mabl Linkによるセキュアトンネリング

mablをシンプルかつセキュアにするために多大な開発努力を積み重ねた結果、プライベートネットワークの以下のようなアプリケーション環境に対して、クラウドでのテストが可能になりました。

mablをシンプルかつセキュアにするために多大な開発努力を積み重ねた結果、プライベートネットワークの以下のようなアプリケーション環境に対して、クラウドでのテストが可能になりました。

  • 組織内のQA環境とステージング環境 (例: https://uat.example.com)
  • ローカル開発環境 (例: http://localhost:3000)
  • 仮想プライベートクラウド (VPC)) またはAWS Direct Connect経由でアクセスする短期のクラウド環境

組織側で必要な作業は、mabl Linkのセットアップだけです。これにより、mablクラウドと組織のプライベートネットワークとの間でセキュアなトンネルが確立されます。mabl Link Agentは、金融サービス、銀行、サイバーセキュリティ関連など、セキュリティ要求の極めて厳しい企業でも使用できるように設計されています。

👍

mabl Linkの特長

  • 安全性の高いトンネリングソリューション
  • エージェントの自動更新による迅速で簡単なセットアップ
  • HTTPSトラフィックとHTTP転送プロキシをサポート
  • 多くのケースでファイアウォールの変更が不要なスマートなアーキテクチャー
  • 必要なのは単一のドメイン名のみ。多くのIPをホワイトリストに登録する作業は不要
  • 高可用設計。複数のエージェントを同一名でセットアップ可能
  • VPNクライアント/サーバーは不要

mabl Linkの概要

mabl Linkは、Link AgentとLink Serviceの2つの主要コンポーネントで構成されています。これらのコンポーネントは、組織のネットワークからmablクラウドへのセキュアな送信 (エグレス) 接続を確立します。大部分の送信接続に対応した多くのファイアウォールが事前に設定されているため、通常はファイアウォールを変更する必要はありません。トンネルが確立されると、mablはプライベートネットワークのホストにセキュアにアクセスし、テストを実行することができます。

その仕組みを下図に示します。色の矢印は、mabl Linkコンポーネント間の接続とその向きを表します。一方、青い矢印は、プライベート環境に対してmablクラウドでテストを実行している間の接続とその向きです。

679679

mabl Link Agent

Link Agentは、mablクラウドとの間でセキュアトンネルを確立するJavaベースの軽量アプリケーションです。DockerまたはJavaベースの配布パッケージを使用してインストールできます。

テストセットアップの概要

mablによるプライベート環境とlocalhostのテストは、以下の手順で行います。

  • mablのAPIキーを取得する。
  • Link Agentをダウンロードし、インストールする。
  • テスト対象アプリケーションにアクセスできるホストマシンでLink Agentを実行する。
  • Link接続の有効性をmablアプリケーションで検証する。
  • Linkを使用するようにmabl環境を設定する。
  • Linkを有効にした環境に関連付けたテストプランを実行する。

セットアップ手順の詳細については、「mabl Linkの使用方法」を参照してください。

📘

Linkのセットアップに関して不明な点がある場合は、アプリケーション内のチャットでお問い合わせください。その際、お客様のエンジニアリング/IT部門にこのページの内容をお知らせください。そうすることで、弊社はお客様と一丸となって問題に迅速に対応することができます。

セキュリティの概要

mablが組織の非公開環境にアクセスする際、セキュリティとプライバシーの保護が重要であるため、mabl Linkのあらゆる面にセキュリティ機能が組み込まれています。

一般に、ネットワークのセキュリティトンネリングソリューションをセットアップする際には、以下のように、いくつかの重要な留意事項があります。

  • トンネルを通過するトラフィックの暗号化、分離、検証をどのように行うか。
  • DNS解決をどのように行うか。
  • マルチテナント環境で実際のテストをどのように実行するか。
  • ネットワーク内でエージェントにどの程度のアクセス権を持たせるか (どの程度分離するか)。
  • トンネルをどのように終了するか。

セキュアトンネル

  • mabl Linkトンネルは、ワークスペースとエージェントに固有の4096ビットRSAキーを使用するセキュアなWebSocket接続です。
  • 各エージェントには、mablクラウド内の専用のコンテナーが割り当てられます。複数のエージェントが (同一ワークスペースのエージェント同士であっても) トンネルとコンテナーを共有することはありません。そのため、プライベートなmabl Linkにマルチテナントがアクセスすることは決してありません。
  • Link AgentとLink Service間の通信は、各エージェント固有のアクセストークンによって保護されるため、各エージェントのセキュリティは向上します。

DNS解決

DNS解決はLink Agentで行われます。つまり、DNS名はmablクラウドではなく、組織の環境で解決されます。この設計には、以下の利点があります。

  • lhostsファイルにエイリアスが必要となるlocalhostなどのパブリックでないDNS名を持つ組織内のQA環境と開発環境に対して、テストの実行が可能です (詳細はこちら)。
  • テストのトレーニングと実行が、すべてのプライベートネットワーク内のパブリックでない同じ完全修飾ドメイン名 (FQDN) に対して可能です。
  • パブリックにルーティングできないIPアドレスを10.0.0.0/8192.168.0.0/16などのように指定できます。

なお、mabl Linkでは、仮想プライベートネットワーク (VPN) テクノロジーは使用されません。mabl Linkを使用するためにVPNのクライアントやサーバーをインストールしたり、設定したりする必要はありません。

Link経由でのテストの実行

mabl Link経由でテストを実行する場合、Link Agentから認証を求められます。これは、同じワークスペースとエージェント名を持つテストのみが、そのエージェント経由でトラフィックをルーティングできるようにするためです。この認証によって、本来であれば発生するかもしれない予期しないクロストークを防ぐことができます。

Link Agentの分離

Link Agentの設計では、mablサービスによるネットワーク内のアクセス先を制限できます。制限するには、DMZ内でエージェントを実行するか、目的のテスト対象アプリケーションのみにアクセスを許可するように厳しいファイアウォールルールを設定した専用のホスト (またはVMやコンテナー) でエージェントを実行します。

さらに、mabl Link Serviceの設計では、ファイアウォールでエグレストラフィックをブロックする場合、mabl Linkトラフィックがファイアウォールを通過できるようにするために、組織のIT管理/セキュリティ部門がホワイトリストに登録する必要があるのは、個別のFQDN、静的IPアドレス、またはワイルドカード*.link.mabl.comのみです。そのため、ネットワークが広範囲のIPアドレスに公開されるリスクはありません。

こうした設定は必須ではありませんが、さらなるセキュリティが必要な場合に備えて用意されています。

トンネルの終了

テストからmabl Link経由でのトラフィックのルーティングを停止する場合、最も簡単な方法は、下の画像に示すように、mablアプリケーションの [Settings] > [NETWORKING] でエージェントをシャットダウンすることです。

30323032

各mabl環境の [Use link agent] チェックボックスの選択解除でも、同じ処理を実行できます。

インフラストラクチャーからmabl Linkを完全に削除するには、実行中のすべてのmabl Link Agentをシャットダウンします。ただし、[Use link agent] を有効にしたmabl環境では、必ずこのチェックボックスを解除してください。そうしない場合、これらの環境に関連付けられたテストは失敗します。

20202020

Related resources