すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:SASE を使い始める

    ドキュメントセンター

    Secure Access Service Edge:SASE を使い始める

    最終更新日:Jan 11, 2025

    このトピックでは、Secure Access Service Edge (SASE) の購入から使用までのプロセスについて説明し、SASE を使い始めるのに役立ちます。

    対象ユーザー

    SASE を初めて使用するユーザー

    SASE 概要

    SASE 説明

    SASE は、Alibaba Cloud の全国的なエッジノード、専用線、ゼロトラストセキュリティモデルに基づいて、エッジにセキュリティ機能を提供します。複数の支店や店舗を運営する企業、および従業員がリモートまたは異なる場所から作業する必要がある企業の場合、SASE はゼロトラストベースのリモートアクセス、内部ネットワークでの行動の監査、データ損失防止 (DLP)、ネットワークアクセス制御、およびアプリケーションの高速化を提供します。詳細については、「SASE とは」をご参照ください。

    さまざまな SASE エディションの機能

    SASE は、サブスクリプション課金方式のみをサポートしています。次の表に、各 SASE エディションの機能を示します。ビジネス要件に基づいて SASE エディションを選択できます。 SASE の課金方式と課金対象項目の詳細については、「課金概要」をご参照ください。

    エディション

    説明

    Private Access

    VPN

    SASE の Private Access VPN は、ゼロトラスト VPN をサポートしており、ユーザーは企業内のクラウドアプリケーションまたはオンプレミスアプリケーションにアクセスできます。このエディションは、従業員数が 100 人未満で、オフィス帯域幅が 10 Mbit/s 以下の企業に適しています。

    Private Access

    Basic

    SASE の Private Access Basic は、ゼロトラスト VPN をサポートしており、ユーザーは企業内のクラウドアプリケーションまたはオンプレミスアプリケーションにアクセスできます。このエディションは、従業員数が 100 人を超え、ビジネス要件に基づいてオフィス帯域幅リソースを購入する企業に適しています。

    Private Access

    Advanced

    SASE の Private Access Advanced は、ゼロトラスト VPN をサポートしており、ユーザーは企業内のクラウドアプリケーションまたはオンプレミスアプリケーションにアクセスできます。このエディションは、ネットワークアクセス制御とグローバルオフィス機能もサポートしています。

    Internet Access

    DLP

    Internet Access DLP は、クラウドデータ損失防止 (DLP) アーキテクチャを使用して、企業がオフィスデータをリアルタイムで識別、監視、保護できるようにします。

    SASE 機能の設定

    前提条件

    企業の ID プロバイダー (IdP) とユーザーグループは、企業が SASE の機能を使用する前に設定されます。詳細については、「LDAP IdP を SASE に接続する」および「IdP の組み合わせを設定する」をご参照ください。

    SASE は、サードパーティ製およびセルフマネージドの ID 認証システムをサポートしています。ユーザーは、割り当てられたユーザー名とパスワードを使用して、SASE クライアントにログオンし、ID を認証できます。 SASE は、次のサードパーティ IdP をサポートしています。Lightweight Directory Access Protocol (LDAP)、DingTalk、WeCom、Lark、および Identity as a Service (IDaaS)。カスタム SASE IdP を使用して、企業の組織構造を管理することもできます。

    プライベートアクセス設定

    プライベートアクセス機能は、software-defined perimeter (SDP) アプローチを採用することで、SaaS ベースのゼロトラストアクセスをサポートしています。 SaaS は Software as a Service の略です。この機能を使用すると、パブリック IP アドレスを公開したり、既存のネットワークアーキテクチャを再構築したりすることなく、従業員のアクセス許可を管理できます。

    ステップ 1:オフィスアプリケーションを作成する

    企業のオフィスアプリケーションとは、職場でユーザーが使用する社内向けアプリケーション、サーバー、データベースなどの IT リソースを指します。ユーザーは、オフィスアプリケーションのパブリック IP アドレスを設定する必要はありません。ユーザーが端末から LAN 内のアプリケーションまたはリソースにアクセスする場合、ユーザーは端末に SASE クライアントをインストールし、必要な ID とセキュリティ検証に合格するだけで済みます。詳細については、「オフィスアプリケーションを設定する」をご参照ください。

    ステップ 2:ネットワーク接続を有効にする

    ビジネス展開に基づいてネットワーク接続を有効にします。

    ビジネスリソースの展開

    ソリューション

    環境要件

    ビジネスリソースは Alibaba Cloud に展開されています。

    ネットワーク設定機能を使用して、Alibaba Cloud VPC 内のビジネスリソースと SASE クライアント間のネットワーク接続を有効にできます。

    SASE コンソールの [ネットワーク設定] > [alibaba Cloud のサービス] ページにアクセスし、サーバーが展開されている VPC の [ネットワーク接続] をオンにします。

    コンピューターの要件:

    • Windows 7 以降 ( 64 ビット Windows と 32 ビット Windows の両方がサポートされています。)

