モバイルユーザーデバイスの接続
一部の管理対象デバイスは、常にメインネットワークの外部に配置されています(たとえば、会社の支社にあるコンピューター、売店、ATM、様々な販売拠点に設置されている端末、従業員のホームオフィスにあるコンピューターなど)。また、一部のデバイスは、ネットワークの外部を不定期に移動しています(たとえば、支社や顧客オフィスを訪問するユーザーのノート PC など)。
モバイルユーザーデバイスの保護について、引き続き監視および管理する必要があります。保護ステータスに関する実際の情報を受け取り、デバイスのセキュリティ製品を最新の状態に保ちます。たとえば、そのようなデバイスがメインネットワークから離れている際にセキュリティ侵害を受けた場合、メインネットワークに接続するとすぐに脅威を伝播するプラットフォームになる可能性があるため、これは必要です。モバイルユーザーデバイスを管理サーバーへ接続する方法は、次の 2 つがあります:
- 非武装地帯(DMZ)にある接続ゲートウェイ
データトラフィックのスキーム:LAN 上の管理サーバー、インターネット上の管理対象デバイス、使用中の接続ゲートウェイ
- DMZ 内の管理サーバー
データトラフィックのスキーム:DMZ 内の管理サーバー、インターネット上の管理対象デバイス
DMZ 内の接続ゲートウェイ
モバイルユーザーデバイスから管理サーバーへの接続で推奨される方法は、DMZ を組織内に構築し、接続ゲートウェイを DMZ 内に実装することです。外部デバイスは接続ゲートウェイに接続し、ネットワーク内の管理サーバーは接続ゲートウェイを介してデバイスへの接続を開始します。
その他の方法と比較すると、この方法はより安全です。
- ネットワーク外部からの管理サーバーへのアクセスを許可する必要がありません。
- 接続ゲートウェイが攻撃された場合でも、ネットワーク上のデバイスに深刻な危険が及ぶ可能性がありません。接続ゲートウェイ自身は実際は何も管理しておらず、接続を確立することもありません。
また、接続ゲートウェイに必要なハードウェアリソースも少量です。
ただし、この方法には複雑な設定編集の手順が必要です:
- デバイスを DMZ 内で接続ゲートウェイとして動作するように設定するには、ネットワークエージェントのインストールと管理サーバーへの接続を、特定の方法で実行する必要があります。
- 同一のアドレスを、管理サーバーへの接続用に使用することができません。ネットワーク境界の外部から、異なるアドレス(接続ゲートウェイアドレス)を使用するだけでなく、接続方法も変更する必要があります:接続ゲートウェイを介した方法。
- 異なる場所にあるノート PC 用に、別の接続設定を指定する必要もあります。
以前に構成したネットワークに接続ゲートウェイを追加するには、次の手順を実行します:
- ネットワークエージェントを接続ゲートウェイモードでインストールします。
- 新しく追加した接続ゲートウェイに接続するデバイスにネットワークエージェントを再インストールします。
DMZ 内の管理サーバー
もう 1 つの方法は、単一の管理サーバーの DMZ 内へのインストールです。
前述の方法よりも、設定の安全性が低くなります。この方法で外部のノート PC を管理するには、インターネット上の任意のアドレスからの接続を管理サーバーが許可する必要があります。内部ネットワークのデバイスをすべて管理することも可能ですが、DMZ からの管理となります。したがって、発生の可能性は低いと言えますが、サーバーが攻撃された場合、結果として甚大な被害が発生する可能性があります。
DMZ 内の管理サーバーが内部ネットワークのデバイスを管理しない場合、この危険性は大幅に低減されます。この設定は、たとえば、顧客デバイスを管理するサービスプロバイダーなどが使用する可能性があります。
この方法の使用が検討されるのは、次のような場合があります:
- 管理サーバーのインストールと設定を熟知しており、接続ゲートウェイを別の方法でインストール、設定したくない場合。
- 管理対象デバイスの数が多い場合。管理サーバーで管理可能な台数は 100,000 台、接続ゲートウェイは 10,000 台です。
この方法には、次の欠点もあります:
- 管理サーバーに必要なハードウェアリソースが増大し、データベースも 1 個追加する必要があります。
- デバイスに関する情報が、互いに関連付けられていない 2 つのデータベースに保管されるので(ネットワーク内の管理サーバーと DMZ)、監視が困難になります。
- デバイスをすべて管理するには、管理サーバーが階層構造に属する必要があります。これにより、監視と管理の両方が複雑化されます。セカンダリ管理サーバーのインスタンスがある場合、管理グループで構築可能な構造が制限されます。タスクとポリシーを選択し、セカンダリ管理サーバーのインスタンスへの導入方法を決定する必要があります。
- DMZ 内の管理サーバーを外部から使用し、プライマリ管理サーバーを内部で使用するように外部デバイスを設定するのは、接続ゲートウェイへの接続条件を満たして使用するように設定するよりも難易度が高くなります。
- セキュリティ上の高い危険性。管理サーバーのインスタンスが攻撃されると、管理対象のノート PC をより簡単に攻撃できるようになります。この攻撃が発生すると、ノート PC のうち 1 台が企業ネットワーク内に復帰するまで待機するだけで、ローカルエリアネットワークへの攻撃を継続することが可能になります。