他社 SSL VPN 製品 /F5 FirePass から BIG-IP APM へ移行ポイントとコンサルティングサービス
アジェンダ APMとFirePassの相違点 APMに移行する上での技術ポイント FirePass APM 移行事例 FirePass APM 移行サービス活用事例 他社 SSLVPN 製品 APM 移行事例 F5 Networks, Inc 2
APM と FirePass の相違点 F5 Networks, Inc 3
FirePass と APM の機能差と移行ポイント FirePass (FP) BIG-IP APM Network Access (NA) エンドポイントセキュリティ (Mac,Linux,WinでAntiSpyware, HDD 暗号化, PC 管理, P2Pなどもチェック可能 ) NA L4 ACL ( 数千行以上にも対応 ) NA L7 ACL ハードウェア情報取得 MACアドレス,CPU, M/B, HDD MACアドレス,CPU, M/B, HDD, Jailbreak 端末 サーバ毎のRate Shaping UDP 対応 (DTLS) (UDP 用にもう1つポートを開放 ) Appトンネル スマートフォン (iphone/ipad/ipod touch) 対応 フィーチャーフォン ( ガラパゴス携帯 ) 電話対応 ( ガラケーにも対応 ) (Cookie 対応端末のみ ) クライアント証明書の発行 管理機能 ローカルユーザ管理機能 (FP 用語 ) ポータルアクセス ( 相応の機能 ) (FP 用語 ) モバイルEメール (FP 用語 ) ターミナルサーバ ( 相応の機能 ) VMware Horizon VIEW, XenAppにも対応 (FP 用語 ) Windowsファイル共有 (SSLVPN 確立後にファイル共有は可 ) (FP 用語 ) Webアプリケーション (FP 用語 ) Webアクセスバイパス CLIによる運用管理 日本語による管理画面 ( クライアント画面は同時多言語対応 ) SSO ( 複数の異なる設定を同時に利用可能 ) F5 Networks, Inc 4
FirePass 管理者が APM であきらめる項目 1 日本語のユーザ名 パスワード FirePass で設定可能だった日本語のユーザ名とパスワードは利用できませんので ASCII Roman Set のユーザー名 パスワードへの移行が必要です ( 利用事例はほとんど聞きませんが ) F5 Networks, Inc 5
FirePass 管理者が APM であきらめる項目 2 FirePass 6.0.1 以前の Web アプリケーション書き換えエンジン ポータルアクセス機能で使用する FirePass 5.2.1 以前 FirePass 5.4~6.0.1 までの Web アプリケーション書き換えエンジンは BIG-IP APM では選択できません F5 Networks, Inc 6
FirePass 管理者が APM であきらめる項目 3 モバイル E メール Web ブラウザ上でメール送受信の利用ができるモバイル E メール機能は APM では選択できません 企業向け Web メール製品として下記の製品の利用をご検討ください Active! mail / トランスウェア社 http://www.transware.co.jp/product/am/ desknet s NEO / NEOJAPAN 社 http://www.desknets.com/neo/appli.html サイボウズ Office4 http://cybozu.co.jp/products/cb4/appli/webmail/webmail_system.html F5 Networks, Inc 7
FirePass 管理者が APM であきらめる項目 4 Windows ファイル共有 Web ブラウザ上で Windows ファイル共有の利用ができる機能は APM では選択できません F5 Networks, Inc 8
FirePass 管理者が APM であきらめる項目 5 赤のプロテクテッドワークスペース また画面が赤くなるプロテクテッドワークスペースに代わり FirePass 7 と同等の黒くなるプロテクテッドワークスペースが利用可能です F5 Networks, Inc 9
FirePass 管理者が APM であきらめる項目 6 クライアント証明書管理機能 BIG-IP APM にはクライアント証明書管理機能はありません 下記の CA 製品の利用をご検討ください JCCH Security Solution Systems Gléas http://www.jcch-sss.com/ Soliton NetAttest EPS openssl CRL についても自動取得機能はないため都度取得か BIG-IP 上で定期的に crontab で取得する方法 あるいは OCSP/CRLDP の利用を検討する必要があります F5 Networks, Inc 10
FirePass 管理者が APM であきらめる項目 7 フィーチャーフォン ( ガラパゴス携帯 ) スマートフォンへの移行 ( ごめんなさい ) F5 Networks, Inc 11
FirePass 管理者が APM であきらめる項目 8 日本語の管理画面 Chrome による翻訳機能 ( かなり変な翻訳になる部分もありますが ) F5 Networks, Inc 12
