Q&A
ご回答ありがとうございます。
おっしゃる通りで、持ち出しPCについてはダイレクトなので、社内の時と同じレベルのセキュリティにするのはなかなか難しいです。参考になります。
前提
社内のネットワークを管理しています。
本社内からのインターネット(http、https、ftp)はプロキシサーバを介して出ていきます。
(実際には本社プロキシサーバから更に上位データセンターにあるのファイアウォールを介して出ていきます)
ですが、出先ではプロキシサーバを介さずダイレクトにインターネットに出ていきます。
そのため、社内の(ノート)PCはプロキシを経由する、しないをproxy.pacというプログラムで切り替えています。
PCであればこういった切り替えができるのでまだいいのですが、タブレットなどはプロキシ設定を切り替えるのが難しいといった問題があります。またプロキシを経由すると接続できないサービスもあり、都度対応に苦慮するケースもあります。
実現したいこと
可能であればプロキシサーバを経由しないようにしたいのです。
プロキシサーバはそもそも必要なのかということです。
そこでプロキシサーバの必要性について質問です。
1.キャッシュ
一昔前だと、プロキシサーバにキャッシュすることにより通信を速くするという役割がありましたが、現在のインターネット環境においてキャッシュは必要ないのではないかと思います。
2.セキュリティの観点
プロキシサーバを無くした場合、ダイレクトでインターネットに出ていくわけではなく、データセンターのファイアウォールを介して出ていきます。直接グローバルIPをNATまたはNAPTしているわけではありません。こういった環境において、プロキシサーバのセキュリティの重要度は高くないと考えます。
3.プロキシサーバのログ
社内ネットワークに問題が生じた際、PCがどのサイトに接続したか追跡したい場合があります。プロキシサーバにはログが残るため、追跡が可能です。
社内PCには監視ソフトが常駐しており、そちらでもクライアントレベルで追跡は可能です。
4.その他
プロキシサーバを立てておいたほうが良いというメリットを教えてください。
回答3件
0
ベストアンサー
色々あると思いますし、PROXYが絶対になければだめということもないと思いますが、PROXYでないと難しい要件として以下があると思います。
1.Proxy認証による出口対策
Proxy認証についての記述がないようですが、ProxyにユーザごとのIDとパスワードを割り当てると、その分外部との通信が難しくなります。マルウェア感染を前提とすると、ものすごく安全になるとも思えませんが、教科書的には推奨されているようです。
また、仮に認証が突破された場合でも、Proxyログにはどのアカウントが悪用されたかは残るので、事後の解析の材料にはなるでしょう。
2.80/443ポートでのHTTP/HTTPS以外の通信の遮断
通常のファイアウォールですと、80/443の外部向けの通信は無条件に通す場合が多いかと思いますが、通信の中身が別のプロトコルという場合はありえます。Proxyだと、HTTP/HTTPSプロトコルのみ許可することが容易です。つまり、80番経由でのsshプロトコルなどは遮断できるわけです。
これも、TUNNELされればそれまでだろうなどの反論はあるでしょうが、いずれにせよ決定的な対策はないわけで、攻撃の難易度を上げる施策を積み重ねるしかないという前提では意味はあるでしょう。
投稿2019/04/15 12:25
総合スコア11705
0
とりあえず、私の分かる範囲だけw
だれか全体への回答よろしくです!
2.セキュリティの観点
80/443 が特定のアドレスからしか外部にアクセスしないというのは強力な制限になります。端末がなんらかのデータを漏らそうとしても、プロキシ経由でなければ漏らすことができなくなりますから。
もっとも、プロキシを経由させることもそれほどハードルは高くないですし、持ち出し PC がダイレクトアクセスを許すのであればあまり意味が無い対応とも言えます。
この施策を有効にするためには、インターネットゲートウェイを制限する必要があるので、持ち出し PC も VPN 接続後にプロキシを通して外部接続させる等の工夫が必須となります。
また、コンテンツフィルタ(アクセス先制限)機能をプロキシの位置に置くこともあります。ポリシーコントロールが集中し容易になるというのは管理者としては嬉しいはずです。
POST の制限を行うものもあるので、掲示板書き込み対策として導入されているケースもあります。
参考まで。
投稿2019/04/15 11:53
退会済みユーザー
総合スコア0
0
以下項目以外はご認識に対して間違いはないと思っており、以下についてのみ回答です。
4.その他
端末グループ毎に閲覧可能なコンテンツ、閲覧不可のコンテンツを制御できるというのは大きな利点だと思っています。
例えば、情報漏えい防止を目的とし、クラウドストレージ、チャットシステム、Webメール等への接続を制御するとか。
あと、接続ログもproxyサーバで一括管理という形を取れるのでトレースするのが容易というのもあります。
投稿2019/04/16 00:06
総合スコア4315
ご回答ありがとうございます。
端末グループ毎のコンテンツ制御ということですが、プロキシサーバではなく、上位のファイアウォールで可能です。プロキシでhttp系の制御は現在行っていません。
またプロキシ(squid)のログ一括管理ということですが、squidのログからの絞り込みが非常に面倒でして…。PCの監視ソフトが優秀なので、そちらに任せても十分可能と考えています。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/04/15 12:33
2019/04/16 00:57