fbpx

リモートアクセスVPN – セキュリティ上の懸念とポリシーの施行

個人の成長の数字は、リモートで作業して在宅勤務や周波数の増加と一緒に旅行、従来のビジネスセキュリティモデルは進化し続けています。リモートユーザーが本社のRASサーバーに直接ダイヤルしてリモートネットワーク上のデータにアクセスできる時代はほぼ終わりました。広く利用可能な高速ブロードバンドインターネットアクセスとVPNテクノロジーの組み合わせにより、安全かつ明確に定義された境界は、一度楽しんだ多くの組織が少し目立たなくなります。

要約

VPNソリューションの評価と計画では、このテクノロジに関連するセキュリティリスクを理解することが不可欠です。リモートアクセスVPNの実装により、データの機密性、整合性、および可用性を提供する概念を拡張して、親会社の保護されたネットワークリソースに直接アクセスできるリモートVPNクライアントに対処する必要があります。このホワイトペーパーは、リモートアクセスVPNを実装するビジネス上の理由を確認し、セキュリティポリシーの考慮事項に対処し、コンセントレータとZone LabsのIntegrity Serverを使用してセキュリティポリシーを強制することを目的としています。たくさんあることに気づく VPN実装のさまざまな方法をマーケティングしているメーカーは、リモートユーザーアクセス用のコンセントレータにのみ焦点を当てます。そしてポリシーを実施するためのZone LabsのIntegrityサーバーにより、一般的な全体像を描くのではなく、特定の詳細に対処できます。

ビジネス上の考慮事項

今日のビジネスニーズには、情報へのアクセスが含まれます。この情報は、企業のデータベース、ファイルサーバー、またはイントラネットに存在する場合があります。リモートユーザーは、このデータにアクセスするための安全で費用効果が高く、便利な方法を必要とします。これがこれらの理由であり、大多数の企業がすでにビジネス機能にインターネットを採用しているという事実と相まって、今日の企業によるVPNテクノロジーの急速な採用に責任があります。成長率が2004年まで継続すると予測され、年間70〜80%という驚異的な率で、VPNはすでにリモートアクセスの標準となっています。300社を超える企業の最近のガートナーの調査によれば、「…少なくとも500 人の従業員と2つのサイトを持つ米国企業の90%がVPNソリューションを使用して、在宅労働者への安全なアクセスを提供しています。この調査では、企業の79%がモバイルワーカーの接続にVPNを使用していることもわかりました。」

VPNの魅力は、コスト削減やスケーラビリティなど、いくつかの要因に集中しています。リモートアクセスVPNは、接続料金の節約と生産性の向上により、コストを削減します。VPNクライアントがダイヤルアップインターネットまたはブロードバンドインターネットアクセスを介して企業ネットワークに接続すると、専用のRAS回線と関連する長距離通話のサポートによって発生する費用が削減されます。ブロードバンドDSLまたはケーブルアクセスの価格競争が激化する中、高速リモートアクセスが現実のものとなりました。本質的に遅いダイヤルアップRASサービスではなく、ブロードバンドアクセスを備えた在宅勤務者は、VPNを介して本社に接続し、より生産的な方法で仕事をすることができます。同様に、ますます多くのホテルが高速インターネット接続を提供しているので、モバイルワーカーはリモートアクセスVPNを使用することで、より効率的に仕事をすることができます。

コンセントレータファミリの製品を使用して、組織はリモートアクセスVPNのニーズを満たすことができます。コンセントレータには、VPNクライアントソフトウェアが無料で含まれています。VPN クライアントソフトウェアは、コンセントレータへの安全なエンドツーエンドの暗号化トンネルを確立するために使用されます。クライアントは事前に構成され、まとめてデプロイされます。さらに、VPNアクセスポリシーと設定は、コンセントレータとの接続に成功するとクライアントにシームレスにプッシュされるため、ユーザーの介入はほとんど必要ありません。シスコは、小規模企業から大企業までのニーズを満たすことができるさまざまなコンセントレータモデルを提供しています。3000シリーズコンセントレータでは、最新のVPNテクノロジーを使用して、通信費用を削減し、生産性を向上させることができます。コンセントレータの各モデルは、今日の市場で利用できる最も高度な暗号化および認証技術と、高可用性、高性能、およびスケーラビリティを組み合わせています。シスコは、コンセントレータファミリで5つのモデルを提供しています。

