Office365を快適・安全にBIG-IP活用術

Ｆ５ネットワークスジャパン合同会社

2016年８月

© F5 Networks, Inc 2

Office365導入時の課題と検討事項

②セッション数の増加

Office365は1ユーザーで多くのセッションを同時に使用するため、既存のプロキシではパフォーマンス不足となる。

①トラフィックの増加

メール・ポータル等の利用がインターネット経由になり、インターネット向けのトラフィックが膨大に増え、インターネットアクセスの帯域が不足する

回線増強、パフォーマンス改善を検討 プロキシサーバ増強を検討

④認証基盤の拡張

ID管理を社内ADで一元的に運用・管理するには、ADとOffice365との認証連携必要。社外からのセキュアなアクセスを行う為、端末の検疫についても検討が必要となる。

③通信内容の検査

Office365との通信に関してもIDSやNGFWによる検査を行うため、HTTPSの復号化と再暗号化を行う仕組みが必要となる

SSLフォワードプロキシの検討 社内ADとの認証連携を検討

© F5 Networks, Inc 3

①アクセス回線増強、Office365のパフォーマンス改善

企業ネットワーク

Devices

BIG-IP LTM

ISP #1 ISP #2

のソリューション：マルチホーミング

BIG-IP LTMにより、インターネットアクセス回線の通信経路冗長化が可能です。

• 回線負荷分散• IPアドレスによる負荷分散• 宛先ドメイン名による負荷分散 等

© F5 Networks, Inc 4

②プロキシサーバ増強～プロキシの負荷分散、バイパス～

企業ネットワーク

Devices

BIG-IP LTM

Firewall

のソリューションプロキシ負荷分散、プロキシのバイパス

Office365を利用する場合、各端末が大量のセッションを利用します。膨大な通信トラフィックやコネクションに対応するため、プロキシの増強が必要になります。

BIG-IP LTMを利用することで、プロキシの新旧の負荷分散が可能です。

また、Office365を利用する通信のみBIG-IPをプロキシとして動作させ、既存のプロキシをバイパスさせることで、投資を抑えることも可能です。

既存Proxy

企業ネットワーク

Devices

BIG-IP LTM

Firewall

既存Proxy 新規Proxy

1.プロキシの負荷分散 2.プロキシのバイパス

Office365への通信

Office365以外の通信

© F5 Networks, Inc 5

DMZ

プロキシバイパス構成例

企業ネットワーク

Devices

BIG-IP LTM

Firewall

既存Proxy

Office365への通信

Office365以外の通信

O365向けWebプロキシとして動作• FQDNをもとにO365通信を判別• O365以外のトラフィックは既存プロキシへ転送• ワンアームでの導入も可能なため、ネットワーク構

成変更不要• 必要に応じてHTTPヘッダの追加やiCallによるO365

判別用FQDNの自動登録などオプション対応

従来のプロキシとして運用• 一般サイト向けWebプロキシとして動作

• キャッシュやアクセス制御• URLフィルタやマルウェアチェック

• O365トラフィックは通らないため、1人当たりの接続数増加に伴うリソース不足を解消

• コネクションの増加による負荷を回避• BIG-IPによる負荷分散も可能

http/8080

https/443http/80

O365以外

• WebプロキシとしてBIG-IPを指定

O365宛

© F5 Networks, Inc 6

③通信内容の検査～SSL フォワードプロキシ～

のソリューションSSLフォワードプロキシ

BIG-IP LTM + SSLフォワードプロキシオプションにより、HTTPS通信の透過型暗号化と復号化を実施し、IDS、NGFWと組み合わせた効率的な検査を可能にします。

