新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe

TR7プラットフォーム — 4製品、単一オペレーターインターフェース、単一の共有バックエンドプール。

製品

Application Access Management

エンタープライズアクセスの制御層

TR7 AAMはSSO、MFA、アプリケーション単位の認証、VPN、クライアントレスリモートアクセスを単一のプラットフォームに集約します。ユーザーがどこから接続しても、すべてのアクセス要求はアイデンティティ、セッションコンテキスト、サービスポリシーに基づいて評価されます — 断片化された製品、分散したルール、不要なネットワーク開放はありません。

すべてのリクエストはまずアイデンティティを通過する

アプリケーションが見えるようになる前、セッションが開始される前、サービストラフィックが開かれる前にTR7 AAMが動作します。アイデンティティを認証し、MFAとアクセス条件を適用し、セッションを保護し、ユーザーを許可されたアプリケーションにのみ到達させます。

ネットワークではなくアプリケーションへのアクセスを与える

VPNはユーザーをネットワークに運びます。一方TR7 AAMは、ユーザーを許可されたアプリケーションにのみ到達させます。すべてのアクセス要求はアイデンティティ、セッション、サービスコンテキストに基づいて制御されます。SSO、MFA、VPN、クライアントレスアクセスが単一のプラットフォームに収束します。結果:ネットワーク開放の減少、明確なポリシー、より安全なエンタープライズアクセス。

従来のアクセスモデルはネットワーク境界を前提とします:ユーザーが内部にいれば信頼され、外部にいればVPNで内部に通されます。ハイブリッドワーク、契約者やパートナーのアクセス、レガシーエンタープライズアプリケーション、特権リモートセッションが関わるとき、このモデルは必要以上に多くの表面を開きます。現代のアクセスはもはやユーザーをネットワークに通すことではなく、各アプリケーションに対して適切なユーザーを適切な条件で通すことです。

TR7 AAMはこのアプローチのために設計されています。サービス単位の認証で、単一のアプリケーションの前にSSOとMFA層を配置できます。アプリケーションアクセスポータルで、ユーザーはアクセス権限を持つサービスのみを見ることができます。OAuth2、OIDC、SAML、LDAP、RADIUS、TACACS+のアイデンティティインフラストラクチャは同じアクセスポリシーの下で動作します。SSL VPN、IKEv2、クライアントレスRDP/VNC/SSHアクセスは同じプラットフォームから管理されます。

こうしてアクセスアーキテクチャは単一の製品タイプに圧縮されません。レガシーアプリケーション、Webサービス、リモートデスクトップ、SSH端末、パートナーポータル、ハイブリッドユーザーシナリオは中央のアクセス層に統合されます。認証、MFA、セッション保護、ロックアウト、ボット保護、CAPTCHA制御はアプリケーショントラフィックが開始される前に動作します。

運用モード

2つのアクセスモデル · 1つのプラットフォーム · 同じアイデンティティインフラ

すべてのアプリケーションが同じアクセスパターンに従うわけではありません。TR7 AAMは、単一のアプリケーションの前にアイデンティティ層を配置することも、マルチアプリケーションのアクセスポータルを構築することもサポートします — 同じインストール、同じアイデンティティプロバイダー、同じMFAおよびセッションポリシーで。

1 → 1

アプリケーション単位の認証

既存のHTTPアプリケーションの前に認証層を追加します。アプリケーションはそのままの場所にあり、TR7がログイン、SSO、MFAでラップします。ユーザーが正常に認証されると、対応するアプリケーションに直接到達します。

理想:現代のアイデンティティサポートがないレガシーアプリケーション、アプリケーションコードに触れずにSSOを追加する必要がある内部ツール、単一アプリケーションを対象とした安全な公開シナリオ。

1 → N

アプリケーションアクセスポータル

独立したブランド付きポータルがvService上で動作します。ユーザーはポータルに1回ログインし、許可されたアプリケーションのみを見ます。アプリケーションをクリックすると、TR7は対応するバックエンドサービスに安全なトンネルを開きます — HTTP、RDP、VNC、SSHを問いません。

理想:契約者およびパートナーのアクセス、ハイブリッドワークフォースのアプリケーション起動画面、特権RDP/SSHセッション、時間制限ありで監査可能なスコープドアクセス。

