|
|
|
Insider's
Eye| 本記事は、(株)メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』 2004年5月15日号 p.40の「ISA Server 2004でファイアウォールを徹底強化」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。 |
ファイアウォール/コンテンツ・キャッシング・アプリケーションの「Internet Security and Acceleration Server 2004 Standard Edition(以下ISA Server 2004)」は、現行バージョンのISA 2000より広範なネットワーク・コンフィギュレーション・オプションをサポートし、全体的なセキュリティ、仮想プライベート・ネットワーク(VPN)サポート、管理インターフェイスが強化されている。現在ベータ段階で、出荷は2004年中ごろの予定だ。しかし、Webサービスを選択的にフィルタリングする機能はなく、Microsoftの将来戦略に極めて重要な意味を持つVoice-over-IP(VoIP)について、サポートされていないシナリオがいくつかある。
|
||||
Microsoftはさまざまな側面からセキュリティに取り組んでいる。例えば、コードに内在する脆弱性の発見および修正、製品に含まれる不必要なサービスの削除または無効化、危険な電子メール添付ファイルの遮断、ウイルス・スキャナへの情報提供、より強固な認証手法のサポート、スパム対策、ネットワーク・データと格納データの双方での署名と暗号化のサポートなどだ。
不可欠なファイアウォール強化
専用ネットワークとインターネットの境界警備が、セキュリティの決定的な要素の1つであることは、いまも変わらない。そこではファイアウォールが重要な役割を担う。ファイアウォールは、コーポレート・ネットワークとインターネットの間を行き来するトラフィックを監視し、一定のルールに合致するものだけを通過させるサーバやアプリケーションである。
ISA ServerはMicrosoftの主力ファイアウォール製品だ。異機種環境の大規模組織で必要とされる機能を取り込みながら、洗練された製品へと進化してきた。
ところが、ファイアウォールに対する要求は、それ以上に増大しつつある。コーポレート・ネットワークにアクセスするモバイル・ユーザーが増加する中、接続するマシンに何らかの不正行為が及べば、VPNにもセキュリティの脆弱性が生じる。各種のWebサービスや、Exchange Server 2003のRPC-over-HTTPのようなHTTP内部をトンネルするプロトコルは、通常のWebブラウジング・トラフィックに見えながら、アプリケーション・コードをインターネットに公開・提供する。今日のファイアウォールは、VPNと連携し、正規のHTTPと正規でないHTTPの識別が可能でなければならない。
ISA Server 2004の新機能
Trustworthy Computing(信頼できるコンピューティング)の提唱以来、Microsoftのサーバ製品はいずれも全面的な開発サイクルに突入したが、ISA Server 2004はセキュリティの徹底的な見直しが行われた最初のバージョンだ。その結果を評価するのはまだ早いが、全面的な見直しにより、セキュリティの脆弱性はある程度削減され、パッチ適用の必要性も少なくなったはずだ。
ISA Server 2004は、基本的に1つの例外を除き、ISA Server 2000のインクリメンタル・アップグレードとなる。例外とは、大幅なアーキテクチャ的変更が行われたマルチネットワーク・サポートである。
マルチネットワーク・サポートで柔軟性とセキュリティが改善
ISA Server 2004は2つ以上のネットワーク・インターフェイスをフルサポートすることが可能になった。この機能は、インターネットからアクセス可能なサーバを社内ネットワークから切り離す境界ネットワーク(DMZ:非武装ゾーンとも呼ばれる)を構築するときに便利だ。DMZは2台のファイアウォールの間にインターネットからアクセス可能なサーバを置けば構築できる。だが、単独のファイアウォールの第3アダプタにDMZを接続する方が、管理が簡単で、障害発生の可能性があるポイントを減らすことができるし、コストもかからない。マルチネットワーク・サポートはまた、ファイアウォールが社内ネットワークの異なるブランチ間でデータ通信をフィルタリングする必要があるときにも役立つ。
ISA Server 2000でも第3のネットワーク・アダプタをサポートすることは可能だが、その構成の場合、いくつか致命的な欠点がある。ISA Server 2000は専用DMZ IPアドレスとインターネット間で、ネットワーク・アドレス・トランスレーション(NAT)を実行できない。そのため、DMZサブネットはコストの高いグローバルIPアドレスを利用しなければならない。さらに、ファイアウォールのアプリケーション・レベルのプロキシやダイナミック・パケット・フィルタは、インターネットとDMZ間のトラフィックを処理、あるいはログすることさえできない。そのため、セキュリティはISA Serverの貧弱な静的パケット・フィルタで確保するほかない。インターネットとDMZの間のセキュリティは、残念ながら一般的なルータが提供する以上のものにはならない。