FirePass 管理者が APM であきらめる項目 9 コード署名 BIG-IP APM では /var/sam/www/webtop/public/download にクライアント用コンポーネントが置かれている あとは https://support.f5.com/kb/en-us/solutions/public/10000/400/sol10405.html ( 以下自己責任 ) F5 Networks, Inc 13
FirePass 管理者が APM であきらめる項目 10 手動での 新しいブラウザタイプ 設定 BIG-IP APM では browscap.ini を使用していないため 新しいブラウザタイプ の手動設定はできません F5 Networks, Inc 14
FirePass 管理者が APM であきらめる項目 11 CAPTCHA BIG-IP APM では Google の recaptcha を使用する方法はありますが Google のものを信頼した上で利用する必要があるため お客様ポリシーによっては利用そのものが検討対象外となります 同様のソリューションとして ワンタイムパスワード (OTP) 機能または製品の導入をお勧めします 株式会社シー エス イー SECURE MATRIX http://www.cseltd.co.jp/products/smx パスロジ株式会社 PassLogic http://www.passlogy.com/ RSA SecurID http://japan.emc.com/security/rsa-securid.htm APM の簡易 OTP 機能 ファルコンシステムコンサルティング WisePoint http://wisepoint.jp 株式会社シマンテック VIP http://www.symantec.com/ja/jp/vip-authentication-service F5 Networks, Inc 15
APM に移行するメリット パフォーマンスの強化 (TMOS) セキュリティの強化 (SHA2, DSA, ECC/ECDSA) マルチデバイス対応 (ios/android/rt/mac/linux) 高度なシングルサインオン (Network Access SSO, SAML) 多言語対応 ( デフォルトで8カ国の言語を用意 ) 強化されたエンドポイントセキュリティ (AntiSpyware,HDD 暗号化,Jailbreak 等 ) 複数のSSLVPNシステムを統合 ( キャリア / 情室子会社で多数の実績 ) 他のシングルサインオン環境の統合 (Access Guardian, SiteMinder 等 ) CLIによる運用管理 F5 Networks, Inc 16
APM に移行する上での技術ポイント F5 Networks, Inc 17
FirePass からの移行ポイント 1 冗長構成 FirePass のクラスタリング構成の場合 BIG-IP の性能がとても高いので FirePass 10 台のクラスター構成であっても 1 ペア 2 台の BIG-IP APM にまとめられます FirePass の Active/Standby 構成の場合 WAN 側だけでなく LAN 側のネットワークに対しても Self IP フローティング IP アドレスも設定するとフェイルオーバー時に便利です (SNAT Pool を利用すること ) 設定の同期は自動的に行われませんので手動になります F5 Networks, Inc 18
FirePass からの移行ポイント 2 ユーザー管理 外部認証を使用している場合はそのまま移行可能 FirePass でユーザー管理している場合 Local User DB を使うことも可能 11.4 以降の BIG-IP 上にユーザーを登録 管理できるようになった 複数インスタンスを持つことができ またグループ属性までは設定可能 F5 Networks, Inc 19
FirePass からの移行ポイント 3Network Access ほとんどの項目は FirePass にあったものと同等 F5 Networks, Inc 20
FirePass からの移行ポイント 4 ポータルアクセス FirePass とは画面は異なるがほぼ同じ機能を実現可能 コンテンツとの相性問題が出やすい部分のため IP:Port 以外の書き換えを行わない LTM VS AP の利用を検討する価値がある場合もある F5 Networks, Inc 21
FirePass からの移行ポイント 5App トンネル FirePass のダイナミック App トンネル スタティック App トンネルとも異なる Windows だけでなく Mac, Linux でも利用可能 (JAVA App トンネル ) F5 Networks, Inc 22
APM への移行よりもクライアントの方が問題 1 よくある問題 : 検証用などで古い Windows XP/Vista などをセットアップして Windows Update をかけて最新の状態にしても SSLVPN 接続に失敗する 解決方法例 : クライアント側のルート証明書の期限が切れていることが原因で BIG-IP Edge Client のコンポーネントが正しくインストールできないことがあります ルート証明書は Windows Update で自動的に更新されません http://support.microsoft.com/kb/931125/ja から Windows 正規品かどうかの確認をしてから ルート証明書の更新 をダウンロードして適用します 似た理由で FirePass/BIG-IP v10.x に接続していたクライアントが v11.4 に接続する時にコンポーネントのアップデートに失敗することがあります その場合はコンポーネントのアンインストール インストールを行います F5 Networks, Inc 23
