BIG-IP APM の事例に学ぶ
アジェンダ 1. リモートアクセス環境の変化 2. 事例 F5 Networks, Inc 2
リモートアクセスの本質的な要件は変わらない どのデバイスでも どこからでも いつでも ビジネスデータにアクセスして 仕事をしやすくしたい! でも 安全 かつ 手軽に F5 Networks, Inc 3
リモートアクセスにおける環境変化が提案のチャンス 4~5 年前まで 現在 同時接続も BYOD も視野に 働き方の変化 ( 常時アクセス ) ごく少数 Mac 派が増えた VDI や仮想 App 端末は Windwos 社内アプリやネットワークへのアクセスのみ モバイル端末が増えた SaaS 利用が増えた VPN 装置導入 様々なアクセス管理の観点が必要 F5 Networks, Inc 4
BIG-IP APM(Access Policy Manager) とは? 様々な端末からのアプリケーションアクセスを安全かつ便利にする SaaS アプリケーション 認証 DB クライアント Windows Mac Linux IOS Android WM ログオン前チェック Antivirus Firewall File info Registry info Process info Window info 認証方式 Form Based Certificate Kerberos Basic Auth NTLM SAML 認証 Radius LDAP Active Directory SecurID HTTP FORM Kerberos SAML OTP シングルサインオン (SSO) HTTP Basic Form Based NTLM v1/v2 Kerberos SAML アプリケーション Web Access Web portal (webtop) SSL VPN Portal Access (web proxy) Application Tunnel (tcp proxy) VDI GApps/Office365/Salesforce/Cybozu F5 Networks, Inc 5
事例 6 つ No ユーザプロファイル ソリューションタイプ 1 大手生命保険 ipad/ssl-vpn 内容 / ポイント ipad からのリモートアクセス ユーザ属性に応じたアクセスコントロール 2 メガバンク SSL VPN/VDI SSL VPN と VDI を組み合わせたテレワーク環境 3 製造業 iphone/activesync マルチデバイスによる運用負荷の軽減 コスト削減 4 IT 関連サービス SSL VPN GW 統合 Juniper からのリプレイス コスト削減 5 ソフトバンクテレコム SSL VPN サービスマルチテナントサービス コスト削減 6 大手建設業 Office365 フェデレーション Office365 へ強力なアクセスセキュリティ F5 Networks, Inc 6
1. 大手生命保険 / ライフプランナーの営業支援 ipad からの業務アプリへアクセスセキュリティ強化 セキュリティ課題 自社ライフプランナーおよび代理店(3000 店舗 ) 15000ユーザのアプリへのアクセスコントロール スマートデバイス(iPad) のセキュリティ強化とユーザビリティの向上 情報漏えい( 認証強化 利用するアプリケーションの制限 ) 解決策 認証プロキシ シングルサインオンによる使いやすさ 自社と代理店のライフプランナーのアクセスコントロール ユーザIDとクライアント端末の紐づけを特定し ポリシーに違反した場合はアクセス拒否 MDM 機能との連携 社内イントラネット BIG-IP 自社のライフプランナー 営業支援システム 代理店のライフプランナー AAA 代理店向けポータル F5 Networks, Inc 7
2. 国内メガバンク テレワーク導入事例デスクトップ仮想化によるセキュリティ強化とアクセスの解放 仮想デスクトップ VMware View 社内環境 WYSE( ゼロクライアント ) 社内ネットワーク インターネット BIG-IP 6900 セキュリティ強化を実施 2000 名を対象に在宅勤務環境モバイル環境 ipad,android 対応 ( 今後 ) 背景 / セキュリティ課題 VDI によりクライアントにデータが保存されない 場所や端末に依存しない勤務環境を実現 VDI へのアクセスを如何に安全するか ソリューション ワンタイプパスワード SSL クライアント認証 ID/ 端末を特定 上記のアクセス連携を BIG-IP で実現し ポリシー違反ばアクセス拒否 F5 Networks, Inc 8
