Akamai Diversity

Akamai Japan ブログ

EAA Client ConnectorのTunnel接続によるVPN置き換えの実現

2017年、外出先等からのリモートアクセスでセキュアかつシンプルに社内業務システムへ接続できるEnterprise Application Access (以下:EAA) がリリースされました。
当時は、HTTP/HTTPS及びHTML5ベースのRDP/VNC/SSH(ブラウザ内エミュレート)が利用可能なアプリケーションとして用意されておりましたが、現在ではEAA Client Connector という常駐型ソフトウェアを用いてTunnel接続を行うことで、ネイティブアプリを使ったRDPやクライアント/サーバシステムも利用できるようになっております。
そこで今回は、クラウドを用いたVPN接続が可能なTunnel接続についてご紹介いたします。

 

EAA Client Connectorのインストール

EAA Client Connectorは、EAA ユーザ―ポータル画面より以下のボタンからダウンロード可能です。
本記事では詳細は割愛いたしますが、EAA Client Connectorのインストールと簡単な初期設定を行った後にログインすることで、すぐに利用可能となります。

eaa-client-01.png

 

なお、EAA Client ConnectorのサポートOSについては、こちらをご参照ください。
https://learn.akamai.com/en-us/products/ > Enterprise Security > Product Docs: Enterprise Application Access > EAA Client User Guide)

 

ログイン

ログインについては、EAAユーザ―ポータルへWeb認証を行うことで、あらかじめ割り当てられた適切なアプリケーション(VPNによる宛先ホスト)への接続が利用できるようになります。
Web認証についてはユーザー名・パスワードの他、AuthenticatorアプリやSMSなどを用いた2要素認証など複数のログイン方法の選択が可能です。
常駐されたEAA Client ConnectorからLoginを選択するかOS起動時の常駐開始時に自動的にEAAログインページが表示されますので、利用者のアカウントにてログインを行います。

eaa-client-02.png

 

  Tunnel接続について

従来型のVPNの場合、IPSecやSSL-VPNなどのプロトコルを用いて、データセンター側でインターネットに公開しているVPNサーバへTunnel接続して利用されているケースが多いかと存じます。EAAでのTunnel接続については、EAA Client~Enterprise Connector間をHTTPSでカプセル化しますので、IPSecのようにポートの制約で一部の出先で利用できないといった問題を回避でき、HTTPSが利用できれば接続可能です。またデータセンター側でVPNサーバの公開は不要のため、SSL-VPNのようにWebサーバへのスクレピングリストに登録されてしまい、狙われやすくなるといった問題からも回避されます。このようにEAAにてTunnel接続を構成することで、様々なVPNへの課題にも対処することができます。

eaa-client-03.png

 

Tunnel接続の利用

Tunnel接続はHTTP/HTTPSアプリケーションと同様に、EAAのアプリケーションとして作成します。新規作成時に「Client-Access app」とすることで以下の表のようないずれかのパターンでTunnel接続のアプリケーションを作成することができます。

eaa-client-04-1.png

  

設定項目の種類に併せて、Application host(接続先)を定義します。
この例では、表のNo2を例として構成しております。

eaa-client-04-2.png

 

これにより、以下のようなネイティブのリモートデスクトップクライアントを使ったRDP接続や、クライアント/サーバシステムなどへのリモートアクセスが行えるようになります。
なお、IDPでのClient有効化設定やアプリケーションに対するACL設定等もございますので、詳細についてはEAAのユーザガイドも併せてご参照ください。

eaa-client-05.png

 

 

最後に

EAA Client Connectorを用いたTunnel接続を行うことで、従来のVPNと同じようにHTTP/HTTPS以外のTCP/UDPを用いた通信をネイティブアプリを使って接続することができます。また、許可されたアプリケーションのみを適切な利用者へ提供する、データセンターに外部からの機器やポートの公開が不要、統合ID基盤によるハイブリッドクラウドを見据えた仕組みづくり、といったシンプルでセキュアなリモートアクセスを実現するEAAの特徴はTunnel接続でも実現できますので、クラウドを使った従来のVPNからの脱却をスムーズに行うことができます。
ぜひこの機会に、VPNの更改に向けて導入をご検討いただけますと幸いです。


EAAに関するその他ブログ記事も併せてご参照ください。

ゼロトラスト・セキュリティ・アーキテクチャ
リモートアクセスの変革 - ENTERPRISE APPLICATION ACCESS
アカマイ エンタープライズ ソリューション のアップデート
「進め/止まれ」:セキュリティ信号を使って、安全な適応型アクセス制御