VPN 3005コンセントレータは、中小規模の組織を対象としています。このモデルは、最大全二重T1 / E1、および最大100の同時VPN セッションをサポートします。暗号化はソフトウェアを介して処理されます。このモデルにはアップグレード機能はありません。

VPN 3015コンセントレータは、3005 モデルと同じすぐに使える機能を提供しますが、3015は、増大するビジネスニーズに応じて、3030または3060モデルにアップグレードできる可用性を提供します。

VPN 3030コンセントレータは、50 Mbpsの最大パフォーマンスで、フルT3 / E3の帯域幅スループットを必要とする中規模から大規模の組織を対象としています。3030コンセントレータは、1500回の同時VPNセッションの最大をサポートしています。SEP(スケーラブル暗号化モジュール)は、ハードウェアベースの高速化機能を提供するために利用できます。3030は、冗長構成と非冗長構成で利用でき、3060モデルにアップグレードできます。

VPN 3060コンセントレータは、大規模組織の要求に合わせて設計されています。100 Mbpsの最大パフォーマンスで、フラクショナルT3からフルT3 / E3以上までの帯域幅機能を提供します。3060コンセントレータは最大5000の同時VPNセッションをサポートし、冗長構成と非冗長構成で利用でき、ハードウェアベースの高速化のためにSEPモジュールを利用できます。

VPN 3080コンセントレータは、最高レベルのパフォーマンスと最大10,000の同時セッションのサポートが要求される大企業組織をサポートします。3080は、完全冗長構成でのみ使用できます。

VPNのセキュリティ上の懸念

リモートアクセスVPNによる節約の可能性と従業員の生産性の向上は重要であり、ビジネスにとって魅力的ですが、テクノロジの計画、実装、および監視に必要な初期の取り組みには事前の考慮が必要です。これらの考慮事項は文書化し、セキュリティポリシー内で対処する必要があります。また、セキュリティテクノロジーを導入する前に、セキュリティポリシーを設定することをお勧めします。VPNの問題に対処するためのセキュリティポリシーの実装をサポートしているのは、マネージドセキュリティサービスのグローバルリーダーであるTruSecureのRuss Cooperです。クーパーのスタンスは、セキュリティ対策を強化し、ユーザーやシステム管理者への教育リソースとして機能するためのポリシーが必要であるというものです。クーパーによれば、「必要なのは、従業員が会社で供給されたハードウェアの構成を変更して自宅でのファイル共有とWebブラウジングを促進できるようにするなど、ずさんな慣行を取り締まるセキュリティポリシーの改善です」。

リモートアクセスVPNの展開に関する懸念の原因は、既存のネットワーク境界の拡散です。VPNを介した企業ネットワークへのアクセスを許可することにより、信頼できないホストが本質的に安全なイントラネットにアクセスできるようになります。VPN接続はクライアントPCと企業ネットワーク間の安全な接続を提供しますが、クライアントに個人的なセキュリティ機能を提供したり、インターネットなどのソースからの外部の攻撃から保護したりしないことに注意することが重要です。

VPN接続は、データの機密性と整合性、および認証サービスを提供するために用意されています。リモートホストが侵害された場合、攻撃者はこの侵害されたシステムを企業ネットワークへの侵入手段として使用する可能性があります。ほとんどではないにしても多くのエンドユーザーPCにはセキュリティ対策がほとんど施されていないため、インターネットに接続されているエンドユーザーPC は企業ネットワークよりもはるかに簡単なターゲットです。セキュリティで保護されていないPCは、パスワードの収集、ウイルスやワームによる感染にさらされており、知らないうちに分散型サービス拒否攻撃に利用される可能性があります。VPN接続経由で企業ネットワークに侵入すると、悪意のある影響が及ぶ可能性があります。

企業ネットワークへの露出を減らすには、VPNユーザーが企業オフィスへのVPNセッションを開いて接続を確立したままにしないようにする必要があります。これは、接続の「常時オン」の性質により、ブロードバンドインターネットアクセスを持つリモートユーザーにとって特に懸念事項です。セキュリティポリシーは、VPN クライアントのVPNセッション接続時間に対応し、所定のアイドル時間が経過した後にセッションを終了することを要求する必要があります。

