Endpoint Central オンプレミス版 ナレッジベース

セキュアゲートウェイサーバーの利用方法


セキュアゲートウェイサーバーの利用方法

セキュアゲートウェイサーバーの概要

セキュアゲートウェイサーバーは、オンプレミス製品を使用してインターネット回線経由でモバイルデバイスや遠隔拠点の端末(=支社や営業所などの「リモートオフィス」)、在宅勤務用の端末等を管理する際に設置が推奨されるオプションです。

オンプレミス版のEndpoint Centralを使用し、インターネット経由でコンピューターやモバイルデバイスを管理する場合、インターネット側からEndpoint Centralサーバーへのアクセスを可能にする必要があります。しかしEndpoint Centralサーバー自体を公開することはセキュリティ上のリスクが伴います。
このため、各エージェントからの通信をEndpoint Centralへ中継するサーバーを設置します。これをセキュアゲートウェイサーバーと呼び、DMZに設置します。セキュアゲートウェイサーバーはエージェントからの通信をEndpoint Centralサーバーに中継するリバースプロキシとして機能します。

セキュアゲートウェイサーバーのイメージ図は以下の通りです。

セキュアゲートウェイサーバーは、以下のように動作します。なお、Endpoint Centralサーバーとの通信には通常TCP 8383/TCP 8443ポートを使用します。

  1. インターネットに接続したEndpoint Centralエージェントは、HTTPSを使用してセキュアゲートウェイサーバーとの通信を確立します。
  2. セキュアゲートウェイサーバーは、エージェントの代わりにHTTPSを使用してEndpoint Centralサーバーとの通信を確立します。
  3. Endpoint Centralサーバーは、セキュアゲートウェイサーバーへレスポンスを返します。
  4. セキュアゲートウェイサーバーは、Endpoint Centralサーバーからのレスポンスをエージェントへ送信します。
DMZとは
DMZは、インターネットと社内ネットワークの中間につくられるネットワーク上のセグメントです。DMZとインターネットの境界にファイアウォールがあり、DMZと社内ネットワークの間にもファイアウォールがあります。
Webサーバーを設置して公開する場合、通常はこのDMZに設置します。

 
リバースプロキシ
セキュアゲートウェイサーバーは、Endpoint Centralサーバーへの通信を中継するリバースプロキシサーバーです。
セキュアゲートウェイサーバーは、インターネットに接続された管理対象からの通信を受信できるよう、インターネット側に公開する必要があります。
(参考: What Is a Reverse Proxy Server?

また、セキュアゲートウェイサーバーはリバースプロキシ以外にも以下のような機能を持ちます。

  • 無効なURLをもつ通信の遮断
    セキュアゲートウェイサーバーは、有効なURLをもつリクエストのみを中継します。無効なURLによるリクエストに対しては404 Error Codeを返し、通信を遮断します。
     
  • リクエスト制限ポリシー
    DDoS攻撃による影響を防ぐため、セキュアゲートウェイサーバーにはリクエスト制限ポリシーが設定されています。リクエスト制限ポリシーは受信トラフィックの制限とEndpoint Centralサーバーへ中継されるのトラフィックの制御を行います。

 


セキュアゲートウェイサーバーの最小システム要件

こちらをご覧ください。

 


セキュアゲートウェイサーバーオプションの料金

セキュアゲートウェイサーバーは有料のオプションです。詳細はこちらの「セキュアゲートウェイサーバー 年間ライセンス」(年間ライセンスの場合)/「セキュアゲートウェイサーバ- ライセンス」(通常ライセンスの場合)をご覧ください。

セキュアゲートウェイサーバーオプションの評価利用について

  • Endpoint Central 評価期間中の場合:
    評価期間中の場合、評価期間終了日までセキュアゲートウェイサーバー機能をご利用いただけます。
     
  • セキュアゲートウェイサーバーオプションのない Endpoint Central ライセンスをお持ちの場合:
    セキュアゲートウェイサーバーオプションなしのライセンスをご購入いただいている場合でも、30日間の試用が可能です。
    「管理」タブ →「セキュリティ設定」→「セキュアゲートウェイサーバー」を開き、右上の「こちらをクリックしてこの機能を試してください」をクリックすることで、セキュアゲートウェイサーバーオプションを評価可能です(クリックと同時に評価期間が開始されますのでご注意ください。また、評価期間終了までにセキュアゲートウェイサーバーオプションを含むライセンスを適用できない場合、期間終了後はセキュアゲートウェイサーバーが無効化されます)。

 


