エクストラネットアクセスのセキュリティ計画

モバイル機器を使用する顧客、クライアント、社員用のエクストラネットで、Sametime® のデプロイメント環境を保護します。早い時期にセキュリティチームおよびネットワークチームと話し合いの場を持ち、エクストラネットのアクセスについて計画を作成してください。セキュリティのベストプラクティスについて検討してください。

エクストラネットユーザー向けの、どんなケースにも適合するようなデプロイメントシナリオはありません。Sametime をデプロイする方法により、使用する Sametime のポート、使用する WebSphere® Application Server のポート、ファイアウォールで開くポートが決まります。

セキュアデプロイメントでは、2 つのファイアウォールを使用します。これらのファイアウォールは 3 つのセキュリティゾーンを定義します。内部ファイアウォールは組織のイントラネット (最も安全なゾーン) を隔離し、外部ファイアウォールはイントラネットとインターネット (最も安全性の低いゾーン) の間に DMZ を作成します。Sametime のデプロイメントは、常に、企業のセキュリティ要件、キャパシティ、インストールしたい機能によって異なります。インターネットから接続している外部ユーザーのみとミーティングを行うことを組織内のユーザーに許可する場合は、Sametime Meeting Server を内部ファイアウォールの外側にインストールして、Meeting Server が DMZ 内に存在するようにします。

計画の作成を始めるときに、セキュリティチームに以下の質問をしてください。
  • LDAP アクセス
    • DMZ 内のサーバーが内部 LDAP にアクセスできますか?
    • LDAP はゲストアカウントをサポートしていますか?
    • LDAP サーバーが DMZ 内に存在してもかまいせんか?
  • DB2® アクセス
    • DMZ 内のサーバーが内部 DB2 ホストにアクセスできますか?
    • DB2 サーバーが DMZ 内に存在してもかまいせんか?
  • DMZ からイントラネットへのポートを開く場合に何か制限はありますか?
  • Internet Control Message Protocol (ICMP) を使用しますか? Installation Manager とデプロイメント計画で、サーバーとホスト名が存在することを確認するために ping が使用されます。
以下のセキュリティ上のベストプラクティスを採用することを検討してください。
  • セキュア接続のため、Web トラフィックに SSL を使用する。
    • ファイアウォールまたはその他の境界デバイスを使用して、強制的にトラフィックを SSL に向ける。
    • WebSphere HTTP Proxy Server リダイレクトルールを使用する。
  • Media Manager のトラフィックに Transport Layer Security (TLS) を使用する。
    • 追加の構成を必須とする。
    • 最初に TCP オプションが機能していることを確認してから TLS 切り替えを行う。
  • DMZ にセルがデプロイされている場合は、以下の事項を検討する。
    • 必ず管理コンソールへの無許可アクセスを防止するためのセキュリティを有効にする。
    • サーバーのランタイムに Deployment Manager サーバーは不要である。
  • 追加のセキュリティのためにリバースプロキシを使用することを検討する。
    • ミーティングサーバーが HTTP に準拠している。
    • Sametime Proxy Server が HTTP に準拠している。
  • Sametime は、DB2 への暗号化アクセスをサポートします。情報については、技術情報「How do I enable SSL encryption for DB2 Connections for WebSphere-based applications and datasources?」を参照してください。
  • Sametime が IBM® Security Access Manager WebSEAL リバースプロキシサーバーをサポートしている。
  • Sametime CA シングルサインオン (以前は CA SiteMinder と呼ばれていた) をサポートしている。
  • 直接のピアツーピア通信が不可能である場合に、Sametime TURN Server により、Sametime クライアントが NAT またはファイアウォールを越えてオーディオ/ビデオ通信を送信することができます。TURN Server は、TURN (RFC 5766) プロトコルと STUN (RFC 5389) プロトコルを実装し、2 つの主要な機能を実行します。
    • クライアント (ICE、RFC 5245 を使用) がそれ自体のパブリックアドレスを見つけることを支援する。
    • クライアントに拡張 (リレー) を提供する。
  • ピアツーピア通信が不可能である場合、クライアントは TURN Server をリレーとして使用して、それらのピアとの間でパケットを送受信します。Sametime クライアントは、UDP または TCP を使用して TURN Server に接続します。TURN Server は、許可のリストを保持します。許可は、IP アドレスとそれに関連付けられた期限までの時間で構成されています。許可が存在する間は、許可リスト内の IP アドレスを使用するすべてのピアが、データをクライアントに送信できます。
以下の図は、重複する Sametime サービスがインターネットに公開された (ただし、内側のファイアウォールの外側にある)、大規模でセキュアなインストール済み環境を示しています。以下のサーバーがイントラネット内にあります。
  • Sametime System Console
  • DB2
  • Sametime Media Manager
  • Sametime Meeting Server
  • Sametime Proxy Server
  • LDAP
  • Sametime Community Server
LDAP を除き、ほぼ同じサーバーが DMZ にデプロイされています。
  • Sametime System Console
  • DB2
  • Media Manager
  • ミーティングサーバー
  • Sametime Proxy Server
  • コミュニティサーバー

重複する Sametime サービスがインターネットに公開されている (ただし内側のファイアウォールの外側の DMZ 内にある) 大規模でセキュアなインストール済み環境。