で高性能で同時実行性の高いSSL VPN を開発し、エンタープライズITが既存のリモートアクセスソリューションを移行できるようにしました。

続きを読む

この記事は、英国（UK）のアマゾンウェブサービス（AWS）を使用している組織を支援することを目的としています。クラウドセキュリティガイダンスの下で公開されている国立サイバーセキュリティセンター（NCSC）のクラウドセキュリティ原則に沿って公式に分類されたワークロード。このドキュメントは、読者が次のことを理解できるようにすることを目的としています。

• AWSがどのようにセキュリティプロセスを実装し、クラウドセキュリティ原則ごとにそれらのプロセスを保証するか
• AWSに保存されているコンテンツの管理と保護において、お客様とAWSが果たす役割
• AWSクラウドサービスを使用してセキュリティとリスク管理に対応する方法など、AWSサービスの動作方法

続きを読む

数年前、企業はリモートアクセスのコストと複雑さを軽減するためにSSL VPNに目を向け始めました。 初期のSSL VPNは、IPSec VPNクライアントに関連するITの苦痛を和らげることに焦点を当て、より多くのリモートワーカーが一般的なビジネスアプリケーションにアクセスできるようにWebブラウザを使用していました。 この価値命題により、多くの企業はレガシーVPNを再考し、SSLリモートアクセスの導入を成功させるように促しました。

続きを読む

セキュリティプラットフォームの検証では、機能性、スケーラビリティ、そして最も重要なことには、トンネル確立とセキュアトンネルでの実際のアプリケーションパフォーマンスの両方のパフォーマンスをカバーする必要があります。

続きを読む

この記事では、IPsec VPNとSSL VPNの違いを調べ、各ビジネスニーズに最適なテクノロジを決定するための基準を検討します。これは、企業のリモートアクセスのニーズに応じて、IPsec VPNとSSL VPNをいつ展開するかを決定しようとするIT担当者にとって理想的なリソースです。このホワイトペーパーを読んだ後、IT管理者は、リモートアクセスのニーズに対処するために考慮する必要があるさまざまな要因を理解でき、どのVPNソリューションがさまざまなシナリオに最も効果的に対処できるかを理解できます。

続きを読む

個人の成長の数字は、リモートで作業して在宅勤務や周波数の増加と一緒に旅行、従来のビジネスセキュリティモデルは進化し続けています。リモートユーザーが本社のRASサーバーに直接ダイヤルしてリモートネットワーク上のデータにアクセスできる時代はほぼ終わりました。広く利用可能な高速ブロードバンドインターネットアクセスとVPNテクノロジーの組み合わせにより、安全かつ明確に定義された境界は、一度楽しんだ多くの組織が少し目立たなくなります。

続きを読む

前書き

リモート接続は企業の生産性にとって非常に重要であり、SSLはリモートアクセスツールとして事実上の標準となっています。技術としてのSSL VPNは、IPsecおよびその他の形式のリモートアクセスよりもはるかに深いセキュリティレベルを提供します。

今日の混雑SSL VPN市場では、それはです利用可能なソリューションの広い範囲に圧倒さになりやすいです。明らかに、SSL VPN製品を購入する際に考慮すべき多くの要素があり、最良の選択を可能にしたいと考えています。このSSL VPN評価ガイドは、組織のニーズに最適なSSL VPNソリューションを選択する際に考慮すべき基準を識別、説明、および優先順位付けする上で重要なリソースとして機能します。

選択基準

考え出すでは、選択基準のセキュリティとユーザー体験：SSL VPNのによって提供される機能は、次の2つの主要な側面に照らして評価する必要があります。セキュアなアクセスソリューションの真に成功した展開は、両方の側面を考慮しないと達成できません。組織の長期的なニーズにも対応でき、ネットワークアーキテクチャとシームレスに統合でき、強力な管理ツールを提供できるSSL VPNを探してください。最適なプロバイダーは、次の主要分野で優れています。

