簡略化されたアーキテクチャ図は、コンポーネントとそれらがどのように連携するかを示しています。
Splattop Secure Workspaceのコンポーネント
- クラウドコントローラーとWebポータル:コントローラーは、構成、ポリシーを管理し、ポリシー決定ポイントとして機能します。インターネットネットワークとプライベートアプリケーションの両方へのアクセスを制御します。
- Secure Workspace グローバルエッジネットワーク:地理的に分散したネットワークで、プライベートアプリケーションへの安全なアクセスを提供します。
- Secure Workspace コネクタ:このコネクタは、Splashtop Secure Workspace グローバルエッジネットワークとの永続的なセキュアトンネルを確立するダイアルアウトコンポーネントです。
- エッジロケーション:Secure Workspaceエッジインフラストラクチャは、さまざまな地域に戦略的に分散されています。これらのエッジロケーションは、高パフォーマンスのネットワークバックボーンを介して相互接続され、効率的で信頼性の高い接続性を確保します。
- Secure Workspace クライアント:Secure Workspace クライアントは、デスクトップGUIアプリケーション、デスクトップCLIアプリケーション、モバイルデバイス、Webブラウザ、Webブラウザ拡張機能など、さまざまなフォームファクタをサポートします。
Splashtopのセキュアなワークスペースの仕組み
Splashtop Secure Workspaceは、次のユースケースでどこからでもセキュアな作業をサポートします。
デスクトップクライアント経由のプライベートアプリケーションアクセス:
Secure Workspaceデスクトップクライアントを介してプライベートアプリケーションを起動する場合、次のステップが実行されます。
- アクセスの要求:セキュアなワークスペースデスクトップクライアントは、必要なコンテキストとランタイム情報をすべて提供し、コントローラーへの要求を開始します。これには、クライアントセキュリティポスチャ、ユーザー情報、およびクライアント署名が含まれます。
- ポリシーとエンタイトルメントのチェック:コントローラーは、関連するポリシーとエンタイトルメントをチェックして要求を評価します。ユーザーがアプリケーションを起動またはアクセスする権利があるかどうかを確認し、定義されたポリシー条件によって要求されたアクセスが許可されていることを確認します。
- アクセス権の付与:ユーザーが資格基準を満たし、ポリシー条件が満たされている場合、コントローラーはアクセス権を付与します。次に、トークンをセキュリティで保護された承認資格情報としてクライアントに発行します。
- セキュリティで保護されたワークスペースのエッジロケーションとのネゴシエーション:クライアントは、受信したトークンを使用して、セキュリティで保護されたワークスペースのグローバルネットワーク内の最も近いエッジロケーションとネゴシエートします。これにより、クライアントと選択したエッジロケーションの間にセキュアトンネルが確立されます。
- ターゲットアプリケーションへの最適化されたルーティング:セキュリティで保護されたワークスペースのエッジロケーションは、セキュリティで保護されたトンネルを介してクライアントに接続され、ターゲットアプリケーションとの永続的な接続を持つエッジロケーションに要求をルーティングします。ターゲットアプリケーションは、セキュアワークスペースコネクタを使用して最も近いエッジ位置に接続されます。セキュアなワークスペースグローバルエッジネットワークは、バックボーンネットワークを活用してルーティングプロセスを最適化し、パフォーマンスを最適化します。
Webブラウザおよびモバイルクライアントを介したプライベートアプリケーションアクセス:
ユーザーは、 (1) Webブラウザを使用してセキュアなワークスペースWebポータルから、または (2) セキュアなワークスペースモバイルクライアントから、直接プライベートアプリケーションを起動できます。これにより、プライベートアプリケーションにアクセスする際の柔軟性と利便性が向上します。次のステップは、この機能を実現する方法の概要です。
- ポリシーと資格のチェック:Webブラウザまたはセキュアなワークスペースモバイルクライアントを介してプライベートアプリケーションを起動すると、コントローラーはユーザーの資格と関連するポリシーの包括的な確認を行います。ユーザーにアプリケーションを起動する権限があるかどうかを確認し、定義されたポリシー条件によって要求されたアクセスが許可されていることを確認します。
