Embed Size (px)
Citation preview
他社SSL VPN製品/F5 FirePassからBIG-IP APMへ 移行ポイントとコンサルティングサービス
© F5 Networks, Inc 2
• APMとFirePassの相違点
• APMに移行する上での技術ポイント
• FirePass→APM移行事例
• FirePass→APM 移行サービス活用事例
• 他社SSLVPN製品→APM 移行事例
アジェンダ
© F5 Networks, Inc 3
APMとFirePassの相違点
© F5 Networks, Inc 4
FirePassとAPMの機能差と移行ポイント FirePass (FP) BIG-IP APM
Network Access (NA) ○ ○
エンドポイントセキュリティ ○ ◎ (Mac,Linux,WinでAntiSpyware, HDD暗号化, PC管理, P2Pなどもチェック可能)
NA L4 ACL ○ ◎ (数千行以上にも対応)
NA L7 ACL × ○
ハードウェア情報取得 ○ MACアドレス,CPU, M/B, HDD ○ MACアドレス,CPU, M/B, HDD, Jailbreak端末
サーバ毎のRate Shaping × ○
UDP対応(DTLS) × ○ (UDP用にもう1つポートを開放)
Appトンネル ○ ○
スマートフォン(iPhone/iPad/iPod touch)対応 ○ ○
フィーチャーフォン(ガラパゴス携帯)電話対応 ○ (ガラケーにも対応) △ (Cookie対応端末のみ)
クライアント証明書の発行・管理機能 ○ ×
ローカルユーザ管理機能 ○ ○
(FP用語) ポータルアクセス ○ ○ (相応の機能)
(FP用語) モバイルEメール ○ ×
(FP用語) ターミナルサーバ ○ ◎ (相応の機能) VMware Horizon VIEW, XenAppにも対応
(FP用語) Windowsファイル共有 ○ × (SSLVPN確立後にファイル共有は可)
(FP用語) Webアプリケーション ○ ○
(FP用語) Webアクセスバイパス ○ ○
CLIによる運用管理 × ○
日本語による管理画面 ○ × (クライアント画面は同時多言語対応)
SSO ○ ◎ (複数の異なる設定を同時に利用可能)
© F5 Networks, Inc 5
• 日本語のユーザ名・パスワード FirePassで設定可能だった日本語のユーザ名と パスワードは利用できませんので、ASCII Roman Setのユーザー名、パスワードへの移行が必要 です。(利用事例はほとんど聞きませんが)
FirePass管理者がAPMであきらめる項目①
© F5 Networks, Inc 6
• FirePass 6.0.1以前のWebアプリケーション 書き換えエンジン ポータルアクセス機能で使用するFirePass 5.2.1以前、 FirePass 5.4~6.0.1までのWebアプリケーション書き換え エンジンはBIG-IP APMでは選択できません。
FirePass管理者がAPMであきらめる項目②
© F5 Networks, Inc 7
• モバイルEメール Webブラウザ上でメール送受信の利用ができるモバイル Eメール機能はAPMでは選択できません。 企業向けWebメール製品として下記の製品の利用を ご検討ください。 Active! mail / トランスウェア社 http://www.transware.co.jp/product/am/ desknet’s NEO / NEOJAPAN社 http://www.desknets.com/neo/appli.html サイボウズ Office4 http://cybozu.co.jp/products/cb4/appli/webmail/webmail_system.html
FirePass管理者がAPMであきらめる項目③
© F5 Networks, Inc 8
• Windowsファイル共有 Webブラウザ上でWindowsファイル共有の利用ができる機能はAPMでは選択できません。
FirePass管理者がAPMであきらめる項目④
© F5 Networks, Inc 9
• 赤のプロテクテッドワークスペース また画面が赤くなるプロテクテッドワークスペースに代わりFirePass 7と同等の黒くなるプロテクテッドワークスペースが利用可能です。
FirePass管理者がAPMであきらめる項目⑤
© F5 Networks, Inc 10
• クライアント証明書管理機能 BIG-IP APMにはクライアント証明書管理機能は ありません。下記のCA製品の利用をご検討ください。 JCCH Security Solution Systems Gléas http://www.jcch-sss.com/ Soliton NetAttest EPS openssl… ※CRLについても自動取得機能はないため都度取得か BIG-IP上で定期的にcrontabで取得する方法、あるいは OCSP/CRLDPの利用を検討する必要があります。
FirePass管理者がAPMであきらめる項目⑥
© F5 Networks, Inc 11
• フィーチャーフォン(ガラパゴス携帯) スマートフォンへの移行・・・(ごめんなさい)。
FirePass管理者がAPMであきらめる項目⑦
© F5 Networks, Inc 12
• 日本語の管理画面 Chromeによる翻訳機能・・・。 (かなり変な翻訳になる部分もありますが)
FirePass管理者がAPMであきらめる項目⑧
