セキュアアクセスサービスエッジ (SASE) は、クラウドネイティブアプリケーションリソースへの接続をサポートし、そのパブリックアクセスアドレスの表示と管理を可能にします。セキュリティを強化するため、ビジネス上許容される場合はパブリックネットワークアクセスを無効にし、アプリケーションへのアクセスを VPC のプライベートネットワークに制限することを推奨します。本ドキュメントでは、プライベートネットワークを使用してクラウドネイティブアプリケーションにアクセスする方法と、パブリックネットワークアクセスを無効にする方法について説明します。
前提条件
-
購入済みの Workspace Security Platform があること。
クラウドネイティブアプリケーションのプライベートアクセスの設定
プライベートアクセスは Software-Defined Perimeter (SDP) テクノロジーに基づいており、SaaS ベースのゼロトラストネットワークアクセスを提供します。これにより、企業の従業員は、パブリック IP アドレスを公開したり、既存のネットワークアーキテクチャを変更したりすることなく、SASE ソリューションを通じてクラウドリソースに安全にアクセスし、アクセス権限を正確に制御できます。
ステップ 1: ID ソースの設定
ID プロバイダー (IdP) は、主に企業従業員の身分認証を提供します。SASE は、サードパーティおよび自社構築の身分認証システムをサポートしています。現在サポートされている IdP には、LDAP、DingTalk、WeChat Work、Feishu、IDaaS、およびカスタム ID プロバイダーが含まれます。ビジネスで複数の IdP を使用している場合は、それぞれを設定し、認証ステータスを有効にすることができます。これにより、異なる IdP で SASE サービスを使用できます。
このトピックでは、簡単なデモンストレーションのために、カスタム ID ソースを例として使用します。
-
Cloud Security Access Service コンソールにログインします。
-
左側のナビゲーションバーで、 を選択します。
-
[Identity synchronization] タブで、[Custom IdP] を探し、[Actions] 列の [Edit] をクリックします。ウィザードに従って、カスタム ID ソースを設定します。詳細については、「カスタム ID ソースへの接続」をご参照ください。
ステップ 2: ユーザーグループの設定
ポリシーを設定する際には、適用対象のユーザーグループを指定する必要があります。
-
左側のナビゲーションバーで、 を選択します。
-
[User Group Management] タブで、[Create User Group] をクリックします。
-
[Create User Group] パネルで、[Organizational Structure]、[Account Name]、[Email Address]、[Mobile Phone Number] などのユーザーグループのパラメーターを設定します。その後、[OK] をクリックします。詳細については、「ユーザーグループの管理」をご参照ください。
ステップ 3: ネットワーク接続の有効化
-
左側のナビゲーションバーで、 を選択します。
-
[Network Settings] ページの タブで、SASE によって同期されたネットワークリソースを表示します。
-
指定した CEN インスタンスまたは CEN インスタンスに関連付けられた VPC インスタンスの右側にある [Network Connection] スイッチをオンにします。
-
[Network Connection] ダイアログボックスで、[Enable Network Connection for All Cloud Applications] または [Custom Connection to Cloud Applications] のいずれかを選択します。
-
[Enable Network Connection for All Cloud Applications]: このオプションを選択すると、すべてのクラウドネイティブアプリケーションが自動的に接続されます。ACL ルールを設定することで、非クラウドアプリケーションに接続できます。この VPC で作成された新しいクラウドネイティブアプリケーションもデフォルトで接続されます。
説明現在、特定のタイプのクラウドネイティブアプリケーションのみがサポートされています。サポートされているタイプを確認するには、 タブに移動し、[Application Type] 列を確認してください。
-
[Custom Connection to Cloud Applications]:
-
[Custom Connection to Cloud Applications] を選択し、[OK] をクリックします。
-
[Custom Connection to Cloud Applications] パネルで、接続したいアプリケーションを選択し、[OK] をクリックします。
-
-
