このトピックでは、Secure Access Service Edge (SASE) のプライベートアクセス機能の仕組みと構成プロセスについて説明します。この情報は、管理者が SASE を購入した後に機能を使い始めるのに役立ちます。
プライベートアクセス機能の概要
プライベートアクセス機能は、Software as a Service (SaaS) ベースのゼロトラストアクセスを、ソフトウェア定義ペリメーター (SDP) アプローチを採用することでサポートします。この機能を使用すると、パブリック IP アドレスを公開したり、既存のネットワークアーキテクチャを再構築したりすることなく、ユーザーのアクセス権限を管理できます。このようにして、SASE を使用してユーザーのアクセスを制御できます。
手順
ステップ 1:IdP を作成し、ユーザーを追加する
ID プロバイダー (IdP) は、企業内のユーザーの ID 認証に使用されます。SASE では、サードパーティ製およびセルフマネージド IdP を構成できます。Lightweight Directory Access Protocol (LDAP)、DingTalk、WeChat Work、Lark、サービスとしての ID (IDaaS)、およびカスタムの IdP タイプを構成できます。サービスで複数の IdP を使用する場合は、SASE で一度に複数の IdP を構成できます。その後、IdP のユーザーを管理できます。
このトピックでは、カスタム IdP を例として使用します。
SASE コンソール にログオンします。左側のナビゲーションペインで、 を選択します。
[idp 管理] タブをクリックし、カスタム IdP を見つけて、[アクション] 列の [編集] をクリックします。[編集] パネルで、パラメーターを構成し、[OK] をクリックします。次の表にパラメーターを示します。
パラメーター
説明
例
PC ログオン方法
有効な値:[アカウントとパスワードでログオン] および [パスワードなしログオン]。
[アカウントとパスワードでログオン] を選択した場合は、[2 要素認証] を有効にできます。有効な値:
[OTP ベースの認証]:[OTP ベースの認証] を選択した場合は、少なくとも 1 つのワンタイムパスワード (OTP) モードを選択する必要があります。次のモードがサポートされています。
SASE モバイルクライアントでトークンを許可する:SASE の組み込み OTP が使用されます。ユーザーは SASE モバイルクライアントをインストールする必要があります。
サードパーティアプリケーションでトークンを許可する:OTP アプリのクロック同期が想定どおりに機能していることを確認してください。Alibaba Cloud アプリなどの一般的な OTP アプリがサポートされています。
企業所有のトークンを許可する:企業のセルフマネージド OTP を使用する場合 は、テクニカルサポートに連絡して必要な構成を実行してください。
[確認コードベースの認証]:[確認コードベースの認証] を選択した場合は、少なくとも 1 つの認証方法を選択する必要があります。次の方法がサポートされています。
[テキストメッセージ検証]:IdP の各ユーザーに携帯電話番号があることを確認してください。
[メール検証]:IdP の各ユーザーにメールアドレスがあることを確認してください。
[パスワードなしログオン] を選択した場合は、ユーザーは SASE モバイルクライアントをダウンロードしてログオンし、認証用の QR コードをスキャンする必要があります。
アカウントとパスワードでログオン
モバイルデバイスログオン方法
有効な値:[アカウントとパスワードでログオン] および [指紋または顔認証]。
[指紋または顔認証] を選択した場合は、ユーザーは SASE モバイルクライアントに初めてログオンするときにユーザー名とパスワードを入力する必要があります。
アカウントとパスワードでログオン
[ユーザーグループ管理] タブに移動し、[ユーザーグループの作成] をクリックします。[ユーザーグループの作成] パネルで、ユーザーをユーザーグループに追加するためのパラメーターを構成し、[OK] をクリックします。
ユーザー情報には、ユーザーのユーザー名、部署、メールアドレス、携帯電話番号が含まれます。
ステップ 2:オフィスアプリケーションを作成する
企業のオフィスアプリケーションとは、ユーザーが職場で使用する社内向けアプリケーション、サーバー、データベースなどの IT リソースを指します。ユーザーはオフィスアプリケーションのパブリック IP アドレスを構成する必要はありません。ユーザーがオフィスデバイスから LAN 内のアプリケーションまたはリソースにアクセスする場合、ユーザーはデバイスに SASE クライアントをインストールし、必要な ID とセキュリティ検証に合格するだけで済みます。
左側のナビゲーションペインで、 を選択します。
[オフィスアプリケーション] ページの [カスタムタグ] セクションで、[追加] をクリックします。次に、タグ名を入力し、[OK] をクリックします。
最大 100 個のカスタムタグを作成できます。
[アプリケーションの追加] をクリックし、次の説明と手順に基づいてパラメーターを構成します。
サービスに内部 CIDR ブロックを使用するドメインネームシステム (DNS) サーバーがデプロイされている場合は、次の操作を実行して DNS サービスを構成できます。[内部 DNS 構成] をクリックします。[DNS アドレス] ダイアログボックスで、[デフォルト DNS サービス] セクションと [その他の DNS サービス] セクションのパラメーターを構成します。[デフォルト DNS サービス] セクションで構成した DNS サービスは、企業のプライマリ DNS サービスとして使用され、SASE クライアントに配信されます。このセクションでは、最大 2 つの DNS サーバーを指定できます。また、[その他の DNS サービス] セクションでカスタム DNS サービスを構成することもできます。ユーザーは、ビジネス要件に基づいて、SASE クライアントでプライマリ DNS サービスまたはカスタム DNS サービスを選択できます。
