NetScalerは、モバイル環境におけるデータやペイロードの大幅な高速化と最適化を実現するほか、多くの顧客の最大の関心事であるモバイルセキュリティを大幅に改善します。ユーザーがモバイルデバイス経由で様々な接続ゾーンからリモート接続を行う場合、ネットワーク内でのセキュリティの自動化と強制を実施しない限り、それらのユーザーがベストプラクティスに従っていることを保証するのは困難です。NetScaler MobileStreamテクノロジーを使うと、モバイル通信向けのセキュリティを向上させ、通信とデータ転送を確実に保護できるようになります。この記事では、NetScaler MobileStreamによるモバイル通信向けの完全なセキュリティの提供方法について紹介します。

NetScaler MobileStreamは、保護とデータ漏洩防止に関するあらゆる側面を注視することにより、モバイルセキュリティを大幅に強化します。通信を「接続の確立とAAA認証」および「アプリケーションアクセスとデータ転送」という2つのセグメントに論理的に分割した場合、これら2つのフェーズの全体を通じてセキュリティと保護を実現するためには、各種のテクノロジーを結合する必要があります。

接続の確立とAAA認証

セキュリティと保護は、ユーザーがネットワークを通じて最初のパケットを受信する時点から開始する必要があります。ユーザーがネットワークへの接続を行う前であっても、通信チャネルを悪用するようなフラッド攻撃やDDoS攻撃などがいくつか存在します。我々は、単一の接続を通じてシステム全体をダウンさせるようなレイヤ3およびレイヤ4攻撃に関する非常に高度な保護を提供しています。また、我々は、ネットワークレイヤの保護やフィルタリングに役立つ高度なACLやリスンポリシーも提供しています。

接続に成功した後、モバイルデバイスがアプリケーションにセキュアな方法でアクセスできるようにする必要があります。現在、多くのアプリケーションがSSL経由で動作しており、その場合には通信は暗号化されていますが、オープンなネットワーク経由での通信もまだ行われています。企業リソースへのあらゆるアクセスを保護し一元管理することを目指している企業にとっては、セキュアなトンネル化されたインフラストラクチャーを提供することが非常に重要です。NetScalerおよびXenMobileのMicro-VPNテクノロジーを使うと、モバイルデバイスが企業インフラストラクチャーとの間にMicro-VPNトンネルを作成することにより、セキュアなアプリケーションアクセスが行えるようになります。Micro-VPNはアプリケーションレイヤで動作するテクノロジーであり、デバイスレベルで動作する従来型のVPNテクノロジーとは異なります。ユーザーがモバイルデバイスを通じて企業アプリケーションをオープンするたびに、同デバイスはMicro-VPNトンネルを作成し、このトンネルの内部ですべてのデータ転送が保護されることになります。これはモバイルデバイス上でセキュリティを実現するよりスマートで適切な方法です。なぜなら、モバイルデバイス上には多くのパーソナルなアプリケーションも存在しており、ユーザーはこれらのアプリケーションを使う際には企業トンネルを経由しないことを希望するためです。Micro-VPNテクノロジーを使うと、1つのモバイルデバイス上で仕事向けの環境とプライベート用の環境を完全に隔離することにより、セキュアな接続とデータ転送を実現できます。

セキュアに接続した後、次の大きなタスクは、AAAを効率的に使用することです。AAA (Authentication、Authorization、Accounting)とは、ユーザーが誰でありどんなアクセスレベルを付与すべきかを確定するために、あらゆる高度なユーザー認証および権利認証を提供する仕組みのことです。今日、我々は非常に多くの種類のアプリケーションを利用していますが、各アプリケーションがそれぞれ異なる認証チャネルを通過するような場合もあります。我々は、NTLMやKerberosのような旧式のWindowsベースの認証プロトコルを、Webアプリケーション向けのフォームベースの認証に対応するように拡張しています。また、クラウドアプリケーションやクラウドサービスを使用する場合のために、我々はさらに多くのよりスマートで柔軟性の高い認証テクノロジーをサポートしています。さらに、認証メカニズムの1つであるSAMLがサービスベースのモデルのバックボーンとなっているため、我々はこれらのあらゆる混在モードの認証テクノロジーをサポートしています。しかし、フロントエンドの認証だけで話は終わりません。ユーザーが個別に認証を試みるような、非常に多くのアプリケーションが存在するためです。したがって、ユーザーを認証した後、そのユーザーが他のアプリケーションにアクセスできるようにするためのシングルサインオン(SSO)を可能にする必要があります。しかし、課題はここで終わりではありません。なぜなら、各種のアプリケーション固有のテクノロジーに関してユーザー向けのSSOを実施する必要があるためです。これこそがNetScaler MobileStreamテクノロジーの最も得意とする分野であり、Kerberos Constrained DelegationSAML IDPなどのテクノロジーを利用することで、より広範なSSOニーズに対処できます。