APM への移行よりもクライアントの方が問題 2 TIPS: Windows にインストールされている BIG-IP Edge Client コンポーネントをコマンド一行で削除したい 方法例 : BIG-IP APM 管理画面からダウンロードできるWindows Trouble Shooting Utility (f5wininfo.exe) を管理者権限で f5wininfo.exe -r のように実行する F5 Networks, Inc 24
APM への移行よりもクライアントの方が問題 3 TIPS: Windows 用 BIG-IP Edge Client コンポーネントをコマンド一行でインストールしたい 方法例 : コマンドラインでのインストールを行う方法は Windows 内蔵の msiexec を使用する方法があり SOL13710 http://support.f5.com/kb/en-us/solutions/public/13000/700/sol13710.html にその方法が書かれている 具体的には あらかじめ BIGIPEdgeClient.exe /x オプションで任意のフォルダに Edge Client の解凍を行っておき その後そのディレクトリに移動して管理者権限で C: Windows System32 msiexec.exe /i f5fpclients.msi /qn のようにすることで一切のダイアログを出さずにインストール可能です msiexecのオプションとして/qnはサイレントインストールとなります http://support.microsoft.com/kb/314881/ja F5 Networks, Inc 25
FirePass からの移行メリット SSLVPN 以外に下記の機能も持つため 将来拡張するときも設定の追加 ( 必要に応じユーザーライセンスの追加 ) のみで実現できる 各種 VDI 製品のゲートウェイになる (VMware Horizon VIEW, Citrix XenApp, RDP 等が混在する環境でも BIG-IP APM は利用可能 たとえば XenApp から VMware に移行する場合でも並行運用可能 ) Exchange Server の持つサービスのゲートウェイになる (ActiveSync や OWA, OutlookAnywhere のゲートウェイとして 販売終了になった MSISA/TNG の置き換え製品として利用可能 ) クラウドアプリケーションの認証ゲートウェイになる (SAML 2.0 に対応しているため社内の既存認証基盤による認証を行いながら GoogleApps などの SAML 対応クラウドアプリケーションの利用が可能 ) 性能が許す限り複数の設定も持たせられるためグループ会社の設定を1つにまとめることも可能 F5 Networks, Inc 26
FirePass APM 移行事例 F5 Networks, Inc 27
FirePass からの移行事例 1 某 IT 系企業 業務システム毎に全く別の用途の 3 システムの FirePass FirePass の内部ユーザーデータベースで認証 1 つの BIG-IP APM システムに統合 ユーザー数も少なかったので自前で FirePass の設定を BIG-IP APM に移行できた もしユーザー数 設定内容が極めて多いなどの理由で移行が難しい場合は F5 プロフェッショナルサービスで FirePass の設定を APM に移行するお手伝いをいたします F5 Networks, Inc 28
FirePass APM 移行サービス活用事例 F5 Networks, Inc 29
FirePass からの移行事例 2 某研究所様 3 拠点 5 台の FirePass FirePass のネットワーク設定を 100% 維持した形で BIG-IP に移行 マスタグループの数が 1 拠点につき数十 ~100 以上と多い 内部ユーザーデータベース機能として irules/datagroup を活用 現在は LocalUserDB が利用できるが当時の APM にはその機能がなかった マスタグループ毎にルーティングテーブルを変える設定をしていた クライアント証明書管理機能を使用していた 何らかの外部管理に移行する必要 F5 プロフェッショナルサービスを利用して FirePass から BIG-IP APM への移行を実現 F5 Networks, Inc 30
F5 FirePass APM マイグレーションサービス 1 FirePass の設定ファイルをいただき APM へ移行できる項目 移行できない項目 移行すると改善できる部分のある項目などを分析します F5 Networks, Inc 31
F5 FirePass APM マイグレーションサービス 2 APM でどのような設定にすべきかご提案させていただき FirePass ではできなかった部分 あるいは APM でより改善する部分についてどのようにするか決定し APM の設計をします F5 Networks, Inc 32
F5 FirePass APM マイグレーションサービス 3 お客様の APM の設定を実際に行います あるいは 設定方法のドキュメントとファイルのご提供とそのご説明を行います F5 Networks, Inc 33
他社 SSLVPN 製品 APM 移行事例 F5 Networks, Inc 34
