オンプレミスへのアクセス
企業は、セキュリティとプライバシーをより細かく制御するために、制限されたネットワーク内にアプリケーションとデータベースをデプロイします。 ファイアウォールは、これらのプライベートEnvironmentとパブリックインターネットの間のデータフローを監視および制御します。 そのため、これらのプライベートIT Environmentでホストされているアプリケーションとデータは、通常、Workatoのようなクラウドサービスからアクセスできません。
Workatoのオンプレミスエージェントを使用すると、プライベートIT Environment内からWorkatoクラウドに接続するための安全なコネクションを作成できます。 これにより、セキュリティの制御を維持しながら、ハイブリッドクラウドまたはマルチクラウドアーキテクチャを完全に統合できます。
機能の提供状況
オンプレミス接続は特定の料金プランで利用できます。 詳細については、ご利用の料金プランおよび契約を参照してください。
仕組み
以下は、Workatoのオンプレミスエージェントと、それがファイアウォールの背後にあるデータベースおよびアプリケーションとどのように相互作用するかを示す概念モデルです。
オンプレミスエージェントとコネクターの概念モデル
オンプレミスエージェントは、High AvailabilityおよびLoad Balancing機能を実現するために、オンプレミスグループと呼ばれる論理グループにインストールすることもできます。
グループ内のオンプレミスエージェントの概念モデル
Workatoのオンプレミス接続には、次の2つの主要コンポーネントがあります:
- トンネリング
- データベース、ファイルシステム、およびアプリケーションへのアクセス。
オンプレミスエージェントはユーザーのサーバー内、通常はファイアウォールの背後で実行され、Workatoへのアウトバウンド接続を行うためのTLS WebSocketトンネルを確立します。
オンプレミスエージェントはファイアウォールの背後にあるシステムと同じネットワーク内にあるため、それらに安全にアクセスでき、Workatoと安全に通信するためのエージェントとして機能します。
OPAはWorkatoへのアウトバウンドコネクションのみを確立します。 ファイアウォールでインバウンドポートを開く必要はありません。 エージェントはTCPポート443経由でWorkatoのオンプレミスゲートウェイに接続します。
ゲートウェイコネクションでは、Workatoのプライベート公開鍵基盤(PKI)に裏付けられた相互TLS(mTLS)を使用します。 TLSハンドシェイク中に、エージェントとゲートウェイの両方が互いの身元を検証します:
- ゲートウェイは、Workatoのプライベート認証局(CA)によって署名されたサーバー証明書を提示します。
- 各エージェントは、アクティベーション中に発行されたクライアント証明書を提示します。
- エージェントは、WorkatoのプライベートCAのみを信頼する組み込みのトラストストアに対してゲートウェイ証明書を検証します。
Workatoは、公的に信頼されたCAに依存するのではなく、このPKIをプライベートに運用します。 これは意図的なセキュリティ設計です。 WorkatoのプライベートCAのみを信頼することで、以下に対する保護に役立ちます:
- 侵害されたパブリックCAによって発行された不正な証明書。
- 中間ネットワークデバイスによるTLSインターセプションまたは中間者(MITM)攻撃。
- Workatoのゲートウェイインフラストラクチャへの接続を試みる未承認のエージェント。
ネットワーク要件
Workato OPA用にネットワークを設定するには、以下のセクションを参照してください。
Workatoへのアウトバウンドトラフィックを許可する
エージェントが接続するには、OPAホストがWorkatoのゲートウェイにアウトバウンドトラフィックを送信できる必要があります。 WorkatoゲートウェイFQDNとIPアドレスを、ネットワークのファイアウォールまたはセキュリティ許可リストに追加します。
データセンター別のゲートウェイFQDNとIPアドレスの完全なリストについては、Workatoへのトラフィックを参照してください。
SSL/TLSインスペクションの設定
Zscaler、Cisco Umbrella、CATO CloudなどのSSLインスペクションツールは、HTTPSトラフィックをインターセプトし、独自のCA証明書で再署名します。 これにより、OPAとWorkatoゲートウェイ間のmTLS信頼チェーンが破壊され、エージェントがコネクションを拒否します。
インスペクションツールのCA証明書をエージェントのトラストストアにインポートしても、この問題は解決されません。 ゲートウェイコネクションは、WorkatoのプライベートCAに対してのみ証明書を検証します。 WorkatoのプライベートPKIの詳細については、仕組みを参照してください。
WorkatoゲートウェイFQDNのインスペクションをバイパスするようにSSL/TLSインスペクションツールを設定します。 たとえば、WorkatoゲートウェイFQDNに対してZscalerでDo Not Inspectルールを追加します。 この対象を絞った除外は、Workatoゲートウェイトラフィックにのみ適用され、他のネットワークトラフィックのインスペクションには影響しません。
除外するゲートウェイFQDNについてはWorkatoへのトラフィックを参照してください。関連するトラブルシューティング手順については、オンプレミスのセットアップとインストールの問題を参照してください。
サポートされているオペレーティングシステム
オンプレミスエージェントは、次のシステムで実行されます:
- Linux(64-bit)
- Windows 7、10、11(64-bit)
- Mac OS X
- Windows Server 2008以降(OPA v2.8.0より前)
- Windows Server 2012 R2以降(OPA v2.8.0以降)
最小ハードウェア要件は次のとおりです:
- 8 GBのRAM
- 1つのオンプレミスエージェントに768 MBのディスク容量
- 800 MHz 64ビットCPU(Intel/AMD)。
オンプレミスエージェントを作成するには、次のOS固有のガイドを参照してください:
OPAはマルチクラウドおよびパブリッククラウドで使用できますか
はい、WorkatoのOPAは任意のIT Environmentで使用できます。 OPAは、Amazon Web Service、Azureクラウド、またはGoogle Cloud Platformなどのパブリッククラウドで実行できます。 OPAはプライベートマシンでも実行できます。
OPAは、互換性のあるオペレーティングシステムがあれば、任意の仮想マシンまたは物理マシンで実行されます。 詳細は、サポートされているオペレーティングシステムを参照してください。
オンプレミスの権限
Workato role-based access controlを使用して、オンプレミス機能へのアクセスを設定できます。
このセクションの内容
Last updated: