セキュアゲートウェイサーバーについて
セキュアゲートウェイサーバーの利用方法
セキュアゲートウェイサーバーの概要
セキュアゲートウェイサーバーは、オンプレミス製品を使用してインターネット回線経由で遠隔拠点の端末(=支社や営業所などの「リモートオフィス」)、在宅勤務用の端末等を管理する際に設置が推奨されるオプションです。
オンプレミス版のPatch Manager Plusを使用し、インターネット経由でコンピューターを管理する場合、インターネット側からPatch Manager Plusサーバーへのアクセスを可能にする必要があります。しかしPatch Manager Plusサーバー自体を公開することはセキュリティ上のリスクが伴います。
このため、各エージェントからの通信をPatch Manager Plusへ中継するサーバーを設置します。これをセキュアゲートウェイサーバーと呼び、DMZに設置します。セキュアゲートウェイサーバーはエージェントからの通信をPatch Manager Plusサーバーに中継するリバースプロキシとして機能します。
セキュアゲートウェイサーバーのイメージ図は以下の通りです。
セキュアゲートウェイサーバーは、以下のように動作します。なお、Patch Manager Plusサーバーとの通信には通常TCP 8383/TCP 8443ポートを使用します。
- インターネットに接続したPatch Manager Plusエージェントは、HTTPSを使用してセキュアゲートウェイサーバーとの通信を確立します。
- セキュアゲートウェイサーバーは、エージェントの代わりにHTTPSを使用してPatch Manager Plusサーバーとの通信を確立します。
- Patch Manager Plusサーバーは、セキュアゲートウェイサーバーへレスポンスを返します。
- セキュアゲートウェイサーバーは、Patch Manager Plusサーバーからのレスポンスをエージェントへ送信します。
DMZは、インターネットと社内ネットワークの中間につくられるネットワーク上のセグメントです。DMZとインターネットの境界にファイアウォールがあり、DMZと社内ネットワークの間にもファイアウォールがあります。
Webサーバーを設置して公開する場合、通常はこのDMZに設置します。
リバースプロキシ
セキュアゲートウェイサーバーは、Patch Manager Plusサーバーへの通信を中継するリバースプロキシサーバーです。
セキュアゲートウェイサーバーは、インターネットに接続された管理対象からの通信を受信できるよう、インターネット側に公開する必要があります。
(参考: What Is a Reverse Proxy Server? )
また、セキュアゲートウェイサーバーはリバースプロキシ以外にも以下のような機能を持ちます。
- 無効なURLをもつ通信の遮断
セキュアゲートウェイサーバーは、有効なURLをもつリクエストのみを中継します。無効なURLによるリクエストに対しては404 Error Codeを返し、通信を遮断します。
- リクエスト制限ポリシー
DDoS攻撃による影響を防ぐため、セキュアゲートウェイサーバーにはリクエスト制限ポリシーが設定されています。リクエスト制限ポリシーは受信トラフィックの制限とPatch Manager Plusサーバーへ中継されるのトラフィックの制御を行います。
セキュアゲートウェイサーバーの最小システム要件
こちらをご覧ください。
セキュアゲートウェイサーバーオプションの料金
セキュアゲートウェイサーバーは有料のオプションです。詳細はこちらの「セキュアゲートウェイサーバー 年間ライセンス」(年間ライセンスの場合)/「セキュアゲートウェイサーバ- ライセンス」(通常ライセンスの場合)をご覧ください。
- Patch Manager Plus 評価期間中の場合:
評価期間中の場合、評価期間終了日までセキュアゲートウェイサーバー機能をご利用いただけます。
- セキュアゲートウェイサーバーオプションのない Patch Manager Plus ライセンスをお持ちの場合:
セキュアゲートウェイサーバーオプションなしのライセンスをご購入いただいている場合でも、30日間の試用が可能です。
「管理」タブ →「セキュリティ設定」→「セキュアゲートウェイサーバー」を開き、右上の「こちらをクリックしてこの機能を試してください」をクリックすることで、セキュアゲートウェイサーバーオプションを評価可能です(クリックと同時に評価期間が開始されますのでご注意ください。また、評価期間終了までにセキュアゲートウェイサーバーオプションを含むライセンスを適用できない場合、期間終了後はセキュアゲートウェイサーバーが無効化されます)。
セキュアゲートウェイサーバーの利用手順
セキュアゲートウェイサーバーを利用するためには、DMZ環境などを用意した上で、以下の手順が必要です。
- 1. Patch Manager Plusの設定変更
- 2. セキュアゲートウェイサーバーのインストール・設定
1. Patch Manager Plusの設定変更
- 「管理」タブ →「サーバ設定」→「NAT設定」をクリックします。