• パフォーマンスとスケーラビリティ
• セキュリティ
• 使いやすさ
• 会社の評判
• テクノロジーリーダーシップ

セキュリティ

SSL VPNの場合、名前自体は、使用されているセキュリティ対策の1つを意味します。ただし、SSLはVPNを作成しません。つまり、暗号化だけでは、今日のアプリケーションに必要なセキュリティを提供するには不十分です。SSL VPNベースのソリューションが提供する利点は、さまざまな保護層の組み合わせにあります。

• SSL VPNファイアウォール
• 強化されたOS
• ネットワークギャッピング
• クライアント側のセキュリティ
• AAA
• ネットワークの露出（様々なアクセス・モード）を減らす
• アプリケーションレベルのフィルタリング
• 仮想化とネットワークの分離

最も、VPN自体はあくまで境界型セキュリティの延長です。ゼロトラストセキュリティやVPNによる境界型セキュリティからゼロトラストネットワークへの移行を行いたい場合は別の記事をご覧ください。

SSL VPNファイアウォール

暗号化はしばしば両刃の剣になる可能性があります。それは無差別であり、友人と敵の両方に機密性を提供します。暗号化の結果、SSL VPNアプライアンスの前に配置されたファイアウォールは、通常、トラフィックを復号化する機能がないため、アプライアンスに送信されたデータを検査できません。前面にファイアウォールがないと、SSL VPNアプライアンスはあらゆる種類のネットワークの脅威にさらされるため、ファイアウォール機能が必要になります。これらの機能には、サービス拒否（DoS）保護（DDoS保護を含む）が含まれ、アプリケーション層を通じてネットワークから保護を適用する必要があります。

ベンダーに尋ねるべき重要な質問：

• 1.アプライアンスにはファイアウォールタイプの機能がありますか？
• 2.これらの機能はどのレイヤーに適用されますか？
• 3.どのタイプのDoS / DDoS保護を利用できますか？
• 4.これらの機能を使用すると、パフォーマンスにどのような影響がありますか？

強化されたOSとSSLスタック

ほとんどのオペレーティングシステムは、その一般的な性質により、ネットワーク関連の脆弱性を公開しています。Linux、Windows、その他の商用オペレーティングシステムは、さまざまな目的に使用できるように設計されており、多くの場合これらの目的は相反するため、攻撃にさらされます。最も弱い場所が最も脆弱性をもたらすことはよく知られています。

SSL VPNアプライアンスがあらゆる種類のネットワークの脅威に直接さらされる可能性が最も高いことを考慮すると（前のセクションで説明したように、アプライアンスによって提供されるファイアウォール機能とともに）、基盤となるオペレーティングシステムが実行するように設計されていることが重要です特定の義務、したがって、潜在的な脆弱性に変わる可能性のある不要なインターフェースを公開しません。

さらに、多くのSSL VPNベンダーは、SSLスタックをOpenSSL（SSL / TLSプロトコルのオープンソース実装）に基づいています。OpenSSLは1998年の立ち上げ以来、HeartbleedからPOODLE、Logjamなど、数百とは言わないまでも何十もの脆弱性レポートを提供してきました。

ベンダーに尋ねるべき重要な質問：

• 5.アプライアンスはどのタイプのOSに基づいていますか？
• 6.攻撃への露出を減らすためにOSに何が行われましたか？
• 7. OSの強度を保証するためにどのような種類のテストが実行されましたか？
• 8.製品は本番環境のトラフィックをOpenSSLに依存していますか？

ギャップ

SSL VPNアプライアンスは企業ネットワークへのゲートウェイとして機能するため、エンドユーザーがセキュリティで保護されたリソースとアプリケーションへの直接接続を確立できないように、セキュリティで保護されていないネットワークとセキュリティで保護されたネットワークの間にギャップを作成することが重要です。

ベンダーに尋ねるべき重要な質問：

• 9.アプライアンスは、あらゆるタイプの「ギャップ」テクノロジーを実装していますか？
• 10.このテクノロジは、エンドユーザーがリソースへの直接接続を開くことを妨げますか？
• 11.このテクノロジーにはどのようなスループット制限がありますか？