また、昨今ではそもそも境界型セキュリティの境界をなくすゼロトラストというアプローチも広く認識されています。境界型であるVPNからゼロトラストへの移行を検討している場合は、他の記事をご確認ください。

VPNクライアントPCとセキュリティポリシー

企業ネットワークの外部ソースへの露出を少なくするために、考慮すべき事項がいくつかあり、その周りにセキュリティポリシーがあります。VPNクライアントの懸念事項として、ブロードバンドインターネット接続の「常時接続」の潜在的な危険、パーソナルファイアウォールのインストール、ウイルス対策ソフトウェア、リモートPC自体が挙げられます。

リモートVPNクライアントPCの分析は、PC 自体に対する考慮事項から始まります。セキュリティポリシーでは、既存のユーザーの個人所有物を使用するのではなく、VPNホストが会社発行の機器であることを要求することをお勧めします。これにより、ビジネスアプリケーションと個人アプリケーション、ファイル、およびアクティビティの混在に関連する問題が解消されます。会社の所有権の下では、エンドユーザーにポリシーの遵守を要求する方が簡単であり、PCはビジネス関連の目的にのみ使用するように要求します。ハードウェアは会社所有であるため、ユーザーにはデスクトップマシンの管理者アカウント権限が与えられません。ユーザーが管理者権限を通じて完全に制御できる場合、ユーザーのアクティビティの制御とデスクトップの整合性の確認と維持は(不可能ではないにしても)非常に困難です。会社が提供するハードウェアはまた、管理上の問題を最小限に抑えるのに役立ちます。コンピュータは比較的静的なままであり、承認されていないソフトウェアのインストール、エンド- ユーザー設定の変更やトラブルシューティングのためのデバイスの競合がないため、サポートコールが削減されます。

セキュリティポリシーでは、すべてのサービスパックと適切な修正プログラムを配備する必要があることに加えて、パーソナルファイアウォールとウイルス対策ソフトウェアをインストールし、操作し、最新の構成ファイルを使用する必要があります。McAfee、Symantec 、Trend Micro などの主要なウイルス対策ベンダーが販売しているものなど、管理されたウイルス対策パッケージを強くお勧めします。管理されたウイルス対策ソリューションを使用すると、管理と監視を1か所で行うことができるため、クライアントをより効果的に管理できます。管理されたウイルス対策製品を検討する場合、中央コンソールでは、管理者がポリシーを管理し、サーバーとワークステーションを更新して適切に構成することができます。管理されたウイルス対策製品では、管理者がクライアント設定をロックダウンして、ユーザーが所定の構成を変更できないようにすることもできます。ウイルスが検出されると、自動的に修復され、中央コンソールに警告が表示されます。

セキュリティポリシーには、ウイルス対策製品に加えてパーソナルファイアウォールが必要です。ウイルス対策ソフトウェアと同様に、Zone Labs、Sygate 、Symantec などのベンダーから数多くの高品質のパーソナルファイアウォール製品を入手できます。ウイルス対策ソフトウェアはクライアントでのウイルスの問題を回避するのに役立ちますが、ハッカーの攻撃に対しては安全ではありません。ファイアウォールソフトウェアは、必要なポートへのインバウンドアクセスを許可し、不要なポートを閉じます。一部のファイアウォールソフトウェア製品は、発信トラフィックも監視します。信頼できるアプリケーションのみがインターネットへの送信アクセスを許可します。ポリシーで必要とされるのは、このタイプのソフトウェアファイアウォールです。ファイアウォールがないと、VPNクライアントに保存されている情報が侵害される可能性があります。企業データ、パスワード、専有情報– インターネットに接続している間は、すべて不正アクセスが可能です。ウイルス対策製品と同様に、マネージドパーソナルファイアウォールを利用できます。Zone Alarmの製造元であるZone Labsは、このようなソリューションを提供しています。Zone Labs Integrityは、クライアントマシンに常駐するエージェントと、サーバー―管理者が中央コンソールからポリシーを作成、監視、適用できる中央管理ポイントで構成されます。でパーソナルファイアウォールとして機能することに加え、Zone Labs Integrityは信頼できるVPNクライアントPCのみが認証され、企業ネットワークへのアクセスが許可されるようにします。

