ブログ

Microsoft Azure Active Directory の条件付きアクセスと BIG-IP APM によるゼロ トラストの実現

F5 サムネイル
F5
2021年5月17日公開

パンデミックが発生する前から、多くの従業員が会社支給のデバイスや個人所有のデバイスを使用して、自宅、コーヒーショップ、外出先からアプリケーションやデータ リソースにアクセスしていました。 今日、多くの組織は、通勤時間の短縮、ワークライフバランスの実現、地理的にどこにでも居住できるようにするために、従業員がどこからでも働ける環境 (WFA) を提供しています。 組織が WFA を採用するのは、物理的な場所を統合したり、場合によっては閉鎖したりすることでコストを節約できるためです。 さらに、今では従業員はどこからでも生産性を発揮できることを認識しています。

WFA には確かに利点がありますが、この傾向により、アプリケーションとデータへのアクセスに対するシームレスなユーザー エクスペリエンスを確保しながら、リモート ユーザー アクセスに対して最も厳格なセキュリティ対策を有効にするよう企業に求めるプレッシャーが高まっています。 また、アプリケーションとそれへのアクセスは、ネイティブ クラウドや SaaS アプリなどの一部のアプリがパブリック クラウドにあり、その他のアプリがオンプレミス、データ センター、またはプライベート クラウドにあるというハイブリッドな状態がしばらく続くでしょう。 これにより、ユーザーにとっても組織にとってもアプリケーション アクセスがはるかに複雑になり、セキュリティを確保することが非常に困難になります。 また、アプリケーションがどこに存在するかに関係なく、すべてのアプリケーションにゼロ トラスト アーキテクチャを導入しようとしている組織には、より大きな負担がかかります。

クラシック アプリケーションやカスタム アプリケーションなどのほとんどのミッション クリティカルなアプリケーションは、クラウドに移行できません。 Oracle や SAP によって開発されたクラシック アプリケーションやカスタム アプリは、通常、SAML や OIDC などの最新の認証標準やプロトコルをサポートしていないか、サポートできません。ID フェデレーションやシングル サインオン (SSO) のサポートも利用できないことがよくあります。 多要素認証 (MFA) をサポートできないものも多くあります。 つまり、組織はユーザー認証の複数のポイントと方法を管理する必要があり、ユーザーはさまざまな資格情報と、さまざまな形式の認証およびアクセスをさまざまなアプリケーションに対して管理する必要があります。 これにより、従業員や請負業者にとって複雑でわかりにくいエクスペリエンスが生じ、管理者の作業負荷が増加し、IT サポート コストが増加します。

組織は、アプリケーションがホストされている場所に関係なく、すべてのアプリケーションへのシンプルで安全なユーザー アクセスを可能にする必要があります。 これにより、ユーザーがどこにいてもユーザー エクスペリエンスが向上すると同時に、管理者の作業も楽になります。

BIG-IP Access Policy Manager (APM) は、ユーザー、デバイス、アプリケーション、API に対する集中的なグローバル アクセス制御を可能にする、F5 の安全で拡張性の高いアクセス管理プロキシ ソリューションです。 Microsoft Azure Active Directory (AD)は、Microsoft の包括的なクラウドベースの ID およびアクセス管理プラットフォームです。

BIG-IP APM と Azure AD を連携させることで、パブリック クラウド、ネイティブ クラウドまたは SaaS アプリケーション、オンプレミス、データ センター、プライベート クラウドなど、ホストされている場所に関係なく、すべてのアプリケーションへのシームレスで安全なアクセスが可能になります。 統合ソリューションにより、従業員のアプリケーション アクセスが簡素化され、従業員のエクスペリエンスが大幅に向上するとともに、企業のアプリケーション アクセスのセキュリティ リスクが大幅に軽減されます。 これにより、従業員は、アプリケーションが最新の認証標準とプロトコルをサポートしているか、Kerberos やヘッダーベースの方法などの従来の認証方法をサポートしているかに関係なく、承認されたすべてのアプリケーションに安全にアクセスできるようになります。

BIG-IP v16.1 リリースでは、BIG-IP APM と Microsoft Azure AD は、BIG-IP APM ユーザー インターフェイス内に Azure AD 条件付きアクセス機能を統合することで、アプリケーション アクセス セキュリティを拡張します。

Azure AD 条件付きアクセスは、 Azure AD がシグナルを統合し、意思決定を行い、組織のポリシーを適用するために使用するツールです。 最も単純なポリシーは、「if-then」ステートメントです。 ユーザーがリソースにアクセスする場合は、設定されているポリシーを満たすか、それに準拠する必要があります。 条件付きアクセス ポリシーを使用すると、組織のセキュリティを維持するために必要なときに適切なアクセス制御を適用できます。

Microsoft Azure AD 条件付きアクセスがポリシー決定を行う際に考慮する一般的なシグナルには、次のものがあります。

  • ユーザーまたはグループのメンバーシップ
  • IP位置情報
  • デバイスの健全性
  • アプリケーションの種類
  • ユーザーとセッションのリスク

次に、それらの信号に基づいて、ユーザー アクセスを許可、付与、またはブロックするかどうかを決定します。 Azure AD 条件付きアクセスは、BIG-IP APM と連携して適用し、リアルタイムの評価が行われるポリシー エンジンとして機能します。

この新しいエクスペリエンスのスクリーンショットを以下に示します。

この新しい統合により、BIG-IP APM と Azure AD は次のことを実現します。

  • アプリに単一の使いやすいインターフェースを活用します。 BIG-IP APM のアクセス ガイド付き構成 (AGC) により、管理者は単一のインターフェイスを使用して、カスタム アプリケーションや Oracle E-Business Suite (EBS)、Oracle JD Edwards、SAP ERP などの従来のアプリケーションを含むすべてのアプリケーションにわたるポリシー制御を構成および管理し、簡単なオンボーディング エクスペリエンスを実現できます。
  • ユーザーがいつでもどこでも生産性を高められるようにします。 Azure AD 条件付きアクセスと BIG-IP APM の統合により、ユーザーは管理者が設定した条件を満たしている場合、クラウドベースのアプリやカスタム/クラシック アプリに簡単かつシームレスにアクセスできるようになります。
  • ユーザー認証を一元化: 管理者は、クラウドベースのアプリの認証方法とクラシック/カスタム アプリケーションのその他の認証方法を別々に管理する必要がありません。
  • 組織の資産を保護する: Azure AD と BIG-IP APM を統合することで、アプリとデータを安全に保つために、必要に応じて追加の適切なアクセス制御を適用できます。 BIG-IP APM は、アプリのリクエストごとにユーザーにアクセスを許可することで、さらに高度な保護を提供します。

F5 と Microsoft は、すべてのアプリケーションにゼロ トラストを導入および適応させるための最善の統合ソリューションを引き続き提供し、F5 は管理者にアプリのアクセス管理と構成を大幅に容易にするツールを提供し続けます。

BIG-IP APM と Microsoft Azure AD の共同ソリューションの詳細については、こちらをご覧ください。