fbpx

BIG-IPシステムによる安全なリモートアクセス

モバイルおよびリモートの労働力の急速な成長により、1つのアプライアンスで数万人の同時ユーザーをサポートする組織のニーズが高まっています。このため、F5 はBIG-IP Edge GatewayとBIG-IP Access Policy Manager (APM)で高性能で同時実行性の高いSSL VPN を開発し、エンタープライズITが既存のリモートアクセスソリューションを移行できるようにしました。

前書き

10年前、リモートVPNアクセスは企業にとって比較的新しい概念でした。それが唯一の真、それを必要と誰が選ばれた少数のに利用可能であり、それは通常はダイヤルアップ接続でした。Cisco、Check Point、Microsoftなどのベンダーは、最初のトランスポート層セキュリティプロトコルの1つであるIPsec とRADIUSサーバーを使用してVPNソリューションの開発を開始しました。当初、組織はモデムを起動して関連情報を入力する必要がありましたが、すぐにクライアントソフトウェアがパッケージとして提供されました。このクライアントソフトウェアは、ユーザーのコンピューターにインストール、構成、および管理する必要がありました。高速ブロードバンドが家庭用になり、SSL / TLSが成熟するにつれて、SSL VPNが登場し、ブラウザベースの環境を介した安全な接続が可能になりました。 クライアントのプレインストールと管理の手間がなくなりました。むしろ、大衆は、ほんの数のブラウザコンポーネントとデータセンター内のアプライアンスを使用するだけで、企業リソースに安全にアクセスできました。

これらの初期SSL VPNは、F5®FirePass®の最初のリリースと同様に、エンドポイントチェックとユーザーのニーズに応じた複数のアクセスモードを提供していました。当時、ほとんどのSSL VPN は、全体的なパフォーマンス、1秒あたりのログイン数、同時セッション/ユーザー、場合によってはスループットなどの領域に制限がありました。VPNを提供していた組織は、VPN を幹部、頻繁に旅行する人、ITスタッフに拡張し、企業の従業員、パートナー、請負業者にWebポータル経由で個別のアクセスを提供するように設計されました。しかし、ほとんどの従業員がまだ現場で働いていたため、これらの組織は全社的なアクセスを模索し始めていました。

現在、ほぼすべての従業員がスマートフォンを含む複数のデバイスを使用しており、ほとんどの企業が何らかの企業VPNアクセスを提供しています。2015年までに、全世界の労働力の35%が遠隔地にいるためモバイル化し、12億人に達します。1コンテンツは豊富で、電話は高速で、帯域幅は少なくとも家庭へのブロードバンド経由で利用できます。デバイスは認証され、企業資産に安全に接続される必要があるため、統合された安全なアクセスを備えた高性能のアプリケーション配信コントローラー(ADC)が必要になります。以下のようFirePassのが引退され、組織はそれを交換する2つのADCのオプションがあります:F5 BIG-IP®エッジゲートウェイ™、スタンドアロンアプライアンス、およびBIG-IP®アクセスポリシーマネージャ™(APM)、に追加することができるモジュールBIG-IP LTMデバイス。どちらの製品も、SSL VPN だけではなく、動的なデータセンター環境の管理に不可欠なポリシーの中心的な制御ポイントです。

FirePass SSL VPNの歴史

SSL VPNの離陸

F5がSSL VPNレルムに最初に進出したのは、2003年にuRoam とその主力製品であるFirePassを購入したときです。VPNとファイアウォールの市場はまだ小規模でしたが、Infonetics Researchは、2002年の3,400万ドルから2005 年までに3 億9,300 万ドルに膨らむと予測しています。

SSL VPNは、Webブラウザーに既に存在するテクノロジーを使用して、任意のブラウザーのすべてのユーザーがURLを入力し、企業リソースへの安全なリモートアクセスを取得できるようにしました。インストールする完全なクライアントはありませんでした。ほんの数個のブラウザコントロールコンポーネントまたはホストチェックを容易にするアドオンと、多くの場合、SSLトンネル作成です。管理者は、要求元のコンピューターを検査して、ウイルス対策ソフトウェア、ファイアウォール、クライアント証明書など、特定のレベルのセキュリティが達成されていることを確認できます。今日と同様に、暗号化されたアクセスを取得する方法は複数ありました。完全なレイヤ3 ネットワークアクセス接続がありました(まだあります)。ポート転送またはアプリケーショントンネルタイプの接続、または、リバースプロキシを介した単純なポータルWebアクセスです。

