アイデンティティー認識型プロキシ
en : Identity-Aware Proxy
略 : IAP
『ゼロトラストネットワーク[実践]入門』
ユーザーがアプリケーションに接続する際にアクセスを仲介するプロキシ
IAM サービスと連携することで、全てのアクセスについて都度認証・認可を行うというゼロトラストの考えを実現
製品・サービス選定の考え方
IAP を使用してアクセスするシステムやアプリケーションの特質や、セキュリティベンダが提供する製品の特性を踏まえること
Web アプリケーション (HTTP(S) のみ) の利用では、Google や Microsoft が提供する非エージェント型推奨
それ以外の通信もある場合は、エージェント型を推奨
『すべてわかるゼロトラスト大全』
ガートナーは、IAP をゼロトラストネットワークアクセス (ZTNA) と呼んでいる
VPN に代わる社内アプリへのリモートアクセス手段として使える
違い
VPN は社内ネットワークへのアクセスを提供するものだが、IAP はアプリを防御する手法
VPN のゲートウェイは外部からアクセスできるようにする必要があるが、IAP のコネクターはそうではない
名前解決の仕組みも提供する
2 つの仕組み
IAP がユーザーに対して外部からアクセスできる FQDN を提供し、IAP がオンプレミスの FQDN とマッピング
IAP のエージェントを使う方法