big-ip access policy manager (apm) - f5ネットワークス · big-ip access policy manager (apm)...
TRANSCRIPT
BIG-IP ACCESS POLICY MANAGER (APM)SSL VPNリモートアクセス・アクセス管理・BYOD統合ソリューション
F5ネットワークスジャパン株式会社
激変するユーザー環境に最適なソリューションを提供するF5アプリケーションのWeb化 スマートデバイスの爆発的増加
進化し続ける外部脅威 クラウドへの移行が加速
71% の情報通信業界有
識者が2020年までにほぼ
全てのビジネスパーソンがweb/モバイル経由で業務に従事すると予測
95% のビジネスパーソンが
1台以上のモバイル機器を利用
1.3億の企業が2014年まで
にモバイル・アプリケーションを利用するようになる
58% のインターネッ
ト犯罪が思想・活動家の関与するもの
81% インターネッ
ト被害がハッカーに関連するもの
80% の新しいアプリケー
ションはクラウドベース
72% のCIOはアプリケー
ションをクラウドに移行・移行予定
エンドユーザが求めている事
エンドユーザは、どのようなアプリケーションに対しても、いつでも、どこでも、自由にアクセスできる事を求めている…
F5はアプリケーション、ユーザーなどの情への高度な可視化と管理性をご提供します
IntelligentServicesPlatform
Users
どこからのアクセスに対してもセキュアな環境をご提供
Resources
ユーザーのアプリケションを、ロケーションを問わず守る
Laptop
Smartphone
Tablet
VDIBIG‐IP Access Policy Manager
ファイアウォール
‐+
‐+
エンドポイントセキュリティ:アクセスポリシー管理
・SSL暗復号化・認証・シングルサインオン・アクセスコントロール・エンドポイントセキュリティ・ログの記録/レポート
Microsoft
Exchange Server
HTTPS Webアクセス
高いユーザビリティ/セキュリティ/運用管理性を実現
セキュリティポリシーは強制するが、ユーザビリティを損なわない
運用管理の負荷を低減
SSL-VPNによるセキュアなリモートアクセスSSL-VPNによるセキュアなリモートアクセスBIG-IP Access Policy Manager (APM)
BIG-IP Local Traffic Manager + Access Policy Manager
Directory
SharePoint OWA
クラウド
Webサーバ
APPOS
APPOS
APPOS
APPOS
仮想デスクトップ
ユーザ
効率的なアプリケーションアクセス管理効率的なアプリケーションアクセス管理BIG-IP Access Policy Manager (APM)
BIG-IP® APMの特徴:• Webシングルサインオンおよび認証・アクセスコントロールサービスを中央で集中管理• BIG-IPのスピードでのフルプロキシL4 – L7アクセス制御• アクセスポリシーにエンドポイントチェックを追加• ビジュアルポリシーエディタ (VPE)により、ポリシーベースのアクセスコントロールを提供• VPEルール – カスタムのアクセスポリシーのためのプログラムインターフェース
BIG-IP® APM によるメリット: • 10万ユーザという大規模環境にもアプ
ライアンス一台で対応
• 認証基盤の統合、リモートアクセス、ウェブアクセス、アプリケーションへのアクセスを効率化
*AAA = Authentication, authorization and accounting (or auditing)
BIG-IP Access Policy Manager (APM)アクセス管理の統合
エンドポイントのアクセスを制御エンドポイントのセキュリティを強力に確保
Users
BIG-IP APM
• アンチウィルスソフトウエアのバージョンやアップデート状況
• ファイアウォールソフトウエアのステータス
• 特定アプリケーションのインストール
• 証明書の有無
許可、拒否、もしくは下記のようなエンドポイントの属性に基づいた制御を実施
非管理デバイスのために保護された仮想デスクトップ(Protected Work Space)を提供
• USBへアクセスを制限
• キャッシュクリーナーによる情報の消去
• マルウエアの進入を防御
Web
INTERNET
INTERNAL LANVLAN2
INTERNAL LANVLAN1
Mobile users
Branch office users
Wireless users
LAN users
BIG-IP LTM +APM
BIG-IP LTM VE +APM
-OR-
Virtual desktops
VDI VDI VDI VDI
Hypervisor
ユーザビリティを徹底的に考慮した製品ユーザビリティを徹底的に考慮した製品ユーザにも管理者にも快適な自動接続
F5は、モバイルデバイスにおいてセキュアかつ高速にリモートアクセスを提供する唯一のADCベンダ
• モバイルデバイス
• Desktop/Laptop
1st1st
Rooted Android Android v4.0 (ICS)Samsung AndroidiOS Device(iPhone/iPad)
幅広い対応プラットフォーム幅広い対応プラットフォーム
iPhone/iPad専用クライアントアプリケーションそれぞれ2種類ずつを提供
1. BIG‐IP Edge PortalWebアプリケーションへアクセス
http://itunes.apple.com/jp/app/f5‐big‐ip‐edge‐portal/id399900369?mt=8
2. BIG‐IP Edge Client全てのアプリケーションへアクセスhttp://itunes.apple.com/jp/app/f5‐big‐ip‐edge‐client/id411062210?mt=8
Apple App Storeよりダウンロード(無料)
Step 1VPNへの認証
Step 2アプリケーション起動
Step 3アプリケーションの認証
BIG‐IP APM
快適!