- アクセス権の付与:ユーザーが資格基準を満たし、ポリシー条件が満たされている場合、コントローラーはアクセス権を付与します。次に、トークンをブラウザクライアントに発行し、これを承認資格情報として安全に保護します。これにより、ユーザーがプライベートアプリケーションにアクセスする資格があることが確認されます。
- リダイレクトの要求:アクセスを許可した後、コントローラーは、直接かつ永続的な接続を持つエッジロケーションで実行されているプロキシサーバーに要求をリダイレクトします。
- ターゲットアプリケーションのレンダリング:アクセスプロキシサーバーは、Webブラウザと連携して、HTML 5を使用してブラウザタブ内にターゲットアプリケーションをレンダリングします。これにより、ユーザーはリモートデスクトップ、SSH、またはその他の種類のアプリケーションをブラウザ環境内でシームレスに操作できます。
パブリックアプリケーション (SaaS) アクセス:
Splashtop Secure Workspaceは、パブリックアプリケーションまたはSaaS (Software-as-a-Service) アプリケーションのプロビジョニングとアクセスもサポートします。これらのアプリケーションは、IT管理者がユーザーに割り当てることができます。次のステップでは、パブリックアプリケーションアクセス機能がどのように実現されるかを説明します。
- セキュアワークスペースとの統合:SaaSアプリケーションは、アイデンティティプロバイダとしてSplashtop Secure Workspaceを使用するように構成されています。Secure Workspaceの観点からは、SaaSアプリケーションはサービスプロバイダ (SP) と見なされ、両者の統合が確立されます。
- パブリックアプリケーションの起動:ユーザーがSecure WorkspaceコントローラーまたはWebポータルからパブリックまたはSaaSアプリケーションを起動すると、コントローラーに対して認証要求が開始されます。ユーザーの資格情報と認証要求は、検証のためにコントローラーに送信されます。
- エンタイトルメントとポリシーチェック:コントローラーはユーザーを認証し、クレデンシャルが有効であることを確認します。次に、ユーザーがパブリックアプリケーションにアクセスするために定義された資格条件とポリシー条件を満たしているかどうかを確認します。条件が満たされると、コントローラーはIDP設定に基づいてサインオントークンを発行します。
- トークンとリダイレクトの発行:IdP構成に応じて、コントローラーはシングルサインオン (SSO) トークンまたはOpenID Connectトークンのいずれかを発行します。その後、コントローラーはユーザーの要求をターゲットSaaSアプリケーションにリダイレクトします。
- SaaSアプリケーションの認証フロー:リダイレクトされた要求を受信すると、SaaSアプリケーションは受信したトークンに基づいて適切な認証フローに従います。ユーザーはSaaSアプリケーションによって認証され、開いているWebブラウザタブ内でアクセスが許可されます。
デスクトップクライアントによるインターネットネットワークアクセスの保護:
Splashtop Secure Workspaceデスクトップクライアントは、管理者がユーザーのデスクトップからすべてのインターネットアクセスを保護できる強力な機能を提供します。この機能により、管理者はネットワークアクセスポリシーを確立して適用し、安全で生産的なオンラインエクスペリエンスを確保できます。次のステップは、この機能を実現する方法の概要です。
- ネットワークアクセスポリシーの設定:管理者は、ネットワークアクセスポリシー(許可されたドメインリスト、ブロックされたドメインリスト、Webコンテンツカテゴリなど)を設定して、有害なWebサイトへのアクセスからユーザーを制御および保護できます。これらのポリシーは、インターネットアクセス許可のガイドラインとして機能します。
- DNS構成:デスクトップクライアントは、ユーザーのデスクトップのDNS構成を引き継ぎます。ユーザーのコンピューターからインターネットアクセス要求が行われると、デスクトップクライアントはDNS要求を引き継ぎ、クラウドコントローラーで検証します。
- アクセス要求の検証:コントローラーはアクセス制御の中央機関として機能し、定義されたポリシーへの準拠を保証します。要求が管理者によって設定されたネットワークアクセスポリシーを満たしているかどうかを検証します。
