BIG-IP Access Policy manager (APM) SSL VPNリモートアクセス アクセス 管 理 認 証 基 盤 統 合 ソリューション
激 変 するユーザー 環 境 に 最 適 なソリューションを 提 供 するF5 アプリケーションのWeb 化 71% の 情 報 通 信 業 界 有 識 者 が2020 年 ま でにほぼ 全 てのビジネスパーソンがweb/モ バイル 経 由 で 業 務 に 従 事 すると 予 測 スマートデバイスの 爆 発 的 増 加 95% のビジネスパーソンが1 台 以 上 の モバイル 機 器 を 利 用 1.3 億 の 企 業 が2014 年 までにモバイル アプリケーションを 利 用 するようになる 進 化 し 続 ける 外 部 脅 威 58% のインターネット 犯 罪 が 思 想 活 動 家 の 関 与 するもの 81% インターネット 被 害 が ハッカーに 関 連 するもの クラウドへの 移 行 が 加 速 80% の 新 しいアプリケーショ ンはクラウドベース 72% のCIOはアプリケーショ ンをクラウドに 移 行 移 行 予 定
ユーザが 求 めている 事 とは エンドユーザは どのようなアプリケーションに 対 しても いつでも どこでも 自 由 にアクセスできる 事 を 求 めている F5 Networks, Inc 3
F5はアプリケーション ユーザー アクセス 端 末 情 報 への 高 度 な 可 視 化 と 管 理 性 をご 提 供 します Users Resources どこからのアクセスに 対 しても セキュアな 環 境 をご 提 供 ユーザーのアプリケションを ロケーションを 問 わず 守 る F5 Networks, Inc 4
F5のアクセスセキュリティ 認 証 基 盤 連 携 Internet Apps Internet インターネットへのアクセスの 包 括 的 な 管 理 とマルウェア 対 策 外 部 クラウドへの 認 証 連 携 各 種 パブリッククラウド, SaaS, パートナーのアプリケーション BIG-IP APM 企 業 データ 業 務 アプリケーション リモートユーザ SSL-VPNリモートアクセス とユーザ 管 理 自 社 アプリケーションへの アクセス 管 理 OAM VDI Exchange Sharepoi nt リモートアクセス ユーザアクセス 管 理 シングルサインオン フェデレーション そして ユーザデバイスからウェブアクセスまで 全 て 一 元 管 理 F5 Networks, Inc 5
主 要 機 能 紹 介
SSL-VPNによるセキュアなリモートアクセス BIG-IP Access Policy Manager (APM) セキュリティポリシーは強制するが ユーザビリティを損なわない 運用管理の負荷を低減 + - エンドポイントセキュリティ アクセスポリシー管理 + Laptop Microsoft Exchange Server ファイアウォール HTTPS Web アクセス Smartphone Tablet 高いユーザビリティ/セキュリティ/運用管理性を実現 BIG-IP Access Policy Manager SSL暗復号化 認証 シングルサインオン アクセスコントロール エンドポイントセキュリティ ログの記録 レポート VDI
アクセス管理の統合 BIG-IP Access Policy Manager (APM) BIG-IP APM によるメリット: 最大10万ユーザという大規模環境にもアプライア ンス一台で対応 認証基盤の統合 リモートアクセス ウェブアク セス アプリケーションへのアクセスを効率化 BIG-IP APMの特徴: Webシングルサインオンおよび認証 アクセスコントロールサービスを中央で集中管理 BIG-IPのスピードでのフルプロキシL4 L7アクセス制御 アクセスポリシーにエンドポイントチェックを追加 ビジュアルポリシーエディタ (VPE)により ポリシーベースのアクセスコントロールを提供 VPEルール カスタムのアクセスポリシーのためのプログラムインターフェース F5 Networks, Inc *AAA = Authentication, authorization and accounting (or auditing) 8
エンドポイントのアクセスを制御 BIG-IP Access Policy Manager (APM) Users Web BIG-IP APM 許可 拒否 もしくは下記のようなエンドポイントの 属性に基づいた制御を実施 非管理デバイスのために保護された仮想デスクトップ Protected Work Space を提供 アンチウィルスソフトウエアのバージョンやアッ プデート状況 USBへアクセスを制限 ファイアウォールソフトウエアのステータス 特定アプリケーションのインストール キャッシュクリーナーによる情報の消去 マルウエアの進入を防御 証明書の有無 F5 Networks, Inc 9