やれやれ。。。
1ステップでアプリケーションへアクセスアプリ自動起動+シングルサインオン
ビジネスアプリケーション
ビジネスアプリケーション
アプリケーションに簡単にアクセスアプリケーションに簡単にアクセスシングルサインオン (SSO)
モバイルデバイスにクライアント証明書をインストールし、特定のドメインへのアクセスの場合自動的にVPN接続が可能。(iOSのみ)
1. ユーザは証明書を事前にデバイスにインストール
2. Edge ClientにVPN接続するドメインを設定
3. ユーザはVPN接続をするドメインにアクセス
4. 自動的にAPM/EDGEに接続詞、証明書を検証
5. 検証された場合のみIntranetへアクセス
Smartphone
Tablet
BIG‐IP APM
Directories
Private CA
Web アプリケーション
On Demand VPNOn Demand VPN
上記設定例:
接続クライアントのチェックログオン画面が現れ AD認証 SSL‐VPN
強力かつ柔軟なセキュリティポリシー強力かつ柔軟なセキュリティポリシー
例: Yamadaというアカウント名で、iPad利用時に、XXXXXというデバイスIDというアクセスでなければ拒否する
• 誰が、いつ、どこから、どんな端末からアクセスしたのかを判定可能なポリシーエディタ
• 利用者の状況に合わせたアクセスコントロールを柔軟に実現
IDと端末の紐付きを特定IDと端末の紐付きを特定
モバイルデバイスの識別
• iOS 例
• プラットフォーム情報 iOS• MACアドレス(WiFi) 90:21:55:07:4A:32• モデル名 iPhone 4• バージョン情報 4.3• ユニークID(UUID) 8ccaf965e51e3077
• Android• プラットフォーム情報 Android• MACアドレス(WiFi) 90:21:55:07:4A:32• モデル名 Galaxy Nexus• バージョン情報 4.0.2• ユニークID 8ccaf965e51e3077• シリアルナンバ 016BEB2097AF1456• IMEI番号 354569041052233
モバイルデバイスでは、デバイスのインスペクションができないためクライアントソフトから取得できる情報が重要となる。
アクセスレポート機能による運用管理充実で柔軟なレポート機能(認証失敗理由、ライセンス使用率など)
クライアント証明書によるログの例
ハイブリッドクラウド・アプリケーション利用における課題
企業とSaaSリソース間での
ブリッジングを識別• SAML 2.0サービス
• SSO
AAAサーバ
Internet
SAML IdP
Secure Web Gateway
SSOおよびフェデレーション
SAML SP
SSL Forward ProxySSL Forward Proxyハイブリッドクラウド認証ハイブリッドクラウド認証SAMLによるSSO
SSL Forward ProxySSL Forward ProxyBIG-IP APM SAML対応(v11.3 以降)BIG-IP APM SAML対応(v11.3 以降)クラウド連携や複数データセンター連携
SAML 2.0に対応することにより、SP/IdP両方の機能を有し
Business Partners Business Partners
ADFS
End user
Public/private
Login.f5se.com
Sharepoint.f5se.com
OWA.f5se.com
Portal.f5se.com
Active DirectoryADFS
Apache/Tomcat App
Data center 1
Data center 2
SAML IdP
• ワンタイムパスワードの精製・解読をサポート
• パスワード長、タイムアウト値などは柔軟に設定可能
• OTPをEメール / SMSで送信
• ユーザーEメール情報をAD queryから抽出
• Eメール、SMS GatewayまたはHTTP認証と統合
• 認証失敗後の追加認証などの使用用途も有用
SSL Forward ProxySSL Forward ProxyAPM ワンタイムパスワードAPM ワンタイムパスワードセキュアなアプリケーション配信
Confidential – Partner Use Only
F5 MOBILE APP MANAGER
“Predictions 2013: Enterprise Communications and Datacenter Networks”
何故モバイルアプリケーション管理が必要なのか?