© F5 Networks, Inc 13
• コード署名 BIG-IP APMでは /var/sam/www/webtop/public/download にクライアント用コンポーネントが置かれている。 あとは https://support.f5.com/kb/en-us/solutions/public/10000/400/sol10405.html
(以下自己責任・・・)
FirePass管理者がAPMであきらめる項目⑨
© F5 Networks, Inc 14
• 手動での「新しいブラウザタイプ」設定 BIG-IP APMではbrowscap.iniを使用していないため「新しいブラウザタイプ」の手動設定はできません。
FirePass管理者がAPMであきらめる項目⑩
© F5 Networks, Inc 15
• CAPTCHA BIG-IP APMではGoogleのrecaptchaを使用する方法はありますが、Googleのものを信頼した上で利用する必要があるため、お客様ポリシーによっては利用そのものが検討対象外となります。 同様のソリューションとして、ワンタイムパスワード(OTP)機能または製品の導入をお勧めします。 株式会社シー・エス・イー RSA SecurID SECURE MATRIX http://japan.emc.com/security/rsa-securid.htm http://www.cseltd.co.jp/products/smx パスロジ株式会社 APMの簡易OTP機能 PassLogic http://www.passlogy.com/ ファルコンシステムコンサルティング WisePoint http://wisepoint.jp 株式会社シマンテック VIP http://www.symantec.com/ja/jp/vip-authentication-service
FirePass管理者がAPMであきらめる項目⑪
© F5 Networks, Inc 16
• パフォーマンスの強化 (TMOS)
• セキュリティの強化 (SHA2, DSA, ECC/ECDSA)
• マルチデバイス対応 (iOS/Android/RT/Mac/Linux)
• 高度なシングルサインオン(Network Access SSO, SAML)
• 多言語対応 (デフォルトで8カ国の言語を用意)
• 強化されたエンドポイントセキュリティ (AntiSpyware,HDD暗号化,Jailbreak等)
• 複数のSSLVPNシステムを統合 (キャリア/情室子会社で多数の実績)
• 他のシングルサインオン環境の統合 (Access Guardian, SiteMinder等)
• CLIによる運用管理
APMに移行するメリット
© F5 Networks, Inc 17
APMに移行する上での技術ポイント
© F5 Networks, Inc 18
• FirePassのクラスタリング構成の場合 BIG-IPの性能がとても高いのでFirePass 10台のクラスター構成であっても1ペア2台のBIG-IP APMにまとめられます。
• FirePassのActive/Standby構成の場合 WAN側だけでなくLAN側のネットワークに対してもSelf IP・フローティングIPアドレスも設定するとフェイルオーバー時に便利です。(SNAT Poolを利用すること) 設定の同期は自動的に行われませんので手動になります。
FirePassからの移行ポイント①冗長構成
© F5 Networks, Inc 19
• 外部認証を使用している場合はそのまま移行可能。
• FirePassでユーザー管理している場合、Local User DBを使うことも可能。 11.4以降のBIG-IP上にユーザーを登録・管理できるようになった。 複数インスタンスを持つことができ、またグループ属性までは設定可能。
FirePassからの移行ポイント②ユーザー管理
© F5 Networks, Inc 20
• ほとんどの項目はFirePassにあったものと同等
FirePassからの移行ポイント③Network Access
© F5 Networks, Inc 21
• FirePassとは画面は異なるがほぼ同じ機能を実現可能。
• コンテンツとの相性問題が出やすい部分のため、IP:Port以外の書き換えを行わないLTM VS APの利用を検討する価値がある場合もある。
FirePassからの移行ポイント④ポータルアクセス
© F5 Networks, Inc 22
• FirePassのダイナミックAppトンネル、スタティックAppトンネルとも異なる。
• WindowsだけでなくMac, Linuxでも利用可能(JAVA Appトンネル)。
FirePassからの移行ポイント⑤Appトンネル
© F5 Networks, Inc 23
APMへの移行よりもクライアントの方が問題①
よくある問題: 検証用などで古いWindows XP/VistaなどをセットアップしてWindows Updateをかけて最新の状態にしてもSSLVPN接続に失敗する 解決方法例: ○クライアント側のルート証明書の期限が切れていることが原因でBIG-IP Edge Clientのコンポーネントが正しくインストールできないことがあります。ルート証明書はWindows Updateで自動的に更新されません。 http://support.microsoft.com/kb/931125/ja からWindows正規品かどうかの確認をしてから「ルート証明書の更新」をダウンロードして適用します。 似た理由でFirePass/BIG-IP v10.Xに接続していたクライアントがv11.4に接続する時にコンポーネントのアップデートに失敗することがあります。 その場合はコンポーネントのアンインストール・インストールを行います。