3. 国内大手製造業スマートデバイス数万台の活用と irules による運用負荷軽減 iphone からアクセスし 認証に失敗してロック iphone ID/Pass を事前設定 インターネット (3G/Wifi) ActiveSync DMZ BIG-IP 6900 LTM+APM コーポレート LAN PC irules を利用して ActiveSync プロトコルを制御 一度 認証に失敗したら 10 分以上認証しない ID, パスワード タイムスタンプなどをログ出力 パスワード変更 MAPI SSL VPN 内部サーバセグメント 業務アプリ Exchange サーバ パスワード管理ポリシー - 6 ヶ月毎にパスワード変更 - 10 分間に 3 度認証失敗 ロック 背景 / 課題 iphone を従業員数万名に配布し 業務効率化 ActiveSync と SSL VPN と使ってリモートアクセス パスワードを変更するとアカウントロック 管理者にロック解除の依頼が多発 原因は iphone からの ActiveSync プロトコルの認証失敗 対応製品を探したが存在しない ソリューション BIG-IP APM の SSL VPN 機能を使ってアプリケーションに依存なくリモートアクセス ActiveSync プロトコルは 認証が失敗した場合 一定時間 Exchange サーバに認証しない様に irules を使ってアカウントロックの問題を解決 F5 Networks, Inc 9
4. 背景 : IT 関連サービス担当者 20 代の声 マルチデバイスに対応するために 分散してしまったゲートウェイ製品を統合したい また ベネッセ事件が発端で セキュリティ強化の要件が高まっている IT インフラ担当者 Juniper SA を 7 年程運用しています 4 年程前から 展開先店舗や営業スタッフの ipad の利用が増えてきました メールやスケジュール管理をしたいという要望に対応する必要がありました 当時の Juniper SA では 未対応だったので別途 MS 社製 ISA サーバを経由した Exchange ActiveSync を実施 ISA は 冗長化ができない問題と販売終了の問題があり IA サーバのハード保守が切れるタイミングで 新しい GW 製品の導入を検討していました Juniper MAG と BIG-IP APM を比較検証しました Juniper は 最新バージョンでも GUI が使いづらいですし 機能拡張がされていない印象を受けました F5 BIG-IP APM は VPE によるエンドポイントセキュリティが非常にわかりやすい点が気に入りました Juniper は ログオン失敗原因のメッセージが出せないため ユーザへの確認負荷が非常に重かった BIG-IP APM であれば 失敗原因が詳細に追えるので運用負荷も下がります また 6,000 同時接続で相見積もりを取りましたが Juniper は F5 よりも 1.4 倍ぐらいの価格でした F5 Networks, Inc 10
4.Juniper と MS ISA を BIG-IP へ統合し 可用性確保と低コスト化を実現 1700~1800 ユーザ ( 同時約 1000 ユーザ ) 営業や店舗スタッフ 1600 ユーザ今後 5000~6000 名増加 1700~1800 ユーザ ( 同時約 1000 ユーザ ) 営業や店舗スタッフ 1600 ユーザ今後 5000~6000 名増加 Windows Mac ipad Windows Mac ipad Juniper パフォーマンス不足によるダウン VPN トンネル + RDP GUI が使い辛い開発が進まない MS ISA サーバ ActiveSync 冗長構成できない VPN トンネル + RDP ActiveSync BIG-IP 4200V LTM+APM 〇冗長構成による可用性 UP 〇パフォーマンス劣化無し〇低コスト〇機能拡張による将来性 デスクトップ MS Exchange デスクトップ MS Exchange 背景 / 課題 ios からメールとスケジュールを使う為に 別途 MS ISA サーバを構築したが 冗長構成が組めないので可用性に課題あり Juniper のパフォーマンス不足 同時接続 1000 を超えてくるとログインできない デスクトップアクセスができない事での業務停止の障害が 2 回発生し問題となる Juniper のエンドポイントチェックが使い辛く 認証失敗の理由がわからない Juniper の最新 OS を検討したが あまり変更点がなく今後の開発が不安 ソリューション Juniper SSL VPN と MS ISA を BIG-IP へ統合し 冗長構成で可用性を確保 今の所 パフォーマンスダウン無し Juniper MAG と BIG-IP で見積もり ( 条件 :6000 同時接続 ) Juniper の方が 1.4 倍ぐらい高かった BIG-IP APM のエンドポイントチェックが非常にわかりやすかった ログオン失敗原因がログ出力されるので運用が楽に マルチデバイス対応やアクセス方式が複数用意されており 機能拡張が進んでいるので今後も安心して使用