仮想化およびネットワーク分離

内部および外部の両方の複数のユーザーコミュニティをサポートするには、既存のインフラストラクチャを活用することが重要です。これらのコミュニティには、従業員、パートナー、顧客、デモサイトなどが含まれます。各コミュニティには、独自のルックアンドフィールとカスタマイズのオプションがあり、独立した管理グループが管理できる必要があります。さらに、特定のコミュニティーの一部であるユーザーは、別のコミュニティーのインフラストラクチャーにアクセスすることはできません。

ベンダーに尋ねるべき重要な質問：

• 12.デバイスは、同じアプライアンスで関心のある複数のコミュニティをサポートしていますか？
• 13.コミュニティごとにカスタマイズできる機能は何ですか？
• 14.特定のコミュニティのユーザーが別のコミュニティに関連付けられているリソースにアクセスできないようにするために、どのような保護メカニズムが組み込まれていますか？

アプリケーションレベルのフィルタリング

SSL VPNソリューションに必要な細かい粒度のアクセス制御を実現するには、アプライアンスがプロトコルコンテンツに基づいてアクセス制御ポリシーを実施できる必要があります。

ベンダーに尋ねるべき重要な質問：

• 15.アプリケーションフィルタリングはアプライアンスで提供されますか？
  1. アプリケーションレベルのフィルタリングで検査できるプロトコルは何ですか？

クライアント側のセキュリティ

SSL VPNアプライアンスは、保護されていないデバイスが保護されたネットワークロケーションにアクセスするリスクをうっかり導入する可能性があるため、SSL VPNアプライアンスがクライアント側のセキュリティ機能を提供することが重要です。これらの機能により、管理者はさまざまなパラメーター（管理者が決定）に基づいてモバイルまたはリモートワークステーションまたはモバイルデバイス（ホストチェック）によってもたらされるリスクを評価し、評価の結果を、それを利用するユーザーに許可されるアクセスの形式に関連付けることができます。デバイス（したがって、リスクレベルが高すぎると判断された場合はアクセスを禁止します）。

また、クライアント側のセキュリティにより、管理者はユーザーセッションの過程で取り残される可能性のある「足跡」を排除できます。SSL VPNアプライアンスへのアクセスは、多くの場合ユーザーのインターネットブラウザーに基づいているため、ローカルキャッシュエントリがブラウザーに保存される場合があります。クライアント側のセキュリティにより、管理者はこれらのエントリを削除できます。SSL VPN対応のアクセスがブラウザーとユーザーアカウントを介して行われる場合、ユーザーが別のPCまたはモバイルデバイスを使用し、それらすべてが会社発行のものであるとは限りません。これらのマシンによってもたらされる主なリスクは、企業の機密情報がユーザーによって取り残される可能性があることです。このリスクを排除するために、リモートデスクトップアクセスアプリケーションを使用して、データがネットワークを離れることがなく、ユーザーのデバイスに置き忘れられないようにすることができます。

主要なスマートモバイルデバイスのオペレーティングシステムでは、SSL VPNアプリを使用して、スマートフォンやタブレットによるブラウザベースのアクセスのリスクを排除することもできます。

ベンダーに尋ねるべき重要な質問：

• 16.アプライアンスにはホストチェック機能がありますか？その場合、ホストマシンで確認できる情報の種類（ウイルス対策ソフトウェア、レジストリ値など）は何ですか？
• 17.どのブラウザがサポートされていますか？
• 18.管理者権限は必要ですか？
• 19.サポートされているオペレーティングシステムを教えてください。
• 20.アプライアンスにはキャッシュクリーニング機能がありますか？
• 21.アプライアンスは安全なリモートデスクトップ機能を提供していますか？
• 22.クライアントプロファイルに基づいて、どのレベルのアクセス制御を実施できますか？
• 23アプリはスマートモバイルデバイスで利用できますか。利用できる場合、どのような種類の保護が提供されますか？

認証

認証は、ユーザーのIDを確立するための最初のステップです。認証に関連する複雑さの大部分は、統合に関係しています。ほとんどの組織には既存の標準認証インターフェース（RADIUSやLDAPなど）があり、アプライアンスは特別な構成なしでこれらのインターフェースと統合できる必要があります。

