Akamai Diversity
Home > リモートアクセスの変革 - Enterprise Application Access

リモートアクセスの変革 - Enterprise Application Access

2017年1月24日にアカマイはEnterprise Application Access (EAA)という製品を発表しました。

この製品は今までのアカマイのウェブサイトに対する高速化やセキュリティのソリューションとは一線を画し、エンタープライズのネットワークに向けたソリューションとなります。外部に公開されたウェブアプリケーションではなく、社内アプリケーションが対象となり、それに対するリモートアクセスのソリューションとなります。

このブログでは、リモートアクセスにおける課題と、EAAがどのような価値を提供できるかについて解説させて頂きます。

エンタープライズの社内アプリケーションは、データセンターもしくはAWSやAzureといったクラウド上に置かれています。そしてそのような社内アプリケーションや内部ネットワークに外部(特にインターネット)から接続させないため、ファイアウォールが設置されています。ファイアウォールはコンセプトとしては全てのインバウンド(外部から内部への)コネクションを遮断し、アウトバウンド(内部から外部への)コネクションを許可します。内部ネットワークにいるユーザがその社内アプリケーションにアクセスするのは簡単で、単純に直接アクセスしてアプリケーションを使うだけです。

ただ、リモートユーザのアクセスとなると簡単にはいきません。
ファイアウォールはインバウンドコネクションを遮断してしまいますので、特別な考慮が必要になってきます。
ntakahas-eaa-1.png

現在、多くのエンタープライズではこの問題を解決するためにDMZを設けています。このDMZにVPNやApplication Delivery Controller(ADC)、プロキシ、認証ソリューションなどの高価なハードウェアを導入し、不正なアクセスから内部環境を防御しています。しかしながら考慮が必要な点として、このような設備は全てのデータセンター、クラウド基盤にそれぞれに必要になるため、コストや運用負荷が高くなりがちです。

典型的なリモートアクセス環境としてはVPNを使用している場合が多いのですが、VPNはネットワークレベルでのアクセスを提供するため、特定のアプリケーションに限らず全ての社内環境にアクセス可能となってしまいます。この点については、課題を感じている方もいらっしゃるのではないでしょうか。

ネットワークレベルのアクセスを提供する場合、例えば、ある特定の業務を委託している別企業のユーザに対して、個人情報であったり機密情報が存在する社内ネットワークへのアクセスを許可してよいのかという問題が出てきます。
もしこのユーザのPCが何かに感染していたら?
このユーザが悪意を持った場合には?

このような問題が想定され、ネットワークレベルのアクセス許可にはやはり課題があると言えます。

ntakahas-eaa-2.png

ここまで、2つの問題についてお話しました。
  1. DMZに配置するソリューションの複雑性、拡張性、リードタイム、管理負荷が大きいこと
  2. リモートアクセスを許可するためだけに、ファイアウォールに穴を開ける必要があり、それはセキュリティ上の課題となること

アカマイがEAAで提供するのは、DMZをクラウド上で展開することです。このためにEAA EdgeとEnterprise Connectorという2つのコアコンポーネントを提供し、セキュアアクセス、認証、ADC、ロードバランシングといった機能をクラウド上で実現することにより、複雑性を削減します。

EAA Edgeはインターネット上に存在し、アプリケーション防御の一番外側の壁となります。リモートユーザは下図のEAA Edgeに接続し、認証された場合にのみ社内アプリケーションに接続を許可されます。この認証はアプリケーション単位で実施されるため、特定のユーザには特定のアプリケーションのみのアクセスを許可するということが可能です。認証に失敗したユーザはクラウド上で止められるため、社内環境まで到達することがありません。

一方、Enterprise Connectorは社内環境すなわちファイアウォールの内側に置かれ、認証されたユーザとアプリケーションとの間の接続を透過的に実現します。ポイントとなるのは、このEnterprise ConnectorとEAA Edgeの間のコネクションはアウトバウンドのコネクションであるということです。従って、ファイアウォールに穴を開ける必要がなくなります。

このソリューションにより、クライアントに特別なアプリケーション等をインストールすることなく、より強固なセキュリティと利便性を提供可能です。クライアント側ではHTML5をサポートするウェブブラウザ以外には何も必要ありません。

ntakahas-eaa-3.png

ユーザの認証はEAA Edgeにおいて行われ、ほとんどの既存の認証サービスと簡単に統合可能です。Active Directoryをはじめ、Okta、OneLoginといったSAMLベースのIdP(ID Provider)をサポートします。さらに、多要素認証を加えることが可能ですので、これまで多要素認証を加えたいが実現が難しいと感じている方には特にメリットが大きいかと思います。そして複数のアプリケーションが存在する場合にはシングルサインオンも実現可能です。

既にお話してきましたように、このソリューションはネットワークベースではなくアプリケーションベースで認証したユーザに対してアクセス権を与えますので、万が一ユーザ情報が盗まれた場合などでも、許可しているアプリケーションまでしか攻撃者は到達できず、それ以外の環境にはアクセスできません。

さらに、このEAAのソリューションはアカマイの既存製品である、Ionといった高速化ソリューションやKona Site Defenderといったウェブセキュリティソリューションと組み合わせてご使用いただけます。海外からのリモートアクセスがあるような場合には高速化ソリューションと組み合わせることによってユーザエクスペリエンスの向上にも期待できます。

なお、EAAは現時点ではアプリケーションとしてHTTP/HTTPSのアプリケーション、SSH/RDP/VNC(ブラウザ内エミュレート)をサポートしております。

いかがでしたでしょうか。Enterprise Application Access(EAA)はリモートアクセスをよりセキュアにしていくことができるソリューションとなっています。
現在お持ちのリモートアクセスに対する課題を解決する一助になれば幸いです。

Leave a comment