5. ソフトバンクテレコム様 - ホワイトクラウド VPN サービス 企業 A 企業 B 企業 C クラウドサービスに欠かせないマルチテナント環境を高いレベルで実現できるのは BIG-IP だけでした ソフトバンクテレコム株式会社営業統括営業開発本部ビジネス開発統括部セキュリティサービス開発部第 4 課米田章宏氏 背景 / 課題 企業 A ネットワーク BIG-IP Edge Gateway 6900 企業 B ネットワーク 企業 C ネットワーク 192.168.0.X/24 192.168.0.X/24 192.168.0.X/24 IP アドレスが重複しても問題なし 従来のサービスは 設備の無駄が多くコスト増 2 種類のサービス提供 ( 占有 共有 ) していたが 帯域保障を検討すると 最大のキャパシティを考慮した設備投資が必要 クラウド型サービス = 従量課金 ( アカウント数ベース ) クラウド型で迅速かつ低コストなサービス提供には ユーザ毎に IP アドレスが重複しても動作するマルチテナント機能が必須 解決策 BIG-IP でなければマルチテナントができない (IP アドレス重複機能 ) 強力なセキュリティ機能を備えるスプリットトンネルや PKI クライアント認証連携 開通までの時間を 1/2 エンジニア作業量を 1/10 まで削減従来は機器の調達や設置 設定などの工程が必要だった iphone/ipad などスマートデバイスとのクロスセリング効果 F5 Networks, Inc 12
6. 背景 : 建設業 IT 企画担当者の声 IT 企画担当者 国内拠点が 300 程度 12,000 名のユーザがいます 10 年前にオンプレミスでコミュニケーション基盤を構築しアップデートしながら運用してきました ストレージ容量を考えると各ユーザのメールボックス容量を 2G に制限 しかし 図面データなどメールに添付されるファイルの大容量化が進み 少ない容量での運用は辛いものでした 容量制限を超えるユーザには個別連絡して サーバからのメール削除 をお願いしてきました 特に ユーザが役員クラスの時は 気を使います また ハードやソフトの保守コストが負担となっていました Office365 はメールボックス容量が 25G 提供されており助かります また 運用コストの軽減を考えてクラウドへの移行を決意しました 現場作業や営業用に ipad を約 5,000 台展開している リモートから 設計や工程管理のアプリケーションには VPN 経由時に端末特定のアクセスポリシーをチェックしている Office365 サービスも同じアクセスセキュリティにしたいがサービス提供が無く困りました 4 年前に Salesforce を導入済み 今後も SaaS が増加が予想されるので アカウン管理負荷やユーザの認証の手間を考えると ID/ パスワードはオンプレミスの AD と同じ物でないと管理できません IT インフラ担当者 F5 Networks, Inc 13
6. 大手建設業 課題 SaaS アクセスのセキュリティチェックが不十分 セキュリティポリシーチェックユーザと ipad 端末の双方を同時に特定 オンプレ ポリシー 会社支給 設計 / 工程管理アプリ 現場作業員営業担当 12,000 名 個人所有 個人所有は禁止 セキュリティポリシーが適用不可 AD SalesForce パスワードを置きたくない ネットワークの境界線を超えている Office365 へのアクセスにセキュリティが掛けられない 何回も認証利便性の低下 Office 365 背景 / 課題 IT インフラ担当者 Salesfoce / Office365 などクラウドサービスへの積極的な移行が将来に渡り続く オンプレのアプリには 個人と端末を識別するセキュリティポリシーを適用しているが SaaS へ直接アクセスされるとセキュリティポリシーがかけられない クラウドにはパスワードを置きたくない ユーザが ID/ パスワードを何回も入れる必要がある アカントライフサイクル ( 追加 削除 変更 ) を考えると 社内の AD にアカウント管理を一元化したい F5 Networks, Inc 14
6. 大手建設業 クラウドフェデレーションによりセキュリティチェックを SaaS にも適用 セキュリティポリシーチェックユーザと ipad 端末の双方を同時に特定 オンプレ ポリシー 会社支給 設計 / 工程管理アプリ 現場作業員営業担当 12,000 名 個人所有 直接 SaaS にアクセスできない シングルサインオンセキュリティポリシーが適用不可 AD フェデレーション (SAML) SalesForce ID/Pass 一元管理 パスワードは置かない IT インフラ担当者 オンプレと SaaS でも おなじセキュリティポリシーを適用! Office 365 解決 F5 BIG-IP と SaaS を SAML 2.0 を使って信頼関係を構築 ( フェデレーション ) BIG-IP (Idp) SaaS(SP) ネットワークの境界線を越えたアプリケーションレイヤーで安全性を担保 SaaS には オンプレのポリシーチェックをパスしないとアクセスできないのでセキュリティ強化 ID/ パスワードは AD を一元管理で SaaS にはパスワードを置かないので安全 シングルサインオン ( オンプレ Salesfoce,Office 365 ) による利便性向上 F5 Networks, Inc 15