レガシーシステム、データベースなど、非標準のインターフェイスが使用されている場合、課題が存在します。これらの場合、アプライアンスがこれらの非標準インターフェースとの迅速な統合を可能にするカスタマイズインフラストラクチャを提供することが重要です。

認証の特殊なケースは、SSLクライアント側の証明書に関係しています。クライアント側の証明書は、SSL接続の確立のための追加の保護レベルであり、各クライアントは独自の一意の証明書で自身を識別する必要があります。SSL VPNアプライアンスの場合、ログインページはSSL接続を介して提示されるため、このプロセスはログインページがユーザーに提示される前に行われます。多くの場合、クライアント側の証明書は、ユーザーセッションの唯一の識別子として使用されます（たとえば、USBベースのクライアント側の証明書）。完全に保護するには、ユーザーセッションを証明書の内容に関連付けることができる必要があります。

ベンダーに尋ねるべき重要な質問：

• 24.サポートされている認証方法（および必要な構成）は？
  1. RADIUS
  2. LDAP
  3. Active Directory
  4. NDS
  5. SecurID
  6. 証明書ベース
  7. ローカル
  8. その他
• 25.サーバー側の構成が必要な標準的な方法はありますか？
• 26.異なる二要素または多要素認証インターフェースはどのように処理されますか？
• 27.認証をオフにすることはできますか？
• 28.複数の認証インターフェースを同時にサポートできますか？

認可

ロールベースの承認は、ほとんどすべてのセキュリティポリシーと規制の重要な部分です。管理者は、組織内のユーザーの役割（または関連付け）に基づいて、情報およびアプリケーションへのアクセスを制限できる必要があります。これらのポリシーは、最も複雑な要件に対応できる十分な柔軟性を備えている必要があります。また、変更と更新を簡単かつ迅速に適用できるように、できるだけ動的にする必要があります。

許可ポリシーに関連する最も重要な要素は、それらが提供する許可の細分性です。以下のために例のURLに基づいてフィルタリングできるWebベースの認可ポリシーは、防止は、特定のサーバーのポート80にアクセスすることをIPベースのポリシーよりも細かいです。

加えて認可ポリシーは、多くの場合、重要な統合の複雑さを紹介します。ポリシーはどこに保存する必要がありますか？ユーザーとグループにどのように関連付ける必要がありますか？これらの複雑さを回避し、円滑な統合を可能にするために、アプライアンスは可能な限り最大の柔軟性を提供し、ポリシーをローカルおよび外部サーバーに保存できるようにし、管理者が外部情報を相互に関連付けられるようにする必要があります（そのソースは通常は外部認証サーバー）、ローカルに保存されたポリシー。ためには配達非常にきめ細かいアクセス制御へのSSL VPNソリューションは、アクセス制御ポリシーを適用できるようにする必要があります。

ベンダーに尋ねるべき重要な質問：

• 29.サポートされているポリシーのタイプ（Webベース、共有ディレクトリ、TCPなど）は？
• 30.ポリシーはPERMITまたはDENYポリシーとして定義されていますか？
• 31.ポリシーを設計するとき、「ホワイトリスト」および「ブラックリスト」のアプローチを適用することは可能ですか？
• 32.ポリシーはユーザー、グループ、またはその両方に関連付けることができますか？
• 33.ポリシーはどのように保存および取得されますか？
• 34.ポリシーを外部サーバーに保存できますか？
• 35.ポリシーをアプライアンスのローカルに保存できますか？
• 36.外部サーバーからの情報に基づいて、ポリシーをローカルで取得できますか？

監査

広範な監査証跡は、すべてのセキュリティ関連の規制とポリシーの主要な要件です。監査情報は、セキュリティとステータス監視の両方の理由で簡単に分析できる形式で生成する必要があります。

ベンダーに尋ねるべき重要な質問：

• 37.監査証跡はどのように提供されますか？
• 38.ロギングのどのフォーマットがサポートされていますか？
• 39.どのような情報が記録されますか？
• 40.ログで使用できるツールは何ですか？