SSL VPN成熟

SSL VPNを導入する企業が増えるにつれ、市場は成長し、FirePass は優れた製品であることが証明されました。長年にわたり、FirePass は業界初のビジュアルポリシーエディター、VMware Viewサポート、グループポリシーサポート、QoS(サービス品質)と高速化をサポートするSSLクライアント、サードパーティのセキュリティソリューションとの統合サポートなどの市場をリードしてきました。2007年から2010年まで毎年、FirePass はSC MagazineリーダートラストのベストSSL VPNのファイナリストでした。

予想通り、SSL VPNは企業で普及しました。しかし、世界が実際にどのようにつながるかを想像することはできませんでした。新しいタイプのタブレットデバイスと強力なモバイルデバイスがあり、すべてが加速する速度で成長しています。そして今日、アクセスを要求するのは企業のラップトップだけではなく、オペレーティングシステムとIPアドレスを持つ個人のスマートフォン、タブレット、家庭用コンピューター、テレビ、および他の多くの新しいデバイスです。

市場が成長するにつれて、スケーラビリティ、柔軟性、およびアクセス速度の必要性が明らかになりました。それに応じて、F5は、FireBass SSL VPN機能をApplication Delivery ControllerのBIG-IP®システム、具体的にはBIG-IP Edge GatewayとBIG-IP Access Policy Manager(APM)に含め始めました。統合アクセスソリューションであるBIG-IP Edge GatewayとBIG-IP APMはそれぞれ、リモート、ワイヤレス、モバイル、LANなど、あらゆるアクセスのニーズに対応できる、スケーラブルで安全な俊敏なコントローラーです。

FirePass の安全なアクセス統治がBIG-IPシステムに渡されました。2012年末、FirePassがもはや販売のため利用できなくなります。FirePass SSL VPN を使用している組織の場合、F5は数年間それをサポートします。ただし、これらの組織はBIG-IP Edge GatewayまたはBIG-IP APMをテストすることをお勧めします。

今日の統合アクセス

モバイルおよびリモートの労働力の加速する進歩により、数万人の同時ユーザーをサポートする必要性が高まっています。破裂成長のインターネットトラフィックや新しいサービスやリッチメディアコンテンツの需要は置くことができ、アクセスレイテンシーおよびパケット損失で、その結果、ネットワーク上の大規模なストレスを。この要求に伴い、トラフィックの流入に合わせて拡張できるインフラストラクチャの能力が不可欠です。時間の経過とともにビジネスポリシーが変化するため、インフラストラクチャ内の柔軟性により、セキュリティの脅威とアプリケーション要件が常に進化している間、ITにはアクセス要求に対応するために必要な俊敏性が与えられます。

組織は、ユーザーとアプリケーション間の戦略的な制御ポイントとなる高性能ADCを必要としています。このADCは、ADCが提供するアプリケーションと、それが提供するユーザーのコンテキストの性質の両方を理解する必要があります。

BIG-IPアクセスポリシーマネージャー

BIG-IP APMは、BIG-IP®Local Traffic Manager™(LTM)の物理版または仮想版向けの柔軟で高性能なアクセスおよびセキュリティアドオンモジュールです。BIG-IP APMは、ビジネスに不可欠なアプリケーションおよびネットワークへの統合されたグローバルアクセスを提供することにより、組織がリモートアクセスインフラストラクチャを統合するのに役立ちます。収束し、リモートアクセスを統合し、LANへのアクセス、および無線接続単一の管理インターフェイス内、および管理が容易なアクセスポリシーを提供し、BIG-IP APMは、コスト効率の無料アップ、貴重なITリソースとスケールを助けることができます。

今日の職場では、データセンター、アプリケーション、従業員、顧客などの主要なビジネスリソースがすべて、従来のビジネスの境界の外にシフトしています。BIG-IP APMは、アクセスインフラストラクチャを統合しながら、ポリシーベースのコンテキスト対応アクセスをユーザーに提供することにより、パブリックアプリケーションを保護します。