DNS サービスを構成しない場合、SASE は内部 CIDR ブロックに基づいて解決に Alibaba Cloud DNS を自動的に使用します。Alibaba Cloud DNS PrivateZone がサービスにデプロイされている場合、Alibaba Cloud DNS PrivateZone が優先的に解決に使用されます。
[手動構成] タブで、[基本構成] ステップのパラメーターを構成します。次の表にパラメーターを示します。
パラメーター
説明
例
アプリケーション名
オフィスアプリケーションの名前。
名前は 1 ~ 128 文字で、文字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を使用できます。
Attendance_management_application
説明
オフィスアプリケーションの説明。
ユーザーの出退勤管理アドレス
タグ
オフィスアプリケーションのカスタムタグ。タグでアプリケーションをグループ化、クエリ、管理できます。
OA システム
ステータス
オフィスアプリケーションのステータス。有効な値:
[有効]:オフィスアプリケーションは使用可能です。
[無効]:オフィスアプリケーションは使用できません。
有効
[次へ] をクリックし、[アプリケーションアドレス] ステップのパラメーターを構成します。次の表にパラメーターを示します。
パラメーター
説明
例
アプリケーションアドレス
オフィスアプリケーションの内部アドレス。オフィスアプリケーションの IP アドレス、CIDR ブロック、完全なドメイン名、ワイルドカードドメイン名を入力できます。ビジネス要件に基づいて、オフィスアプリケーションに複数の内部アドレスを入力できます。
10.10.XX.XX
ポート
オフィスアプリケーションのポート番号またはポート範囲。
80-200
プロトコル
オフィスアプリケーションのプロトコルタイプ。有効な値:[すべてのプロトコル]、[TCP]、[UDP]。
すべてのプロトコル
ステップ 3:ネットワーク接続を有効にする
ネットワーク接続を有効にする前に、サービスのデプロイについて理解し、最適な接続プランを選択してください。
ビジネスリソースのデプロイ | ソリューション | 環境要件 |
ビジネスリソースが Alibaba Cloud にデプロイされています。 | ネットワーク設定機能を使用して、Alibaba Cloud VPC 内のビジネスリソースと SASE クライアント間のネットワーク接続を有効にできます。 SASE コンソールの ページにアクセスし、サーバーがデプロイされている VPC の [ネットワーク接続] をオンにできます。 | コンピューターの要件:
|
ビジネスリソースが Alibaba Cloud の外部にデプロイされており、ビジネスリソースに Alibaba Cloud 仮想境界ルーター (VBR)、Cloud Connect Network (CCN) インスタンス、VPN ゲートウェイが使用されています。たとえば、ビジネスリソースが Amazon Web Services (AWS) または Tencent Cloud にデプロイされています。 | Alibaba Cloud Express Connect、smart Access Gateway (sag)、ipsec-vpn を使用して、SASE クライアントから Alibaba Cloud 外部のビジネスリソースへのアクセスを許可できます。 SASE コンソールの タブにアクセスし、バックツーオリジン VPC を構成し、コネクターの [ネットワーク接続] をオンにできます。 | コンピューターの要件:
|
ビジネスリソースが Alibaba Cloud の外部にデプロイされています。 | SASE はコネクター機能を提供します。コネクターをデプロイして、SASE クライアントから Alibaba Cloud の外部にデプロイされているビジネスリソースへのアクセスを許可できます。 このソリューションにより、ユーザーは他のネットワークサービスを使用せずにビジネスリソースにアクセスできます。 SASE コンソールの タブにアクセスし、コネクタを作成してから、コマンドを実行してコネクタをデプロイできます。コネクタが有効になっていることを確認してください。 | コンピューターの要件:
コネクターをデプロイできるサーバーの要件:
|
このトピックでは、Alibaba Cloud 外部のサービスのネットワーク接続を有効にする方法について説明します。
左側のナビゲーションペインで、 を選択します。
[ネットワーク設定] ページで、[alibaba Cloud 外部のサービス] タブをクリックします。
コネクターを作成し、アプリケーションに関連付けます。
[コネクター] タブで、[コネクターの追加] をクリックします。
最大 5 つのコネクターを追加できます。
[コネクターの追加] パネルで、ビジネス要件に基づいてパラメーターを構成します。次に、[OK] をクリックします。
パラメーター
説明
例
リージョン
コネクターのリージョン。アクセス性能を確保するために、サーバーに最も近いリージョンを選択することをお勧めします。
シンガポール
インスタンス名
コネクターの名前。
会社のプライベートアクセスコネクター
インスタンススイッチ