アクセスモード（ネットワーク露出）

SSL VPNソリューションの独自の「クライアントレス」アクセス方式により、リモートおよびモバイルアクセス用のIPsecテクノロジーを追い抜くことができました。SSL VPNテクノロジーが進化し成熟するにつれ、いくつかのクライアントベースのオプションも導入されました。それらのほとんどは、事前インストールを必要としない動的クライアントです。ただし、SSL VPNソリューションの主な利点の1つは、依然としてさまざまなアクセスモードです。

これらのアクセスモードを使用すると、管理者は最小限のネットワークレベルの露出でアプリケーションを拡張できるため、ネットワークへのリスクが大幅に軽減されます。ほとんどのSSL VPNソリューションは、次のアクセスモードのバリエーションを提供します。

• ネイティブWebアプリケーションとファイル共有のサポート、およびモバイル環境用に開発されたHTML5アプリのサポート（最小のネットワーク露出）
• シンクライアントのサポート（ネットワークへの露出が少ない）
• クライアント/サーバーアプリケーションのサポート、リダイレクト（中程度のネットワーク露出）とも呼ばれる
• ネットワークレベルのアクセス（完全なネットワーク露出）

当然のことながら、可能な限り最小限のネットワーク露出を優先することをお勧めします。したがって、ネイティブWebアプリケーションとファイル共有サポート、および/またはモバイルデバイス用の安全なHTML5アプリを利用します。ただし、実際には、トンネリング（リダイレクトや完全なネットワークレベルのアクセスなど）を必要とする多くのレガシネットワーキングアプリケーションが展開されています。したがって、一方ではネットワークへの露出を減らし、もう一方では便利で簡単なアクセスを提供するアクセスモードの組み合わせをエンドユーザーに提供できることが重要です。たとえば、HTML5は、ActiveX、Java、またはその他の複雑で使いにくいエンドポイントテクノロジーを必要とせずに、ブラウザーのみで任意のアクセス方法をシームレスに起動する必要があります。

このようなケースのもう1つの例は、ネットワークレベルのアクセスとネイティブファイル共有の組み合わせです。さまざまなトンネリングサービスを通じてWindowsファイル共有を提供することは可能かもしれませんが、このタイプの機能を可能にするために開かれている必要があるポートに関連するさまざまな脅威にネットワークをさらします。したがって、管理者は許可ポリシーを使用してこれらのポートをブロックすることを選択できます。この場合、ユーザーはアプライアンスが提供するネイティブファイル共有を利用できます。これは、ユーザーが複数のアクセスモードを同時に使用できる場合にのみ可能です。

ベンダーに尋ねるべき重要な質問：

• 41.ソリューションはどのタイプのアクセスモードを提供しますか？
• 42.どのタイプのアプリケーションがサポートされていますか？
• 43.基盤となるテクノロジー（Java、ActiveX など）は何ですか？
• 44. IPアドレス、DNSホスト名、またはその両方に基づいてリソースへのアクセスを提供できますか？
• 45.どのタイプのシンクライアントがサポートされていますか？
• 46. MSターミナルサービスを介してアプリケーションを公開できますか？
• 47. Citrix Metaframeを介してアプリケーションを公開できますか？
• 48. Citrix統合にはどのような構成が必要ですか？
• 49.クライアントはどのようにしてエンドユーザーに配信されますか？
• 50.バージョンはどのように更新されますか？
• 51.フルおよびスプリットトンネリング設定はサポートされていますか？
• 52. IPアドレスはどのように割り当てられますか？
• 54.基盤となるテクノロジーは何ですか（仮想アダプター、PPTP、L2TP、リダイレクト）？
• 54.このモードは他のアクセスモードと共存できますか（たとえば、このアクセスモードとネイティブWebアプリケーションを同時に使用できますか）？
• 55.このモードでサポートされているオペレーティングシステムを教えてください。

ユーザー体験

エンドユーザーエクスペリエンスは、さまざまな要因によって決定されます。

• パフォーマンス–データへのアクセスとアプリケーションの実行速度。
• ユーザーインターフェイスのカスタマイズ–知識レベルとニーズに対して直感的なインターフェイスをユーザーに提供する機能。
• 直感的な使用–さまざまなアクセスモードを簡単かつ直感的に使用できます。インストールは必要ないか、最小限のインストールのみで、ユーザーの操作を最小限に抑える必要があります。
• 高可用性– アクセスを保証するために最小限のダウンタイムが必要です。

