BIG-IP ACCESS POLICY MANAGER (APM)SSL VPNリモートアクセス・アクセス管理・BYOD統合ソリューション

F5ネットワークスジャパン株式会社

激変するユーザー環境に最適なソリューションを提供するF5アプリケーションのWeb化 スマートデバイスの爆発的増加

進化し続ける外部脅威 クラウドへの移行が加速

71% の情報通信業界有

識者が2020年までにほぼ

全てのビジネスパーソンがweb/モバイル経由で業務に従事すると予測

95% のビジネスパーソンが

1台以上のモバイル機器を利用

1.3億の企業が2014年まで

にモバイル・アプリケーションを利用するようになる

58% のインターネッ

ト犯罪が思想・活動家の関与するもの

81% インターネッ

ト被害がハッカーに関連するもの

80% の新しいアプリケー

ションはクラウドベース

72% のCIOはアプリケー

ションをクラウドに移行・移行予定

エンドユーザが求めている事

エンドユーザは、どのようなアプリケーションに対しても、いつでも、どこでも、自由にアクセスできる事を求めている…

F5はアプリケーション、ユーザーなどの情への高度な可視化と管理性をご提供します

IntelligentServicesPlatform

Users

どこからのアクセスに対してもセキュアな環境をご提供

Resources

ユーザーのアプリケションを、ロケーションを問わず守る

Laptop

Smartphone

Tablet

VDIBIG‐IP Access Policy Manager

ファイアウォール

‐+

‐+

エンドポイントセキュリティ：アクセスポリシー管理

・SSL暗復号化・認証・シングルサインオン・アクセスコントロール・エンドポイントセキュリティ・ログの記録／レポート

Microsoft

Exchange Server

HTTPS Webアクセス

高いユーザビリティ/セキュリティ/運用管理性を実現

セキュリティポリシーは強制するが、ユーザビリティを損なわない

運用管理の負荷を低減

SSL-VPNによるセキュアなリモートアクセスSSL-VPNによるセキュアなリモートアクセスBIG-IP Access Policy Manager (APM)

BIG-IP Local Traffic Manager + Access Policy Manager

Directory

SharePoint OWA

クラウド

Webサーバ

APPOS

APPOS

APPOS

APPOS

仮想デスクトップ

ユーザ

効率的なアプリケーションアクセス管理効率的なアプリケーションアクセス管理BIG-IP Access Policy Manager (APM)

BIG-IP® APMの特徴:• Webシングルサインオンおよび認証・アクセスコントロールサービスを中央で集中管理• BIG-IPのスピードでのフルプロキシL4 – L7アクセス制御• アクセスポリシーにエンドポイントチェックを追加• ビジュアルポリシーエディタ (VPE)により、ポリシーベースのアクセスコントロールを提供• VPEルール – カスタムのアクセスポリシーのためのプログラムインターフェース

BIG-IP® APM によるメリット: • 10万ユーザという大規模環境にもアプ

ライアンス一台で対応

• 認証基盤の統合、リモートアクセス、ウェブアクセス、アプリケーションへのアクセスを効率化

*AAA = Authentication, authorization and accounting (or auditing)

