仮想プライベートネットワーク (VPN) の詳細
仮想プライベートネットワーク (VPN) を使用して、インターネット経由でインスタンスを外部データソースと統合します。
ライトウェイトディレクトリアクセスプロトコル (LDAP) や HTTPS などの暗号化されたプロトコルを使用する統合を設定する場合は、インターネットを転送メカニズムとして使用することをお勧めします。
ただし、データセンターとビジネスネットワーク間でサイト間インターネットプロトコルセキュリティ (IPSEC) 仮想プライベートネットワーク (VPN) 接続の使用を指示するセキュリティまたはネットワークアーキテクチャ要件がある場合があります。VPN は、インスタンスとネットワーク間で必要な暗号化通信をサポートします。
VPN トンネルが開始されると、サイト間接続として動作します。これは、インフラストラクチャ上のエンドポイントが暗号化ドメインと呼ばれる IP アドレスを受け取ることを意味します。このパブリック IP には、同じデータセンター内の任意のインスタンスからアクセスできます。
たとえば、内部 Web サービスがあり、VPN トンネルを確立している場合、インスタンスは内部エンドポイントだけでなく、同じデータセンター内の他のすべてのインスタンスにも到達できます。
VPN 接続
ServiceNowVPN インフラストラクチャは、VPN の終了ポイントとして機能する Cisco 適応型セキュリティアプライアンス (ASA) デバイスのペアを使用します。
インスタンスとネットワーク間の VPN は、既存のネットワークハードウェアを使用して通信をサポートします。ハードウェアをインストールする必要はありません。構成は顧客ごとに異なるため、インスタンスには柔軟な VPN ソリューションが提供されています。インスタンスには、チェックポイント、Juniper、Nortel、およびその他の IPSEC VPN 対応デバイスへのトンネルがビルドされています。
インスタンスとネットワーク間の VPN 接続は、ネットワークへの暗号化されたトラフィックフローをサポートするために作成されます。多くの場合、VPN を使用する統合では、基礎となるプロトコルの一部として暗号化は行われません。たとえば、VPN 経由の LDAP とインターネット経由の LDAPS、VPN 経由の HTTP とインターネット経由の HTTPS などです。
ネットワークでは、受信から ServiceNow への統合またはエンドユーザーから ServiceNow へのトラフィックが VPN 接続を走査することは許可されていません。この制限付き通信には、プラットフォームへのエンドユーザーアクセス、プラットフォームの管理、Web サービスの統合、および MID サーバーを使用するように設定されたその他の統合が含まれます。インスタンスへのこのような受信通信はすべて、HTTPS を使用してインターネット経由で実行する必要があります。この設定では、暗号化された通信チャネルが提供されます。暗号化チャネルは、IP アクセス制御とともに、このトラフィックフローのセキュリティ要件を満たしています。
VPN 通信用のアドレス
内部 ServiceNow ネットワークまたはネットワーク内の別の内部 IP アドレススキームとの競合または重複を防ぐために、暗号化ドメイン内のすべてのトンネルトラフィックは、トンネルの両側で RFC-1918 以外のアドレスを使用する必要があります。
ServiceNow は、ネットワークに対するクエリのソースの単一 IP アドレスを提供します。インスタンスと統合している各ホストのネットワークアドレス変換 (NAT)、非 RFC-1918 アドレスを指定する必要があります。このようなパブリックアドレスは組織が所有する必要があります。サードパーティのアドレスはトンネル内で使用できません。また、暗号化ドメインに VPN ピアの IP アドレスを含めることはできません。
冗長トンネル
- 両方のピアの背後で同じ暗号化ドメインを使用する。これが推奨される方法です。
- 各ピアの背後で異なる暗号化ドメインを使用する。
最初の方法では、各ピアの背後に同じ NAT アドレスを指定し、そのアドレスを使用してサーバーへの接続パスを作成する必要があります。サーバーへのパスは、同じ物理マシンにすることも、同じサービスを提供するミラーにすることもできます。この方法では、プライマリトンネルとセカンダリトンネルのどちらがアクティブであるかに関係なく、インスタンスは同じ IP アドレスを使用してサーバーに接続します。複数のサーバーがある場合は、追加のサーバーでもこの同じスキームに従います。この方法はユーザーにとって最も透明性が高いため、推奨されます。