ユーザーエクスペリエンスの重要性は明白であり、生産性の主な要因です。ただし、優れたユーザーエクスペリエンスにより、サポートとヘルプデスクへの問い合わせの量が減少することも忘れてはなりません。

パフォーマンス

SSL VPN製品のパフォーマンス能力を測定するには、さまざまなパラメーターを考慮する必要があります。

• 同時ユーザーセッションの最大数-同時にログインできるユーザの最大数
• 同時SSL接続の最大数-デバイスが維持することができることをSSL接続の最大数。各ユーザーセッションに少なくとも1つの接続が必要であると仮定すると、この数は、同時ユーザーセッションの最大数以下である必要があります。
• SSL操作の最大数- SSL毎秒ハンドシェイク（または鍵交換）の数を述べるためにSSLデバイスで一般的であるが、しかし、これはSSL活性の一部のみを覆っているので、狭い定義です。したがって、このパラメーターの定義には、最初のSSLハンドシェイクとそれに続くバルク暗号化の両方を含める必要があります。
• 最大のバルク暗号化スループット– SSL VPNデバイスによって実行される暗号化のほとんどはバルクであり、これはSSLの対称暗号化部分です。

これらのパラメータは互いに補完し合う必要があります。たとえば、適切な数の同時ユーザーセッションをサポートするだけでは十分ではありません。同時ユーザーセッションの数は、適切な量のSSL操作（1秒あたりの高いトランザクションレート、高いスループット）で補完する必要があります。トレードオフは明確です。秒ごとの少ないオペレーションと、ユーザーごとの手段遅くパフォーマンスとユーザーエクスペリエンスの低下です。最初のユニットが適切な数の同時ユーザーセッションをサポートしている場合でも、パフォーマンスとスケーラビリティの不一致により、追加のユニットが購入されます。

無負荷状態では、すべてのアプライアンスで遅延が発生します。しかし、デバイスが動作すると予想されるレベルでデバイスがロードされると、アプライアンスの真の意欲が伝わります。優れたデバイスは、許容できるユーザーエクスペリエンスを提供しながら、より高いスループットを処理できる必要があります。

ベンダーに尋ねるべき重要な質問：

• 56.アプライアンスはSSL暗号化にハードウェアアクセラレーションを使用していますか？
• 57.同時ユーザーセッションの最大数はいくつですか？
• 58.同時SSL接続の最大数はいくつですか？
• 59.時間単位あたりのSSL操作の最大数はいくつですか？
• 60.バルクSSLスループットとは何ですか？
• 61.無負荷状態でアプライアンスによって追加されるレイテンシはどのようなものですか？
• 62.対象となる作業負荷でどのような待ち時間が発生しますか？

ユーザーインターフェイスのカスタマイズ

SSL VPNアプライアンスのユーザーインターフェイスは通常、ログイン、ポータル、ログアウト、さまざまなエラーページなどのさまざまなWebページで構成されています。さまざまなユーザー、パートナー、さまざまな部門の従業員など、さまざまなアプリケーションと情報を利用できます。これらのアプリケーションや情報へのアクセスは、その役割やニーズなどの多くのパラメーターに依存します。ユーザーごとに異なるユーザーインターフェイスが必要です。従業員のアクセス用に設計されたページは、パートナーのアクセスには適さない場合があります。

アクセスソリューションが効果的であるためには、各グループ（セキュリティ関連のグループと混同しないでください）がニーズに最適な設計を行えるように、ユーザーインターフェイスをカスタマイズできる必要があります。たとえば、パートナーアクセスログインは既存のパートナーWebサイト内から実行され、従業員は従業員専用の特別なURLにアクセスします。

ユーザーインターフェイスのカスタマイズは、ユーザーグループごとの特別なレイアウトを超えています。各組織には、独自の手順とビジネスロジックのニーズがあります。認証および独自の認証データベースとの統合後に特定のファイルを同期する必要性は、それらのニーズのほんの一例です。アクセスソリューションには、このようなカスタマイズを統合して操作する方法が必要です。

