ホワイト ペーパー

F5 BIG-IPプラットフォームによるExchangeモバイル デバイスのセキュリティの強化

Updated November 20, 2012
  • Share via AddThis

はじめに

職場でのモバイル デバイスの利用が拡大し続ける中、企業資産を脅かすリスクと、これらのリスクを緩和する必要性も同様に高まっています。多くの組織にとって、Microsoft Exchangeなど、企業資産へのモバイル デバイスによるリモート アクセスを提供することは、単に贅沢なことではなく、ビジネス要件となっています。このため、管理者は、モバイル ワーカーが求める要件と企業資産を保護する必要性のバランスをとる方法を見つけなければなりません。幸いなことに、F5 BIG-IPアプリケーション デリバリ コントローラ(ADC)がお役に立ちます。

このドキュメントでは、F5® BIG-IP® Access Policy Manager®(APM)とF5® BIG-IP® Application Security Manager™(ASM)を利用して、Exchange 2010モバイル デバイスのセキュリティを大幅に強化するためのガイダンスを提供します。

免責事項と前提条件

このガイダンスでは、Exchange 2010環境でモバイル デバイスを保護するための試験済みの機能的ソリューションを紹介しますが、利用可能なすべてのオプションを網羅しているわけではありません。BIG-IP製品ライン(F5® BIG-IP® Local Traffic Manager™(LTM)、APM、ASMなどを含む)の最大の強みは、その柔軟性にあります。この技術概要の主な目的は、実用的なガイダンスを提供するだけでなく、BIG-IP製品の能力と柔軟性を紹介することにもあります。対象読者は、BIG-IP LTMの一般的な管理知識を持ち、BIG-IP APMおよびASMモジュールに精通していることを前提としています。

本概要で説明するガイダンスの構成およびテストを目的として使用したBIG-IP製品およびソフトウェアは以下のとおりです。

 

製品 バージョン
BIG-IP Local Traffic Manager(LTM) バージョン11.1および11.2
BIG-IP Access Policy Manager(APM) バージョン11.1および11.2
BIG-IP Application Security Manager(ASM) バージョン11.1および11.2
Apple iPhone 4および4S iOSバージョン5.1.1
Windows Phone 7:Dell Venue Pro OSバージョン7.0.7392.212

追加資料

BIG-IP Access Policy ManagerとActiveSync

クライアント アクセス サーバー(CAS)の役割は、Exchange 2010のすべてのクライアント トラフィック(モバイル デバイスを含む)のアクセス ポイントとして機能することです。具体的には、大多数のモバイル デバイスは、Exchange ActiveSyncを使用してメールボックス情報にアクセスします。セキュリティ侵害を受けやすいモバイル デバイスからの企業環境へのアクセスを許可することは、重大なリスクとなります。このため、ユーザーだけでなくデバイスの認証と承認も行う多要素ソリューションを導入することが重要です。

BIG-IP APMモジュールは、BIG-IPシステム上に配置され、BIG-IP LTMのリバースプロキシ機能と連携して、ビジネスに不可欠なアプリケーションに安全な事前認証(エンドポイント検査を含む)を提供します。トラフィック管理の判断はネットワーク境界でグループごとまたは個別に行い、適用することができます。次のセクションでは、ActiveSyncポリシーやリモート デバイス ワイプなどの組み込みのExchangeセキュリティ機能を使用できるようにしながら、BIG-IP APMモジュールを使用してユーザー名とパスワード、デバイスID、クライアント証明書に基づいてアクセスを提供します。

ユーザー名とパスワードの認証:「ユーザーが知っていること」

Exchange 2010 CASの構成

BIG-IPシステムへのSSLオフロード(および事前認証)を容易にするため、Exchange ActiveSyncの構成とポリシーではデフォルト設定を使用します。

iAppsの初期構成

BIG-IP APMの構成と導入を成功させるには、まずF5® iApps®を使用します。バージョン11.0で初めて利用可能になったiApps(F5 iApps:ネットワークを超えたアプリケーション デリバリへの移行)は、ビジネスに不可欠なアプリケーションをネットワーク上に迅速に展開するための効率的で使いやすい手段を提供します。

以下の図では、このガイダンスの出発点として、Exchange 2010 iAppを使用してExchange環境を展開します。ベースとなるiAppで、メニュー方式の構成画面を使用して、Exchange ActiveSyncへのアクセスを含むExchange 2010 CAS環境へのアクセスを構成します。

BIG-IP APMの構成は、iAppを介して行います。

完成した展開を以下に示します。

このBIG-IPシステムの基本構成では、ロード バランシング、圧縮、キャッシング、セッション パーシステンスなどの高度なトラフィック管理および最適化機能を利用できます。さらに、Outlook Web Access、Outlook Anywhere、Exchange ActiveSyncからのトラフィックを含む、すべてのWebベースのトラフィックの事前認証を利用できます。認証情報(ユーザー名とパスワード)は、BIG-IPシステムによって要求されてBIG-IPシステムに渡され、これによりActive Directoryに対してユーザーを認証します。適切に認証されたユーザーのみが、組織の内部環境へのアクセスを許可されます。