2 番目の方法では、インスタンスを構成して冗長性を持たせる必要があります。たとえば、LDAP にトンネルを使用する場合は、インスタンスに冗長化した LDAP サーバーをビルドすることができます。この方法では、インスタンスがセカンダリサーバーに接続しようとする前に、最初に設定された LDAP サーバーへの接続がタイムアウトする必要があります。このような追加の時間遅延があるため、最初のオプションが達成できない場合にのみこのソリューションを実装してください。また、インスタンスですべてのサービスに冗長性を提供できるわけではないためご注意ください。LDAP 以外のものに VPN トンネルを使用しているために冗長性が必要な場合は、複数のアドレスに対応できる構成であることを確認するか、上記の最初のオプションを参照してください。
VPN の使用の代替
この代替手段は、インスタンスを ServiceNow データセンターのリソースに接続するより簡単な方法とより優れた暗号化を提供します。また、VPN トンネルに問題がある場合にユーザーがインスタンスを使用できなくなるといった、VPN のダウンタイムによって発生する可能性のある問題を回避できます。
- シングルサインオンと MID サーバー
VPN を使用して LDAP サーバーをインスタンスに接続するのではなく、認証用のシングルサインオン (SSO) とユーザーデータの同期用の MID サーバーを組み合わせて使用することを検討してください。LDAP 以外の統合の場合は、証明書ベースの暗号化を使用することを検討してください。
MID サーバーで LDAP リスナーを使用すると、ユーザーテーブルをほぼリアルタイムで同期できます。
このアプローチの利点は、ファイアウォールの穴、ルート、VPN トンネル、またはその他の特別なネットワーク設定を構成して維持する必要がないことです。SSO/MID サーバーソリューションは、完全な LDAP 統合を実現するための最も柔軟かつ安全でコスト効率の高い方法です。
- LDAP over SSL
- VPN トンネルを使用する別の方法として、インターネット経由で直接 LDAP Over SSL (LDAPS) を設定する方法があります。選択したインスタンスのソースアドレスと宛先ポートのみを使用して、読み取り専用のドメインコントローラーを構成し、DMZ 内のインスタンスをロックすることができます。LDAP のポートはインスタンスで設定できるため、必要に応じてポートアドレス変換 (PAT) を実行できます。LDAPS では、暗号化されたチャネルを介してインスタンスにアップロードされる証明書を制御します (「インスタンスへの証明書のアップロード」を参照)。証明書がないとパケットを暗号化または復号化できません。
このアプローチの利点は、より強力な暗号化と復号化のメカニズムが提供されることです。パスワードと同様に、VPN は調整された事前共有キーを使用して、インターネット上の 2 つのピア間のトラフィックを暗号化および復号化することができます。LDAPS は、アプリケーションレイヤーでエンドツーエンドの長い暗号化パスを提供し、IPSec トンネルが使用する事前共有キーよりもはるかに複雑な証明書を提供します。
VPN セットアップ
VPN 要求が送信されてから、通常、1 週間以内に VPN ビルドが完了します。インスタンスと組織の冗長性の要件に対応するために、2 ~ 4 つの VPN がプロビジョニングされます (アクティブサイトからアクティブサイトへ、またはアクティブサイトから DR サイトへなど)。
暗号化ドメインをできるだけ限定することをお勧めします。暗号化ドメインには、統合に必要な特定のホストのみを含めることが理想的です。大きな暗号化ドメインでは、ルーティングの不一致が発生する可能性があります (VPN とインターネット)。
- 各データセンターから VPN ピアとホストアドレスが提供されます。
- 2 つのデータセンターからネットワークへの必要な VPN 接続がビルドされます。冗長性と災害復旧 (DR) の要件に対応するために、VPN を 2 つのデータセンターから 2 つのネットワークにプロビジョニングすることができます。
インスタンスでは、複数の地理的リージョンまたは子会社に接続する目的で、顧客のネットワークに複数の VPN トンネルをビルドすることはできません。複数の VPN トンネルを持つのではなく、独自の内部ネットワーク内でサイト間ルーティング、トラフィック分散、またはトラフィックシェーピングを実行する必要があります。