    • macOS 10.10 以降

    • Ubuntu 18.04 以降および UnionTech OS (UOS)

    ビジネスリソースは Alibaba Cloud の外部に展開されており、ビジネスリソースには Alibaba Cloud 仮想境界ルーター (VBR)、Cloud Connect Network (CCN) インスタンス、および VPN ゲートウェイが使用されます。たとえば、ビジネスリソースは Amazon Web Services (AWS) または Tencent Cloud に展開されています。

    Alibaba Cloud [express Connect、smart Access Gateway (SAG)、および Ipsec-vpn] を使用して、SASE クライアントから Alibaba Cloud 外部のビジネスリソースへのアクセスを許可できます。

    SASE コンソールの [ネットワーク設定] > [alibaba Cloud 外部のサービス] > [クラウドネットワークインスタンス] タブにアクセスし、バックツーオリジン VPC を設定して、コネクタの [ネットワーク接続] をオンにします。

    コンピューターの要件:

    • Windows 7 以降 ( 64 ビット Windows と 32 ビット Windows の両方がサポートされています。)

    • macOS 10.10 以降

    • Ubuntu 18.04 以降および UOS

    ビジネスリソースは Alibaba Cloud の外部に展開されています。

    SASE はコネクタ機能を提供します。コネクタを展開して、SASE クライアントから Alibaba Cloud の外部に展開されているビジネスリソースへのアクセスを許可できます。

    このソリューションにより、ユーザーは他のネットワークサービスを使用せずにビジネスリソースにアクセスできます。

    SASE コンソールの [ネットワーク設定] > [alibaba Cloud 以外のサービスコネクタ] タブにアクセスし、コネクタを作成して、コマンドを実行してコネクタをデプロイできます。 コネクタが有効になっていることを確認してください。

    コンピューターの要件:

    • Windows 7 以降 ( 64 ビット Windows と 32 ビット Windows の両方がサポートされています。)

    • macOS 10.10 以降

    • Ubuntu 18.04 以降および UOS

    コネクタを展開できるサーバーの要件:

    • 仮想マシン (VM) またはサーバーの構成:

      • CPU コア: 4

      • メモリ: 8 GB

      • ディスクサイズ: 40 GB

      • オペレーティングシステム:CentOS 7 以降

    • ネットワーク構成:インターネットへのアクセスが可能です。ファイアウォールが設定されている場合は、VM またはサーバーのポート 443 および 8000 でのアウトバウンドトラフィックを許可する必要があります。

    • 帯域幅制限:VM またはサーバーは 200 MB のトラフィックを転送できます。

    • ポート構成:ポート 9000 ~ 9010 は未使用です。

    ステップ 3:ゼロトラストポリシーを作成する

    ゼロトラストポリシーは、ユーザーと企業パートナーのアプリケーションとリソースへのアクセスを管理するのに役立ちます。ゼロトラストポリシーを作成するプロセスは、企業ユーザーグループのリソース許可をオフィスアプリケーションと区別することです。システムには、すべてのアクセスを禁止する組み込みポリシーがあります。許可ポリシーを設定して、異なるリソースを異なるユーザーグループに割り当てる必要があります。詳細については、「ゼロトラストポリシーを設定する」をご参照ください。

    ステップ 4:SASE クライアントにログオンする

    ユーザーは、システムによって割り当てられたユーザー名とパスワードを使用して、SASE クライアントにログオンし、内部ネットワークに接続します。設定されたポリシーは、ユーザーからのプライベートアクセスを管理するために使用されます。詳細については、「SASE クライアントをインストールしてログオンする」および「プライベートアクセスのネットワーク保護を有効または無効にする」をご参照ください。

    ネットワークアクセス制御

    ネットワークアクセス制御機能を使用すると、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 標準を使用してオフィスネットワークにアクセスできます。このようにして、ユーザー名またはパスワードを入力する必要はありません。SASE を使用してオフィスネットワークに接続する場合、SASE クライアントユーザーのアクセス許可は、設定された IP アドレスホワイトリストに基づいて決定されます。

    ステップ 1:ワイヤレスネットワークインスタンスを作成する

    SASE でワイヤレスネットワークインスタンスを作成し、EAP-TLS を使用してオフィスネットワークに接続します。

    ステップ 2:SASE ネットワークアクセスサーバーに関する情報を取得する

    オフィスネットワークに接続する前に、SASE RADIUS サーバーのリージョン、IP アドレス、UDP ポート、およびキーを企業のネットワークアクセス コントローラーで設定して、SASE RADIUS サーバーとネットワークアクセス コントローラー間のネットワーク接続を確立する必要があります。 RADIUS サーバーはネットワークアクセスサーバーです。

    • ユーザーを分離して管理する場合は、ネットワークアクセス許可を設定し、VLAN ID を使用して、ユーザーと端末のネットワークアクセス許可をよりきめ細かく分割できます。