BIG-IP Access Policy Manager (APM)アクセス管理の統合

エンドポイントのアクセスを制御エンドポイントのセキュリティを強力に確保

Users

BIG-IP APM

• アンチウィルスソフトウエアのバージョンやアップデート状況

• ファイアウォールソフトウエアのステータス

• 特定アプリケーションのインストール

• 証明書の有無

許可、拒否、もしくは下記のようなエンドポイントの属性に基づいた制御を実施

非管理デバイスのために保護された仮想デスクトップ（Protected Work Space）を提供

• USBへアクセスを制限

• キャッシュクリーナーによる情報の消去

• マルウエアの進入を防御

Web

INTERNET

INTERNAL LANVLAN2

INTERNAL LANVLAN1

Mobile users

Branch office users

Wireless users

LAN users

BIG-IP LTM +APM

BIG-IP LTM VE +APM

-OR-

Virtual desktops

VDI VDI VDI VDI

Hypervisor

ユーザビリティを徹底的に考慮した製品ユーザビリティを徹底的に考慮した製品ユーザにも管理者にも快適な自動接続

F5は、モバイルデバイスにおいてセキュアかつ高速にリモートアクセスを提供する唯一のADCベンダ

• モバイルデバイス

• Desktop/Laptop

1st1st

Rooted Android Android v4.0 (ICS)Samsung AndroidiOS Device（iPhone/iPad）

幅広い対応プラットフォーム幅広い対応プラットフォーム

iPhone/iPad専用クライアントアプリケーションそれぞれ2種類ずつを提供

1. BIG‐IP Edge PortalWebアプリケーションへアクセス

http://itunes.apple.com/jp/app/f5‐big‐ip‐edge‐portal/id399900369?mt=8

2. BIG‐IP Edge Client全てのアプリケーションへアクセスhttp://itunes.apple.com/jp/app/f5‐big‐ip‐edge‐client/id411062210?mt=8

Apple App Storeよりダウンロード(無料)

Step 1VPNへの認証

Step 2アプリケーション起動

Step 3アプリケーションの認証

BIG‐IP APM

快適！

やれやれ。。。

1ステップでアプリケーションへアクセスアプリ自動起動＋シングルサインオン

ビジネスアプリケーション

ビジネスアプリケーション

アプリケーションに簡単にアクセスアプリケーションに簡単にアクセスシングルサインオン (SSO)

モバイルデバイスにクライアント証明書をインストールし、特定のドメインへのアクセスの場合自動的にVPN接続が可能。（iOSのみ）

1. ユーザは証明書を事前にデバイスにインストール

2. Edge ClientにVPN接続するドメインを設定

3. ユーザはVPN接続をするドメインにアクセス

4. 自動的にAPM/EDGEに接続詞、証明書を検証

5. 検証された場合のみIntranetへアクセス

Smartphone

Tablet

BIG‐IP APM

Directories

Private CA

Web アプリケーション

On Demand VPNOn Demand VPN

上記設定例：

接続クライアントのチェックログオン画面が現れ AD認証 SSL‐VPN

強力かつ柔軟なセキュリティポリシー強力かつ柔軟なセキュリティポリシー

例： Yamadaというアカウント名で、iPad利用時に、XXXXXというデバイスIDというアクセスでなければ拒否する

• 誰が、いつ、どこから、どんな端末からアクセスしたのかを判定可能なポリシーエディタ

• 利用者の状況に合わせたアクセスコントロールを柔軟に実現

IDと端末の紐付きを特定IDと端末の紐付きを特定

モバイルデバイスの識別

• iOS 例

• プラットフォーム情報 iOS• MACアドレス(WiFi) 90:21:55:07:4A:32• モデル名 iPhone 4• バージョン情報 4.3• ユニークID(UUID) 8ccaf965e51e3077

• Android• プラットフォーム情報 Android• MACアドレス(WiFi) 90:21:55:07:4A:32• モデル名 Galaxy Nexus• バージョン情報 4.0.2• ユニークID 8ccaf965e51e3077• シリアルナンバ 016BEB2097AF1456• IMEI番号 354569041052233

モバイルデバイスでは、デバイスのインスペクションができないためクライアントソフトから取得できる情報が重要となる。

アクセスレポート機能による運用管理充実で柔軟なレポート機能（認証失敗理由、ライセンス使用率など）

クライアント証明書によるログの例

ハイブリッドクラウド・アプリケーション利用における課題

企業とSaaSリソース間での

ブリッジングを識別• SAML 2.0サービス

• SSO

AAAサーバ

Internet

SAML IdP

Secure Web Gateway

SSOおよびフェデレーション

SAML SP

SSL Forward ProxySSL Forward Proxyハイブリッドクラウド認証ハイブリッドクラウド認証SAMLによるSSO

SSL Forward ProxySSL Forward ProxyBIG-IP APM SAML対応(v11.3 以降)BIG-IP APM SAML対応(v11.3 以降)クラウド連携や複数データセンター連携

