前回のブログ(BeyondCorpとは?)で、BeyondCorp のメリットについてご紹介しましたので、今回は、BeyondCorp Enterprise を使って、実際に社内システムにアクセスしてみたいと思います。
社内ネットワーク内にあるアプリケーションにアクセスするためには、Google Cloud に接続コネクタを構成する必要があります。
オンプレミスコネクタのセットアップは、Google Cloud コンソール から構成できますので、今回はその構築手順を中心に、ご紹介したいと思います。
始める前に
オンプレミスの社内システムにアクセスするためには、次のものが必要になります。
- BeyondCorp Enterprise Premium ライセンス
- オーナー権限が付与されている Cloud Identity メンバー
- 課金を有効にした Google Cloud プロジェクト
- 社内ネットワークと Virtual Private Cloud(VPC)ネットワークの安全な接続(今回はCloud VPN を利用します)
- Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名
オンプレミス コネクタのセットアップ
1.
オーナー権限が付与された Cloud Identity メンバーで、Google Cloud コンソールにログインし、ナビゲーションメニュー から セキュリティ の Identity-AwareProxy を選択します。
2.
画面上部にある +オンプレミスコネクタのセットアップ をクリックします。
この機能を使用すると、オンプレミスや他のクラウドからIAPに限定公開ウェブアプリケーションを導入して、それらのアプリで BeyondCorp Enterprise を有効にできます。
3.
以下の API を有効にし、証明書とネットワークを構成することで、オンプレミスのアプリケーションに接続します。
- Cloud Deployment Manager V2 API
- Compute Engine API
- Traffic Director API
4.
今回、証明書は Googleが管理する証明書 を、ネットワークは事前に作成したVPCネットワークを利用します。
5.
コンソールの入力項目に従って、アプリ詳細を設定します。
- 外部と接続されているアプリケーションURL
- アプリケーション名
- リージョン(Region)
- ゾーン(Zone)
- 内部宛先IPアドレス
6.
HTTPのリソースに バックエンドサービス が構成されました。
ステータスで エラー 表示されておりますが、IAP を有効にすることで、改善されます。
※IAPの有効化には、1分程度時間かかります
ステータスが、OK に切り替わりました。
DNS の設定
今回 DNS は、Cloud DNS に設定済み権威サーバを利用します。
※権威サーバとは、DNSにおいて、あるゾーンの情報を保持し、他のサーバーに問い合わせることなく応答を返すことができるサーバーのことです。
1.
オンプレミスコネクタで構成された、Cloud Load Balancing を開き、フロントエンドのIPアドレスを確認します。
2.
上記から取得した IPアドレス を使用して、 DNSサーバ に Aレコード を追加します。
※Aレコードとは、DNSで定義されるそのドメインについての情報の種類の一つで、特定のホスト名に対応するIPアドレス(IPv4アドレス)を定義するものです
- DNS 名 : オンプレミスコネクタで設定した アプリケーション名
- IPv4 アドレス1 : Cloud Load Balancingで確認したIPアドレス
Identity Aware-Proxy を利用したアクセスポリシーの適用
ナビゲーションメニュー の セキュリティ を選択し、 Identity Aware-Proxy を開きます。
オンプレミスコネクタ で作成した バックエンドサービス を選択し、情報パネルから、 メンバーの追加 をおこないます。
リソースにメンバーとロールを追加します。
- 新しいメンバー : アプリケーション を利用するユーザを指定します(グループでの指定も可能)
- ロール : IAP-secured Web App User (IAPで保護されたWebアプリユーザー)を指定します
- アクセスレベル : Access Context Manager で管理する アクセスレベル を設定します
アクセス確認
1.
BeyondCorp利用対象のアカウントで、Chromeブラウザにログインして、URLをたたくとアクセスできました。
2.
BeyondCorp利用対象者以外のアカウントで、アクセスすると、アクセスできません。
組織外のユーザがアクセスした場合は、 Google 認証で弾かれ、組織内でも認可されていないユーザの場合は、エラー画面に遷移します。
※組織外のユーザがアクセスした場合
※組織内で認可されていないユーザがアクセスした場合
まとめ
いかがでしたでしょうか?
オンプレミスコネクタ を利用すれば、ノンプログラミング 且つ 短時間で、社内システムへのリモートアクセス環境を構築することできます。アプリ利用者の設定やアクセスポリシー管理など、運用における基本的な操作も、管理コンソールからおこなうことができますので、情報システム部門以外での運用も可能となることも、メリットのひとつです。
弊社では、Google Cloud の導入から BeyondCorp Enterprise の利用まで、ご支援できますのでお気軽にご相談くださいませ。
次回は、アクセス管理の統合 について、お話したいと思います。
- カテゴリ:
- Google Cloud(GCP)