- 「NATの詳細」について、「サーバーのFQDN」を編集します。
- 「インターネット経由」を選択し、「パブリックFQDN」にセキュアゲートウェイサーバーのFQDN(または固定グローバルIPアドレス)を入力します。
- 「保存」をクリックします。
- Patch Manager Plusサーバーにサードパーティ証明書をインストールインストールしていない場合、注意メッセージが表示されます。(セキュアゲートウェイサーバーを利用する場合、信頼された認証機関から購入したサードパーティ証明書のインストールも併せて実行することをお勧めします。
社内ネットワークの端末と、社外の端末を同じPatch Manager Plusで管理する場合、社内用のDNSにおいて以下のような設定をすることで、スムーズな通信を実現できます。
セキュアゲートウェイサーバーのFQDN(=セキュアゲートウェイサーバーのグローバルIPアドレスで名前解決されるFQDN)を、内部向けDNSにおいて、Patch Manager PlusサーバーのIPアドレスに名前解決されるように設定します。
例えば、セキュアゲートウェイサーバーのFQDNが「ec.example.com」で、Patch Manager PlusサーバーのIPアドレスが192.168.100.30 の場合、社内用のDNSに ec.example.com → 192.168.100.30 と名前解決できるようにAレコードを登録します。
すると、社外の端末は「ec.example.com」宛に通信し、セキュアゲートウェイサーバーに到達します。社内の端末は、「ec.example.com」がPatch Manager PlusサーバーのIPアドレスである「192.168.100.30」に解決され、Patch Manager Plusサーバーに直接アクセスします。これにより、社内の端末がセキュアゲートウェイサーバーを経由することを防止できます。
2. セキュアゲートウェイサーバーのインストール・設定
- こちらのページにアクセスします。
- ページ内の[Download exe]をクリックし、インストーラーをダウンロードします。
- ダウンロードされたexeファイルを実行します。
- [Install]ボタンをクリックします。
- インストール先のディレクトリを選択し、[Next]をクリックします。
- Patch Manager PlusサーバーのFQDN、HTTPSポート、ユーザー名/パスワード(Patch Manager Plusの管理者アカウント)を入力し、[Validate]ボタンをクリックします。
- Server Name:Patch Manager PlusサーバーのFQDN(またはIPアドレス)を入力します。
- HTTPS Port:Patch Manager PlusサーバーのHTTPSポートを入力します。
- User Name:Patch Manager Plusの管理者ユーザー名を入力します。
- Password:管理者ユーザーのパスワードを入力します。
- [Next]ボタンをクリックします。
- [Finish]ボタンをクリックします。
セキュアゲートウェイサーバーのインストールが完了し、正常に通信できている場合、以下のような画面を確認できます。
トラブルシューティング
Patch Manager Plusサーバーとセキュアゲートウェイサーバーの通信ができない場合、セキュアゲートウェイサーバーがインストールされているコンピューターのTCP 8383, TCP 8443ポートの通信が許可されていることをご確認ください。また、通信状態は以下の方法で確認できます。
- Patch Manager Plusがインストールされているコンピューターにログインします。
- ブラウザーを起動し、アドレスバーに以下URLを入力します。
https://<セキュアゲートウェイサーバーのプライベートIPアドレス>:8383/getstatus
セキュアゲートウェイサーバーが受け取るSSL暗号スイートとTLSのバージョンは、Patch Manager PlusサーバーのSSL/TLS設定におけるものと同一です。この設定情報はセキュアゲートウェイサーバーの構成中にPatch Manager Plusサーバーによって取得されます。
社外の端末を管理する場合は、続いて社外端末用のリモートオフィスを設定し、管理対象へエージェントをインストールします。詳細はリモートオフィスについてをご覧ください。
セキュアゲートウェイサーバーのアップグレード
セキュアゲートウェイサーバーの新しいバージョンは不定期にリリースされています。セキュアゲートウェイサーバーは外部に公開されているため、新しいバージョンがリリースされたら、なるべく新しいバージョンへアップグレードします(セキュアゲートウェイサーバーは、Patch Manager Plusサーバーのアップグレード時に合わせてアップグレードする必要はありません)。セキュアゲートウェイサーバーのアップグレードに関する詳細は、Endpoint Centralオンプレミス版ナレッジのこちらをご覧ください。