Access Gatewayセキュリティのベストプラクティス
Access Gatewayは、強固でセキュアなデプロイメントをサポートする機能強化されたアプライアンスです。以下のチェックリストでは、Okta Access Gatewayをデプロイする際に従うべき一般的なセキュリティに関するベストプラクティスについて説明します。
チェックリスト
以下の目標を念頭に、適切なリファレンスアーキテクチャに従って、Access Gatewayをデプロイします。
| 内部ネットワークにAccess Gateway管理者ノードをデプロイします。 | 可能であれば、Access Gateway管理者ノードを内部にデプロイし、管理ノードがパブリックインターネットからアクセスできないようにワーカーノードから分離します。 |
|
サービスアカウントを使ってAccess Gatewayで使用するセキュアなOktaトークンを作成します。 |
Access Gatewayで使用するためのサービスアカウントとセキュリティトークンを作成します。詳細については、「Access Gateway内のIDプロバイダーを構成する」を参照してください。 |
| Access Gateway管理者UIコンソールのコンソールアプリと適切なグループを構成します。 | Access Gatewayアプリを構成し、管理操作を行うメンバーの特定のグループを作成します。デフォルトの管理者 UI コンソールアカウントはできるだけ使用しないでください。 |
| Access Gateway 管理コンソールユーザーとAccess Gateway 管理者 UI コンソールの管理者ユーザーのパスワードを変更します。 | 管理者 UIおよびAdmin Consoleのデフォルトのパスワードを常にリセットします。詳細については、コマンドラインコンソールAdmin Consoleおよび「管理者 UI パスワード」のセクションを参照してください。 パスワードマネージャーを使用してこれらのパスワードを生成し、安全に保管し、管理することを検討してください。 |
| ファイアウォールを使用して、パブリックインターネットからワーカーノードへのHTTP以外のすべてのトラフィックをブロックします。「Access Gatewayデプロイメントの前提条件」の「ファイアウォールとアクセス要件」を参照してください。 | Access Gatewayワーカーノードを出入りするトラフィックを、明らかに必要とされるプロトコルとポートに制限します。 |
| セキュリティ情報およびイベント管理(SIEM)ソリューションへのログ転送を実装します。 | ログフォワーダーレシーバーを常に定義して、ログメッセージをリアルタイムで取得して表示できるようにします。 |
| Access Gatewayをアップグレードするためのスケジュールを作成し、実行します。 | Access Gatewayは、毎月定期的にアップデートをリリースしており、定期的にアップグレードを行うことで、最もセキュアなコードでシステムを動作させることができます。 |
| アプリケーションのポリシーをレビューして、保護済みのパスが保護されていることを確認します。 | Access Gatewayをバイパスできる可能性のあるアプリケーションへの代替パスを確保し、テストするための予防策を講じます。さらに、Access Gatewayが提供するコンテンツを定期的に確認し、リンクとリダイレクトが正しく書き換えられ、公開名のみを含んでいることを確認します。 |
| エンドユーザーがアプリケーションにアクセスするには、パブリックSSL証明書を使用します。 | 証明書は、Access Gatewayロードバランサーの前、またはAccess Gateway自体で処理できます。詳細については、「証明書管理」を参照してください。 |