<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=445779107733115&amp;ev=PageView&amp;noscript=1">

BeyondCorp Enterprise で
場所を問わずに社内システムに接続する

 2021.08.03  2021.12.27

前回のブログ(BeyondCorpとは?)で、BeyondCorp のメリットについてご紹介しましたので、今回は、BeyondCorp Enterprise を使って、実際に社内システムにアクセスしてみたいと思います。
社内ネットワーク内にあるアプリケーションにアクセスするためには、Google Cloud接続コネクタを構成する必要があります。

connect-with-beyondcorp-enterprise-01

オンプレミスコネクタのセットアップは、Google Cloud コンソール から構成できますので、今回はその構築手順を中心に、ご紹介したいと思います。

始める前に

オンプレミスの社内システムにアクセスするためには、次のものが必要になります。

  • BeyondCorp Enterprise Premium ライセンス
  • オーナー権限が付与されている Cloud Identity メンバー
  • 課金を有効にした Google Cloud プロジェクト
  • 社内ネットワークと Virtual Private Cloud(VPC)ネットワークの安全な接続(今回はCloud VPN を利用します)
  • Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名
株式会社コアミックス 導入事例
株式会社ダイナックホールディングス導入事例

オンプレミス コネクタのセットアップ

1.
オーナー権限が付与された Cloud Identity メンバーで、Google Cloud コンソールにログインし、ナビゲーションメニュー から セキュリティ の Identity-AwareProxy を選択します。

connect-with-beyondcorp-enterprise-02

2.
画面上部にある +オンプレミスコネクタのセットアップ をクリックします。
この機能を使用すると、オンプレミスや他のクラウドからIAPに限定公開ウェブアプリケーションを導入して、それらのアプリで BeyondCorp Enterprise を有効にできます。

connect-with-beyondcorp-enterprise-03

3.
以下の API を有効にし、証明書とネットワークを構成することで、オンプレミスのアプリケーションに接続します。

  1. Cloud Deployment Manager V2 API
  2. Compute Engine API
  3. Traffic Director API

connect-with-beyondcorp-enterprise-04

4.
今回、証明書は Googleが管理する証明書 を、ネットワークは事前に作成したVPCネットワークを利用します。

connect-with-beyondcorp-enterprise-05

5.
コンソールの入力項目に従って、アプリ詳細を設定します。

  • 外部と接続されているアプリケーションURL
  • アプリケーション名
  • リージョン(Region)
  • ゾーン(Zone)
  • 内部宛先IPアドレス

connect-with-beyondcorp-enterprise-06

6.
HTTPのリソースに バックエンドサービス が構成されました。

connect-with-beyondcorp-enterprise-07

ステータスで エラー 表示されておりますが、IAP を有効にすることで、改善されます。
※IAPの有効化には、1分程度時間かかります

connect-with-beyondcorp-enterprise-08

ステータスが、OK に切り替わりました。

connect-with-beyondcorp-enterprise-09

DNS の設定

今回 DNS は、Cloud DNS に設定済み権威サーバを利用します。
※権威サーバとは、DNSにおいて、あるゾーンの情報を保持し、他のサーバーに問い合わせることなく応答を返すことができるサーバーのことです。

1.
オンプレミスコネクタで構成された、Cloud Load Balancing を開き、フロントエンドのIPアドレスを確認します。

connect-with-beyondcorp-enterprise-10

2.
上記から取得した IPアドレス を使用して、 DNSサーバ に Aレコード を追加します。
※Aレコードとは、DNSで定義されるそのドメインについての情報の種類の一つで、特定のホスト名に対応するIPアドレス(IPv4アドレス)を定義するものです

  • DNS 名 : オンプレミスコネクタで設定した アプリケーション名
  • IPv4 アドレス1 : Cloud Load Balancingで確認したIPアドレス

connect-with-beyondcorp-enterprise-11

Google Cloud
Google Cloud 事例

Identity Aware-Proxy を利用したアクセスポリシーの適用

ナビゲーションメニュー の セキュリティ を選択し、 Identity Aware-Proxy を開きます。
オンプレミスコネクタ で作成した バックエンドサービス を選択し、情報パネルから、 メンバーの追加 をおこないます。

connect-with-beyondcorp-enterprise-12

リソースにメンバーとロールを追加します。

  • 新しいメンバー : アプリケーション を利用するユーザを指定します(グループでの指定も可能)
  • ロール : IAP-secured Web App User (IAPで保護されたWebアプリユーザー)を指定します
  • アクセスレベル : Access Context Manager で管理する アクセスレベル を設定します

connect-with-beyondcorp-enterprise-13

アクセス確認

1.
BeyondCorp利用対象のアカウントで、Chromeブラウザにログインして、URLをたたくとアクセスできました。

connect-with-beyondcorp-enterprise-14

2.
BeyondCorp利用対象者以外のアカウントで、アクセスすると、アクセスできません。
組織外のユーザがアクセスした場合は、 Google 認証で弾かれ、組織内でも認可されていないユーザの場合は、エラー画面に遷移します。
※組織外のユーザがアクセスした場合

connect-with-beyondcorp-enterprise-15

※組織内で認可されていないユーザがアクセスした場合

connect-with-beyondcorp-enterprise-16

まとめ

いかがでしたでしょうか?
オンプレミスコネクタ を利用すれば、ノンプログラミング 且つ 短時間で、社内システムへのリモートアクセス環境を構築することできます。アプリ利用者の設定やアクセスポリシー管理など、運用における基本的な操作も、管理コンソールからおこなうことができますので、情報システム部門以外での運用も可能となることも、メリットのひとつです。
弊社では、Google Cloud の導入から BeyondCorp Enterprise の利用まで、ご支援できますのでお気軽にご相談くださいませ。
次回は、アクセス管理の統合 について、お話したいと思います。

GCP 技術コンサルティング

RECENT POST「Google Cloud(GCP)」の最新記事


Google Cloud(GCP)

Beyond Corpとは?

Google Cloud(GCP)

BeyondCorp Enterprise での社内システムへのアクセス管理

Google Cloud(GCP)

Google Workspaceで実現できるアクセス制御

Google Cloud(GCP)

ハイブリッドクラウド導入によるメリット3選!マルチクラウドとの違いや主な構成要素も解説

BeyondCorp Enterprise で場所を問わずに社内システムに接続する