SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

IAP(Identity Aware Proxy)をSDPで代用する方法について(パート2)

ゼロトラスト
2021.11.10

パート1に続いて、残りの2つの理由です。

目次

  1. エージェントにアプリケーションショートカットを設定できる
  2. エージェントの起動制御などは管理者側で制御可能です。
  3. Appgate SDPをIAPとして使う理由のまとめ

Appgate SDPをIAPとして検討する3つの理由

エージェントにアプリケーションのショートカットを設定できる。

エージェントレス型(IAP)の特徴としてはブラウザアクセスがベースとなるため、ユーザーとしての利便性が高いことが挙げられます。IAPによって認証を行うことでスムーズに目的のアプリケーションに最短でアクセスすることができることです。

AppGate SDP Clientにはアプリケーションショートカット機能が搭載されていて、管理者がユーザーの負担を減らすためにアプリケーションアクセスのためのショートカットを提供することができます。つまりAppgate SDP Clientがユーザーのアクセス情報を提供しているインターフェースとなり、ユーザーは視覚的に自身の持っているアクセス範囲を簡単に把握できます。

ユーザーのデバイスにインストールされたAppgate SDP Clientの接続エージェント

Appgate SDPクライアントはベーシックな認証からSAML認証に対応しています。 AzureADやGoogle IDと連携すればとても便利になります。

SAMLの認証の場合

2021-11-05-09-00-44.gif

認証が成功すると自身のアクセス範囲が表示されます

図6.png

ユーザーはIAPとして設定されたAppgate SDPに接続した状態で、表示されたアプリケーションへアクセスできる状態なのがひと目でわかります。 Appgate SDP ClientはどのデバイスにおいてもクライアントのGUIは全く同じです。WindowsでもmacOSでもiOSでも常に同じ方法でセキュアアクセスができる仕組みになっています。

ショートカットは管理者側がアクセスの資格情報として作成するだけです。

図5.png

多くのVPNエージェントは、VPN利用時の認証表示や、パケットの状況、スタートアップの制御などで利用され、利用するデバイスごとにインターフェースが異なることもあり、ユーザーに取って、VPNは特殊なリモートアクセスツールです。Appgate SDP Clientはユーザーに取ってのリモートアクセスのための便利なアプリケーション感覚で利用できます。

エージェントの起動制御などは管理者側で制御可能です。

ゼロトラストを実現するにあたっては、全ての通信をゼロトラストアーキテクチャによって検証する仕組みが必要です。

ユーザーのデバイスの起動からネットワークに接続するまでのパケットも検証されるべき対象です。そのためにはデバイス起動と同時にエージェントが立ち上げ、SDPによってアクセス資格が提供される状況をもれなく作ることが重要です。 その際、ユーザーにエージェントの挙動を変更する権限を与えてしまうと、一気に信頼がなくなってしまいます。

ユーザーはいかなる通信であっても、まずはAppgate SDPで認証、認可を強制することで、安全なアクセスを保証することができます。(v5.4以降)

図7.png

エンタープライズで利用されるVPNシステムでも利用される、デバイスにVPN機能を強制する機能です。 Appgate SDPのコントローラーに常時接続させるようにガバナンスを効かせることで、例外なく全てのデバイスの全ての通信をSDPで管理することが可能です。

リクエストベースの制御ではゼロトラストではありません。例えばオンデマンドVPNのような方式はゼロトラストではありません。社内へのVPN経由データを減らすという目的であれば、リクエストベースの方式は効率的で、デバイスにおいても不必要にVPNプロセスを起動しなくても良いので、バッテリーの持ちなどの点では優れていますが、セキュリティの観点で言えば、常時SDP接続によって監視するほうがより安全です。

SDPの極意はソフトウェアで境界線を定義することにあります。ユーザーには意識させずに、管理者がユーザーの利用状況から、会社、自宅、出張先などを予め作成しておいたプロファイルに従って、ユーザーはアクセスしている状況に応じてポリシーが追従し、安全な1対1のトンネリングを提供することが目的です。

そのためにはエージェントがデバイスの起動から常に起動し続け、ユーザーの状況を管理システムに同期することがゼロトラスト実現の鍵になります。 ユーザーにはエージェントを切断する権限を渡さずに、ユーザーは自身のコンテキストによってのみ、正当性を証明することこそがゼロトラストネットワークアクセスということです。

Appgate SDPをIAPとして使う理由のまとめ

図8.png

IAPというのは、基本的にはクライアントレス によるアクセス制御の仕組みです。 目的のアプリケーションへのアクセスが公共性が高く、アクセスデバイスの自由度を許容できる場合とても便利なアクセス手段となりえますが、エンタープライズ用途としてはIAP以上の制御が必要となる場合があります。

IAPの優れているところは、ブラウザアクセスによる利便性や、ユーザーDBとの連携性能でしょう。ユーザーには1つのアクセス先だけを提供し、認証→アクセスのフローを1つにまとめることで、通信の一元管理とアクセス制御を同時に行うことが目的ですが、ネットワークレイヤの違いで見ると同じ目的を達成する製品としては、ZTNA/SDPというものも代用が可能です。

中でもAppgate SDPはZTNA/SDPとして特筆するべき機能が多くありますが、IAPとして求められる場合の認証連携の多さ、アプリケーションへ便利なアクセスをサポートする機能などユーザビリティを落とさない仕組みが提供できます。

IAPの利便性や、SDPによるネットワークレベルでのアクセス制御に加えて、ゼロトラストアーキテクチャに準拠したコンポーネント構成、シングルパケット認証、コンディションアクセス、継続したコンディションチェック機能など、接続する前から接続している最中も継続したゼロトラストを完遂できるのはゼロトラストアーキテクチャに基づいた機能をシンプルに提供しているからこそです。

もちろん教育情報のセキュリティポリシーのガイドラインに即した

学校内外を問わず、全ての通信を信用しない

まさにAppgate SDPが実現しようとしている世界で、全てのアクセスデバイスはインターネットを経由すると想定すると、管理者はユーザーのアクセス可能な条件を定義する必要があり、まさにSDP(ソフトウェア定義による境界線)がうってつけということがわかります。

Appgate SDPは100%ソフトウェアでオンプレミス型のソリューションのため、クラウド基盤に頼らずとも、国内/自社のリソースだけで構成できるのも重要な要素です。

より機密性の高いシステムや、無線LANの認証(クラウドを経由しないため、ローカルNWにおいてもゼロトラスト化を実現)の代替などにも使える次世代アクセスプラットフォームです。

ゼロトラストとはユーザーに負担をかけるのではなく、ユーザーの自由を尊重しながら、管理者がユーザーの安全を担保するための制御を両立するための考え方になると思っています。

IAPをSDPで代用する方法(パート1)

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部
宮本 世華

釣りが好きです。