office365を快適・安全に big-ip活用術°Ž入時の課題と検討事項...
TRANSCRIPT
Office365を快適・安全にBIG-IP活用術
F5ネットワークスジャパン合同会社
2016年8月
© F5 Networks, Inc 2
Office365導入時の課題と検討事項
②セッション数の増加
Office365は1ユーザーで多くのセッションを同時に使用するため、既存のプロキシではパフォーマンス不足となる。
①トラフィックの増加
メール・ポータル等の利用がインターネット経由になり、インターネット向けのトラフィックが膨大に増え、インターネットアクセスの帯域が不足する
回線増強、パフォーマンス改善を検討 プロキシサーバ増強を検討
④認証基盤の拡張
ID管理を社内ADで一元的に運用・管理するには、ADとOffice365との認証連携必要。社外からのセキュアなアクセスを行う為、端末の検疫についても検討が必要となる。
③通信内容の検査
Office365との通信に関してもIDSやNGFWによる検査を行うため、HTTPSの復号化と再暗号化を行う仕組みが必要となる
SSLフォワードプロキシの検討 社内ADとの認証連携を検討
© F5 Networks, Inc 3
①アクセス回線増強、Office365のパフォーマンス改善
企業ネットワーク
Devices
BIG-IP LTM
ISP #1 ISP #2
のソリューション:マルチホーミング
BIG-IP LTMにより、インターネットアクセス回線の通信経路冗長化が可能です。
• 回線負荷分散• IPアドレスによる負荷分散• 宛先ドメイン名による負荷分散 等
© F5 Networks, Inc 4
②プロキシサーバ増強~プロキシの負荷分散、バイパス~
企業ネットワーク
Devices
BIG-IP LTM
Firewall
のソリューションプロキシ負荷分散、プロキシのバイパス
Office365を利用する場合、各端末が大量のセッションを利用します。膨大な通信トラフィックやコネクションに対応するため、プロキシの増強が必要になります。
BIG-IP LTMを利用することで、プロキシの新旧の負荷分散が可能です。
また、Office365を利用する通信のみBIG-IPをプロキシとして動作させ、既存のプロキシをバイパスさせることで、投資を抑えることも可能です。
既存Proxy
企業ネットワーク
Devices
BIG-IP LTM
Firewall
既存Proxy 新規Proxy
1.プロキシの負荷分散 2.プロキシのバイパス
Office365への通信
Office365以外の通信
© F5 Networks, Inc 5
DMZ
プロキシバイパス構成例
企業ネットワーク
Devices
BIG-IP LTM
Firewall
既存Proxy
Office365への通信
Office365以外の通信
O365向けWebプロキシとして動作• FQDNをもとにO365通信を判別• O365以外のトラフィックは既存プロキシへ転送• ワンアームでの導入も可能なため、ネットワーク構
成変更不要• 必要に応じてHTTPヘッダの追加やiCallによるO365
判別用FQDNの自動登録などオプション対応
従来のプロキシとして運用• 一般サイト向けWebプロキシとして動作
• キャッシュやアクセス制御• URLフィルタやマルウェアチェック
• O365トラフィックは通らないため、1人当たりの接続数増加に伴うリソース不足を解消
• コネクションの増加による負荷を回避• BIG-IPによる負荷分散も可能
http/8080
https/443http/80
O365以外
• WebプロキシとしてBIG-IPを指定
O365宛
© F5 Networks, Inc 6
③通信内容の検査~SSL フォワードプロキシ~
のソリューションSSLフォワードプロキシ
BIG-IP LTM + SSLフォワードプロキシオプションにより、HTTPS通信の透過型暗号化と復号化を実施し、IDS、NGFWと組み合わせた効率的な検査を可能にします。
構成としては、シングル構成、サンドウィッチ構成の2パターンをサポートします。
企業ネットワーク
Devices
BIG-IP LTM + SSL FWD Proxy
Firewall Office365
への通信を検査
IDS
© F5 Networks, Inc 7
• SSL通信の暗号化・複合化
• iRuleやICAP連携によるコンテンツチェック
• プライベート証明書による代理署名
• シンプル構成
