aXesアーキテクチャー

通常aXesは、企業の基幹システムやサービスプロバイダー(SP)環境にインストールされます。これらの環境のセキュリティのレベルは、ファイアウォールが無い場合から、インフラストラクチャーの中のすべての層にファイアウォールを設置する場合まで多種多様です。

インストールされるどのようなセキュリティ環境でも、既存のインフラストラクチャーへの影響が皆無かほとんど影響ないように、十分に柔軟であることがaXesの目指すゴールです。クライアント・デバイスは、aXesを管理する部門が管理できない遠隔地にある場合もあります。クライアント・デバイスは、インターネットでサーバーにアクセスする時にファイアウォール、あるいはプロキシ・サーバーによってルーティングされるかもしれません。クライアント側の企業の機密保護の方針は、多くの場合に、特定のポートからのトラフィックしか許していません。ユーザーにとっての挑戦は、企業のセキュリティを危険にさらすことなく、インターネットでビジネス・アプリケーションにアクセスすることができるようにすることです。企業で利用しているソフトウェア、あるいはインターネット・アクセスを利用するハードウェアやサービス・プロバイダ環境でも、同じ挑戦が待ち受けています。aXesにより、エンドユーザーに影響なしに、機密保護の方針に違反することなく、既存のインフラストラクチャーを崩壊させずに、またVPNのような他の高価な方法を必要とせずに、この挑戦に打ち勝つことができます。

aXesは、IBM iSeries(AS/400)のために、Webサイトの高速化技術により、高速性と安全性を統合したHTTPサーバーを提供しています。aXesアプリケーション・サーバーを使うことで、負荷を軽減し、Webからの応答が良くなることで、サイトでのサービス品質をより想定、管理し易くなります。

ファイヤーウォール、キャッシュ、プロキシサーバー

ファイヤーウォールは、ネットワーク上のサーバー・アクセスを制限することで機密を保護するために、企業またはサービスプロバイダ環境に設置されています。クライアント・デバイスとaXesアプリケーション・サーバーが、同じファイアウォールの後ろにある場合、クライアントは直接aXesアプリケーション・サーバーと接続することができます。クライアントがaXesアプリケーション・サーバーと同じイントラネット上にあり、インターネット・アクセスでVPNやダイヤル呼出しを使う場合は、事実上構内接続のように考えることができます。しかし、クライアント・デバイスがaXesアプリケーション・サーバー・サイトのファイアウォールの外にある場合もあります。 この場合に、クライアント・デバイスは、aXesアプリケーション・サーバーにファイアウォールを通してインターネットに直接接続するか、aXesアプリケーション・サーバーと接続するために、インターネットに出る前にファイアウォールによりルーティングすることができます。

aXesアプリケーション・サーバーは、aXesトランザクションをキャッシュしないことを明示的に指示するHTTPヘッダをHTTP1.1プロキシサーバーに提供します。各トランザクションはユニークなURLであるために、プロキシサーバーはaXesのトランザクションをキャッシュしません。他のaXesアプリケーション・サーバーのHTTPトランザクションは、プロキシサーバーを通して正常にキャッシュされます。

ファイアウォールとプロキシサーバーの詳細情報は、以下をご覧ください:

aXesポート

aXesアプリケーション・サーバーは、HTTPまたはHTTPSプロトコルを使います。これらの接続は、aXesアプリケーション・サーバーのそれぞれのポートで待機するプロセスによってサービスされます。
省略値のポートは以下の通りです:

  • ポート80 HTTP
  • ポート443 HTTPS

プロトコルは、暗号化、非暗号化をユーザーによるセキュリティの設定で指定することができます。

一般的にユーザーは、ブラウザにURL(例えばhttps://www.axeslive.com/)をタイプすることで、aXesアプリケーション・サーバー経由でアプリケーションにアクセスします。aXesアプリケーション・サーバーとの初期の接続は、HTTPまたはHTTPSのどちらか経由で行われます。aXesアプリケーション・サーバーは、HTTPまたはHTTPS要求に応じて、ログイン画面をユーザーに提供します。インターネットのトラフィックは、ユーザーのログイン、アプリケーションの起動、アプリケーションへの応答として生じます。

セキュアな環境で実行するために、インターネット上のトラフィックを暗号化すべきです。従って、多くの場合にHTTPSが使用されます。aXesアプリケーション・サーバー(HTTPS)がポート443上で待機する場合、このポートは受信トラフィックにアクセス可能である必要があります。すなわちポートは、aXesアプリケーション・サーバー・サイトでファイアウォールを通してアクセス可能でなければなりません。クライアントのサイトが、ファイアウォールやプロキシサーバーを使っている場合は、ポート443のトラフィックを許可する必要があります。