BYOD: 95%の情報産業
に従事するビジネスパーソンは、個人で購入した1台以上のデバイスを業務に使用
PCの終焉: 2010年第4四半期に初めて、
スマートフォンとタブレットの出荷台数がPCの出荷台数を超えた
モバイルビジネス:ビジネスデバイスの50%は、2014年までにスマートフォンになると予想
モバイル・アプリケーション:モバイルベース・アプリケーションを使用する企業数は2014年までに1.3億以上に増加
巨大な規模:世界の
モバイルワーカー人口の成長予測
2013年までに12億人
50%
アクセス: 端末を「繋げる」
MDM: 端末を「管理」
BYOD 1.0: 2009‐2012
この時代のアプローチの中で指摘される課題:•個人端末に対して管理を強制する
•業務利用と私的利用の境界線が曖昧
•管理したいのは業務用途のトラフィックのみ
業務データ、アプリケーションを「管理」
業務データ、アプリケーションを「繋げる」
BYOD 2.0 : 2013年から
BYOD 1.0との違い:•ユーザーエクスペリエンスを損なわない
•守る・管理する対象が業務目的のアプリケーションのみ
•業務利用アプリケーション・データへのトンネリングゲートウェイを提供、ユーザーが使っている端末そのものへの管理ではない
ビジネス領域とプライベート領域の区別:利用イメージ
Secure apps(business)
Unsecure apps(personal)
Docs2Go
Connect
Data (e.g., copy and paste)
Data
ShareFile
F5のBYODソリューション:F5 Mobile App Managerの概要
F5 Mobile App Manager端末管理
Mobile App Manager
企業内App Store
App store
セキュアなメール
Connect
セキュアなブラウザ
ブラウザ
アプリケーション管理
レポーティング
F5 Mobile App Manager ワークスペース F5 Mobile App Manager BI
F5 MAM App Wrapper
System APIs System APIs
OS OS
write file
Wrapされていないアプリ
F5 MAM App Wrapper (wrapされたアプリ)
ライセンス/ロック/ポリシーの管理
セキュアなファイルのI/O、copy&paste
Enhanced servicesF5 MobileApp Manager App Wrapper
一般的なアプリをセキュアでマネージ可能なアプリに進化させます
先進のビジネス・インテリジェンスへの活用
• F5 Mobile App Managerのポリシーに
基づくレポーティングエンジン
• ユーザ情報のログ
• 通話情報ログ
• アプリケーション利用ログ
端末のステータスレポート
• システム設定
• 設定変更
• 端末・ネットワーク利用統計情報
• 位置情報トラッキング
アプリケーション・レポーティング
• ダウンロード履歴
• 売り上げ情報
• アプリケーション利用
F5 Mobile App Manager BI(ビジネスインテリジェンス)
• AppTunnel Termination• AD/LDAP Tie‐in
• ユーザのプロビジョニング• VPE agent for MAM Query
F5 wrapper内のアプリケーショントンネル
F5管理下のアプリケーション
企業社内ネットワーク
AppTunnel
• 端末情報の通知• デバイスのプロビジョニング• App Store/アプリケーション管理• 基本的なMDM機能• ユーザー専用のサービスポータル
• エンドポイントインスペクション(Sideband)
• プロビジョニングと識別情報
F5のSSL-VPN製品との統合F5のSSL-VPN製品との統合更なる利便性と高い導入効果を提供
まとめ
F5は、柔軟で強力なアプリケーションアクセスソリューションを提供
ユーザエクスペリエンス
運用管理性