コネクターを有効にするかどうかを指定します。インスタンススイッチが [有効] に設定されている場合にのみ、コネクターを使用して SASE クライアントから関連付けられたアプリケーションにアクセスできます。
重要インスタンススイッチが [無効] に設定されている場合、コネクターを使用して SASE クライアントからオフィスアプリケーションにアクセスすることはできません。注意して進めてください。
有効
コネクターをインストールしてデプロイします。
コネクターをデプロイする前に、[デプロイ] パネルでコネクターのデプロイに使用するコマンドを取得できます。パネルを開くには、[アクション] 列の [デプロイ] をクリックします。
コネクターをデプロイするサーバーまたは仮想マシンに root ユーザーとしてログオンし、次のコマンドを実行してコネクターをダウンロードします。
wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh次のコマンドを実行して権限を変更します。
chmod a+x /tmp/install_connector.sh次のコマンドを実行してコネクターをインストールします。
sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****説明コマンドでは、163710033944**** は Alibaba Cloud アカウントの ID、1404F395-6456D8CE-B02D4B20-0DFB**** は SASE によって生成されたライセンス、connector-97861d0d3b91**** はコネクターの ID です。
次のコマンドを実行してコネクターを起動します。
sudo systemctl start aliyun_sase_connector
ステップ 4:ゼロトラストポリシーを作成する
ゼロトラストポリシーは、ユーザーと企業パートナーからのアプリケーションとリソースへのアクセスを管理するのに役立ちます。ゼロトラストポリシーを作成するプロセスは、企業ユーザーグループのリソース権限をオフィスアプリケーションのリソース権限と区別することです。SASE は、すべてのアクセスを禁止する組み込みポリシーを提供します。異なるユーザーグループに異なるリソースを割り当てるには、許可ポリシーを構成する必要があります。
左側のナビゲーションペインで、 を選択します。
Zero Trust Policies ページで、Create Policy をクリックします。
Create Policy パネルで、パラメーターを構成し、[OK] をクリックします。次の表にパラメーターを示します。
ビジネス要件に基づいて複数のゼロトラストポリシーを作成できます。ポリシーの数に制限はありません。
パラメーター
説明
例
ポリシー名
ゼロトラストポリシーの名前。
名前は 2 ~ 100 文字で、文字、数字、ハイフン (-)、アンダースコア (_) を使用できます。
出退勤管理アプリケーションの許可ポリシー
説明
ゼロトラストポリシーの説明。
すべてのユーザーが出退勤管理アプリケーションにアクセスできます
優先度
ゼロトラストポリシーの優先度。値 1 は最高の優先度を示します。ポリシーを作成すると、新しいポリシーの優先度の最大値は、次の計算結果によって決まります。アカウント内のゼロトラストポリシーの数 + 1。たとえば、アカウント内に 17 個のゼロトラストポリシーがあるとします。ポリシーを作成すると、新しいポリシーの優先度は 1 ~ 18 の範囲になります。数値 18 は、次の式を使用して取得されます。17 + 1 = 18。
ポリシーの競合が存在する場合、優先度の高いポリシーが有効になります。
1
アクション
ポリシーのアクセス権限。有効な値:
[アクセスを許可]:ポリシーは、ユーザーまたは端末から指定されたアプリケーションへのアクセスを許可します。
[アクセス拒否]:ポリシーは、ユーザーまたは端末から指定されたアプリケーションへのアクセスを拒否します。
アクセスを許可
適用ユーザー
ポリシーが適用されるユーザーグループ。ゼロトラストポリシーは、指定されたユーザーグループの端末に有効になります。アクセスリクエストがポリシーにヒットした場合、SASE はリクエストを許可するか拒否するかを決定します。
ユーザーグループを追加するには、[追加] をクリックします。[ユーザーグループ] タブで、追加するユーザーグループを選択します。既存のユーザーグループが要件を満たしていない場合は、[カスタムユーザーグループ] タブでユーザーグループを作成できます。詳細については、「ユーザーグループの構成」をご参照ください。
会社のすべてのユーザー
選択済みアプリケーション
ポリシーが適用されるアプリケーション。
アプリケーションを追加するには、[追加] をクリックします。 [タグ] タブで、タグを選択して、そのタグを持つアプリケーションを追加します。 [アプリケーション] タブでアプリケーションを選択することもできます。
出退勤管理アプリケーション
セキュリティベースライン
セキュリティ要件を満たすセキュリティベースラインテンプレート。
-
ポリシーステータス
ポリシーのステータス。ポリシーを有効または無効にできます。
有効
ステップ 5:構成結果を確認する
SASE クライアントを開き、企業認証識別子を入力して、[OK] をクリックします。
SASE コンソールの Settings ページで、Enterprise Authentication Identifier を構成できます。
電話番号またはメールに送信された初期ユーザー名とパスワードを使用して、SASE クライアントにログオンします。
[接続] をクリックします。
出退勤管理アプリケーションにアクセスします。
アプリケーションにアクセスできる場合、構成は成功です。