リバース プロキシによるゼロトラスト
Google Cloud Japan Team
※この投稿は米国時間 2021 年 8 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。
リバース プロキシは、世界中から送信されるリクエストをデータ、サービス、仮想マシンに先立って受信し、それらが許可されているものかどうかを個別に詳しく確認します。
許可するかどうかを判断するために、プロキシは誰が何をリクエストしているのかを確認します。
誰からか(リクエストしている個人)?ロールは何か?アクセス権限はある(認証されている)か?
どのようなデバイスを使ってリクエストしているか?現時点でのデバイスの稼働状況は?送信元はどこか?
リクエストを行った時間は?
今号の GCP コミックは、飛行機の中からかなり機密性の高いデータにアクセスする場合を例として、プロキシが行う処理を着陸しようとする飛行機にあてはめて説明しています。
リバース プロキシは、ウェブアプリやサービスに対してリクエストが行われる際の負荷分散の一段階として機能します。リクエストを適切な場所に転送するためのネットワーク インフラストラクチャの一要素と考えることもできます。一定のルールや条件を満たさなければ、リソースにアクセスできない仕組みになっています。
リクエストが無効な場合や、管理者が設定した要件を満たしていない(認証されていないユーザーや、安全ではないデバイスから送信されている)場合、プロキシはそのリクエストを拒否します。
プロキシによってリクエストが拒否されるのはどのような場合でしょうか。リクエストしているユーザーのアクセスを拒否する判断が行われる理由には、次のようなものがあります。
エンジニアリングの担当者が財務データにアクセスしようとしている
従業員ではないユーザーである
転職してアクセス権を失ったユーザーである
また、リクエストの送信元デバイスがプロキシによってアクセスを拒否される理由もさまざまです。以下はその一例です。
デバイスのオペレーティング システムが最新ではない
マルウェアが検出された
デバイスの情報が公開されていない
ディスクの暗号化が行われていない
デバイスに画面ロックが設定されていない
ID とデバイス情報を活用して組織のリソースへのアクセスを保護することで、セキュリティ対策を改善できます。
リソース
プロキシとゼロトラストについて詳しくは、以下のリソースをご覧ください。
他の GCP コミックについては、gcpcomics.com をご覧ください。また、Medium の pvergadia、max-saltonstall、Twitter の @pvergadia、@maxsaltonstall をフォローすると、次号を見逃すことなくチェックできます。
-Google デベロッパー アドボケイト Priyanka Vergadia
-Google Cloud デベロッパー アドボケイト Max Saltonstall
