Gateway とは何か?なぜ Gateway が必要なのか?

Gateway はシステム内の中核プロキシサーバーコンポーネントであり、ユーザーの接続要求を中継し、制御された安全な接続を確立します。これにより、データ転送の安全性とコンプライアンスを確保すると同時に、接続の効率性と安定性を向上させます。

Gateway 管理のロジック:

システムが Gateway を選択する方法は以下の通りです。

  1. リソースが Gateway セグメントのタグ(例:gateway-office1)でマークされていない場合:
    システムは利用可能な Gateway をランダムに選択して要求を処理します。このケースは特定のプロキシサーバー要件がない一般的なニーズに適しています。
  2. リソースがタグでマークされている場合:
    システムはそのセグメント内で利用可能な Gateway をランダムに選択し、効率的で特定の要件に合った接続を確保します。
  3. Gateway の可用性の確保:
    システムは各 Gateway の状態を15秒ごとに同期し、異常が検出された場合は自動的に再試行します。特定の Gateway が使用不可の場合、システムはエラーを記録し、接続失敗を通知します。
  4. 接続の実行:
    Gateway を正常に選択した後、システムは接続を確立し、セッション記録(Session Recording)を開始します。接続が失敗した場合には、監査ログ(Audit Log)のみが生成されます。

接続失敗時の処理:

  • 利用可能な Gateway がない場合、またはプロキシがターゲットデバイスに接続できない場合、システムはエラーログを記録し、接続失敗を通知します。
  • セッション記録は接続成功後にのみ有効になり、失敗時には監査ログのみが生成されます。

サポートされているプロトコル:

現在、RDP、VNC、SSH、SFTP がサポートされており、企業内外の多様なアクセスニーズに対応しています。

Tunnel 機能とは何か?

Tunnel 機能は、すべての接続をシステム既定の Gateway 経由で通過させ、閉じたネットワーク環境での安全なアクセスを実現します。データトラフィックの暗号化と分離を提供し、内部ネットワークの露出リスクを低減します。

Gateway Management と Tunnel 機能が必要なシナリオ:

  1. タグなしリソースの場合:
    例:特定の Gateway セグメントが指定されていない内部ファイルサーバー。
    • システムは利用可能な Gateway をランダムに選択して代理処理を実施します。
    • 一般的なリソースに適しており、特別なプロキシ計画は不要です。
  2. クラウド環境ごとに区分されたリソース:
    例:AWS と GCP に分散された複数のリソース。
    • AWS リソースを「gateway-aws」、GCP リソースを「gateway-gcp」としてタグ付けします。
    • システムは指定されたセグメント内で Gateway をランダムに選択し、効率的な接続を実現します。
  3. 企業のコンプライアンス要件を満たす内部接続:
    • Tunnel 機能を有効化することで、すべての接続を内部 Gateway 経由で処理し、公共ネットワークへの直接露出を防ぎます。
    • すべての接続トラフィックに暗号化チャネルを提供し、データ漏洩や傍受リスクを回避します。
    • 外部ユーザー(例:サードパーティベンダー)も内部 Gateway を経由することで、安全なアクセスを保証します。

FAQ

Q1: Gateway の管理方法は?
A1: Gateway 管理ページで以下の手順を実行してください:

  1. セグメントの定義:各 Gateway にセグメント名を設定し、設定ファイルをリモート Gateway にインストールします(例:gateway-office1)。
  2. リソースのタグ付け:リソースリストページの「タグ」フィールドに Gateway セグメント名を追加します。
  3. 公開鍵の入力:インストール後に公開鍵を管理ページに入力し、安全な接続を有効化します。
  4. 接続テスト:約10分待機して Gateway 状態の同期を確認し、接続が正常に動作するかテストします。

Q2: Tunnel の役割は?
A2: Tunnel を有効化することで、すべての接続を既定のプロキシサーバー経由で通過させ、データ暗号化とネットワーク分離を提供します。

