IBM Cloud Docs
VPN サーバーによる環境の保護

VPN サーバーによる環境の保護

クライアント・ツー・サイトVPNサーバーは、お客様の環境を保護し、コンプライアンス要件を満たすのに役立ちます。

境界保護のためのセキュリティー・グループと ACL の使用

VPN サーバーは、VPC セキュリティー・グループおよびアクセス制御リスト (ACL) との統合をサポートします。 詳細については、セキュリティー・グループについてネットワーク ACL のセットアップを参照してください。

予期しない通信や無許可の通信から環境を保護するには、デフォルトですべてのトラフィックを拒否し、予期されるプロトコル、CIDR、またはポートのみを許可するように ACL およびセキュリティー・グループのルールを構成します。 VPN で使用するセキュリティー・グループと ACL の構成 に、VPN サーバーが正しく機能するために必要なルールの例を示します。 追加のルールを使用して、Any または 0.0.0.0/0 の代わりに、VPN サーバー・ポートを使用した特定のネットワークへのアクセスを制限することができます。

VPN クライアント認証によるアクセス制御

クライアントからサイトへの VPN サーバーは、証明書認証およびユーザー/パスコード認証をサポートします。 各メソッドで必要な構成について詳しくは、クライアントからサイトへの認証のセットアップ および VPN クライアント認証 を参照してください。

両方の認証方式を一緒に使用して、クライアント・アクセスを認証することができます。 最良の結果を得るには、以下のガイドラインを使用してください。

ユーザー名/パスコードによる認証

ユーザー名またはパスコードを使用して認証するには、以下の点に注意してください。

  • このオプションでは、VPN クライアント・ユーザーが希望する MFA 方式で認証してからでないと、有効なパスコードを取得して VPN 接続に使用することはできません。 これは、IAM 認証セクション (「管理」 > 「アクセス (IAM)」 > 「設定」 > 「認証」) から構成できます。 詳しくは、 多要素認証の有効化 を参照してください。
  • ユーザー名/パスコード認証では、ユーザーが IAM VPN サーバー・ユーザー役割を持っている必要があります。 詳しくは、IAM アクセス・グループの作成および VPN サーバーに接続するための役割の付与を参照してください。 VPN アクセスを必要とするユーザーに対してのみこの役割を有効にするには、IAM アクセス・グループまたはアクセス・ポリシーを構成する必要があります。

クライアント証明書による認証

クライアント証明書で認証を行うには、以下の点に注意すること:

  • 固有のクライアント証明書を使用してください。 クライアント証明書認証の VPN サーバー構成では、入力としてクライアント証明書が必要です。 ただし、同じ認証局 (CA) によって署名された固有のクライアント証明書を個別に作成して、異なるユーザーに使用することができます。
  • クライアント証明書を取り消すには、証明書失効リスト (CRL) を使用します。 クライアントからサイトへの VPN サーバーは、クライアント証明書を取り消すために CRL をサポートします。 詳しくは、VPN サーバーの作成を参照してください。
  • Secrets Managerで作成されたLetsEncrypt証明書など、パブリックCAで署名されたクライアント証明書は使用しないでください。 公開 CA 署名クライアント証明書を使用するということは、誰でもクライアント証明書をプロビジョンし、正常に認証できることを意味します。 また、公開 CA を使用して作成された証明書は、CRL を使用して簡単に追跡したり取り消したりすることはできません。

追加の VPN サーバー構成

クライアントからサイトへの VPN サーバーは、セキュリティーを向上させ、コンプライアンス要件を満たすために構成できるいくつかの追加オプションをサポートします。 詳しくは、VPN サーバーの作成 および VPN サーバーの計画に関する考慮事項を参照してください。

VPN サーバー構成に関する以下の問題に注意する必要があります。

  • VPN サーバーは、クライアントのアイドル・タイムアウトをサポートします。 デフォルトでは、VPN クライアント接続は、アクティブなトラフィックなしで 10 分後に切断されます。 タイムアウトを編集して、必要な値を追加できます。
  • VPN サーバーでフル・トンネル・モードを有効にします。 フル・トンネル・モードは、特に非トラステッド・ネットワークから接続する場合に、よりセキュアで推奨されます。 フル・トンネル・モードでは、VPN クライアントからのすべてのトラフィックが VPN サーバーに経路指定されます。
  • トランスポート・プロトコルと VPN ポートを構成します。 場合によっては、TCP/443などのウェルノウン・ポートを開いたままにしたくないことがあります。 デフォルト以外のトランスポート・プロトコルと VPN ポートを使用するには、このオプションを編集します。
  • Activity Trackerを設定して、VPNサーバーのログを受信し、分析する。 詳しくは、『Activity Tracker イベント』を参照してください。