クライアント・デバイスが安全な環境にある場合は、クライアント側ファイアウォールやプロキシサーバーで、宛先サーバーのポート443だけの送信トラフィックを許可する必要があります。この環境において、Web上のトラフィックはポート443上で通信することになります。

aXesとTelnet

aXesはTelnetを使用しません。aXesの利用にあたって、TelnetプロトコルとIBM i Telnetサーバーのどちらも作動している必要がありません。

ほとんどのTelnetベースのソリューション(リッチ、シンクライアント)は、2つの特殊なポート(ポート23とポート992)をオープンする必要がありますが、aXesアプリケーション・サーバーは、HTTPアプリケーションの省略値であるポート80、あるいはユーザーが指定したポートのみを使用します。

しばしばされる質問は、「WebでIBM iアプリケーションを提供するために、TelnetまたはTelnetで基づいたゲートウェイソリューションを使って、サーバーに対するセキュリティ侵害に対処していますか?」というものです。
セッションアクセス、ODBC接続、Javaクライアント・アクセス、サーバー・アプリケーションとデータへの直接的なソケット・アクセスなどを提供する場合に、多くの製品で複数のポートをオープンする必要があるのが一般的です。

答えはノーです。なぜなら、ハッカーまたは侵入者が、首尾よくTelnetセッションに接続することができたとしても(サインオン画面を表示させることができたとしても)、サーバーにアクセスする前にユーザー・ログインとパスワードを知る必要があるからです。IBM iの正しいセキュリティ上の考慮点は、不成功なサインオン試行回数を限定し、侵入の試みを追跡することです。

サーバーアクセスをTelnetベースで行っている場合は、セッションに接続できた時点でハッカーがシステムのタイプを特定することができます。これは、セッションがサーバーへのサインオン画面を表示するからです。

基本的なセキュリティのアプローチは、潜在的なハッカーが使用可能な情報量を最小化することがですが、aXesはTelnetベースのアプローチを次のように改善します:

  • Telnetを使わない(aXesは、Telnetサーバーを起動せずに利用できます)
  • 決してサーバー・サインオン画面を表示しない
  • ユーザIDとパスワードを常に(SSLを使われなくても)暗号化する
  • HTTPポートを使用してTelnetポートを使用しない

aXesが提供する機密保護

セキュリティに対する配慮は、aXes製品に不可欠な事項であり、アプリケーションをインターネットを通じてブラウザで使うリモート・ユーザーのデータとアプリケーションを、保護するようにデザインされています。
aXesは、セキュリティに妥協すること無しに、他と異なるレベルのスケーラビリティとパフォーマンスを実現するための物理的な数多くの仕掛けをサポートしています。以下は、aXesが対応できるセキュリティ上の問題のいくつかです。

  • aXesは、最高位のIBM iのセキュリティ・レベル(レベル50)までのセキュリティと、承認のメカニズムをサポートします。
  • ユーザーIDとパスワードは、送信の前に暗号化されて、ブラウザの中でキャッシュされることはありません。
  • aXesは特定のIPアドレスからログインをサポートします。
  • aXesは特定の装置名からログインをサポートします。
  • aXesは、サーバー上のユーザー・セッションのモニター機能を提供します - aXesのユーザーの利用状況をリアルタイムに把握するために管理者が利用できます。
  • aXesアプリケーション・サーバーは、セキュア・ソケット・レイヤ(SSL)と、安全な認証、暗号化、否認防止、VPN技術を利用するトランスポート・レイヤ・セキュリティ(TLS)プロトコルの両方をサポートします。SSLとVPNの両方を利用することで、犯罪者のブラウザとサーバー間のトラフィックを傍受を防止することができます。

ブラウザとaXesアプリケーション・サーバーの間の通信が圧縮(GZIP)されることで、以下の2つ利益を得ることができます:

  • パケットをモニターする機器で、トラフィックをモニターすることが困難
  • SSLまたはVPN技術を使う場合に、SSLまたはVPNの暗号化された後と解読処理が起こる間の、サーバーとブラウザ間で転送されるデータ量が減少

SSLやVPN技術を使ってトラフィックを圧縮することにより、ネットワークの帯域幅とCPUサイクルを顕著に節約することができます。

aXesアプリケーション・サーバーはサーバーのファイルに対して、特定の読込(*R)と実行(*X)権限を必要とすることでWebページを保護しています。また、アクセス制御リストを使って、サーバー・ディレクトリへのアクセスを保護しています。

このページのトップへ戻る