両モデルとも、同じアイデンティティプロバイダー、MFA方法、ログインフォーム、ページテンプレート、アクセス保護を共有します。アイデンティティインフラストラクチャを再構築することなく、サービス単位モデルとポータルモデル間でワークロードを移動できます。

アイデンティティの範囲

組織がどのアイデンティティを使用していても、TR7 AAMはそれと連携します

OAuth2、OIDC、SAML、LDAP、RADIUS、TACACS+、ローカルユーザーデータベースが同じアクセスプラットフォームに収束します。プロトコルごとのプラグイン、プレミアムコネクターパッケージ、第2のアイデンティティ層は必要ありません。

OAuth2 / OIDCフェデレーション

標準準拠のアイデンティティプロバイダーとの現代的なフェデレーション。トークンベースのセッション、リフレッシュ管理、クレームマッピングによるエンタープライズSSOフロー。

SAML 2.0

SPおよびIdP開始のSAMLフロー、属性マッピング、署名済み/暗号化アサーション、SLOサポート。

LDAP / Active Directory

Active Directory、389 Directory Server、OpenLDAPとの直接LDAPバインド。グループ検索、属性マッピング、マルチドメインサポート。

RADIUS

VPN、ネットワークアクセス、管理者認証フローのためのエンタープライズRADIUSサポート;アカウンティングを含む。

TACACS+認証とアカウンティング

ネットワーク管理者のためのコマンドレベルのアカウンティングと中央認証。コンプライアンス監査のための追跡可能なアクセストレース。

多要素認証

TOTP、SMS OTP、メールOTP、証明書ベースのMFA。ポリシーごとに強制し、コンテキストごとにステップアップを適用。

ローカルユーザーデータベース

外部アイデンティティプロバイダーが利用できない場合の組み込みユーザー管理。ロールバインディング、パスワードポリシー、回復フロー、監査ログ。

カスタムログインテンプレート

ブランド付きログイン画面、多言語テキスト、ポータルベースのデザイン。エンタープライズアプリケーションコードに触れずにユーザー体験を管理。

リモートアクセス

VPNが必要なときはあります。必要ないときはブラウザで十分です。

一部のワークロードは完全なL3 VPNを必要とします。他のワークロードにとっては、クライアントのインストールは不要なリスクと運用負荷です。TR7 AAMは、SSL VPNおよびIKEv2トンネルでの従来のリモートアクセスと、クライアントレスRDP、VNC、SSHでのブラウザベースの特権アクセスを、同じアイデンティティとMFAポリシーの下で提供します。

SSL-VPNおよびIKEv2トンネル

SSL VPNおよびIPsec IKEv2で完全なL3リモートアクセスを提供します。制限されたネットワークではSSL VPNを、ネイティブOSクライアントではIKEv2を使用します。両モデルともTR7 AAMのアイデンティティ、MFA、セッション保護、アクセスポリシーと連携します。

VPNサービス

クライアントレスリモートアクセス · RDP、VNC、SSH

ユーザーデバイスにクライアントをインストールせずに、ブラウザを介してRDP、VNC、SSHセッションを開きます。Windowsデスクトップ、Linuxグラフィカルセッション、SSH端末はアイデンティティに紐付けられ、監査可能で、中央管理可能になります。

クライアントレスアクセス
アクセス保護

アクセスゲートで攻撃を止める

ボット、クレデンシャルスタッフィング、ブルートフォース試行、セッションハイジャック試行は、多くの場合アプリケーションではなく入口を標的にします。TR7 AAMはこれらの脅威をアクセス層で迎え撃ち、失敗したログインパターン、疑わしいセッション変更、自動攻撃動作をアイデンティティインフラストラクチャに到達する前に制御します。

ログイン攻撃保護

アクセスポイントで失敗した認証試行、クレデンシャルスタッフィングパターン、ブルートフォース攻撃を検出します。ポータル、アプリケーション、アイデンティティプロバイダーごとに閾値、ロックアウト、アクションポリシーを定義します。

詳細

セッション保護

IP、ユーザーエージェント、TLSフィンガープリントなどのコンテキストシグナルとセッションを関連付けます。セッション中にコンテキストが変更された場合は、再認証を要求するかアクセスを停止します。