VPNクライアントのインターネット接続は、VPN クライアントのセキュリティポリシーを作成する際に考慮すべき要素です。ブロードバンドインターネットの可用性が高まり、価格がますます競争力を増すにつれて、多くの組織のVPNクライアントがブロードバンドインターネットアクセスを使用することは確実です。利用可能な帯域幅の増加と、ブロードバンドクライアントが「常にオン」であり、静的IP、またはIPアドレスがたまに変化するという事実に加えて、ブロードバンドクライアントはダイヤルアップクライアントよりも攻撃にさらされる可能性が高くなります。ブロードバンドクライアントには、パーソナルファイアウォールとウイルス対策ソフトウェアが最新であり、常に実行されていることが不可欠です。いつもの「ブロードバンドの性質によるアクセス、セキュリティポリシーが必要な場合があり、ブロードバンドのクライアントシャットダウン自分のマシンを使用されていません。ブロードバンドアクセス専用ではありませんが、セキュリティポリシーは単一のVPNセッションのアイドル時間も制限する必要があります。これは、VPNユーザーが企業ネットワークに接続して、セッションを開いたまま無人のままにしておくのを防ぐためです。

セキュリティポリシーの施行

セキュリティポリシーを実施する手段は、セキュリティテクノロジの調査、テスト、および実装のフェーズ全体を通して、主要な考慮事項である必要があります。慎重な調査、製造元のドキュメントのレビュー、ベンダーと製造元に提示された質問、およびテクノロジのテストは、この基準を満たすのに役立ちます。実施の方法がなければ、セキュリティポリシーの有効性はせいぜい疑わしいだけです。監査証跡の間、ハードウェア分析とセキュリティログを定期的に確認する必要があります。これは時間のかかるプロセスであり、これだけでも違反やセキュリティの脅威が発生した後に管理者に警告します。強制手段がない場合、管理者はリモートVPNユーザーに自発的にポリシーを遵守させることにより、企業ネットワークのセキュリティを危険にさらしています。安全なネットワーク境界がVPNクライアントを包含するように拡張されているため、VPNクライアントと企業ネットワークの両方の整合性を保護するために、セキュリティポリシーを「リアルタイム」で実施する必要があります。た持っているVPNクライアントを必要とするセキュリティポリシーの問題に対処ウイルス対策ソフトウェアがインストールされ、最新のアップデートを使用します。ポリシーでは、クライアントPCで適切に構成されたパーソナルファイアウォールが実行されていることも必要です。また、非アクティブなVPNセッションの時間制限も必要です。これはどのように義務付けられ、自発的にポリシーに準拠する責任をVPNユーザーから削除するのですか?答えは上記のとおりです。ニーズを定義し、このニーズを満たすために利用できるソリューションを注意深く調査することによって。管理されたアンチウイルスパッケージであるVPNコンセントレータは、要求された要件を満たします。

VPNコンセントレータ

リモートVPNクライアントが最初に通信するのは、VPNコンセントレータです。コンセントレータは、企業ネットワークへのエントリポイントとして機能し、リモートクライアントがコンセントレータに提示する資格情報に基づいてアクセスを認証および承認します。コンセントレータは、順番に、能力がある監査クライアントがする所定の要件を満たしているかどうかを判断するために、リモートクライアントを接続を完了します。管理を容易にするために、コンセントレータではVPNユーザーをグループに追加できます。グループの構成変更は、指定されたグループのすべてのメンバーに影響します。さらに、コンセントレータには、「基本グループ」という名前のデフォルトグループがあります。手動で作成されたグループは、ベースグループのサブセットです。つまり、ベースグループへの変更は、すべてのVPNユーザーおよびグループに共通する可能性があります。管理者はVPNユーザーグループを作成するときに、ベースグループから継承する値または継承しない値を決定します。コンセントレータの全体的な構成はこのホワイトペーパーの範囲外であるため、セキュリティポリシーを満たすための注目の要件に焦点を当てます。