Aventail からの移行事例 : 某製造業様 お客様の課題 Aventail がサポート終了になるため別の製品に移行する必要があった SSLVPN でイントラネットに接続させる以上 不正利用を確実に防ぐ必要がある 端末 USB トークン 人すべてのアクセス制御をしっかり行いたい 証明書の失効管理も一般的な CRL/OCSP 等ではなく AD で行いたい 運用時のユーザーの利便性は損なわないようにしたい F5 Networks, Inc 35
Aventail からの移行事例 : 某製造業様 お客様の求める SSLVPN 接続におけるアクセスポリシー (1) Windows 7 端末であるかどうかチェック (2) 特定ベンダーのウイルス対策製品が適切に動作しているかチェック 動作していなかったらウイルス定義のみアップデートできるサーバに接続 (3) Windows コンピュータ情報を取得 (4) 参加しているドメイン名が正しいかどうかチェック (5) コンピューター名が AD に登録されているかチェック (6) ログオン画面の表示をし AD ユーザアカウントの ID/PW でログオン (7) AD ユーザアカウントの ID/PW で AD 認証 (8) クライアント証明書をリクエスト (9) クライアント証明書の CN を取り出す (10) クライアント証明書の SN が Attribute にあるかチェック (11) (9) の Attribute を持つ AD ユーザを検索し (6) の ID と一致するかチェック (12) Windows キャッシュログオンユーザ名と AD ユーザ名が一致するかチェック 一致しない場合も端末ユーザの上司であればアクセスは許可 (13) VPN ユーザの Attribute から割り当てる IP アドレスを取得 (14) VPN 用 ID のセキュリティグループをチェックし必要な ACL とネットワークアクセスリソースを設定 (15) SSL-VPN 接続開始 アプリケーション ( スクリプト ) の起動しアクセスしたことをサーバーに通知 このように複雑なアクセスポリシーを 1 製品で実現できるのは BIG-IP APM しかない F5 Networks, Inc 36
Juniper SA からの移行事例 : 某キャリア様 お客様の課題 Juniper SA をお客様毎に立ててサービス提供していてコスト高に見舞われていた Juniper SA の運用においてアクセス失敗時にログが 1 行しか出ないなど切り分けにかかる運用負荷が高く 顧客満足度も極めて低かった Juniper SA は冗長構成にするよりも 1 台構成の方が安定すると思えるくらい冗長構成時の動作が不安定だった BIG-IP APM (+irules) なら 100 社分の設定を 1 システムに収容し グローバルアドレスと SSL サーバ証明書も 1 つに集約できる 運用時のログも的確でアクセス失敗時に原因を即ログから追うことができた コスト削減と安定運用の両方を実現し大満足 F5 Networks, Inc 37
Juniper SA から APM に移行するメリット Juniper は SSLVPN 製品を売却し市場から撤退 これからの SSLVPN これからのセキュリティを考えたときに選択する理由はもはやない 最新の OS にもいち早く対応 Juniper SA/MAG は Windows 7 64bit にすら対応していない パフォーマンスの強化 運用性の強化 SA ではログイン失敗時に 失敗した のログが 1 行しか出ないため原因究明が困難 APM では VPE のポリシーのどのフローを通ったか全てログに出るため運用時の切り分けが容易 F5 Networks, Inc 38
NetScaler Gateway から APM に移行するメリット セキュリティの大幅な強化今時 SHA2 未対応 ECDSA(ECC) 未対応の NetScaler から BIG-IP APM にすることでこれからのセキュリティ標準にも対応 パフォーマンスの劇的な強化同時接続数が NetScaler 最上位機種の 10,000 の 20 倍以上 (VIPRION) までスケールアップすることができる 性能も BIG-IP プラットフォームなので圧倒的 認証機能の強化 NetScaler Gateway では対応していない OTP も利用可能 より高度なエンドポイントセキュリティ機能も利用できるようになる マルチテナント 複数 VDI 環境の統合にも対応複数のシステムを 1 システムの BIG-IP APM に統合することで XenApp と VMware VIEW 混在環境もまとめて APM の ICA Proxy PCoIP Proxy で Gateway を統合できるだけでなくセキュリティ強化も実現できる 負荷分散機能も 1 台に統合認証サーバが複数台ある場合でも BIG-IP の標準機能である負荷分散もそのまま実現 F5 Networks, Inc 39
F5 プロフェッショナルサービスについて F5 Networks, Inc 40
F5 プロフェッショナルサービス F5 製品に関わる技術支援 設計 設定導入 製品トレーニングなどを有償で行うサービスです F5 プロフェッショナルサービスコンサルタントが対応いたします FirePass APM マイグレーションだけでなく 他社の SSLVPN 製品からの移行の場合 実現可能な内容をヒアリングしながら APM の設定として導入をお手伝いいたします FirePass APM マイグレーションサービスは設定台数と設定規模 納期にもよりますが 1 システムで約 200 万円 ~ の定価となります F5 Networks, Inc 41