Q3: Gateway の自動同期と再試行メカニズムはありますか?
A3: システムは15秒ごとにリモート Gateway の状態を同期し、失敗時には自動再試行を行います。

Q4: 利用可能な Gateway が見つからない場合はどうすればよいですか?
A4: Gateway が正しくインストールされ、システムで同期されているか確認してください。また、プロキシの設定とネットワーク状態を確認してください。

Q5: 複数の Gateway を指定できますか?
A5: 可能です。同一セグメント内に複数の Gateway を配置でき、システムはランダムに利用可能な Gateway を選択します。

Q6: Gateway をタグ付けする必要があるのはどのような場合ですか?

リソースの混在を防ぎたい場合。

特定エリア内のリソース(例:AWS、GCP)を指定する場合。

接続効率を向上させたい場合。

特定のビジネス要件(例:内部サーバーや機密データリソース)を満たす必要がある場合。

Q7: Gateway(ゲートウェイ)はどのように動作しますか?CentralOne、Gateway、ターゲットマシン間の接続の仕組みは?

A7:Gateway はシステムの中核となるプロキシコンポーネントであり、ユーザーの接続要求を中継・転送する役割を担っています。
接続の流れは簡単に言うと:

  • ユーザー(CentralOneクライアント)がまずGatewayに接続します。
  • Gatewayがターゲットマシン(サーバーやデスクトップ)に代理接続します。

この構成によりアクセス権限を集中管理し、データの安全性を確保するとともに、セッション録画や操作ログの記録をサポートして監査に役立てます。

Q8: CentralOne、Gateway、ターゲットマシン間ではどのような通信プロトコルとポートが使用されますか?開放すべきネットワークポートは何ですか?

A8:

システムは主に以下のネットワークポートを使用し、正常かつ安全な接続を確保しています。

  • TCP 443(HTTPS):CentralOneとGateway間の管理および認証通信に使用。
  • TCP 7993、7994、7995(システム専用ポート):Gatewayとターゲットマシン間の代理通信に使用。接続方向プロトコルポート例用途CentralOne → GatewayTCP443管理通信および認証Gateway → ターゲットマシンTCP7993~7995代理接続(RDP、VNC、SSH等)

推奨設定:

  • デフォルトでは、システムの完全な機能と接続の安定性を確保するために、CLI を使ってファイアウォールやネットワークポリシーで TCP ポート 443 および 7993~7995 をすべて開放してください。
  • 特殊な状況や厳格なセキュリティポリシーがある場合、管理者がポートの使用状況を把握しているなら、必要なポートのみ選択的に開放可能です。
  • 不明な場合は、まずすべてのポートを開放し、システムの正常動作を確認した後、必要に応じて調整してください。

Q9: なぜこれらのポートを開放する必要があるのですか?開放していない場合、どのような影響がありますか?

A9:

これらのポートは Gateway と CentralOne、対象機器間の正常な通信に不可欠です。開放しない場合、以下の問題が発生する可能性があります。

  • ユーザーが Gateway を介して対象機器に接続できず、サービスが停止する。
  • セッション録画や監査ログが完全に生成されず、コンプライアンスに影響が出る。
  • 接続が不安定になったり頻繁に切断されたりし、ユーザー体験が悪化する。

ファイアウォール、ルーター、クラウドセキュリティ設定でこれらのポートが通過可能であることを必ず確認してください。

Q10: ポート 7993、7994、7995 は何を意味していますか?標準的な用途はありますか?

A10:
ポート 7993、7994、7995 はシステム内部で Gateway と対象機器間のトラフィック転送に使われる専用プロキシポートです。

  • これらのポートには業界共通の標準はなく、システム設計に基づいて割り当てられています。
  • 複数の同時接続をサポートし、プロキシトラフィックの安定化と負荷分散を目的としています。
  • 各ポートが扱うプロトコル(RDP、VNC、SSH など)はシステム設定によって異なります。

実際のポート割り当てについては、システムの導入ドキュメントを参照するか、管理者に確認してください。