Akamai Diversity

Akamai Japan ブログ

Enterprise Threat Protector(ETP)におけるActive Directoryとの連携について

Enterprise Threat Protector (ETP) は、マルウェア、フィッシング、DNSベースのデータエクスフィルトレーション(企業情報の盗み出し)といった、標的型攻撃に対する防御を、シンプル、且つ迅速に実行できるクラウドベースのセキュリティソリューションです。
2017年1月にアカマイは一連のエンタープライズソリューションを発表いたしました。これらの製品は企業のゼロトラスト・セキュリティを実現するための新たなソリューションであり、アカマイがこれまで実現してきた高速化、セキュリティのソリューション群とも非常に親和性の高いものとなっております。

本稿ではActive Directoryとの連携ついてご紹介いたします。

Enterprise Threat Protector (ETP) はIdentity Connectorを使用する事でオンプレミス環境のActive Directoryと連携し、Web認証によるユーザーまたはグループのアクセス制御、イベントログへの記録、また、カテゴリフィルタ(AUP)の除外設定などが可能です。

ライセンスはStandardおよびAdvancedにて対応しております。

提供イメージ

ETPAD1-1.png

■Identity Connector対応環境

Identity ConnectorはOS組み込みのイメージですので、別途OS環境をご用意いただく必要はございません。仮想環境上にIdentity Connectorイメージを読み込めば準備完了です。

・Amazon Web Services (AWS)、クラシックもしくは EC2/VPC
・Docker
・Google Cloud Computing Engine (GCE)
・IBM Cloud
・Microsoft Azure
・Microsoft Hyper-V
・OpenStack/KVM
・Oracle VirtualBox
・VMware

[必要な環境]
CPU: 4 virtual core
Memory: 8GB RAM (AWS上の場合はスワップスペースを使用しないため12GBが必要).
Storage: 16~20GB ハードドライブディスクスペース (スワップスペースに4GBと12GBのフリースペース)

※対応バージョンなど詳細はこちらでご確認ください。
https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-B519172B-08D7-422D-8E37-011B8019868B.html

■Identity Connectorの登録 ※以降本稿では「VMware」のIdentity Connectorを前提とした手順をとします。

管理者ポータルより設定を行います。
左のメニューから、「Client & Connectors」→ サブメニュー「Identity Connectors」→ プラスボタンにて追加します。

ETPAD2.png

■Identity Connectorのダウンロード

Identity Connectorがダウンロードできるようになります。

ETPAD3.png

ここでダウンロードしたIdentity Connectorイメージには認証機能が組み込まれており、このイメージを使用して立ち上げられるインスタンスは1台のみです(2台目以降の共用はできません)。
2台目以降については、同じプロセスを実施して新しいIdentity Connectorイメージをダウンロードしてください。

■Identity Connectorの解凍

ETPAD4.png

vSphere6.5以降の場合は、OVFツールによる展開が必要です。VMware社サイトより、OVFツールをダウンロードください。
https://www.vmware.com/support/developer/ovf/

■Identity Connectorのセットアップ①

VMwareへのインストール詳細および、その他のIdentity Connectorのインストールについては、それぞれ下記のリンク(Users Guide)にてご確認ください。

・Vmware環境へのIdentity Connectorインストール方法
 https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-0CCC795E-C306-45CB-9CCB-B6604D49B188.html
・Microsoft Azure環境へのIdentity Connectorインストール方法
 https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-057C16F5-8BBA-4BA7-A91E-31DFF203F4C8.html
・Microsoft Hyper-V環境へのIdentity Connectorインストール方法
 https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-BAC2B735-2C35-428D-ADD1-B633D978F0A8.html
・Amazon Web ServicesへのIdentity Connectorインストール方法
 https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-74D6D387-2054-4EE8-BA19-04BECF86024C.html
・DockerベースIdentity Connectorのインストール方法
 https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-D9ADA5CD-79B9-478E-BA0E-A3EC1AA14E0A.html
・Identity ConnectorのコンソールからスタティックIPアドレスを設定する方法
 https://learn.akamai.com/en-us/webhelp/enterprise-application-access/enterprise-application-access/GUID-DAC5BF63-C9C9-4798-9458-C2855B7CC8E9.html#GUID-DAC5BF63-C9C9-4798-9458-C2855B7CC8E9

