big-ip access policy...

BIG-IP Access Policy Manager リモートアクセス

シンプルなアプリケーションアクセスを提供

○ 多様化されたVDI環境においても1台で運用可能 ○ BYOD環境にも有効なポリシー設定

1. Network Access機能 Network Access機能によりSSLVPNトンネルによるリモートアクセス機能を提供。多様なエンドポイントセキュリティ機能を持ちMac, Linux, Windowsでプロセス、ファイル、アンチウイルスチェックも可能。外部の認証ページとの連携も可能

2. Portal Access 内部リソースのWebアプリケーションをプロキシとして、Virtual IPへアクセスした時に社内のWebアプリケーションを表示する機能

3. App Tunnel アプリケーション(FTP, MS RPC等)ベースでのSSLコネクションを提供

4. Load balance + 認証 + α LTMの持つHTTP(S) Virtual Serverによるロードバランスにおいて、ユーザ認証やエンドポイントセキュリティ(端末チェック)を提供。これによりサイトへのアクセス時のクライアントのセキュリティ要件を定義

APMの主な機能

APMが提供するWebtop画面に、ユーザが使用可能なものをアイコン表示

動作手順の概要

WebブラウザでAPMのVSのURIにアクセス

セキュリティ 要件チェック

ログオン画面

有効なクライアント証明書か 指定したOS,パッチがあるか アンチウイルス製品の動作確認 プロテクテッドワークスペース グループポリシー強制適用 など自由に設定可能

ログオン画面に複数のパスワード欄を設定したり、ログオン画面自体を出さず、認証しないことも設定可能。

認証 LDAP, RADIUS, AD, SecureMatrix, RSA SecurID, 外部ログオン画面による認証などに対応。 認証しないことも可能。

リソース 割り当て

認証されたアクセスに対して下記の4つからアクセス形態を提供

Network Access (SSLVPN)

Load balance + 認証 + α

Portal Access App Tunnel

SSL-VPN（トンネル・リバースプロキシ機能）とAuthenticationのオフロード、Single Sign Onが利用可能なセキュリティコントローラ

1. BIG-IPベースであることの実績・信頼性

2. 強力なポリシー設定でセキュリティ要件を厳密に制限可能

3. 多種の認証基盤(RADIUS, AD, LDAP, 他)に対応

4. 高度なSingle Sign On機能

5. ハイパフォーマンス、最大100,000同時接続まで対応 (VIPRION)

6. UDPベースのトンネル対応 (DTLS)

7. IPv6サポート

8. Windows以外にもMac OS XおよびLinuxにも対応

9. アプリケーション自動起動 (auto launch)

10.マルチテナントへのソリューション (vCMP / Route Domain)

APMの主な特徴

強力なポリシー設定でセキュリティ要件を厳密に制限可能 エンドポイント・セキュリティ・チェック

• セキュリティポリシーを直感的な操作で定義 • ポリシーに適合したPCクライアントのみ社内アクセスを許可 • View Clientが未インストールの場合はダウンロードページへ

• RADIUS • LDAP • Active Directory • HTTP • Oracle Access Manager • RSA SecurID • SecureMatrix • Kerberos • TACACS+ • クライアント証明書 • CRLDP, OCSP Responder

多様な認証方式に対応

あらかじめシングルサインオン用の定義をしておくことでSSLVPNトンネル上でアクセスするイントラネットWebアプリケーションに対して自動的にサインオン可能。 認証方式はHTML Basic/HTML フォーム/NTLMv1,v2/Kerberosに対応

BIG-IP APM インターネット リモートＰＣ

①BIG-IP Edge Gatewayのログオン画面にログオン

②自動的にWebアプリケーションのログオンを実行

SKIP

Webアプリケーション

Network Access SSO: 1:n Web Application SSO: 1:n LTM VS AP: 1:1

VS

高度なSingle Sign On機能

Network Accessの特徴 ① L4/L7 ACL

L4～L7レベルでのACLを定義可能。 トラフィックコントロール スプリットネットワーク、また特定のポート番号やアドレスレンジへトラフィックレートの設定も可能

Geolocationの利用 (ロケーションベースのアクセスコントロール) レポーティングにも使用可

本社

Mac, Linux, Windows

SSLVPN

自宅,出先,拠点

Network Accessの特徴 ② BIG-IP Edge Client

BIG-IP Edge ClientではTCP最適化やDTLSに対応し、自動SSLVPN接続機能を搭載。

Edge Clientを使用せずにWebブラウザによるアクセスも可能 DTLS 従来のTCPベースのSSL VPNトンネルの方法は、ストリーミング系のプロトコル(VoIP, PCoIP)において、パケットロス時のTCP再送などによるパフォーマンスへの影響に懸念あり。UDPベースのDTLSに対応することで、その懸念をクリア。

TCP

UDP

Samsung

Rooted Android Android v4.0 (ICS)

クライアント環境の変化 • Mobile Deviceの多様化 • VDI環境の必要性 • BYOD

F5の対応状況 • iOS向け、Samsung向けクライアントソフトウェアを既に提供

• 業界で最初のAndroid 4.0に対応 • MAC, Linuxにも対応

1st

多様なモバイルプラットフォーム対応

レポート・ログ機能 充実なレポート機能 トラブル発生時の対応にも有用