全体として、ユーザーインターフェイスは優れたユーザーエクスペリエンスの重要なコンポーネントです。ユーザーの生産性にとっても重要です。デザインがカスタムビジネスロジック統合の欠如であるかどうかに関係なく、ユーザーインターフェースが不十分なアクセスソリューションは、ユーザーの生産性を低下させます。

ベンダーに尋ねるべき重要な質問：

• 63.ユーザーインターフェイスのどのコンポーネントをカスタマイズできますか？
  1. ログインページ？
  2. ポータルページ？
  3. ログアウトページ？
  4. エラーページ？
• 64.ユーザーまたはグループのプロファイルごとにページをカスタマイズできますか？
• 65.これらの各ページをどのレベルまでカスタマイズできますか？
  1. カスタマイズ可能なロゴ？
  2. 既存のテンプレートの一部としてカスタマイズ可能なメッセージ？
  3. 既存の組織ポータルと統合しますか？
• 66.ベンダーの署名がない匿名ページを作成することはできますか？

直感的な使用

前述のように、SSL VPNソリューションの強みの1つは、提供するさまざまなアクセスモードです。ただし、これらの異なるオプションは、エンドユーザーを混乱させる可能性があります。したがって、これらのさまざまなモードができるだけ直感的であり、ユーザーの操作を最小限に抑えることが重要です。

ベンダーに尋ねるべき重要な質問：

• 67.いずれかのアクセスモードで事前インストールが必要ですか？
• 68.ユーザーが手動でトリガーする必要がある動的コンポーネントはありますか？
• 69.シングルサインオン（SSO）はサポートされていますか？

高可用性

高可用性は、完全に非表示にする必要があるエンドユーザーエクスペリエンスの一部です。最高のユーザーエクスペリエンスは一貫したものであり、ダウンタイムはないか、最小限です。この目標は、全体的なセキュリティの考慮事項の範囲内で達成する必要があります。

ベンダーに尋ねるべき重要な質問：

• 70.アプライアンスは高可用性をサポートしていますか？
  1. 高可用性はどのように実装されますか？
  2. 複数のユニットを一緒にクラスター化できますか？
  3. その場合、一緒にクラスター化できるユニットの最大数に制限はありますか？
• 71.高可用性には特別なハードウェアが必要ですか？
• 72.高可用性には特別な接続が必要ですか？

管理および管理

前のセクションで説明したさまざまなユーザーエクスペリエンスとセキュリティ関連の設定をすべてサポートすると、管理上の悪夢につながる可能性があります。そのため、SSL VPNアプライアンスは次の問題に対処する必要があります。

• 管理インターフェース– CLI、Webユーザーインターフェースなど
• コンポーネントの展開–さまざまな動的コンポーネント（ActiveX、Javaアプレットなど）をエンドユーザーにどのように展開しますか？
• 管理者特権–動的コンポーネントのいずれかが管理者特権またはその他の特権を必要としますか？
• 管理の委任–異なる管理者間で管理の負荷を委任できますか？

管理インターフェース

SSL VPNアプライアンスの管理者エクスペリエンスは、エンドユーザーエクスペリエンスと同様に重要です。さまざまな管理インターフェイスを提供すると、管理者が個々のタスクにより適したインターフェイスを選択できるため、管理タスクの複雑さが緩和されます。

ベンダーに尋ねるべき重要な質問：

• 73.アプライアンスが提供する管理インターフェースのタイプは何ですか？
  1. デバイスには管理用のCLIがありますか？
  2. デバイスはWebユーザーインターフェイスを提供していますか？
  3. デバイスはSNMPサポートを提供していますか？
  4. デバイスは、他のネットワーク管理ツールと組み合わせて使用できるプログラム可能な管理インターフェイスを提供していますか？
  5. 他のものは？
• 74.すべての管理タスクを任意のインターフェースから実行できますか？
• 75.そうでない場合、どのインターフェースでどのタスクを実行できますか？

