mablでは、クラウドでのテストの実行をシンプルかつセキュアなものにするための技術開発に精力的に取り組んでいます。パブリックインターネットからアクセスできないアプリケーション環境に対してテストを実行する必要がある場合は、mabl Link経由でテストを行うことができます。
mabl Linkは、金融サービス、銀行、サイバーセキュリティ関連など、セキュリティ要求の極めて厳しい企業での使用にも対応できるように設計された安全性の高いトンネリングソリューションです。mabl Linkは、mabl Link Agentを使用して、mablクラウドと組織のプライベートネットワークの間にセキュアなトンネルを確立することで動作するため、以下のようなプライベート環境のアプリケーションをテストできます。
- パブリックでないDNS名を持つ組織内のQA環境とステージング環境
- ローカル開発環境 (localhostなど)
- パブリックにルーティングできないIPアドレス (10.0.0.0/8、192.168.0.0/16など)
- 仮想プライベートクラウド (VPC) またはAWS Direct Connect経由でアクセスする短期のクラウド環境
mabl Linkの仕組みの詳細については、以下を参照してください。
mabl Linkの特長
- 安全性の高いトンネリングソリューション
- パブリックでないDNS名の解決が可能
- mabl Link Agentの自動更新による迅速で簡単なセットアップ
- HTTPSトラフィックとHTTPフォワードプロキシをサポート
- 多くのケースでファイアウォールの変更が不要なスマートなアーキテクチャー
- 許可リストに登録するのは単一のドメイン名のみ。多くのIPを登録する作業は不要
- 高可用設計。複数のLink Agentを同一名でセットアップ可能
- VPNクライアント/サーバーは不要
仕組み
簡単に言うと、mabl Linkは、組織のネットワークからmablクラウドへのセキュアな送信 (エグレス) 接続を確立することで動作します。Linkを有効にしたテストをクラウドで実行すると、mablはプライベートネットワークのホストにセキュアにアクセスし、テストを実行することができます。
次の図は、この仕組みの概要を示したものです。緑色の矢印は、mabl Linkコンポーネント間の接続とその向きを表します。一方、青い矢印は、プライベート環境に対してmablクラウドでテストを実行している間の接続とその向きです。
制限事項
現在、パフォーマンステストやモバイルテストでは、mabl Linkはサポートされていません。これらのテストタイプでプライベート環境にアクセスするには、許可リストにmablのIPアドレスを登録します。
接続の確立
このプロセスでは、最初に、テスト対象アプリケーションにアクセスできるネットワーク上にあるマシン、サーバー、またはVMでLink Agentを実行します。Link AgentはJavaベースの小さなアプリケーションで、DockerまたはJavaベースの配布パッケージを使用してインストールできます。
Link Agentが起動すると、Link Agentは、組織の特定のLink Agentからのトラフィックのみを受信するmablクラウドのコンテナーに対して、TLS暗号化されたWebSocket接続をポート443経由で確立します。
mablが組織の非公開環境にアクセスする際には、セキュリティとプライバシーの保護が重要です。そのため、次のように、mabl Linkのあらゆる面にセキュリティ機能が組み込まれています。
- セキュアトンネルは、ワークスペースとエージェントに固有の4096ビットRSAキーを使用します。
- Link AgentとLink Serviceの間の通信は、各Link Agentに固有のアクセストークンによって保護されます。
- 組織のプライベートなmabl Linkにマルチテナントがアクセスすることはなく、Linkトンネルとサービスが複数のお客様の間で共有されることはありません。
多くのファイアウォールは大半の送信接続を許可するように設定済みであるため、通常はファイアウォールルールを変更する必要はありません。ただし、会社のファイアウォールが送信トラフィックをブロックする設定になっている場合は、IT管理者やセキュリティチームが次のアドレスを許可リストに追加する必要があります。
*.link.mabl.com
api.mabl.com
mablによる組織のネットワーク内のアクセス先をさらに制限するには、DMZ内でLink Agentを実行するか、目的のテスト対象アプリケーションにのみアクセスを許可する厳しいファイアウォールルールを設定した専用のホスト、VM、またはコンテナーでLink Agentを実行します。
VPNクライアント/サーバーは不要
mabl Linkでは、仮想プライベートネットワーク (VPN) テクノロジーは使用されません。mabl Linkを使用するためにVPNのクライアントやサーバーをインストールしたり、設定したりする必要はありません。
テスト対象システムへの接続
接続が確立されると、mablはプライベートネットワーク内のアプリケーションにセキュアにアクセスし、テストを実行することができます。DNS解決はLink Agentホストで行われます。つまり、DNS名はmablクラウドではなく、組織の環境内で解決されます。
Link Agentでは認証が要求されます。これは、同じワークスペースとLink Agent名を持つテストのみが、そのLink Agent経由でトラフィックをルーティングできるようにするためです。この認証によって、本来であれば発生するかもしれない予期しないクロストークを防ぐことができます。