WatchGuardのリモートVPNには、
- IKEv2
- SSL
- L2TP
- IPSec
の4種類があり、主にIKEv2とSSLで設定させていただいています。
リモートVPNにはユーザーIDとパスワードが必要になりますので、管理者はFireboxにユーザーIDとパスワードの設定を追加する工程が必要になります。
WatchGuardの場合、ユーザーIDとパスワードはWatchGuardの内蔵データベースの中に登録する以外に外部のサーバーを利用する事が可能です。
外部サーバーにSingleID連携を
外部サーバー対応としては
- RADIUS
- LDAP
- ActiveDirectory
- SAML
の4種類があります。SingleIDは、クラウドRADIUSでの認証サーバー提供が可能となっており、WatchGuardとSingleIDを連携させることで、リモートVPNユーザーのユーザー管理はSingleIDの管理者ページで設定する事が可能となります。つまり、VPNユーザー作成のためだけに、WatchGuard Fireboxの管理者ページへログインする必要がなくなるのです。
WatchGuard+SingleIDで変わる運用
WatchGuard+SingleIDで管理者とリモートVPNのユーザーで運用が変わります。
管理者のメリットとしては、
- リモートVPNのユーザー作成の手間がなくなります
- パスワード管理をSingleIDへ移行する事で、パスワードにまつわる工程をSingleIDにまるなげすることができます
ユーザーのメリットとしては、
- VPNアクセスする時のIDとパスワードがSingleIDのログインID+パスワードになるので、VPN接続のためだけにIDとパスワードを覚える必要がなくなります
- パスワードを忘れた場合の問い合わせ先がSingleIDとなるため、SingleIDのパスワードリセット機能で対応ができます。
管理者・ユーザーとものメリットとして
- SingleIDはWiFiやMicrosoft365やGoogle Workspaceなどとも連携できるため、リモートVPNだけでなく多様なユーザー管理が省力化できます。
まとめ
弊社のバックアップお預かりサービスやWatchGuard Fireboxのサブスクはマネジメント付きで提供させていただいています。入退職時のリモートVPNユーザーの追加やトラブル発生時のユーザーの資格失効などについては自身で行う方が早いです。そこについては、SingleIDにまかせてしまうと言う考え方もあります。
また、ユーザーの利用についても、WiFi・Microsoft365やGoogle Workspaceと共通化すれば複数のパスワードを管理する負担が減ることでよりセキュアなパスワード(複雑でユニークなもの)を設定しやすくなり、セキュリティ意識が高まることが期待できます。
組織全体をよりセキュアなデジタル環境に改善するためにもWatchGuardサブスク+SingleIDの連携を検討されてはいかがでしょうか。