■Identity Connector のセットアップ②

vSphere6.5以降の場合は、OVFツールにて仮想環境への配置を行います。

ETPAD5-1.png

例(インストール環境により異なります)

ETPAD5-2.png

vSphere6.5以前の場合は、vSphere Clientにて仮想環境への配置を行います。

■Identity Connector のセットアップ③

仮想環境への配置後は以下の手順にてIdentity Connectorのセットアップを完了します。

1.リソースの構成が 4 core vCPU /8GB RAMとなるように設定してください。
2.vSphere Clientにて、Identity Connector (仮想マシン)の電源をあげてください。
3.vSphere Clientにて、Identity Connector (仮想マシン)のコンソールにアクセスしてください。
 ※コンソール画面はIdentity Connector のセットアップ④参照
4.設定メニューから必要に応じて各NW設定(IP address設定、DNS server設定、Proxy設定、Proxy有効化、NTP設定名等)を指定して下さい。 
  ・仮想マシン(Identity Connector)がDHCPでIPアドレスが取得でき、HTTPS/443でインターネットに
   普通にアクセスできる環境の場合は、明示的に設定する必要がないケースもあります。
  ・接続先については仮想マシン内部に埋め込まれているため特に設定する必要はありません。

[注意事項]
Identity Connector - Identity Provider(IdP)間はHTTPSで通信しますが、途中の経路上では(お客様環境のProxy/Firewallなど)
SSL Termination (SSLデコード)を許可していません。例外処理設定等で透過していただくようお願い致します。

■Identity Connector のセットアップ④

ETPAD6.png

セットアップ完了には、以下の環境が必要です。
・Identity Connector のIPアドレスが取得できている
・Identity Connector から見てインターネットに対してHTTP/443が開いている
・Identity Connector から見て、アプリケーションへの接続ができるネットワーク構成になっている

[補足]
・Identity Connector 起動時に Identity Provider(IdP)に自動で接続に行きます。
・Identity Connector は ソフトウェアアプライアンスで、OSレベルでのログインはユーザーには許可していません。

■Identity Connector のセットアップ⑤

Identity Connectorのセットアップを完了します。

ETPAD7.png

■Identity Connector  Active Directoryの登録 

Active Directory登録①

ETPAD8.png

Active Directory登録②

ETPAD9.pngのサムネイル画像

Active Directory登録③

ETPAD10.png

Active Directory登録④

ETPAD11.png

Active Directory登録⑤

ETPAD12.png

Active Directory登録⑥

ETPAD13.png

Active Directory登録⑦

ETPAD14.png

Active Directory登録⑧

ETPAD15.png

■Identity Connector  IdP登録

Identity Connectorを認証用IdPとして登録します。

認証用IdP登録①

ETPAD16.png

認証用IdP登録②

ETPAD17.png

認証用IdP登録③

ETPAD18.png

認証用IdP登録④

ETPAD19.png

■Identity Connector  Web認証設定

ETPAD20.png

いかがでしたでしょうか。

Active Directoryと連携したことで、Secure Web Gateway利用時にWeb認証を行うことができるようになります。

是非、この機会にSecure Web Gatewayソリューションをご検討してみてはいかがでしょうか。

■ Enterprise Threat Protector (ETP)に関するその他ブログ記事も併せてご参照ください。

Akamaiの標的型攻撃対策ソリューション Enterprise Threat Protector (ETP)のご紹介

https://blogs.akamai.com/jp/2017/12/akamai-enterprise-threat-protector-etp.html

アカマイ エンタープライズ ソリューション のアップデート

https://blogs.akamai.com/jp/2018/12/post-11.html

ETPで脅威を検出したクライアントを特定するには

https://blogs.akamai.com/jp/2019/08/etp.html

ETPが誤検知!? その時の対応は?

https://blogs.akamai.com/jp/2019/11/etp-1.html

Leave a comment