こんにちは、事業開発部の橋村です。
2023年になり数日が過ぎましたが如何お過ごしでしょうか。
未だ続くコロナ禍からリモートワークをしたいけれど、わざわざ出社しないと社内のWEBアプリが使えないと悩みをお持ちの方はいませんでしょうか。
今回ご紹介するDuo Network Gateway(以降DNGと記載)は上記のお悩みを持つ方にピッタリの機能(※)です。
※Duo Beyond Planで利用可能
1.そもそもDuoって何?
Duoはユーザおよびデバイスに対しゼロトラストを適用するための下記4機能を提供します。
ここで細かく説明を書くとDNGにたどり着くまで長々となってしまいますので、Duoについて全く知らない方はNTT Com DDが記載されている下記説明をご確認ください。
2.DNGは何ができるの?
一言で言えば、DNGはリバースプロキシです。
本リバースプロキシをオンプレ環境(DMZ)に構築することで、外部ユーザがVPNレスで内部HTTP/Sサーバ、SSHサーバへアクセスできるようになります。
VPNの場合は公開するネットワークにあるすべてのリソースにアクセスできますが、DNGはユーザ・デバイスが許可されたアプリケーションにのみアクセスできます。
DNGは先述した通り自ら構築が必要であり、Dockerを使用してLinuxOS上にデプロイします。
DNG では、プライマリ認証ソースとして使用する SAML 2.0 ID プロバイダー (IdP) が必要です。Duo Single Sign-OnまたはDuo Access Gatewayを SAML IdP として、またはAD FS、OneLogin、Oktaなどのサードパーティ SAML プロバイダーとして使用できます。
3.DNGの構築の仕方
これはDNGの公式ドキュメンテーションをご確認ください。
4.SDC橋村が困ったところ
■Let's Encryptを使う設定「Generate a certificate on save」がうまくいかない!
初期構成にあたってLet's Encryptを使用して無料の SSL 証明書を自動的に生成できる設定にできるのですが、設定保存しようとすると「Failed to obtain certificate」とエラーがでてしまいました。
このエラーは結局DMZに立てたDNGが外部から80番ポートでアクセスできないことが原因でした。通常DNGを動作させておくにはHTTPSだけ外部公開すればよいのですが、Let's Encryptを使うならば80番ポートを開けておく必要があります。
6.もっと学ぶには
https://www.cisco.com/c/dam/m/ja_jp/training-events/events-webinars/security/webiner-20200910-01.pdf
