Office365 を快適 安全に BIG-IP 活用術 F5 ネットワークスジャパン合同会社 2016 年 8 月
Office365 導入時の課題と検討事項 1 トラフィックの増加 メール ポータル等の利用がインターネット経由になり インターネット向けのトラフィックが膨大に増え インターネットアクセスの帯域が不足する 回線増強 パフォーマンス改善を検討 2 セッション数の増加 Office365 は 1 ユーザーで多くのセッションを同時に使用するため 既存のプロキシではパフォーマンス不足となる プロキシサーバ増強を検討 3 通信内容の検査 Office365 との通信に関しても IDS や NGFW による検査を行うため HTTPS の復号化と再暗号化を行う仕組みが必要となる SSL フォワードプロキシの検討 4 認証基盤の拡張 ID 管理を社内 AD で一元的に運用 管理するには AD と Office365 との認証連携必要 社外からのセキュアなアクセスを行う為 端末の検疫についても検討が必要となる 社内 AD との認証連携を検討 F5 Networks, Inc 2
1 アクセス回線増強 Office365 のパフォーマンス改善 のソリューション : マルチホーミング BIG-IP LTM により インターネットアクセス回線の通信経路冗長化が可能です ISP #1 ISP #2 回線負荷分散 IP アドレスによる負荷分散 宛先ドメイン名による負荷分散等 BIG-IP LTM Devices F5 Networks, Inc 3
2 プロキシサーバ増強 ~ プロキシの負荷分散 バイパス ~ 1. プロキシの負荷分散 2. プロキシのバイパス のソリューションプロキシ負荷分散 プロキシのバイパス Office365 を利用する場合 各端末が大量のセッションを利用します 膨大な通信トラフィックやコネクションに対応するため プロキシの増強が必要になります BIG-IP LTM を利用することで プロキシの新旧の負荷分散が可能です 既存 Proxy Firewall 新規 Proxy Office365 以外の通信 既存 Proxy Firewall Office365 への通信 また Office365 を利用する通信のみ BIG-IP をプロキシとして動作させ 既存のプロキシをバイパスさせることで 投資を抑えることも可能です BIG-IP LTM Devices BIG-IP LTM Devices F5 Networks, Inc 4
プロキシバイパス構成例 Office365 以外の通信 Office365 への通信 従来のプロキシとして運用 一般サイト向け Web プロキシとして動作 キャッシュやアクセス制御 URL フィルタやマルウェアチェック O365 トラフィックは通らないため 1 人当たりの接続数増加に伴うリソース不足を解消 コネクションの増加による負荷を回避 BIG-IP による負荷分散も可能 O365 宛 Firewall BIG-IP LTM Devices http/8080 https/443 http/80 既存 Proxy DMZ O365 以外 O365 向け Web プロキシとして動作 FQDN をもとに O365 通信を判別 O365 以外のトラフィックは既存プロキシへ転送 ワンアームでの導入も可能なため ネットワーク構成変更不要 必要に応じて HTTP ヘッダの追加や icall による O365 判別用 FQDN の自動登録などオプション対応 Web プロキシとして BIG-IP を指定 F5 Networks, Inc 5
3 通信内容の検査 ~SSL フォワードプロキシ ~ のソリューション SSL フォワードプロキシ BIG-IP LTM + SSL フォワードプロキシオプションにより HTTPS 通信の透過型暗号化と復号化を実施し IDS NGFW と組み合わせた効率的な検査を可能にします 構成としては シングル構成 サンドウィッチ構成の 2 パターンをサポートします IDS Firewall BIG-IP LTM + SSL FWD Proxy Devices Office365 への通信を検査 F5 Networks, Inc 6
構成例 構成例 1 - SSL Fwd Proxy + 3 rd Party Device( シングル構成 ) HQ LTM + SSL Forward Proxy Internet IDS / URL Filtering SSL 通信の暗号化 複合化 iruleやicap 連携によるコンテンツチェック プライベート証明書による代理署名 シンプル構成 構成例 2 - SSL Fwd Proxy + 3 rd Party Device ( サンドウィッチ構成 ) HQ LTM + SSL Forward Proxy IDS URL Filtering Internet 3 rd Party Device が ICAP 不要 構成がやや複雑 F5 Networks, Inc 7
4 認証基盤の拡張 ~ 社内 AD との認証連携 端末の検疫 ~ のソリューション社内 AD との認証連携 Office365 との認証連携 (SAML ベース ) により 認証基盤を社内 AD に統一することができます ADFS Proxy や ADFS の代替にもなるため オンプレのサーバが増えることを防ぎます のソリューション社外端末の検疫 多要素認証 Firewall Office365 を外部から利用する場合 セキュリティを確保するためには定められたポリシーを満たす端末にアクセスを限定する必要があります 会社支給 AD BIG-IP Device s APM OTP 等の多要素認証機能を備えており 端末紛失や盗難の際も なりすましを防ぎます 個人所有 先進認証とクライアント証明書を活用すればクライアントアプリの他要素認証も実現可能です 社外ネットワーク F5 Networks, Inc 8
フェデレーテッド サービスによる認証の仕組み ~ 社内からのアクセス ~ 3 AD 4 5 BIG-IP APM 2 1 6 インターネット クライアント ( 社内 ) 動作概要 Office 365 にアクセスすると (1) APM に対してリダクレクトが行われる (2) クライアントは APM から認証トークンを取得すると (345) それを持って再度 Office 365 にアクセスする (6) F5 Networks, Inc 9
APM のポータル機能 APM にログインした後は各種サービスへ一元的にアクセス Cloud 上のWebアプリケーション (GoogleApps Office365, サイボウズ SalesForce etc) VPNトンネル VDI(VMware View, XenDesktop)/RDP XenApp イントラWebサイト SaaS/PaaS Access (SAML 経由 ) SSL-VPN F5 Networks, Inc 10
接続時の端末の検疫機能 多種 多様なエンドポイントセキュリティを提供 ブラウザ BIG-IP Edge Clientかどうか OS プラットフォーム ブラウザが指定されたものかどうか Service Pack/ パッチが当たっているか (Windows) 有効なクライアント証明書 / マシン証明書 (Windows) があるか ウイルス対策製品 ファイアウォール製品が動作しているか (Mac/Linux/Windows) ウイルス定義ファイルがログオン時よりn 日前より新しいものか (Mac/Linux/Windows) 指定したファイルが存在しているか (Mac/Linux/Windows) 指定したプロセスが起動しているか (Mac/Linux/Windows) 指定したレジストリエントリが存在するか (Windows) プロテクテッドワークスペースへ移行 (Windows) IP Geolocationによる地理情報に基づくポリシー設定 CPU, HDD, Motherboard info プロテクテッドワークスペースは64bit Windowsにも対応
まとめ 社外利用 パフォーマンス増強 接続回線の冗長化により パフォーマンス改善と 災害対策につながります プロキシ増強 BIG-IP によるプロキシの負荷分散や Office365 への通信はプロキシをバイパスさせることが可能 会社支給 BIG-IP 社内利用 個人所有 AD ID/Pass 一元管理 端末の検疫が可能 端末の検疫ができ ポリシーを満たす PC スマホからの接続に限定できます パスワード一元管理 社内 AD と連携したシングルサインオンが可能となり 認証を一元的に管理できます シングルサインオン フェデレーション (SAML) SSL フォワードプロキシ HTTPS 通信の透過型暗号化と復号化を実施し IDS NGFW と組み合わせた効率的な検査を可能にします F5 Networks, Inc 12