ステップ 4: プライベートアプリケーションの作成
SASE プライベートアクセスを使用する前に、SASE でエンタープライズオフィスアプリケーションの IP アドレスまたはドメイン名を設定する必要があります。設定されたオフィスアプリケーションのみが、従業員が SASE アプリを通じてアクセスできます。
-
Office Security Platform コンソールにログインします。
-
左側のナビゲーションバーで、 を選択します。
-
[Add Application] をクリックします。[Add Application] パネルの [Manual Configuration] タブで、次の表の説明に従ってパラメーターを設定します。
パラメーター
説明
例
Application Name
アプリケーションの名前。
名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を使用できます。
クラウドネイティブアプリケーション
Status
アプリケーションのステータス。有効または無効にできます。
Enable
Access Mode
アクセスモードを選択します。
-
[Client-based Access]: SASE アプリをインストールしてオフィスアプリケーションにアクセスする必要があります。この機能は、従業員のオフィス業務や O&M のためのレイヤー 4 およびレイヤー 7 アプリケーションへのアクセスをサポートし、豊富なエンドポイントセキュリティ検出および制御ポリシーを提供します。
-
[Browser-based Access]: SASE アプリをインストールせずに、ブラウザを使用して企業の Web ベースのオフィスアプリケーションにアクセスできます。このモードは、エンドポイントセキュリティチェックや制御ポリシーをサポートしていません。
Client-based Access
-
-
[Next] をクリックします。アプリケーションの [Application Address]、[Port]、[Protocol] を設定し、[OK] をクリックします。
アプリケーションへのアクセスを追跡するには、[Web Application Access Reinforcement] 機能を有効にします。[Access Tracing] を選択し、HTTP ヘッダーに追加するフィールドを選択してから、アプリケーションから情報を抽出します。
利用可能なヘッダーフィールドには、ユーザー名、デバイス ID、デバイス IP があります。
ステップ 5: ゼロトラストポリシーの作成
-
左側のナビゲーションバーで、 を選択します。
-
[Zero Trust Policies] タブで、[Create Policy] をクリックします。
-
[Create Policy] パネルで、許可されたユーザーがクラウドネイティブアプリケーションにアクセスできるようにポリシーを設定し、[OK] をクリックします。
ポリシー名を
クラウドネイティブアプリケーションのゼロトラストポリシー、優先度を1、アクションをアクセスを許可に設定します。選択したアプリケーションセクションで、クラウドネイティブアプリケーションを追加します。
ステップ 6: 設定の確認
-
インストールした SASE アプリを開きます。
企業認証 ID を入力し、[OK] をクリックします。
Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウの [Settings] ページで、[Enterprise Authentication Identifier] を取得できます。
-
メールまたは電話で受け取った初期ユーザー名とパスワードを使用してログインします。
-
プライベートネットワークに接続をクリックします。
-
プライベートアプリケーションにアクセスします。プライベートアプリケーションへの接続に成功すると、設定が確認されます。
クラウドネイティブアプリケーションのパブリックアクセスの無効化
-
左側のナビゲーションバーで、 を選択します。
-
タブで、パブリックネットワークアクセスを無効にできるアプリケーションタイプと、ネットワーク接続が有効になっているインスタンスのリストを表示します。
-
パブリックインターネットに公開されているインスタンスについては、[Actions] 列の [Not Disabled] をクリックします。
-
[Disable] ダイアログボックスで、[Select the public endpoint for which you want to disable access.] を選択し、[OK] をクリックします。
重要無効にすると、すべてのパブリックネットワークアクセスが拒否され、アクセスポイントが制限されてセキュリティが強化されます。この操作は元に戻せません。アプリケーションには SASE を通じて引き続きアクセスできます。すべてのクラウドアプリケーションに対してゼロトラストポリシーが設定され、有効になっていることを確認してください。
-
パブリックアドレスを使用してクラウドアプリケーションにアクセスしてみます。失敗した場合、設定が確認されます。