セキュアゲートウェイサーバーの利用手順

セキュアゲートウェイサーバーを利用するためには、DMZ環境などを用意した上で、以下の手順が必要です。

  • 1. Endpoint Centralの設定変更
  • 2. セキュアゲートウェイサーバーのインストール・設定
1. Endpoint Centralの設定変更
  1. 「管理」タブ →「サーバ設定」→「NAT設定」をクリックします。
  2. 「NATの詳細」について、「サーバーのFQDN」を編集します。
  3. 「インターネット経由」を選択し、「パブリックFQDN」にセキュアゲートウェイサーバーのFQDN(または固定グローバルIPアドレス)を入力します。
  4. 「保存」をクリックします。
  5. Endpoint Centralサーバーにサードパーティ証明書をインストールインストールしていない場合、注意メッセージが表示されます。(セキュアゲートウェイサーバーを利用する場合、信頼された認証機関から購入したサードパーティ証明書のインストールも併せて実行することをお勧めします。
社内/社外の双方の端末を管理する場合
社内ネットワークの端末と、社外の端末を同じEndpoint Centralで管理する場合、社内用のDNSにおいて以下のような設定をすることで、スムーズな通信を実現できます。

セキュアゲートウェイサーバーのFQDN(=セキュアゲートウェイサーバーのグローバルIPアドレスで名前解決されるFQDN)を、内部向けDNSにおいて、Endpoint CentralサーバーのIPアドレスに名前解決されるように設定します。

例えば、セキュアゲートウェイサーバーのFQDNが「ec.example.com」で、Endpoint CentralサーバーのIPアドレスが192.168.100.30 の場合、社内用のDNSに ec.example.com → 192.168.100.30 と名前解決できるようにAレコードを登録します。
すると、社外の端末は「ec.example.com」宛に通信し、セキュアゲートウェイサーバーに到達します。社内の端末は、「ec.example.com」がEndpoint CentralサーバーのIPアドレスである「192.168.100.30」に解決され、Endpoint Centralサーバーに直接アクセスします。これにより、社内の端末がセキュアゲートウェイサーバーを経由することを防止できます。

2. セキュアゲートウェイサーバーのインストール・設定
  1. こちらのページにアクセスします。
  2. ページ内の[Download exe]をクリックし、インストーラーをダウンロードします。
  3. ダウンロードされたexeファイルを実行します。
  4. [Install]ボタンをクリックします。
  5. インストール先のディレクトリを選択し、[Next]をクリックします。
  6. Endpoint CentralサーバーのFQDN、HTTPSポート、ユーザー名/パスワード(Endpoint Centralの管理者アカウント)を入力し、[Validate]ボタンをクリックします。

    • Server Name:Endpoint CentralサーバーのFQDN(またはIPアドレス)を入力します。
    • HTTPS Port:Endpoint CentralサーバーのHTTPSポートを入力します。
    • User Name:Endpoint Centralの管理者ユーザー名を入力します。
    • Password:管理者ユーザーのパスワードを入力します。
  7. [Next]ボタンをクリックします。
  8. [Finish]ボタンをクリックします。

セキュアゲートウェイサーバーのインストールが完了し、正常に通信できている場合、以下のような画面を確認できます。

 


トラブルシューティング

Endpoint Centralサーバーとセキュアゲートウェイサーバーの通信ができない場合、セキュアゲートウェイサーバーがインストールされているコンピューターのTCP 8383, TCP 8443ポートの通信が許可されていることをご確認ください。また、通信状態は以下の方法で確認できます。

  1. Endpoint Centralがインストールされているコンピューターにログインします。
  2. ブラウザーを起動し、アドレスバーに以下URLを入力します。

    https://<セキュアゲートウェイサーバーのプライベートIPアドレス>:8383/getstatus

TLSのバージョン
セキュアゲートウェイサーバーが受け取るSSL暗号スイートとTLSのバージョンは、Endpoint CentralサーバーのSSL/TLS設定におけるものと同一です。この設定情報はセキュアゲートウェイサーバーの構成中にEndpoint Centralサーバーによって取得されます。

社外の端末を管理する場合は、続いて社外端末用のリモートオフィスを設定し、管理対象へエージェントをインストールします。詳細はリモートオフィスについてをご覧ください。

 


セキュアゲートウェイサーバーのアップグレード

セキュアゲートウェイサーバーの新しいバージョンは不定期にリリースされています。セキュアゲートウェイサーバーは外部に公開されているため、新しいバージョンがリリースされたら、なるべく新しいバージョンへアップグレードします(セキュアゲートウェイサーバーは、Endpoint Centralサーバーのアップグレード時に合わせてアップグレードする必要はありません)。セキュアゲートウェイサーバーのアップグレードに関する詳細は、こちらをご覧ください。