© F5 Networks, Inc 24
APMへの移行よりもクライアントの方が問題②
TIPS: WindowsにインストールされているBIG-IP Edge Clientコンポーネントをコマンド一行で削除したい。 方法例: BIG-IP APM管理画面からダウンロードできるWindows Trouble Shooting Utility (f5wininfo.exe)を管理者権限で f5wininfo.exe -r のように実行する。
© F5 Networks, Inc 25
APMへの移行よりもクライアントの方が問題③
TIPS: Windows用BIG-IP Edge Clientコンポーネントをコマンド一行でインストールしたい。 方法例: コマンドラインでのインストールを行う方法は、Windows内蔵のmsiexecを使用する方法があり、SOL13710 http://support.f5.com/kb/en-us/solutions/public/13000/700/sol13710.html にその方法が書かれている。 具体的には、あらかじめ BIGIPEdgeClient.exe /x オプションで任意のフォルダにEdge Clientの解凍を行っておき、その後そのディレクトリに移動して管理者権限で C:¥Windows¥System32¥msiexec.exe /i “f5fpclients.msi” /qn のようにすることで一切のダイアログを出さずにインストール可能です。 ※msiexecのオプションとして/qnはサイレントインストールとなります。 http://support.microsoft.com/kb/314881/ja
© F5 Networks, Inc 26
SSLVPN以外に下記の機能も持つため、将来拡張するときも設定の追加(必要に応じユーザーライセンスの追加)のみで実現できる
• 各種VDI製品のゲートウェイになる(VMware Horizon VIEW, Citrix XenApp, RDP等が混在する環境でもBIG-IP APMは利用可能。たとえばXenAppからVMwareに移行する場合でも並行運用可能。)
• Exchange Serverの持つサービスのゲートウェイになる。(ActiveSyncやOWA, OutlookAnywhereのゲートウェイとして、販売終了になったMSISA/TNGの置き換え製品として利用可能。)
• クラウドアプリケーションの認証ゲートウェイになる。(SAML 2.0に対応しているため社内の既存認証基盤による認証を行いながらGoogleAppsなどのSAML対応クラウドアプリケーションの利用が可能。)
• 性能が許す限り複数の設定も持たせられるためグループ会社の設定を1つにまとめることも可能。
FirePassからの移行メリット
© F5 Networks, Inc 27
FirePass → APM 移行事例
© F5 Networks, Inc 28
某IT系企業 ・業務システム毎に全く別の用途の3システムのFirePass ・FirePassの内部ユーザーデータベースで認証 ・1つのBIG-IP APMシステムに統合 ユーザー数も少なかったので自前でFirePassの設定をBIG-IP APMに移行できた。
※もしユーザー数、設定内容が極めて多いなどの理由で移行が難しい場合は、 F5プロフェッショナルサービスでFirePassの設定をAPMに移行するお手伝いをいたします。
FirePassからの移行事例①
© F5 Networks, Inc 29
FirePass → APM 移行サービス活用事例
© F5 Networks, Inc 30
某研究所様 ・3拠点5台のFirePass ・FirePassのネットワーク設定を100%維持した形でBIG-IPに移行 ・マスタグループの数が1拠点につき数十~100以上と多い ・内部ユーザーデータベース機能としてiRules/DataGroupを活用 ※現在はLocalUserDBが利用できるが当時のAPMにはその機能がなかった
・マスタグループ毎にルーティングテーブルを変える設定をしていた ・クライアント証明書管理機能を使用していた→何らかの外部管理に移行する必要 F5プロフェッショナルサービスを利用してFirePassからBIG-IP APMへの移行を実現。
FirePassからの移行事例②
© F5 Networks, Inc 31
• FirePassの設定ファイルをいただき、APMへ移行できる項目、移行できない項目、移行すると改善できる部分のある項目などを分析します。
F5 FirePass→APMマイグレーションサービス①
© F5 Networks, Inc 32
• APMでどのような設定にすべきかご提案させていただき、FirePassではできなかった部分、あるいはAPMでより改善する部分についてどのようにするか決定しAPMの設計をします。
F5 FirePass→APMマイグレーションサービス②
© F5 Networks, Inc 33
• お客様のAPMの設定を実際に行います。あるいは、設定方法のドキュメントとファイルのご提供とそのご説明を行います。
F5 FirePass→APMマイグレーションサービス③
© F5 Networks, Inc 34