詳細

自社サーバー上のCAPTCHA

サードパーティのJavaScriptを使用せずにログイン画面でローカルCAPTCHAを適用します。ユーザー検証を自社インフラストラクチャ内に保持し、データ出力を削減し、GDPRおよびPCI DSS 4.0のコンプライアンス期待により適したモデルを構築します。

詳細
ETMと組み合わせる

デバイスを一度だけチェックするのではなく — 継続的な信頼シグナルに変える

従来のアクセス製品は接続時にデバイスをチェックし、決定を下します。現代のリスクはセッション開始後も変化します。TR7 ETMはデバイス信頼を生きたシグナルに変えます:セッション中に測定し、AAMポリシーに供給し、必要に応じてエンドポイントでアクションを取ります。

TR7 ETM — Endpoint Trust Manager

TR7 ETMは、Windows、macOS、Linux、iOS、Androidデバイスから、パッチレベル、ディスク暗号化、セキュリティツールの状態、ジェイルブレイク/ルート検出、MDM準拠などのシグナルを収集します。これらのシグナルはAAMポリシーにリアルタイムで送信されます:信頼できるデバイスへの完全なアクセス、リスクのあるデバイスへの制限されたスコープ、ステップアップMFAまたはアクセス拒否を適用できます。TR7は観察するだけでなく、エンドポイントにコマンドを送信し、リモートで非準拠を修正できます。

TR7 ETMを発見
プラットフォーム

AAMは誰が入るかを決定します。プラットフォームの残りの部分は何にどのようにアクセスするかを管理します。

TR7 ADCはアプリケーションを公開します。TR7 WAAPはそれを保護します。TR7 AAMは誰がアクセスできるかを決定します。TR7 GTMはトラフィックを正しいリージョンにルーティングします。4つの製品、1つのプラットフォーム、1つのオペレーターインターフェース、共有バックエンドプールが連携します。

配信
TR7 ADC
Application Delivery Controller
保護
TR7 WAAP
Web App. & API Protection
アクセス
TR7 AAM
Application Access Management (この製品)
ルーティング
TR7 GTM
Global Traffic Manager
4つの柱で共有
  • バックエンドリソース(バックエンド、証明書、ヘルスチェック)
  • レポートとログ
  • ユーザーとRBAC
  • マルチテナンシー

各柱は独立した製品で、別々のライセンスです。同じオペレーターインターフェース、バックエンドプール定義、証明書ストア、レポートプレーンを共有します。だからこそ、アクセス、配信、保護、ルーティング層を一緒に実行するのに数週間ではなく数分かかります。

TR7 AAM機能

アイデンティティからリモートアクセスまで、AAMのすべての機能を単一プラットフォームで

各機能には製品の実際の動作を説明する別個の技術リファレンスページがあります。詳細については該当するタイトルを開いてください。

SSL VPN と IKEv2 クライアントレスアプリケーションポータル 多要素認証 条件付きアクセスポリシーエンジン 継続的トラスト評価 SAML 2.0 アイデンティティフェデレーション OIDC / OAuth 2.0 フェデレーション LDAP/AD バインド 追加 IdP 統合 組み込みネットワーク診断 ホット設定リロード(ゼロダウンタイム) ネイティブPrometheus + Grafana統合 スケジュールレポート配信 TLS / mTLS クライアント証明書認証 デプロイメントトポロジーモード アカウント乗っ取り保護 ログイン攻撃保護 SIEMログストリーミング インタラクティブ PTY CLI 高度なPDFレポーティング プロセス監視 リカバリーモード — ロックアウトのない運用 カスタムログインページテンプレート バックエンドSSO パスワードライフサイクル 通知システム

エンタープライズアクセスをあなた自身の条件で近代化する

アイデンティティインフラストラクチャ、レガシーアプリケーション、VPNニーズ、最も厳格なコンプライアンス要件をTR7 AAMで一緒にデモしましょう。クラウドのみのZTNAサービスに強制されることなく、自社のインフラストラクチャでアクセスを中央集権化する方法を示します。

1つのプラットフォーム · 4つの製品 · 1つのオペレーターインターフェース