こんにちわ。SB C&S 鵜重です。
クラウドセキュリティブログの第4回目となる今回は、オンプレプロキシを絡めたibossの構成についてフォーカスしていきます。

プロキシサーバーの悩みどころ

プロキシサーバーはインターネット黎明期から現在に至るまで幅広く利用されてきていますが、これまでそのほとんどはオンプレ環境に配備されてきました。そして長年の運用の中で独自のルール指定が積み重ねられていき、クラウド化どころか他製品への置き換えもままならない、、といったお声も良く耳にします。

そこで、意外と簡単なオンプレプロキシからのリプレースと、ibossとオンプレプロキシを併用した利活用パターンをご紹介したいと思います。

1. オンプレプロキシからのリプレース

オンプレプロキシからibossへの移行は実は非常にシンプルな方法で実現できます。
既存で利用しているPACファイルをibossクラウドに展開し、クライアントのプロキシ設定でiboss上のPACファイルを参照させるという方法です。
ibossにはPAC運用の手助けとして簡単に編集できるUIが備わっていますが、ここに既存のPACファイルの内容をコピペするだけでこれまでの設定と全く同じ内容を引き継ぐことができます。

2. オンプレプロキシ併用　多段プロキシ構成

既存のオンプレプロキシはそのまま流用して、さらにibossによるフィルタリングを行いたいというケースには多段プロキシ構成が利用できます。
オンプレプロキシの設定でibossクラウドを上位プロキシとして指定し、更にiboss側でオンプレプロキシのIPアドレスを下位プロキシとして指定します。

これによりクライアントからはプロキシを2回踏む形となりますが、オンプレプロキシからの段階的なリプレースやセキュリティ機能の強化といった効果を得ることができます。
また、この構成の場合ではクライアントのプロキシ設定には一切変更がない点も大きなメリットとなります。更にオンプレプロキシ側でXFFを有効とすれば、iboss上でクライアントIPを活用したより柔軟なフィルタリングも可能になります。

3. オンプレプロキシ併用　社内外での使い分け構成

社内にいるときは既存のオンプレプロキシをそのまま使用し、社外にいる時はibossを使いたいというケースも多くあるかと思います。こういった場合には全てのクライアントがまずibossのPACファイルを参照させる形とする事で実現できます。

ibossクラウドに配置したPACファイルはアクセス元のロケーション/IPアドレスに応じて、それぞれ内容の異なるPACファイルとしてクライアントに配布することが可能です。
これにより社内からのアクセスの時はオンプレプロキシを経由させ、社外にいるときはクライアントから直接ibossを経由しての通信フローとさせることが実現できます。

オンプレ側のFWルールや、GPOのプロキシ配信設定など、周辺環境を含めた変更が発生する構成となりますが、昨今の働き方にマッチしたハイブリッドな使い方ができる点が大きなメリットとなります。

終わりに

いかがでしたでしょうか？
プロキシサーバーのクラウド化と聞くとハードルが高いイメージがありますが、思っていたよりも簡単と感じた方も多いのではないでしょうか。
次回はibossを用いたMicrosoft 365のテナント制御についてお届けしたいと思います。