他社SSLVPN製品 → APM 移行事例
© F5 Networks, Inc 35
お客様の課題 ・Aventailがサポート終了になるため別の製品に移行する必要があった ・SSLVPNでイントラネットに接続させる以上、不正利用を確実に防ぐ必要がある ・端末、USBトークン、人すべてのアクセス制御をしっかり行いたい ・証明書の失効管理も一般的なCRL/OCSP等ではなくADで行いたい ・運用時のユーザーの利便性は損なわないようにしたい
Aventailからの移行事例:某製造業様
© F5 Networks, Inc 36
お客様の求めるSSLVPN接続におけるアクセスポリシー (1) Windows 7端末であるかどうかチェック (2) 特定ベンダーのウイルス対策製品が適切に動作しているかチェック→動作していなかったらウイルス定義のみアップデートできるサーバに接続 (3) Windowsコンピュータ情報を取得 (4) 参加しているドメイン名が正しいかどうかチェック (5) コンピューター名がADに登録されているかチェック (6) ログオン画面の表示をしADユーザアカウントのID/PWでログオン (7) ADユーザアカウントのID/PWでAD認証 (8) クライアント証明書をリクエスト (9) クライアント証明書のCNを取り出す (10) クライアント証明書のSNがAttributeにあるかチェック (11) (9)のAttributeを持つADユーザを検索し(6)のIDと一致するかチェック (12) Windowsキャッシュログオンユーザ名とADユーザ名が一致するかチェック→一致しない場合も端末ユーザの上司であればアクセスは許可 (13) VPNユーザのAttributeから割り当てるIPアドレスを取得 (14) VPN用IDのセキュリティグループをチェックし必要なACLとネットワークアクセスリソースを設定 (15) SSL-VPN接続開始、アプリケーション(スクリプト)の起動しアクセスしたことをサーバーに通知
このように複雑なアクセスポリシーを1製品で実現できるのはBIG-IP APMしかない。
Aventailからの移行事例:某製造業様
© F5 Networks, Inc 37
Juniper SAからの移行事例:某キャリア様
お客様の課題 ・Juniper SAをお客様毎に立ててサービス提供していてコスト高に見舞われていた。 ・Juniper SAの運用においてアクセス失敗時にログが1行しか出ないなど切り分けにかかる運用負荷が高く、顧客満足度も極めて低かった。 ・Juniper SAは冗長構成にするよりも1台構成の方が安定すると思えるくらい冗長構成時の動作が不安定だった。
BIG-IP APM (+iRules)なら100社分の設定を1システムに収容し、グローバルアドレスとSSLサーバ証明書も1つに集約できる。運用時のログも的確でアクセス失敗時に原因を即ログから追うことができた。
コスト削減と安定運用の両方を実現し大満足。
© F5 Networks, Inc 38
• JuniperはSSLVPN製品を売却し市場から撤退、これからのSSLVPN、これからのセキュリティを考えたときに選択する理由はもはやない
• 最新のOSにもいち早く対応。Juniper SA/MAGはWindows 7 64bitにすら対応していない。
• パフォーマンスの強化
• 運用性の強化 SAではログイン失敗時に「失敗した」のログが1行しか出ないため原因究明が困難。APMではVPEのポリシーのどのフローを通ったか全てログに出るため運用時の切り分けが容易。
Juniper SAからAPMに移行するメリット
© F5 Networks, Inc 39
• セキュリティの大幅な強化 今時SHA2未対応、ECDSA(ECC)未対応のNetScalerからBIG-IP APMにすることでこれからのセキュリティ標準にも対応
• パフォーマンスの劇的な強化 同時接続数がNetScaler最上位機種の10,000の20倍以上(VIPRION)までスケールアップすることができる。性能もBIG-IPプラットフォームなので圧倒的。
• 認証機能の強化 NetScaler Gatewayでは対応していないOTPも利用可能。より高度なエンドポイントセキュリティ機能も利用できるようになる。
• マルチテナント、複数VDI環境の統合にも対応 複数のシステムを1システムのBIG-IP APMに統合することでXenAppとVMware VIEW混在環境もまとめてAPMのICA Proxy、PCoIP ProxyでGatewayを統合できるだけでなくセキュリティ強化も実現できる。
• 負荷分散機能も1台に統合 認証サーバが複数台ある場合でもBIG-IPの標準機能である負荷分散もそのまま実現。
NetScaler GatewayからAPMに移行するメリット
© F5 Networks, Inc 40
F5プロフェッショナルサービスについて
© F5 Networks, Inc 41
• F5製品に関わる技術支援、設計、設定導入、製品トレーニングなどを有償で行うサービスです。F5プロフェッショナルサービスコンサルタントが対応いたします。
• FirePass→APMマイグレーションだけでなく、他社のSSLVPN製品からの移行の場合、実現可能な内容をヒアリングしながらAPMの設定として導入をお手伝いいたします。
• FirePass→APMマイグレーションサービスは設定台数と設定規模・納期にもよりますが、1システムで約200万円~の定価となります。
F5プロフェッショナルサービス