    • 自動的に発行された証明書がビジネスシナリオに適用できない場合は、証明書のインストール範囲と有効期間を変更するか、証明書を企業のカスタム証明書に置き換えることができます。

    DLP 設定

    DLP は、データセキュリティを確保するために、機密ファイル検出、周辺機器管理、透かし管理という方法を提供します。ビジネス要件に基づいて方法を選択できます。非常に厳格なデータ管理が必要な場合は、すべての方法を有効にすることをお勧めします。

    送信されるファイルを検出してデータセキュリティを確保する

    ユーザーがインスタントメッセージや電子メールなどの複数のチャネルを使用して機密データを含むファイルを転送するかどうかを確認する場合は、機密ファイル検出を使用して機密データ辞書を指定し、データテンプレートを作成し、検出ポリシーを作成できます。このようにして、送信ファイル転送の統計情報を取得できます。詳細については、「送信されるファイルを検出してデータセキュリティを確保する」をご参照ください。

    ステップ 1:送信転送されるファイルを検出するポリシーを構成する

    SASE の機密ファイル検出は、カスタムキーワードを特性として使用してファイル内の機密コンテンツを自動的に識別し、特性、データ型、および機密レベルに基づいて機密データテンプレートを作成し、処理アクションに基づいて検出ポリシーを作成します。このようにして、送信されるファイルが機密ファイルかどうかを判断できます。

    検出ポリシーを設定するには、次の手順を実行します。

    1. 機密データ辞書を作成して、機密コンテンツの特性を定義します。

    2. 機密データ辞書に基づいてデータテンプレートを作成します。

    3. 検出ポリシーを作成し、そのポリシーをデータテンプレートに関連付けます。ポリシーでは、適用可能なオブジェクト、検出チャネル、および処理アクションを指定する必要があります。

    手順 2:機密ファイルの検出結果を表示する

    ポリシーが設定されると、DLP はユーザーによって転送されたファイルを自動的に検出します。次に、DLP は、検出結果に基づいて、過去 30 日間、7 日間、および 24 時間にトリガーされた送信転送イベントと異常イベントを分析します。

    • 機密ファイル検出は、最大 30 MB の機密ファイルを検出し、上位 5 つの機密ファイルの種類とその割合に関する統計情報を収集するのに役立ちます。

    • 異常イベントは、サイズが 30 MB を超えるファイルの送信転送、周辺機器によるファイルのコピー、および同じユーザーからの合計サイズが 1 GB を超えるファイルの送信転送を記録します。ただし、ファイルの内容はチェックされません。異常イベントに注意し、ファイルに機密データが含まれているかどうかを手動で確認してください。

    データセキュリティを確保するための周辺機器の管理

    USB フラッシュドライブ、プリンター、光学ドライブなどのユーザーの周辺機器をチェックして、ユーザーが機密データを転送するかどうかを判断する場合は、周辺機器管理を使用して特定の周辺機器を無効にするポリシーを作成できます。詳細については、「周辺機器を管理してデータセキュリティを確保する」をご参照ください。

    ステップ 1:周辺機器を管理するためのポリシーを構成する

    適用可能なユーザーグループを指定できます。また、Windows および macOS 用の周辺機器を管理するためのポリシーを設定することもできます。

    手順 2:機密ファイルの検出結果を表示する

    [USB フラッシュドライブと USB ストレージ][読み取り/書き込み] に設定すると、ユーザーが USB フラッシュドライブまたは USB ストレージを使用して内部ファイルを転送するときに、機密行動検出がトリガーされます。次に、DLP は、検出結果に基づいて過去 30 日間、7 日間、または 24 時間のデータを分析します。

    データセキュリティを確保するためのウォーターマークの管理

    画面とプリンターに透かしを設定してデータセキュリティを確保する場合は、透かし管理を使用して、特定のユーザーの画面とプリンターに透かしを設定できます。詳細については、「透かしを管理してデータセキュリティを確保する」をご参照ください。

    ステップ 1:透かし管理ポリシーを構成する

    適用可能なユーザーグループを指定し、透かしを設定できます。カスタム画面透かしとプリンター透かしを作成できます。

    手順 2:機密ファイルの検出結果を表示する

    ユーザーがデータを印刷すると、機密行動検出がトリガーされます。 DLP は、ユーザーによって印刷されたファイルを自動的に検出し、検出結果に基づいて過去 30 日間、7 日間、および 24 時間のデータを分析します。

    フィードバックとご提案

    SASE について質問や提案がある場合は、次の方法を使用してフィードバックを提供し、テクニカルサポートを受けることができます。

    • オンラインヘルプ: でオンラインテクニカルサポートを受けることができます。

    • チケットを送信する:チケット を送信して、テクニカルサポートに連絡できます。

    • ドキュメントに関するフィードバック:リンクエラー、コンテンツエラー、API オペレーションエラーなど、ドキュメントにエラーが見つかった場合は、エラーコンテンツを選択するか、ドキュメントページの下部にある [フィードバック] をクリックしてフィードバックを送信できます。