BIG-IP APMは、HTTPSでマルチギガビット/秒のSSL暗号化スループットを提供し、毎秒数百のログインをサポートします。BIG-IP APMモジュールを備えた単一のハイエンドアプライアンスは、数万人の同時ユーザーをサポートするように拡張でき、ホストされた仮想デスクトップ環境のユーザーに簡素化されたアクセスと制御を提供します。

BIG-IP APMにより、組織はIDに基づいてアクセスを管理することもできます。 リモートアクセス、Webアクセス、およびアプリケーションアクセスを統合します。BIG-IP APMは組織のAAA(認証、承認、アカウンティング)サーバーと統合して、ユーザーにインフラストラクチャ内の他のアプリケーションへの高速認証とシングルサインオンを提供します。その強力なレポートエンジンは管理者にアクセスの全体的なビューを提供し、アプリケーション分析はアプリケーションの動作だけでなくユーザーエクスペリエンスについても独自の洞察を提供します。

BIG-IP Edge Gateway

BIG-IP Edge Gatewayはスタンドアロンアプライアンスであり、BIG-IP APMのすべてのSSL VPNリモートアクセスセキュリティの利点に加えて、ネットワークエッジでのアプリケーションアクセラレーションおよびWAN 最適化サービスをすべて、1つの効率的でスケーラブルでコスト効率の高い方法で解決を提供します。

BIG-IP Edge Gatewayは、現在および将来のIT要求を満たすように設計されており、1つのボックスで最大60,000の同時ユーザーを拡張できます。統合されたすべてのアクセスニーズに対応でき、単一のプラットフォームで、組織はそれぞれに固有のポリシーを作成することにより、リモートアクセス、LANアクセス、およびワイヤレスアクセスを管理できます。BIG-IP Edge Gatewayは、リモートアクセス、アクセラレーション、最適化サービスが組み込まれた唯一のADC です。高レイテンシリンクに対処するために、インテリジェントキャッシング、WAN最適化、圧縮、データ重複排除、アプリケーション固有の最適化などのテクノロジーにより、ユーザーはレガシーSSL VPNの2〜10倍の速度で可能な限り最高のパフォーマンスを体験できます。

加速と最適化

ユーザーとリソースが世界中に分散しており、多くの場合移動しているため、レイテンシも課題となります。理想的には、ユーザーの要求にすぐに対処することですが、これは、地球の反対側にいるユーザーとアプリケーションでは難しい場合があります。場所やネットワークが異なると、パケットの損失やパフォーマンスの低下を引き起こし、アプリケーションのパフォーマンスやユーザーエクスペリエンスに悪影響を与える可能性があります。快適なユーザーエクスペリエンスを確保するために圧縮やその他の最適化を追加することで、無計画なネットワーク条件を感知して調整できます。BIG-IP Edge Gatewayは、リモートアクセスと最適化サービスを単一のBIG-IP プラットフォームに統合します。これらのサービスは、データセンター、POP、モバイルユーザー向けのアプリケーションをホストするリモートサイト、およびそれらのアプリケーションにアクセスするリモートブランチに使用できます。

サービス品質、特にVoIPは、モバイルユーザーとリモートユーザーにとってもう1つの課題です。BIG-IP Edge Gatewayは、リモート接続用にデータグラムTLS(DTLS)モードを提供します。TLSは、TCPベースのインターネットトラフィック(SSLとも呼ばれます)を保護するために使用される標準プロトコルです。DTLSは、データグラム転送を保護できるTLSに基づくプロトコルです。遅延の影響を受けやすいアプリケーションのセキュリティ保護とトンネリングに最適です。このソリューションは、遅延の影響を受けやすいネットワークがある場所で必要なハードウェアを削減します。効果的なアプリケーションアクセス管理を提供します。ユーザーエクスペリエンスが大幅に向上します。

TMOS

BIG-IP Edge GatewayとBIG-IP APMは、F5のTMOS®で実行されます。これは、すべてのBIG-IP製品で共有されるモジュール式オペレーティングシステムとユニバーサル製品プラットフォームです。TMOSは、そのアプリケーションコントロールプレーンアーキテクチャにより、アプリケーションが必要とする加速、セキュリティ、および可用性サービスをインテリジェントに制御します。TMOS は、データセンターと仮想インフラストラクチャおよびクラウドインフラストラクチャの変化する状況に動的に適応できる、高度にスケーラブルで復元力のある再利用可能なサービスの仮想統合プールを確立します。