- アクセスの承認とDNSの解決:コントローラーがポリシーの検証に基づいてアクセス要求を承認すると、要求されたドメインに対して適切なDNS解決を提供するようにデスクトップクライアントに指示します。これにより、ユーザーは要求されたWebサイトまたはオンラインリソースに安全にアクセスできます。
- 非準拠のアクセス処理:ユーザーの要求がネットワークアクセスポリシーの要件を満たしていない場合、デスクトップクライアントは要求をブロックページにリダイレクトします。その後、IT管理者によってカスタマイズされたブロックメッセージが表示され、要求されたWebサイトまたはリソースが構成されたポリシーに基づいてブロックされていることが示されます。
クライアント管理:
Splashtop Secure Workspaceを使用すると、IT管理者はWebポータルを通じて、登録されているすべてのデスクトップクライアントを管理および制御できます。これにより、デスクトップクライアントのユーザー設定をシームレスに管理および構成できます。
次のステップでは、デスクトップクライアントの登録がどのように行われるかを説明します。
- 登録プロセス:デスクトップクライアントがコントローラーに接続しようとすると、コントローラーはクライアントが登録されているかを検証します。管理者の承認が必要な登録プロセスがあります。デスクトップクライアントがSecure Workspaceに初めて登録すると、そのセキュアストア(例えば、Mac OSのキーチェーン)に格納されている秘密キーと証明書署名要求 (CSR) が生成されます。次に、クライアントはCSRをコントローラーに送信し、検証と署名を行います。
- 管理者の承認と証明書の発行:ユーザーの資格情報を確認し、管理者の承認を受け取ると、コントローラーはコントローラー自身によって署名された証明書をデスクトップクライアントに発行します。クライアントは、この証明書をセキュアストア(例:キーチェーン)に格納します。その後、クライアントはコントローラーとの接続を開始するたびに、認証のためにこの証明書を提示します。
- クライアントの登録と認証:この登録プロセスでは、承認され、認証されたデスクトップクライアントのみがコントローラーとの接続を確立できます。クライアントは接続開始時に証明書を提示し、コントローラーがデスクトップクライアントを認証し、Secure Workspaceリソースへのアクセスを許可できるようにします。
クライアントセキュリティポスチャ検証:
Splashtop Secure Workspaceを使用すると、管理者はクライアントのポスチャチェックポリシーを適用できます。これらのポリシーにより、管理者はデスクトップクライアントのセキュリティ衛生を検証し、セキュリティ標準に準拠していることを確認できます。次のステップでは、クライアントポスチャチェックの実装方法について説明します。
- クライアントポスチャチェックポリシーの設定:管理者は、さまざまな検証ポイントを含むクライアントポスチャチェックポリシーを定義できます。これらのポイントは、ディスクの暗号化、ウイルス対策の有無、特定のレジストリ設定、オペレーティングシステムのパッチレベルなど、デスクトップクライアントのセキュリティの状態を評価します。これらの要件を指定することで、組織全体でデスクトップクライアントのセキュリティ衛生を確保できます。
- ポスチャチェックのスケジューリング:コントローラーは、デスクトップクライアントを使用してクライアントのポスチャ検証をスケジューリングします。この検証プロセスは、定期的に、またはクライアント接続やシステムイベントなどの特定のトリガーに基づいて実行されます。
- ポスチャチェック結果のレポート:デスクトップクライアントは、スケジュールされた検証に従ってクライアントポスチャチェックを実行し、その結果をコントローラーに報告します。これにより、コントローラーはデスクトップクライアントが指定されたセキュリティポスチャ要件に準拠しているかどうかを評価できます。
- アクセス制御の意思決定:コントローラーは、クライアントポスチャチェックの結果に基づいて、ネットワークリソースへのアクセスに関する情報に基づいた意思決定を行います。定義されたセキュリティ体制への準拠に基づいて、デスクトップクライアントのアクセスを許可するかどうかを決定します。これにより、準拠した安全なデスクトップクライアントのみがネットワークリソースへのアクセスを許可されます。
パスワードとシークレットの管理:
Splashtop Secure Workspaceは、IT管理者やエンドユーザーを含むすべてのユーザーに堅牢なパスワードとシークレット管理機能を提供します。この機能により、資格情報の管理が簡素化され、さまざまなアプリケーションやシステムでセキュリティが強化されます。Splashtop Secure Workspaceでのパスワードおよびシークレット管理の実装方法の概要は、次のとおりです。
- Integrated Password Manager:Splashtop Secure Workspaceは、ユーザー名とパスワードを安全に保存および管理できる統合パスワードマネージャーを提供します。これにより、シームレスなエクスペリエンスが保証され、プライベートアプリケーションにアクセスする際の利便性が向上します。
- パスワードマネージャを使用したプライベートアプリケーションアクセス:プライベートアプリケーションはグループに割り当てられ、アプリケーションの動的資格証明属性を有効にすることで、パスワードマネージャ内に格納されている1つまたは複数のユーザー名とパスワードを各グループに割り当てることができます。この機能を利用すると、システムは保存されている資格情報を自動的に取得し、ユーザーが管理者によって割り当てられた資格情報を知らなくてもターゲットアプリケーションにアクセスできるように、安全なセッションを確立します。
- ゼロトラストアーキテクチャ:Splashtop Secure Workspaceのパスワードマネージャーはゼロトラストアーキテクチャで構築されています。これは、マスターパスワードを所有するユーザーのみが、格納されているパスワードとシークレットにアクセスできることを意味します。ワークスペースコントローラーは、パスワードマネージャー内の実際のコンテンツを知らないため、ユーザーデータのプライバシーと機密性が完全に保護されます。
- クライアント側の暗号化:セキュリティを強化するために、パスワードマネージャー内に格納されているすべてのパスワードとシークレットがクライアント側で暗号化されます。これにより、機密情報が保護され、権限のない者がアクセスできなくなります。
Webブラウザを介したプライベートアプリケーションへの特権アクセス:
Splashtop Secure Workspaceは、Webブラウザを介したプライベートアプリケーションの特権アクセス機能を提供します。特権アカウントとは、サービスアカウント、ルートアカウント、管理者アカウントなどの資格情報を指します。Splashtop Secure Workspaceにおける特権アクセス管理の実装方法の概要は、以下の通りです。
- 特権アカウントのユーザーおよびグループへの割り当て:管理者は、プライベートアプリケーションの構成内で特定のユーザーまたはグループに特権アカウントを割り当てることができます。割り当てられたアカウントは、Webブラウザを介してターゲットアプリケーションにアクセスする際に、それぞれのユーザーまたはグループメンバーによって利用できます。これにより、ユーザーは特権アカウントに関連付けられた実際のユーザー名とパスワードを直接知ることなく、特権アクセスを利用できます。
- パスワードマネージャとの統合:特権アクセスの実装は、前述のパスワードマネージャ機能と密接に統合されています。管理者は、サービスアカウント、ルートアカウント、またはその他の特権アカウントをパスワードマネージャ内に安全に格納できます。これらの資格情報を誰とも直接共有する必要はありません。
- 動的資格証明の割り当て:管理者は、プライベートアプリケーションの動的資格証明属性をアクティブ化できます。この機能を使用すると、各ユーザーまたはグループに、管理者のパスワードマネージャに保存されている0個または複数の特権アカウントを割り当てることができます。ユーザーがアプリケーションにアクセスしようとすると、グループメンバーシップに関連付けられている割り当てられた特権アカウントから選択するように求められます。
-
セッション確立のための特権アカウントの選択:エンドユーザーは、表示されたリストから目的の特権アカウントを選択して、セッションを確立できます。これにより、ターゲットアプリケーションへのアクセスに必要な権限を利用できるようになり、スムーズで安全な操作が確保されます。
結論
Splashtop Secure Workspaceは、インターネット、プライベートアプリケーション、パブリックアプリケーション (SaaS) に安全かつ効率的にアクセスするための強力なソリューションを提供します。Secure Workspace コントローラー、Secure Workspace グローバルエッジネットワーク、およびその高度なアクセス制御メカニズムを活用することで、ユーザーはどこからでもシームレスで保護されたリソースへのアクセスを享受できます。