デバイスIDの検証:「ユーザーが持っているもの」

多くの組織は、セキュリティ ポスチャをさらに強化するために、会社のメールへのアクセスを、事前に承認したモバイル デバイスからのみに制限したいと考えています。このような承認済みデバイスは、特定のユーザーに割り当てたり、必要に応じてユーザーに提供できるデバイスのプールに含めたりすることができます。BIG-IP APMの柔軟性と、モバイル デバイスに関連付けられた固有のデバイスIDを利用して、ユーザー名とパスワードの両方と物理デバイスに基づいてアクセスを実行するように先ほど構成したExchangeの展開を容易に変更できます。

iAppで作成した展開の変更

BIG-IP構成を変更する前に、iAppで作成した構成を、iApp以外で更新できるように設定する必要があります。それには、目的のアプリケーション サービスのプロパティを変更します(以下を参照)。

デバイスの検証方法1:「組織デバイス プール」

BIG-IPシステムは、認証プロセスで承認済みデバイスのプールを使用するように構成できます。認証されたユーザーが承認済みデバイス(共有プールに含まれているデバイス)を使用してExchange環境にアクセスする場合のみ、モバイル アクセスを許可します。この方法では、承認済みデバイスの一元化されたプールを利用して、必要に応じて管理者が柔軟に個々のエンド ユーザーにデバイスを「チェック アウト」できます。
現在のBIG-IP展開で、以下の手順を実行します。

現在のBIG-IP展開で、以下の手順を実行します。

  1. 関連するすべてのデバイスIDを含むデータ グループ リストを作成します。

  1. 既存のアクセス ポリシーを使用します

  1. F5 iRuleを作成し、Exchange HTTPS仮想サーバーに関連付けます。iRuleによって、クライアント接続のデバイスID(HTTPクエリに含まれる)と、先ほど作成したデータ グループ リストに保存されているデバイスIDが比較されます。デバイスIDが許容可能なデバイスのリストに含まれていない場合、セッションが終了し、アクセスは拒否されます。

Base64エンコーディングに関する注意事項:異なるモバイルOSベンダ(Apple iOS、Android、Windows Phoneなど)がActiveSyncにアクセスする方法や範囲は異なる場合があります。Windows Phone 7などの一部のデバイスでは、Base64エンコーディングが使用されており、デバイスIDを識別するためにデコードする必要があります。上記のiRuleは、HTTPクエリが必要に応じてエンコードおよびデコードされるかどうかを決定します。

デバイスの検証方法2:「個別のユーザー/デバイスの検証」

前の例ほど単純ではありませんが、BIG-IP APMを使用してActive Directoryでユーザー属性を照会できます。アクセス セキュリティのためのユーザーとデバイスのマッピングを容易にするために、Exchange 2010のカスタム属性を使用して、ユーザーごとに許容可能なデバイスIDを保存できます。続いて、認証プロセス中に、BIG-IP APMがこれらのユーザー属性を照会して、モバイル デバイスのアクセスを実行できます。
現在のExchange 2010/BIG-IP展開で、以下の手順を実行します。

現在のExchange 2010/BIG-IP展開で、以下の手順を実行します。

  1. ユーザー メールボックスのカスタム属性に、特定のユーザーの許容可能なデバイスIDを指定します。以下の例では、3つのデバイスを特定のメールボックスに割り当てることができます。デバイスIDは、「カスタム属性」1、2、および3に保存できます。

  1. 既存のBIG-IP APMのアクセス ポリシーを変更します。現在のセッションがActiveSyncかどうかを特定するように空の要素を構成します。

  1. セッションがActiveSyncの場合、ユーザーの属性のADクエリを実行して、セッション変数としてデバイスIDを取得するマクロを使用します。

  1. iRuleを作成し、Exchange HTTPS仮想サーバーに関連付けます。iRuleによって、クライアント接続のデバイスID(HTTPクエリに含まれる)と、セッション変数が比較されます。クライアント デバイスIDがユーザーに事前に割り当てられたデバイスのいずれかと一致しない場合、セッションが終了し、アクセスは拒否されます。

デバイスIDの検証:「ユーザーが持っているもの」

モバイル デバイスを保護するための最も困難な(その結果、滅多に使用されない)方法の1つは、クライアント側の証明書を使用することかもしれません。Exchangeのネイティブ実装では、個々の証明書を作成してActive Directoryに保存し、各デバイスに配布する必要があります。さらに、CASアレイに対してこの種類の認証を有効にするには、CASサーバーに到着するトラフィックを暗号化する必要があります。

BIG-IPシステムには、内部のCASサーバー ファームを宛先とするトラフィックを再暗号化する機能があり、さらにクライアント側の証明書認証のSSLプロキシとしても機能します。一方、BIG-IP APMは、CASアレイからSSL処理をオフロードしながら、クライアント側の証明書を要求して検証する手段を提供します。以下の例では、ユーザー名とパスワードの認証とともに証明書ベースの検証を実装する方法を示します。