幅 広 い 対 応 プラットフォーム F5は モバイルデバイスにおいてセキュアかつ 高 速 にリモート アクセスを 提 供 する 唯 一 のADCベンダ モバイルデバイス Desktop/Laptop F5 Networks, Inc 10
専 用 クライアントアプリケーション 各 種 アプリケーションストア マーケット プレイスよりダウンロード 可 能 F5 Networks, Inc 11
アプリケーションに 簡 単 にアクセス シングルサインオン (SSO) やれやれ Step 1 VPNへの 認 証 Step 2 アプリケーション 起 動 Step 3 アプリケーションの 認 証 ビジネスアプリケーション 快 適! BIG-IP APM ビジネスアプリケーション 1ステップでアプリケーションへアクセス アプリ 自 動 起 動 +シングルサインオン F5 Networks, Inc 12
オンデマンド VPN モバイルデバイスにクライアント 証 明 書 をインストールし 特 定 のドメイン へのアクセスの 場 合 自 動 的 にVPN 接 続 が 可 能 (iosのみ) Smartphone BIG-IP APM Tablet Web アプリケーション 1. ユーザは 証 明 書 を 事 前 にデバイスにインストール 2. Edge ClientにVPN 接 続 するドメインを 設 定 3. ユーザはVPN 接 続 をするドメインにアクセス 4. 自 動 的 にAPM/EDGEに 接 続 詞 証 明 書 を 検 証 5. 検 証 された 場 合 のみIntranetへアクセス Directories Private CA
強 力 かつ 柔 軟 なセキュリティポリシー 上 記 設 定 例 : 接 続 クライアントのチェック ログオン 画 面 が 現 れ AD 認 証 SSL-VPN
IDと 端 末 の 紐 付 きを 特 定 誰 が いつ どこから どんな 端 末 からアクセスしたのかを 判 定 可 能 なポリシーエ ディタ 利 用 者 の 状 況 に 合 わせたアクセスコントロールを 柔 軟 に 実 現 例 : Yamadaというアカウント 名 で ipad 利 用 時 に XXXXXというデバイスIDというアクセスでなければ 拒 否 する F5 Networks, Inc 15
モバイルデバイスの 識 別 モバイルデバイスでは デバイスのインスペクションができないため クライアントソフトから 取 得 できる 情 報 が 重 要 となる ios 例 プラットフォーム 情 報 ios MACアドレス(WiFi) 90:21:55:07:4A:32 モデル 名 iphone 4 バージョン 情 報 4.3 ユニークID(UUID) 8ccaf965e51e3077 Android プラットフォーム 情 報 Android MACアドレス(WiFi) 90:21:55:07:4A:32 モデル 名 Galaxy Nexus バージョン 情 報 4.0.2 ユニークID 8ccaf965e51e3077 シリアルナンバ 016BEB2097AF1456 IMEI 番 号 354569041052233
アクセスレポート機能による運用管理 充実で柔軟なレポート機能 認証失敗理由 ライセンス使用率など クライアント証明書によるログの例 F5 Networks, Inc 17
ハイブリッドクラウド アプリケーション 利 用 における 課 題
SAML対応によるクラウド相互認証連携 クラウドや複数データセンター間連携を実現 SAML 2.0に対応し 且つSPプロファイル及びIdP プロファイル両方に対応可能なソリューション Data center 1 SAML IdP Login.f5se.co m Portal.f5se.co m End user Public /private Active Directory ADFS Data center 2 Business Partners Business Partners ADFS OWA.f5se.com Sharepoint.f5se.co m Apache/Tomcat App F5 Networks, Inc 19
APM ワンタイムパスワード ワンタイムパスワードの 精 製 解 読 をサポート パスワード 長 タイムアウト 値 などは 柔 軟 に 設 定 可 能 OTPをEメール / SMSで 送 信 ユーザーEメール 情 報 をAD queryから 抽 出 Eメール SMS GatewayまたはHTTP 認 証 と 統 合 認 証 失 敗 後 の 追 加 認 証 などの 使 用 用 途 も 有 用 F5 Networks, Inc 20