社内サービスを一括・即座・セキュアにリモートワーク開放した話 - エムスリーテックブログ

はじめまして。 エムスリーエンジニアリンググループSREチームの山本です。 先日来のリモートワーク促進の中、弊社でも多くの社員がオフィス外から接続するようになりました。 もちろん、VPNを利用すれば社内のサービスも利用できますが、VPNの使用量が一気に増えるとそちらの制限にかかります。 今回「VPNを可能な限り利用せず、なおかつセキュアに社内のサービスを利用してもらう」という課題に取り組みましたので、ここでその紹介をさせてください。 前提 方針 クライアント証明書の問題点 一括でのSSL化・証明書検証 ドメイン変換 実際の設定 Squidの設定(抜粋) unboundの設定 nginxの設定(クライアント証明書検証) nginxの設定(HTTPサーバに対するproxy) nginxの設定(個別対応) ブラウザのProxy設定 その後発生した問題 ポート問題 Hostヘッダ問題 戻りヘッダ問

[circled]

あれこれ頑張るよりも、素直にIPAのこれ使うのが一番楽だったりする。帯域も全然影響を受けないレベルだし、どうなってんの？と思いながら快適に使えている。 → https://telework.cyber.ipa.go.jp/download/

[napsucks]

アプライアンスで片付けずに手作りでやるところがすごい。これでちゃんと行けるんだな。

[pascal256]

SquidでmTLS対応してVPNの負荷を下げたのか。現実的だし良い取り組みかも。ゼロトラスト系のProxyでは無くSquidなのは慣れの問題かな？

[rrringress]

プロキシとか含めての検討なら将来的にはベンダの機器でやってしまったほうが安定しそう

[Soraneko]

👀

[ya--mada]

これなんかいいの？

[EngineerYtr]

幾つものクライアント証明書の管理・配布は負担だから一つに纏めたくなってくるんだよな。