アプリケーションアクセスとデータ転送

セキュアな接続に成功し、アプリケーションやデータへのアクセスを許可されたら、次に、アプリケーションのデータ転送チャネルをDoS攻撃や各種のデータプライバシー攻撃から確実に保護する必要があります。この時点で、データフローとプロトコルに関する完全なインテリジェンスを備えたレイヤ7プロキシを提供することが必要となります。企業の観点からは、モバイルデバイス上で最も利用されているアプリケーションは電子メールです。電子メールは最も広範に利用されているアプリケーションですが、攻撃を受けやすくデータを盗まれる可能性が高いアプリケーションでもあります。NetScalerでは、ネイティブのActiveSync Proxyをサポートしており、すべてのインバウンドActiveSyncトラフィックに関する終端ポイントおよびポリシー実施ポイントとして動作することにより、モバイルクライアント向けのネイティブな電子メールサービスを実現しています。このような構成を利用すると、バックエンドのExchangeを保護するための重要なレイヤを提供できるほか、管理者が各種のパラメータに基づいて電子メールへのアクセスを制御できるようになります。例えば、これらのパラメータでは、使用されているデバイスが脱獄デバイスであるかどうか、望ましくない地理的エリアに存在しているかどうか、コンプライアンスに違反しているかどうかなどをチェックできます。

NetScalerは、モバイルデバイス経由での純粋なWebアクセスを保護するために各種のレイヤをサポートしています。モバイルデバイス経由でのWebアクセスを保護することは、企業ユーザー向けのクリティカルなユースケースの1つです。モバイルコンテキストにおいては、すべてのものがWeb経由で実行されるため、レイヤ7のDDoS攻撃から企業ネットワークを保護することが、ネイティブなWeb攻撃からの保護と同じくらい重要となります。この数年間、我々はWebレイヤにおけるslow攻撃の変種を非常に多く確認しています。この攻撃は、プロトコルによる正常性の判定機能を悪用するものであり、正常で合法的な要求と不正な要求との違いを区別するために消費されるリソースの量を過剰に増大させることで、サービスをダウンさせることを目的としています。NetScalerは非常にリッチなレイヤ7攻撃保護機能を提供しており、これらの機能を使うと、Web/アプリケーションへのアクセスをこれらの攻撃から保護できるだけでなく、クライアントが合法的であるかどうかを動的にチェックできます。Webアプリケーションに対する攻撃クライアントのほとんどは自動化されているため、それらを特定し排除するインテリジェントな方法を使用することが非常に有効となります。コアな保護機能とともに、コンテンツ解析に基づいてインテリジェントな応答を生成する機能や、レイヤ7レベルでの着信トラフィックに対するレート制限を実施する機能などを利用することで、合法的なクライアントに適切なプライオリティとリソースが割り当てられることを常に保証できます。

NetScalerでは、AppQoE (Application layer Quality of Experience)機能を導入しており、この機能を使うことで、最適化されたエクスペリエンスをエンドユーザーに提供できるほか、バックエンドの保護を実現できます。最も注目すべき点は、この機能によりアプリケーションの単一制御点を提供できるということです。また、この機能を使うと、アプリケーションレベルにおけるキューサイズを調節することや、複数のサービス間で適切なアプリケーションにプライオリティを割り当てることもできます。さらに、アプリケーションエンドポイントに適用されるHTTP DoS攻撃向けの保護機能も組み込まれています。このモジュールは、応答を効率的に生成する場合にも役立ちます。着信要求に問題があることを特定した場合、ネットワーク経由での当該要求の処理速度を低下させることや、クライアントを検証するためのJavaScript応答を生成することもできます。モバイルユースケース向けに新しく設計されたこのモジュールが提供する主なメリットを以下に示します。

  • リクエストの優先順位付け
  • オブジェクトレベルでの優先順位付け
  • リソース割り当ての制御
  • すべてのクライアントに関する許可制御
  • クライアントをビジー状態に保つための代替コンテンツの提供
  • 複数の接続間における優先順位の設定
  • 要求処理情報の可視性を実現
  • トラフィック分類のための高度な式が利用可能
  • アプリケーションレイヤでHTTP/L7  DDoS攻撃からの保護を実施
  • 組み込み型の応答によりDoS攻撃を軽減
  • DoS攻撃に対するカスタム応答を生成可能

さらに、我々は、通常Webアプリケーションファイアウォールにより処理されるWeb脆弱性やWeb攻撃にも対処する必要があります。NetScalerは、Web/XMLレイヤに対する既知または未知の攻撃に対する防御を行うアプリケーションファイアウォールを実装しています。このモデルは、モバイルクライアントを含むあらゆる接続に対して高い効果があります。最良の保護を確実に提供するためのワークフローを以下の図に示します。

我々のモデルでは、シグネチャを通じて既知の攻撃に対する迅速な防御が可能となります。この防御機能の起動と実行は1~2分で簡単に行えます。続いて、アプリケーションレイヤでの学習を実施し、学習済みのルールと保護動作を配備できます。これらの保護がすべて適用される以外にも、ライフサイクル管理ではアプリケーションのオーナーや開発者を支援するために、すべての機能を通じて生成される多くのログが存在することを忘れないでください。

これまでもずっとセキュリティは企業にとって重要な分野でしたが、ユーザーがモバイルデバイス経由でリモート接続を行うようになったことが原因で、過去にはなかった新しいタイプの問題が発生しています。NetScaler MobileStreamのような総合的なソリューションを使うと、モバイルユーザーとモバイル通信に対応したエンドツーエンドの完全なセキュリティを提供できるようになります。

※この記事は以下の日本語訳になります。

/blogs/2014/05/06/netscaler-mobilestream-delivering-secure-data-and-application-access/