構成例
HQ
LTM + SSL Forward Proxy
Internet
IDS / URL Filtering
構成例① - SSL Fwd Proxy + 3rd Party Device(シングル構成)
HQ
LTM + SSL Forward Proxy
InternetIDSURL Filtering
構成例② - SSL Fwd Proxy + 3rd Party Device (サンドウィッチ構成)
• 3rd Party DeviceがICAP不要
• 構成がやや複雑
© F5 Networks, Inc 8
④認証基盤の拡張~社内ADとの認証連携、端末の検疫~
企業ネットワーク
Devices
BIG-IP APM
Firewall
AD
社外ネットワーク
会社支給
個人所有
のソリューション社内ADとの認証連携
Office365との認証連携(SAMLベース)により、認証基盤を社内ADに統一することができます。
ADFS ProxyやADFSの代替にもなるため、オンプレのサーバが増えることを防ぎます。
のソリューション社外端末の検疫、多要素認証
Office365を外部から利用する場合、セキュリティを確保するためには定められたポリシーを満たす端末にアクセスを限定する必要があります。
OTP等の多要素認証機能を備えており、端末紛失や盗難の際も、なりすましを防ぎます。
先進認証とクライアント証明書を活用すればクライアントアプリの他要素認証も実現可能です。
© F5 Networks, Inc 9
BIG-IP APM
フェデレーテッド・サービスによる認証の仕組み ~ 社内からのアクセス ~
インターネット
企業ネットワーク
クライアント(社内)
AD
①②
③
④
⑤⑥
動作概要
• Office 365にアクセスすると(①)、APMに対してリダクレクトが行われる(②)
• クライアントはAPMから認証トークンを取得すると(③④⑤)、それを持って再度 Office 365にアクセスする(⑥)
© F5 Networks, Inc 10
APMのポータル機能
SaaS/PaaS Access (SAML経由)
SSL-VPN
• Cloud上のWebアプリケーション(GoogleApps、Office365, サイボウズ、SalesForce、etc)
• VPNトンネル
• VDI(VMware View, XenDesktop)/RDP、XenApp
• イントラWebサイト
APMにログインした後は各種サービスへ一元的にアクセス
接続時の端末の検疫機能
• ブラウザ、BIG-IP Edge Clientかどうか
• OS、プラットフォーム、ブラウザが指定されたものかどうか
• Service Pack/パッチが当たっているか(Windows)
• 有効なクライアント証明書/マシン証明書(Windows)があるか
• ウイルス対策製品・ファイアウォール製品が動作しているか(Mac/Linux/Windows)
• ウイルス定義ファイルがログオン時よりn日前より新しいものか(Mac/Linux/Windows)
• 指定したファイルが存在しているか(Mac/Linux/Windows)
• 指定したプロセスが起動しているか(Mac/Linux/Windows)
• 指定したレジストリエントリが存在するか(Windows)
• プロテクテッドワークスペースへ移行(Windows)
• IP Geolocationによる地理情報に基づくポリシー設定
• CPU, HDD, Motherboard info
※プロテクテッドワークスペースは64bit Windowsにも対応。
多種・多様なエンドポイントセキュリティを提供
© F5 Networks, Inc 12
まとめ
社内利用
AD
フェデレーション(SAML)
ID/Pass
一元管理
会社支給
個人所有
端末の検疫が可能
端末の検疫ができ、ポリシーを満たすPC、スマホからの接続に限定できます。
パフォーマンス増強
接続回線の冗長化により、パフォーマンス改善と、災害対策につながります。
BIG-IPによるプロキシの負荷分散や、Office365への通信はプロキシをバイパスさせることが可能
社内ADと連携したシングルサインオンが可能となり、認証を一元的に管理できます。
パスワード一元管理
社外利用
プロキシ増強
BIG-IP
シングル
サインオン
SSLフォワードプロキシ
HTTPS通信の透過型暗号化と復号化を実施し、IDS、NGFWと組み合わせた効率的な検査を可能にします