SAML 2.0に対応することにより、SP/IdP両方の機能を有し

Business Partners Business Partners

ADFS

End user

Public/private

Login.f5se.com

Sharepoint.f5se.com

OWA.f5se.com

Portal.f5se.com

Active DirectoryADFS

Apache/Tomcat App

Data center 1

Data center 2

SAML IdP

• ワンタイムパスワードの精製・解読をサポート

• パスワード長、タイムアウト値などは柔軟に設定可能

• OTPをEメール / SMSで送信

• ユーザーEメール情報をAD queryから抽出

• Eメール、SMS GatewayまたはHTTP認証と統合

• 認証失敗後の追加認証などの使用用途も有用

SSL Forward ProxySSL Forward ProxyAPM ワンタイムパスワードAPM ワンタイムパスワードセキュアなアプリケーション配信

Confidential – Partner Use Only

F5 MOBILE APP MANAGER

“Predictions 2013: Enterprise Communications and Datacenter Networks”

何故モバイルアプリケーション管理が必要なのか？

BYOD: 95%の情報産業

に従事するビジネスパーソンは、個人で購入した1台以上のデバイスを業務に使用

PCの終焉: 2010年第4四半期に初めて、

スマートフォンとタブレットの出荷台数がPCの出荷台数を超えた

モバイルビジネス:ビジネスデバイスの50%は、2014年までにスマートフォンになると予想

モバイル・アプリケーション:モバイルベース・アプリケーションを使用する企業数は2014年までに1.3億以上に増加

巨大な規模:世界の

モバイルワーカー人口の成長予測

2013年までに12億人

50%

アクセス: 端末を「繋げる」

MDM: 端末を「管理」

BYOD 1.0: 2009‐2012

この時代のアプローチの中で指摘される課題：•個人端末に対して管理を強制する

•業務利用と私的利用の境界線が曖昧

•管理したいのは業務用途のトラフィックのみ

業務データ、アプリケーションを「管理」

業務データ、アプリケーションを「繋げる」

BYOD 2.0 : 2013年から

BYOD 1.0との違い：•ユーザーエクスペリエンスを損なわない

•守る・管理する対象が業務目的のアプリケーションのみ

•業務利用アプリケーション・データへのトンネリングゲートウェイを提供、ユーザーが使っている端末そのものへの管理ではない

ビジネス領域とプライベート領域の区別：利用イメージ

Secure apps(business)

Unsecure apps(personal)

Docs2Go

Connect

Data (e.g., copy and paste)

Data

ShareFile

F5のBYODソリューション：F5 Mobile App Managerの概要

F5 Mobile App Manager端末管理

Mobile App Manager

企業内App Store

App store

セキュアなメール

Connect

セキュアなブラウザ

ブラウザ

アプリケーション管理

レポーティング

F5 Mobile App Manager ワークスペース F5 Mobile App Manager BI

F5 MAM App Wrapper

System APIs System APIs

OS OS

write file 

Wrapされていないアプリ

F5 MAM App Wrapper (wrapされたアプリ)

ライセンス/ロック/ポリシーの管理

セキュアなファイルのI/O、copy&paste

Enhanced servicesF5 MobileApp Manager App Wrapper

一般的なアプリをセキュアでマネージ可能なアプリに進化させます

先進のビジネス・インテリジェンスへの活用

• F5 Mobile App Managerのポリシーに

基づくレポーティングエンジン

• ユーザ情報のログ

• 通話情報ログ

• アプリケーション利用ログ

端末のステータスレポート

• システム設定

• 設定変更

• 端末・ネットワーク利用統計情報

• 位置情報トラッキング

アプリケーション・レポーティング

• ダウンロード履歴

• 売り上げ情報

• アプリケーション利用

F5 Mobile App Manager BI（ビジネスインテリジェンス）

• AppTunnel Termination• AD/LDAP Tie‐in

• ユーザのプロビジョニング• VPE agent for MAM Query

F5 wrapper内のアプリケーショントンネル

F5管理下のアプリケーション

企業社内ネットワーク

AppTunnel

• 端末情報の通知• デバイスのプロビジョニング• App Store/アプリケーション管理• 基本的なMDM機能• ユーザー専用のサービスポータル

• エンドポイントインスペクション(Sideband)

• プロビジョニングと識別情報

F5のSSL-VPN製品との統合F5のSSL-VPN製品との統合更なる利便性と高い導入効果を提供

まとめ

F5は、柔軟で強力なアプリケーションアクセスソリューションを提供

ユーザエクスペリエンス

運用管理性