VPNクライアントにパーソナルファイアウォールがインストールされていることを要求するには、管理者は[構成]-> [ユーザー管理]-> [グループ]-> [グループの変更]-[ クライアントFW]を選択します。

デフォルトでは、コンセントレータはファイアウォールを必要とせず、「ファイアウォール必須」と「ファイアウォールオプション」の追加オプションがあります。「ファイアウォール必須」ラジオボタンを選択するだけで、グループ内のすべてのユーザーがクライアントにパーソナルファイアウォールを設定するように要求できます。次に、「ファイアウォール」ドロップダウン選択で、「Zone Labs Integrity」を選択します。この時点で、「サーバーからのポリシー」ラジオボタンが自動的に選択されます。この構成では、グループ内のすべてのユーザーが、指定されたパーソナルファイアウォールをクライアントPCにインストールする必要があります。コンセントレータは、必要なファイアウォールがインストールおよび実行されていない状態で接続しようとするセッションをすべてドロップします。「適用」をクリックすると、すべての構成変更がコンセントレータ内に保存されます。

次に、コンセントレーター内でIntegrityサーバーを定義する必要があります。これを行うには、[構成]-> [システム]-> [サーバー]-> [ファイアウォールサーバー]を選択します。

次に、管理者はZone Labs Integrity サーバーのIPアドレスを入力する必要があります。これにより、コンセントレーターがIntegrityサーバーと通信できるようになります。

これは、リモートVPNクライアントPCのポリシーを維持し、接続の試行を監視してポリシーの遵守を保証するIntegrityサーバーです。Integrityサーバーの詳細は次のとおりです。もう一度、「適用」をクリックすると、構成の変更がコンセントレータ内に保存されます。

最後に、非アクティブなVPN セッションの終了に関するセキュリティポリシー要件を適用するには、管理者がこれを有効にするためのパラメータを設定する必要があります。「アイドルタイムアウト」属性は、「構成」->「ユーザー管理」->「グループ」->「グループの変更」->「一般」を選択すると表示され、次のように表示されます。

次に、管理者はタイムアウト値を分単位で入力します。この期間内に特定のVPNセッションで通信アクティビティがない場合、VPN セッションは終了します。次に、ユーザーは、企業ネットワークにアクセスするためにコンセントレータで再認証する必要があります。「適用」をクリックすると、構成の変更が保存されます。

Zone Labs Integrityサーバー

VPNクライアントにパーソナルファイアウォールをインストールして機能させるようにコンセントレータを設定できますが、コンセントレータはパーソナルファイアウォールの設定を確認しません。Zone Labs Integrityはこの目的を満たします。コンセントレータとZone Labs Integrityは連携して動作し、信頼できるVPNクライアントのみが企業ネットワークにアクセスできるようにします。コンセントレータは、VPNの際に認証および認可サービスを実行し、クライアントの試みが接続を確立します。認証が成功すると、Integrityサーバーは、Integrity Agentがインストールされ、実行され、適切に構成されていることを確認します。Integrityサーバーは、クライアントとサーバーの両方を管理するための中央コンソールとして機能し、詳細な構成オプションを提供します。これらの操作により、Integrityサーバーはポリシーを適用し、ネットワークを徹底的に保護します。

  • 最大のリモートアクセス保護—ウイルス対策およびVPNソリューションと連携してネットワークセキュリティを強化し、信頼できるPCのみが企業ネットワークにアクセスできるようにします。
  • アプリケーション制御を備えた分散ファイアウォールとして機能—不正な接続をインバウンドとアウトバウンドの両方で防止することにより、ハッカーの攻撃をブロックします。
  • Web管理ツール―中央の場所からセキュリティポリシーを一元的に配布、維持、管理します。
  • ポリシーライフサイクル管理—セキュリティポリシーの監視、作成、および実施のライフサイクルのための管理ツール。
  • ユーザーアプリケーションの監視—ユーザーアプリケーションの一覧を作成し、脆弱性を特定して保護します。