TMOSは、F5 iRules® およびiControl® の柔軟性と拡張性も提供します。iRules スクリプト言語は、直接に前例のない能力を組織に提供して操作し、任意のIPアプリケーショントラフィックを管理します。iRules は、IT組織がインバウンドまたはアウトバウンドのアプリケーショントラフィックをインターセプト、検査、変換、および誘導する方法をカスタマイズできるようにする学習しやすい構文を利用しています。iRules を使用すると、ネットワークの専門家は次のことができます。

  • 新たに発見されたセキュリティの脅威を阻止する。
  • フィッシング攻撃を阻止する。
  • スパムメールを停止します。
  • パケットの内容に基づいて、トラフィックを特定のサーバーにルーティングします。

iControl APIを使用すると、組織はソフトウェアに独自のアプリケーショントラフィックを制御する機能を提供できます。アプリケーションプログラマは、iControlを使用して次のようなソリューションを考案しました。

  • 必要に応じて、新しいサーバーを動的にオンラインおよびオフラインにします。
  • 突然のトラフィックバーストの間、重要なトラフィックを優先します。
  • 不要なトラフィックを除外します。
  • サービス全体に影響を与えることなく、ソフトウェアの更新を個々のサーバーに配布します。
  • すべてのアプリケーションの総配信を単一のコンソールから管理します。

FirePass SSL VPNの移行

典型的なF5のお客様は、RDP 仮想デスクトップ、エンドポイントホストチェック、および従業員の自宅のコンピューターをサポートし、レガシーIPsec VPNからの移行を開始するために、数年前にFirePass を導入した可能性があります。スマートフォンとタブレットで世界の労働力が進化するにつれ、ITは安全なアクセスソリューションを統合したいと考えました。多くの組織が、FirePass コントローラーの機能を単一のBIG-IPアプライアンスにアップグレードしています。

特にグローバルユーザーが依存するインフラストラクチャの重要な部分である場合、システムの移行は困難な場合があります。セキュリティデバイス、特にリモートアクセスソリューションの移行は、ポリシーと設定がIDおよびアクセス管理フレームワークに基づいていることが多いため、さらに困難な場合があります。イントラネットWeb アプリケーション、ネットワークアクセス設定、基本的なデバイス構成、証明書、ログ、統計、およびその他の多くの設定は、多くの場合、新しいコントローラーで構成する必要があります。

FirePass は、BIG-IP Edge GatewayまたはBIG-IP APMへの移行をスムーズで高速なプロセスにすることができます。FirePassの修正プログラム(HF-359012から1)として利用できる構成エクスポート・ツール、のためのFirePassののV6.1およびV7、XMLファイルにエクスポート構成。デバイス管理、ネットワークアクセス、ポータルアクセス、およびユーザー情報もすべてXMLファイルにエクスポートできます。マスターグループ、IPアドレスプール、パケットフィルタールール、VLAN、DNS、ホスト、ドライブマッピング、ポリシーチェック、キャッシングと圧縮などの特別な設定が保存されるため、管理者は新しいセキュリティデバイスを適切に構成できます。

重要な構成設定が新しいコントローラーに適切にマップされていることが重要です。FirePass 構成エクスポートツールを使用すると、管理者は既存のFirePass 構成を新しいBIG-IP Edge GatewayデバイスまたはBIG-IP APMモジュールに展開できます。

結論

FirePassのようなSSL VPNは、機密性の高い企業リソースへの簡単でユビキタスなリモートアクセスへの道を開きます。企業のニーズが変化するにつれて、ITの促進を担当する周囲のテクノロジーも変化します。モバイルワーカーとそのデバイスの大幅な成長、およびリッチコンテンツの配信をセキュリティで保護して最適化する必要があるため、アプリケーション配信用に特別に開発されたコントローラーが必要です。

尚、今回の記事ではBIG IPやFirePassなどのVPNについて紹介しましたが、VPN自体はあくまで社内ネットワークに特権的な信頼を付与する仕組みのため、内部犯行などのリスクに対抗出来ません。より堅牢なセキュリティを実現するという観点においてはZTNAの実現やVPNによる境界型セキュリティをゼロトラストネットワークに移行することを検討してください。

SNSでもご購読できます。

コメントを残す

*