配備されたコンポーネント

ほとんどのSSL VPNソリューションは、使用されている機能に応じて、さまざまなコンポーネントを展開します。これらのコンポーネントの展開は、シームレスに実行されない場合、サポート担当者に大きな負荷をかけ、最終的にはそのようなソリューションのサポートにかかるコストを引き上げることがあります。このセクションで説明するコンポーネントは、さまざまなトンネリングサービス（Javaアプレットなど）に必要な動的コンポーネントから、エンドユーザーデバイスレベルでのホストチェックおよびキャッシュクリーニングまでさまざまです。

さまざまなコンポーネントに関する追加の考慮事項は、管理者特権が必要かどうかです。たとえば、ActiveXコンポーネントは制限されたユーザーに対して実行されず、Javaアプレットがネットワークにアクセスできないようにブロックされ、スタンドアロンの実行可能ファイルが管理者権限のインストールを要求する可能性があります。一部では場合によって、これらのコンポーネントのみがインストールされた状態でいったん権限を必要とし、他の人に、彼らはこれらの権限彼らが使用されているすべての時間を必要とします。いずれの場合でも、管理者権限の必要性により、デプロイメントが大幅に複雑になるため、できるだけ回避する必要があります。

ベンダーに尋ねるべき重要な質問：

• 76.アプライアンスで使用されているすべてのコンポーネントは何ですか（ActiveX、Javaアプレット、さまざまなタイプの実行可能ファイル）？
• 77.上記の各コンポーネントについて、どの管理権限が必要ですか？

委任

運用上の利便性とセキュリティ上の理由から、通常、さまざまなコミュニティを管理するためにさまざまな管理者を割り当てる必要があります。アプライアンスは、異なる管理者間で管理ロールを委任できる方法を提供する必要があります。委任は、管理者のバッファリングも可能にする必要があります。基本的には、同じユニットに対して異なる管理者がお互いの責任に介入することなく許可されます。

ベンダーに尋ねるべき重要な質問：

• 78.アプライアンスでは複数の管理者を定義できますか？
• 79.異なる管理者に異なる管理ロールを割り当てることはできますか？
• 80.アプライアンスは、異なる管理者間で何らかのタイプの分離またはバッファリングを提供しますか？

結論

SSL VPNデバイスを適切に選択するには、現在および将来のニーズを理解し、検討中のさまざまなデバイスの機能を慎重に評価する必要があります。

アレイネットワークは、既存のSSL VPNソリューションの詳細を学習し、将来の開発について常に情報を提供するのに役立ちます。これにより、会社の安全なアクセス要件について最も情報に基づいた決定を行うことができます。AGシリーズの製品ページ、安全なリモートアクセスソリューションのページで詳細を確認するか、vxAG 仮想SSL VPNアプライアンスの30日間無料試用版を今すぐダウンロードしてください。

アレイネットワークについて

Array Networksは、5000を超える世界中のお客様に導入されているアプリケーション配信ネットワーキングのグローバルリーダーです。受賞歴のあるSpeedCore® ソフトウェア、アレイアプリケーション配信、WAN最適化、および安全なアクセスソリューションを搭載し、優れたパフォーマンスと総所有価値により、主要な企業、サービスプロバイダー、公共部門の組織に認められています。アレイは、シリコンバレーに本社を置き、世界中で250人以上の従業員に支えられており、強力な投資家、経営陣、収益の成長を遂げる収益性の高い企業です。モバイルおよびクラウドコンピューティングの分野で爆発的な成長を利用する態勢を整えているデロイト、IDC、Frost＆Sullivanなどのアナリストやソートリーダーは、アレイネットワークスをその技術革新、優れた運用、市場機会で認めてきました。

仮想プライベートネットワーク（VPN）は、過去20年間、企業の主力でした。これにより、企業、政府機関、部門は、信頼できないネットワークを介して安全に通信を送信できます。ここ数年で、それらはほとんどのSD-WANソリューションのトランスポート非依存オーバーレイになりました。

問題は、これらのテクノロジの構成と、フェーズ、モード、および暗号化アルゴリズムが多すぎるということは、セキュリティの確保と維持が面倒な作業になる可能性があることです。これが、優れたVPNソリューションが、クラウドを介して安全かつ迅速に安全な状態になるための迅速かつ簡単な方法を提供する場所です。

続きを読む