  1. 現在のクライアントSSLプロファイルを変更して、事前にBIG-IPシステムにインポートされた認証機関(CA)証明書を持つ信頼されたCAを含めます。この例では、信頼されたCAは「F5DEMO」です。

  1. 既存のBIG-IP APMアクセス ポリシーを変更します。「オンデマンドの認証機関」要素を含めます。ユーザーが認証情報(ユーザー名とパスワード)で正常に認証されると、BIG-IP APMはSSL再ハンドシェイクを実行して、上記の信頼されたCAに対してクライアント証明書を検証します。検証に失敗すると、セッションが終了し、アクセスは拒否されます。

認証方法の組み合わせ:「多要素認証」

ここまでの例では、BIG-IP APMがユーザー名とパスワード、デバイスID、およびクライアント証明書を使用してモバイル デバイスをどのように認証するかを示しました。BIG-IP APMは、このようなさまざまな方法を1つの多要素認証ソリューションにまとめることで、Exchange ActiveSyncへの安全で管理が容易なアクセスを提供します。以下の図は、ここまでに説明した方法を組み合わせた一般的な認証フローと、デバイスの種類に基づいた決定を示しています。

  1. ユーザーは、ユーザー名とパスワードを使用してActive Directoryに事前に認証されています。
  2. セッションでActiveSyncを使用している場合、デバイスIDは、ユーザーの属性と、許容可能なデバイスのリストと比較されます。
  3. デバイスの種類がチェックされます。
  4. デバイスの種類がiPhoneの場合、有効な証明書を求められます。

BIG-IP Application Security ManagerとActiveSync

Exchangeモバイル デバイスのアクセスに適切なセキュリティ コントロールを実装するには、認証と承認以外にも必要なものがあります。組織のセキュリティ ポスチャをさらに強化するには、トラフィック フロー(認証済みソースからのトラフィックを含む)を効果的に監視し、管理する必要があります。外部ソースからのトラフィックのほとんどは、従来のレイヤ3ファイアウォールを経由して企業ネットワークに流入するため、アプリケーション レイヤ ファイアウォールまたはWAFを実装する必要があります。BIG-IP ASMなどのWAFは、アプリケーション層で動作し、HTTPペイロードを分析してこれに従って機能し、企業資産を保護します。

BIG-IP ASMモジュールはBIG-IPシステム上に配置され、このモジュールを使用することで、レイヤ7 DoSおよびDDoS、SQLインジェクション、クロスサイト スクリプティングなどにとどまらない多くの脅威からExchange環境を保護することができます。

次のセクションでは、Exchange ActiveSyncで使用するためのBIG-IP ASMモジュールの構成方法を説明します。

ActiveSyncのセキュリティ ポリシー

BIG-IP ASMは非常に堅牢なアプリケーションであるため、導入に時間がかかる恐れがあります。しかし幸いなことに、F5は、必要な時間と労力を大幅に削減するために、構成済みの多くのテンプレートを開発しました。これはExchange ActiveSyncにも該当します。BIG-IP ASM for Exchange ActiveSyncを実装するには、以下の手順を実行します。

  1. [Application Security]メニューから、[Security Policies]を選択して、新しいポリシーを作成します。
  1. [Existing Virtual Server]、[Next]の順に選択します。

  1. [HTTPS]、既存のExchange仮想サービス、[Next]の順に選択します。
  1. [Create a policy manually or use templates (advanced)]、[Next]の順に選択します。
  1. ポリシー言語を選択します。通常は[Western European (iso-8859-1)]です。次に、[ActiveSync v1.0 v2.0(https)]、[Next]の順に選択します。
  1. [Finish]を選択します。
  • この時点でセキュリティ ポリシーが作成され、Exchange仮想サーバーに適用されます。ただし、設計上、ポリシーは「透過的」な実施モードで実装されています。ポリシーはトラフィック(イングレスとエグレスの両方)を監視していますが、何も措置を講じることはありません。これにより、管理者はユーザーに影響を与えることなくポリシーを調整できます。

  1. ポリシーを許容できるレベルに調整したら、そのポリシーを「透過的」から「ブロック」に切り替える必要があります。[Blocking]のラジオ オプション、[Save]の順に選択します。

  1. [Apply Policy]を選択して、変更を確定します。
  • BIG-IP ASMポリシーが「ブロック」モードで動作するようになりました。

まとめ

増え続けるモバイル ワーカーがアプリケーションにアクセスできるようにすることは、多くの組織にとって急速にビジネス要件となりつつあります。これらのアプリケーションの高可用性と高い安全性の両方を確保することは、絶対的に不可欠です。BIG-IP APMおよびBIG-IP ASMアプリケーション デリバリ コントローラは、ビジネスに不可欠なアプリケーションの可用性の高い安全な展開を実現するように設計されています。具体的には、BIG-IP APMの多要素認証メカニズムと、BIG-IP ASMの堅牢なレイヤ7ファイアウォール機能を組み合わせることで、Exchangeモバイル デバイスの優れたセキュリティを達成します。