構成としては、シングル構成、サンドウィッチ構成の2パターンをサポートします。

企業ネットワーク

Devices

BIG-IP LTM + SSL FWD Proxy

Firewall Office365

への通信を検査

IDS

© F5 Networks, Inc 7

• SSL通信の暗号化・複合化

• iRuleやICAP連携によるコンテンツチェック

• プライベート証明書による代理署名

• シンプル構成

構成例

HQ

LTM + SSL Forward Proxy

Internet

IDS / URL Filtering

構成例① - SSL Fwd Proxy + 3rd Party Device（シングル構成）

HQ

LTM + SSL Forward Proxy

InternetIDSURL Filtering

構成例② - SSL Fwd Proxy + 3rd Party Device (サンドウィッチ構成)

• 3rd Party DeviceがICAP不要

• 構成がやや複雑

© F5 Networks, Inc 8

④認証基盤の拡張～社内ADとの認証連携、端末の検疫～

企業ネットワーク

Devices

BIG-IP APM

Firewall

AD

社外ネットワーク

会社支給

個人所有

のソリューション社内ADとの認証連携

Office365との認証連携（SAMLベース）により、認証基盤を社内ADに統一することができます。

ADFS ProxyやADFSの代替にもなるため、オンプレのサーバが増えることを防ぎます。

のソリューション社外端末の検疫、多要素認証

Office365を外部から利用する場合、セキュリティを確保するためには定められたポリシーを満たす端末にアクセスを限定する必要があります。

OTP等の多要素認証機能を備えており、端末紛失や盗難の際も、なりすましを防ぎます。

先進認証とクライアント証明書を活用すればクライアントアプリの他要素認証も実現可能です。

© F5 Networks, Inc 9

BIG-IP APM

フェデレーテッド・サービスによる認証の仕組み ~ 社内からのアクセス ~

インターネット

企業ネットワーク

クライアント（社内）

AD

①②

③

④

⑤⑥

動作概要

• Office 365にアクセスすると（①）、APMに対してリダクレクトが行われる（②）

• クライアントはAPMから認証トークンを取得すると（③④⑤）、それを持って再度 Office 365にアクセスする（⑥）

© F5 Networks, Inc 10

APMのポータル機能

SaaS/PaaS Access (SAML経由)

SSL-VPN

• Cloud上のWebアプリケーション(GoogleApps、Office365, サイボウズ、SalesForce、etc)

• VPNトンネル

• VDI(VMware View, XenDesktop)/RDP、XenApp

• イントラWebサイト

APMにログインした後は各種サービスへ一元的にアクセス

接続時の端末の検疫機能

• ブラウザ、BIG-IP Edge Clientかどうか

• OS、プラットフォーム、ブラウザが指定されたものかどうか

• Service Pack/パッチが当たっているか(Windows)

• 有効なクライアント証明書/マシン証明書(Windows)があるか

• ウイルス対策製品・ファイアウォール製品が動作しているか(Mac/Linux/Windows)

• ウイルス定義ファイルがログオン時よりn日前より新しいものか(Mac/Linux/Windows)

• 指定したファイルが存在しているか(Mac/Linux/Windows)

• 指定したプロセスが起動しているか(Mac/Linux/Windows)

• 指定したレジストリエントリが存在するか(Windows)

• プロテクテッドワークスペースへ移行(Windows)

• IP Geolocationによる地理情報に基づくポリシー設定

• CPU, HDD, Motherboard info

※プロテクテッドワークスペースは64bit Windowsにも対応。

多種・多様なエンドポイントセキュリティを提供

© F5 Networks, Inc 12

まとめ

社内利用

AD

フェデレーション(SAML)

ID/Pass

一元管理

会社支給

個人所有

端末の検疫が可能

端末の検疫ができ、ポリシーを満たすPC、スマホからの接続に限定できます。

パフォーマンス増強

接続回線の冗長化により、パフォーマンス改善と、災害対策につながります。

BIG-IPによるプロキシの負荷分散や、Office365への通信はプロキシをバイパスさせることが可能

社内ADと連携したシングルサインオンが可能となり、認証を一元的に管理できます。

パスワード一元管理

社外利用

プロキシ増強

BIG-IP

シングル

サインオン

SSLフォワードプロキシ

HTTPS通信の透過型暗号化と復号化を実施し、IDS、NGFWと組み合わせた効率的な検査を可能にします