インストール後、Integrityサーバーはすぐにセキュリティポリシーの施行における役割を果たし始めます。Integrityサーバーは、コンセントレータ、コンセントレータ内に表示されるグループをミラーリングするように定義されたVPNグループ、および定義されたグループに展開されたポリシーと通信するように構成する必要があります。コンセントレータがIntegrityサーバを認識するように構成された、同様にIntegrityサーバは、コンセントレータと通信するように構成する必要があります。メインコンソールで、管理者は[構成]-> [ 施行]-> [ゲートウェイ] を選択します。次に、管理者に次のものが提示されます。

「VPN 3000コンセントレータは、ドロップダウンメニューのデフォルトのエントリです。[追加]を選択すると、以下が表示されます。

コンセントレータのIPアドレスは「ホスト名」フィールドに入力され、「ホストポート」と「証明書ポート」はデフォルトのエントリを保持し、「保存」が選択されています。

この時点で、[ユーザーとグループ]-> [ゲートウェイグループの定義]-> [ゲートウェイ]を選択すると、コンセントレータ内で定義されているグループをミラーリングするグループが作成されます。「追加」ボタンをクリックして、新しいグループを定義します。グループ名は、コンセントレータ内に表示されるとおりに正確に入力する必要があります。次に、「保存」をクリックして、構成をIntegrityサーバーに追加します。

グループ定義に続いて、ポリシーが作成され、グループに適用され、展開されます。インストール中に、ポリシーをVPNクライアントに迅速に展開する方法として、ポリシーテンプレートが提供されます。ポリシーは、管理者の好みに応じて許可または制限として定義でき、継続的な管理を必要とせずに、許可されていない接続試行を自動的にブロックできます。企業ネットワークへの接続に成功すると、Integrityサーバーは適切なポリシーをクライアントPCにあるIntegrityエージェントに自動的にプッシュします。ポリシーテンプレートは、Integrityサーバーの「Policy Studio」にあります。Integrityサーバーアプリケーションにログオンした後、管理者はメインの管理コンソールウィンドウからPolicyStudio を選択すると、以下が表示されます。

既存のポリシーをコピーし、新しく作成されたコピーに変更を加えることをお勧めします。予期しない結果が発生した場合は、元のポリシーを変更されていない状態で保存してください。コピーするポリシーのラジオボタンを選択して[コピー]をクリックすると、コピーが作成されます。次に、新しく作成したポリシーのラジオボタンを選択して[編集]をクリックすることにより、ポリシーを編集できます。

セキュリティポリシーでは、VPNクライアントにウイルス対策ソフトウェアをインストールし、エンジンとdat ファイルの両方に最新の状態にしておく必要があります。VPNクライアントを監査し、クライアントがセキュリティポリシー要件を満たしていることを確認するようにIntegrityサーバーを構成するには、新しく作成したポリシーを編集し、[クライアント設定]を選択して、[アンチウイルス協調施行]セクションまでスクロールし、[追加]をクリックします。

Integrity Serverは、McAfee VirusScan、Symantec Norton AntiVirus 、およびTrend Micro PCcillinをサポートしています。ドロップダウンメニューで適切な製品を選択します。ウイルス対策の最小エンジンの値を入力し、企業ネットワークに正常に接続するために必要な最小dat ファイルの適用方法を選択します。「保存」をクリックすると、要件がポリシーに保存されます。

ここで、ポリシーをグループに割り当て、VPN クライアントにポリシーを展開します。ポリシーはのラジオボタンを選択して、ポリシーメーカーの中に付与され、展開するポリシーを「編集」をクリックし、「ポリシーの割り当て」フォルダを選択する「割り当てられたグループ」にスクロールダウンし、タブを、「追加と削除」をクリックし、選択グループを(s)以前に作成したように、「追加」をクリックし、最後に「保存」をクリックします。この時点で、ポリシーがグループに割り当てられ、展開の準備ができています。クリックして「配布ポリシーを」とポリシーが上にあるのIntegrity AgentにプッシュされるVPNクライアントPC -とセキュリティポリシーの適用が進んでいます!現在のウイルス対策ソフトウェアのセキュリティポリシー要件、適切に構成されたパーソナルファイアウォール、および非アクティブセッションのタイムアウトが完全に実施されるようになりました。自主的なコンプライアンスはユーザーから削除され、企業ネットワークに正常に接続するために必要になります。

 

SNSでもご購読できます。

コメントを残す

*