F5 Edge クライアント 7.2.1: ネットワークと Webapplicationへのアクセスにおけるセキュリティの向上とユーザー エクスペリエンスの簡素化

F5 は最近、F5 Edge Client の新しいバージョン (v7.2.1) をリリースしました。 F5 Edge Client をご存じない方のために説明すると、これは自宅や遠隔地で働く従業員に企業ネットワークへのアクセスを提供するために使用される SSL VPN クライアントです。 これは、applicationsと API への集中アクセス制御を提供し、アイデンティティ認識プロキシ (IAP) 用に構成されている場合はゼロ トラストapplicationアクセスも可能にする、F5 の安全で拡張性の高いアクセス管理プロキシソリューションである BIG-IP Access Policy Manager (APM) とともに使用されます。 F5 Edge クライアントは、在宅勤務者やリモート ワーカーのリモート アクセスを保護します。 F5 Edge クライアントは、Apple macOS および Microsoft Windows で利用できます。 (F5 は、Apple iOS、Google Android、Chrome OS プラットフォーム向けの SSL VPN クライアント (F5 Access クライアント) も提供しています。 F5 Access クライアントは、それぞれ Apple App Store、Google Play ストア、Chrome Web ストアからダウンロードできます。

以前のバージョンの F5 Edge Client では、リモート接続、セキュリティ保護、および遅延の影響を受けやすいapplicationsのトンネリングのために、データグラム トランスポート層セキュリティ (DTLS) バージョン 1.0 がサポートされていました。

F5 Edge Client 7.2.1 では DTLS 1.2 がサポートされるようになりました。これにより、企業や政府機関、省庁は新しいコンプライアンス要件を満たし、多くのセキュリティ制限がある DTLS 1.0 の使用をやめることができます。 DTLS 1.2 を使用すると、クライアント/サーバーapplicationsは盗聴、改ざん、メッセージの偽造を恐れることなく通信できます。

このバージョンのもう 1 つの新機能により、名前ベースのスプリット トンネリング構成を DNS 負荷分散されたサービスで使用できるようになります。 これにより、後続の名前解決で異なる IP アドレスが生成された場合でも、ストリーミング サービスで使用されるような長時間の接続を継続できます。

組織は、BIG-IP APM を導入して、従業員、請負業者などのユーザーにネットワークへのリモート アクセスを提供し、エンタープライズapplicationsへの安全なリモート アクセスを提供します。 ユーザーの摩擦を減らし、俊敏性を高めるために、組織は、ユーザーが複数回ログインする必要なく、Webapplicationsとネットワークへのシームレスなアクセスを提供する必要があります。 新型コロナウイルス感染症の流行により、在宅勤務やリモートワークを余儀なくされるユーザーの数が急増していることを考えると、これは特に重要です。

F5 Edge Client 7.2.1 の最も魅力的な新機能は、Web およびリモート アクセスapplications全体でシングル サインオン (SSO) を提供できることです。

F5 Edge Client 7.2.1 は、Open Authentication (OAuth) 認証コード フローを使用して、OAuth 認証サーバーからアクセス トークンを取得します。 このアクセス トークンは、BIG-IP APM への認証に使用され、組織のエンタープライズ ネットワークへの安全なリモート アクセスが実現します。 F5 Edge Client 7.2.1 は、準拠する任意の OAuth 認証サーバーで動作し、Azure AD、Okta、Google、および Ping Identity 認証サーバーで検証されます。

この新しいバージョンの F5 Edge クライアントは、OAuth 認証コード フローを利用することで、ユーザーの外部ブラウザーに認証を委任します。 ユーザー認証は外部ブラウザ経由で実行されるため、F5 Edge Client は、組織の認証サーバーでサポートされる可能性のある、次のようなすべての新しい最新の認証方法をサポートできるようになりました。

• 指紋スキャンや顔認識、PIN などの生体認証を使用した、登録済みの Microsoft Windows デバイスからのパスワードなしの認証。
  
• 2Yubico の YubiKey など、 Universal 2 ^nd Factor (U2F)仕様に準拠した²要素認証システム。 U2F デバイスは、クライアント側のソフトウェアやドライバーを必要とせずに、Web ベースの登録フローを通じて登録できます。
• サードパーティ製または組み込みの認証子を使用して、任意の Windows または macOS デバイスからFIDO2認証を実行できます。これらの認証子を有効にするために追加のドライバーやクライアント側ソフトウェアは必要ありません。

F5 Edge Client 7.2.1 を使用すると、ブラウザで認証を実行し、FIDO2 認証を利用することで、企業はセキュリティの強化、使いやすさと利便性の向上、エンドユーザーのプライバシーの向上、スケーラビリティなど、さまざまなメリットを実現できます。

FIDO2 暗号化ログイン資格情報はユーザーのデバイスから外部に送信されることはなく、サーバー上に保存されることもありません。 したがって、フィッシング、あらゆる形式のパスワード盗難、リプレイ攻撃に関連するリスクが排除されます。

ユーザーは、デバイス上の指紋リーダーやカメラなどのシンプルな組み込み方法、または使いやすい FIDO セキュリティ キーを利用して、暗号化されたログインログイン資格情報のロックを解除できます。 ユーザーは、自分のニーズに最も適し、組織のポリシーに準拠したデバイスを選択できます。 また、認証コンテキストはブラウザ内で維持されるため、ユーザーは F5 Edge クライアントを使用して組織のネットワークに接続した後、Webapplicationにアクセスしようとするときに再度ログインする必要がありません。

FIDO 暗号キーはサイトごとに固有であるため、サイト間でユーザーを追跡することはできず、ユーザーのプライバシーが強化されます。 さらに、生体認証データは、使用されると、ユーザーのデバイスから外に出ることはありません。

最後に、FIDO 2 認証子は、Web ベースのワークフローを通じて登録および有効化できます。 これにより、展開を非常に簡単に拡張できるようになります。

BIG-IP Edge Client は、13.1.0 以降を実行している BIG-IP APM にインストールできるスタンドアロン パッケージとして利用できます。 F5 Edge Client の最新バージョン (v7.2.1) の詳細については、リリース ノート、互換性マトリックス、および管理ガイドを参照してください。