BeyondCorp Enterprise で場所を問わずに社内システムに接続する

前回のブログ（BeyondCorpとは？）で、BeyondCorp のメリットについてご紹介しましたので、今回は、BeyondCorp Enterprise を使って、実際に社内システムにアクセスしてみたいと思います。
社内ネットワーク内にあるアプリケーションにアクセスするためには、Google Cloud に接続コネクタを構成する必要があります。

connect-with-beyondcorp-enterprise-01

オンプレミスコネクタのセットアップは、Google Cloud コンソールから構成できますので、今回はその構築手順を中心に、ご紹介したいと思います。

始める前に

オンプレミスの社内システムにアクセスするためには、次のものが必要になります。

BeyondCorp Enterprise Premium ライセンス
オーナー権限が付与されている Cloud Identity メンバー
課金を有効にした Google Cloud プロジェクト
社内ネットワークと Virtual Private Cloud（VPC）ネットワークの安全な接続（今回はCloud VPN を利用します）
Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名

オンプレミスコネクタのセットアップ

１．
オーナー権限が付与された Cloud Identity メンバーで、Google Cloud コンソールにログインし、ナビゲーションメニューからセキュリティの Identity-AwareProxy を選択します。

connect-with-beyondcorp-enterprise-02

2．
画面上部にある＋オンプレミスコネクタのセットアップをクリックします。
この機能を使用すると、オンプレミスや他のクラウドからIAPに限定公開ウェブアプリケーションを導入して、それらのアプリで BeyondCorp Enterprise を有効にできます。

connect-with-beyondcorp-enterprise-03

3．
以下の API を有効にし、証明書とネットワークを構成することで、オンプレミスのアプリケーションに接続します。

Cloud Deployment Manager V2 API
Compute Engine API
Traffic Director API

connect-with-beyondcorp-enterprise-04

4.
今回、証明書は Googleが管理する証明書を、ネットワークは事前に作成したVPCネットワークを利用します。

connect-with-beyondcorp-enterprise-05

5.
コンソールの入力項目に従って、アプリ詳細を設定します。

外部と接続されているアプリケーションURL
アプリケーション名
リージョン（Region）
ゾーン（Zone）
内部宛先IPアドレス

connect-with-beyondcorp-enterprise-06

6.
HTTPのリソースにバックエンドサービスが構成されました。

connect-with-beyondcorp-enterprise-07

ステータスでエラー表示されておりますが、IAP を有効にすることで、改善されます。
※IAPの有効化には、1分程度時間かかります

connect-with-beyondcorp-enterprise-08

ステータスが、OK に切り替わりました。

connect-with-beyondcorp-enterprise-09

DNS の設定

今回 DNS は、Cloud DNS に設定済み権威サーバを利用します。
※権威サーバとは、DNSにおいて、あるゾーンの情報を保持し、他のサーバーに問い合わせることなく応答を返すことができるサーバーのことです。

1.
オンプレミスコネクタで構成された、Cloud Load Balancing を開き、フロントエンドのIPアドレスを確認します。

connect-with-beyondcorp-enterprise-10

2.
上記から取得した IPアドレスを使用して、 DNSサーバに Aレコードを追加します。
※Aレコードとは、DNSで定義されるそのドメインについての情報の種類の一つで、特定のホスト名に対応するIPアドレス（IPv4アドレス）を定義するものです

DNS 名：オンプレミスコネクタで設定したアプリケーション名
IPv4 アドレス1 ： Cloud Load Balancingで確認したIPアドレス

connect-with-beyondcorp-enterprise-11

Identity Aware-Proxy を利用したアクセスポリシーの適用

ナビゲーションメニューのセキュリティを選択し、 Identity Aware-Proxy を開きます。
オンプレミスコネクタで作成したバックエンドサービスを選択し、情報パネルから、メンバーの追加をおこないます。

connect-with-beyondcorp-enterprise-12

リソースにメンバーとロールを追加します。

新しいメンバー：アプリケーションを利用するユーザを指定します（グループでの指定も可能）
ロール： IAP-secured Web App User （IAPで保護されたWebアプリユーザー）を指定します
アクセスレベル： Access Context Manager で管理するアクセスレベルを設定します

connect-with-beyondcorp-enterprise-13

アクセス確認

1.
BeyondCorp利用対象のアカウントで、Chromeブラウザにログインして、URLをたたくとアクセスできました。

connect-with-beyondcorp-enterprise-14

2.
BeyondCorp利用対象者以外のアカウントで、アクセスすると、アクセスできません。
組織外のユーザがアクセスした場合は、 Google 認証で弾かれ、組織内でも認可されていないユーザの場合は、エラー画面に遷移します。
※組織外のユーザがアクセスした場合

connect-with-beyondcorp-enterprise-15

※組織内で認可されていないユーザがアクセスした場合

connect-with-beyondcorp-enterprise-16

まとめ

いかがでしたでしょうか？
オンプレミスコネクタを利用すれば、ノンプログラミング且つ短時間で、社内システムへのリモートアクセス環境を構築することできます。アプリ利用者の設定やアクセスポリシー管理など、運用における基本的な操作も、管理コンソールからおこなうことができますので、情報システム部門以外での運用も可能となることも、メリットのひとつです。
弊社では、Google Cloud の導入から BeyondCorp Enterprise の利用まで、ご支援できますのでお気軽にご相談くださいませ。
次回は、アクセス管理の統合について、お話したいと思います。