特権IDアクセス管理ソリューション”Safeguard for Privileged Sessions(SPS)”は、クライアントとサーバー間に設置して動作するゲートウェイ型アプライアンスです。”クライアントの構成を変更せずに透過的に接続したい”、“ネットワークトポロジーを変更したくない”、”SPSを踏み台サーバーとして使用したい“など、環境に応じた最適な動作モードを設定できます。本ブログでは、SPSの動作モードについて、簡単に説明します。
SPSの動作モード
以下の動作モードが、設定可能です。
- トランスペアレント(透過)モード
- シングルインターフェーストランスペアレント(透過)モード
- ノントランスペアレント(非透過)モード
- インバンド宛先選択
トランスペアレント(透過)モード
SPSは、2つのネットワークセグメント間のトランスペアレント(透過)ルーターとして動作します。つまり、SPSはプロキシゲートウェイであり、監査対象サーバーを他のネットワークから完全に分離します。クライアントは、SPSを意識しないで、直接に宛先サーバーのIPアドレスとポート番号を指定して接続できます。
シングルインターフェーストランスペアレント(透過)モード
トランスペアレントモードに似ていますが、クライアント側とサーバー側の両方のトラフィックが同じインターフェースを使用します。監査トラフィックをSPSに転送するために、高度なルーティング機能をサポートいている外部デバイス(一般的にはファイアウォール、ルーター、またはL3 スイッチ)が必要になります。
ノントランスペアレント(非透過)モード
SPSは、バスシオン(踏み台)ホストとして機能します。クライアントはSPSを宛先にする必要があり、直接サーバーにアクセスできません。ネットワークのファイアウォールは、SPSからの接続要求のみサーバーにアクセスできるように設定する必要があります。SPSは接続パラメーター(クライアントのIPアドレス、およびターゲットIPとポート番号)に基づいて、接続するサーバーを決定します。
インバンド宛先選択
ノントランスペアレント(非透過)モードとあわせて、よく利用されます。ノントランスペアレントモードの場合、SPSのIP・ポートとサーバーのIP・ポートを対にした接続ポリシーがそれぞれ必要になります。インバンド宛先選択により、ユーザー名にターゲットサーバー名を含める(例、ssh username@targetserver:port@sps_address:port)ことで、単一の接続ポリシーで任意のサーバーへのアクセスが可能になります。
【注記】
運用およびサーバー管理トラフィックのみを、SPSを通過するようにネットワークトポロジーを設計することを推奨します。これにより、SPSが故障した場合でも、サーバー上で実行されているサービスとアプリケーションにアクセスできるため、SPSは単一障害点にはなりません。
SPSの動作モードの詳細につきましては、こちらまでお問合せください。
ダウンロード(評価版)
お問合せ
ご不明な点やお気づきの点がございましたらお問い合せください。