一方、ISA Server 2004の新しいマルチネットワーク・サポートは、もっと柔軟で安全なものだ。各インターフェイスのネットワークを出入りするトラフィックごとに、異なるアクセス・ポリシーを適用できる。管理者はISA Server 2004のパケット・フィルタやプロキシを使って、検査ルールを設定することが可能だ。また、専用IPアドレスは複数のインターフェイス上で制限なく利用できる。特定のインターフェイスからほかのインターフェイスへデータを渡すとき、必要に応じて管理者はパケットをルーティングするか、あるいはNATを利用するか決められる。VPN経由でインターネットから接続するユーザーも、固有のアクセス・ポリシーを持つ別のインターフェイス上に存在するものとして扱われる(複数のネットワーク・インターフェイスの構成については、図「マルチネットワーク・サポート」を参照)。
 |
| マルチネットワーク・サポート |
| 新しい管理インターフェイスを利用して、管理者はISA Server 2004のさまざまなマルチネットワーク・シナリオを設定することが可能だ。図のウィンドウは、ネットワーク・コンフィギュレーション・プロパティを示している。管理者はここで物理および仮想インターフェイスのプロパティを表示、設定することができる。 |
ISA Server 2004はまた、ダイナミック・パケット・フィルタとプロキシを使って、ファイアウォール上で実行されるアプリケーションとの安全なネットワーク通信を実現する。ISA Server 2000の場合、そうしたタスクに静的パケット・フィルタしか使えなかった。ファイアウォールが実行するのは、通常、その役割に必要なサービスのみだが、いくつかのサービス、例えばバックアップ・エージェントやウイルス・スキャナなどは、より高いレベルの特権が必要で、脆弱性ポイントを生じることなくほかのサービスと通信できなければならない。ISA Server 2004が、ファイアウォール・サーバ上で主要なアプリケーション(Exchange、SQL Server、SharePoint)を実行するSmall Business Server (SBS)Premium Editionとともに出荷されるとき、こうした機能が重要になる。
高度なVPN統合
|
||||
ISA Server 2004は、Windows Serverの標準機能であるRouting and Remote Access Services(RRAS)のVPNアクセス機能と高度に統合化された。ISA Server 2000には、RRASを正しく設定し、適切なパケット・フィルタを追加して、VPN接続がファイアウォールを通過できるようにするためのウィザードが含まれている。ところが、そこから先は、ISA 2000、RRASとも独立的に動き、ISA 2000はVPN接続のログを取ることもしない。
対照的にISA 2004は、VPNファイアウォールとの統合化をさらに進め、より厳格なセキュリティ、統合ロギング、隔離サポート、そしてより多彩なVPNトンネリング・オプションを提供している。
■ステートフルVPNインスペクション
ISA Server 2004は、VPNクライアントからの要求をチェックし、VPNを利用するユーザー向けに定義されたアクセス・ポリシーに基づいてダイナミックに接続をオープンする。この機能によってセキュリティは強化され、自社のネットワークにインターネット接続をどのように提供するか、管理者は精細な制御が可能になる。
■統合ロギング
ISA Server 2004では、ファイアウォールへのVPN接続がログに記録されるようになる。これによって、セキュリティ監査や接続問題に関するトラブルシューティングが容易になる。
■隔離サポート
Windows Server 2003のRRAS機能の1つとして導入された技術をベースに、ISA Server 2004ではインバウンドVPNクライアントを「隔離」することができる。隔離されたクライアント・コンピュータは、特定のセキュリティ要求項目に合致するまで、ネットワーク上の制限領域へのアクセスが禁止される。例えば、定められたセキュリティ・パッチやアンチウイルス・ソフトウェアをインストールしていないクライアントに対して、それらのコンポーネントをインストールできるサーバ以外にアクセスできないようにすることが可能だ。クライアント・コンピュータのコンフィギュレーションが規定の制限条件をクリアすれば、初めて標準のISA
Server VPNポリシーが適用される。
ただし、隔離サポートの実装は非常に複雑で、サードパーティのソリューションを導入するか、大規模なカスタム開発と統合化が要求される。
■IPSecトンネル・モード
ISA Server 2004はInternet Protocol Security(IPSec)を利用して、ネットワーク・ツー・ネットワークのVPNをサポートするようになる。ISA
Server 2000もPPTPやL2TPを利用して、インターネット経由でリモート・オフィスのネットワークをリンクすることは可能だが、その場合は双方のエンドにISA
Serverを導入しなければならなかった。新バージョンでは、サードパーティのルータやファイアウォールなど、IPSecトンネル・モードをサポートするデバイスであればどのようなものでも、ISAサーバとVPN接続を確立することができる。
 |
| INDEX | ||
| Insider's Eye | ||
 |
VPNとセキュリティを大幅強化する次世代ISA Server 2004(1) | |
| VPNとセキュリティを大幅強化する次世代ISA Server 2004(2) | ||
 |
||
 |
「Insider's Eye」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
