すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:SASE を使用したクラウドネイティブアプリケーションのセキュアなアクセス

最終更新日:Jun 22, 2026

セキュアアクセスサービスエッジ (SASE) は、クラウドネイティブアプリケーションリソースへの接続をサポートし、そのパブリックアクセスアドレスの表示と管理を可能にします。セキュリティを強化するため、ビジネス上許容される場合はパブリックネットワークアクセスを無効にし、アプリケーションへのアクセスを VPC のプライベートネットワークに制限することを推奨します。本ドキュメントでは、プライベートネットワークを使用してクラウドネイティブアプリケーションにアクセスする方法と、パブリックネットワークアクセスを無効にする方法について説明します。

前提条件

サポートされているクラウドネイティブアプリケーション

  • クラウドストレージ: Object Storage Service (OSS)

  • クラウドネットワーク: PrivateLink

  • クラウドデータベースRDSPolarDBTair (Redis OSS-compatible)LindormMongoDBAnalyticDB for MySQLAnalyticDB for PostgreSQLClickHouseClickHouse Enterprise Edition、SelectDBPolarDB for XscaleDMSDASBastionhost

  • クラウドミドルウェア: RocketMQ 5.0、KafkaMSE レジストリ、および MSE クラウドネイティブゲートウェイ。

  • 開発ツール: Alibaba Cloud 管理コンソール、Alibaba Cloud DevOps

クラウドネイティブアプリケーションのプライベートアクセスの設定

プライベートアクセスは Software-Defined Perimeter (SDP) テクノロジーに基づいており、SaaS ベースのゼロトラストネットワークアクセスを提供します。これにより、企業の従業員は、パブリック IP アドレスを公開したり、既存のネットワークアーキテクチャを変更したりすることなく、SASE ソリューションを通じてクラウドリソースに安全にアクセスし、アクセス権限を正確に制御できます。

ステップ 1: ID ソースの設定

ID プロバイダー (IdP) は、主に企業従業員の身分認証を提供します。SASE は、サードパーティおよび自社構築の身分認証システムをサポートしています。現在サポートされている IdP には、LDAP、DingTalk、WeChat Work、Feishu、IDaaS、およびカスタム ID プロバイダーが含まれます。ビジネスで複数の IdP を使用している場合は、それぞれを設定し、認証ステータスを有効にすることができます。これにより、異なる IdP で SASE サービスを使用できます。

このトピックでは、簡単なデモンストレーションのために、カスタム ID ソースを例として使用します。

  1. Cloud Security Access Service コンソールにログインします。

  2. 左側のナビゲーションバーで、Identity Authentication > Identity Access を選択します。

  3. [Identity synchronization] タブで、[Custom IdP] を探し、[Actions] 列の [Edit] をクリックします。ウィザードに従って、カスタム ID ソースを設定します。詳細については、「カスタム ID ソースへの接続」をご参照ください。

ステップ 2: ユーザーグループの設定

ポリシーを設定する際には、適用対象のユーザーグループを指定する必要があります。

  1. 左側のナビゲーションバーで、Identity Authentication > Identity Access を選択します。

  2. [User Group Management] タブで、[Create User Group] をクリックします。

  3. [Create User Group] パネルで、[Organizational Structure]、[Account Name]、[Email Address]、[Mobile Phone Number] などのユーザーグループのパラメーターを設定します。その後、[OK] をクリックします。詳細については、「ユーザーグループの管理」をご参照ください。

ステップ 3: ネットワーク接続の有効化

  1. 左側のナビゲーションバーで、Private Access > Network Settings を選択します。

  2. [Network Settings] ページの Services on Alibaba Cloud > CEN Instance タブで、SASE によって同期されたネットワークリソースを表示します。

  3. 指定した CEN インスタンスまたは CEN インスタンスに関連付けられた VPC インスタンスの右側にある [Network Connection] スイッチをオンにします。

  4. [Network Connection] ダイアログボックスで、[Enable Network Connection for All Cloud Applications] または [Custom Connection to Cloud Applications] のいずれかを選択します。

    • [Enable Network Connection for All Cloud Applications]: このオプションを選択すると、すべてのクラウドネイティブアプリケーションが自動的に接続されます。ACL ルールを設定することで、非クラウドアプリケーションに接続できます。この VPC で作成された新しいクラウドネイティブアプリケーションもデフォルトで接続されます。

      説明

      現在、特定のタイプのクラウドネイティブアプリケーションのみがサポートされています。サポートされているタイプを確認するには、Services on Alibaba Cloud > Cloud-native Application タブに移動し、[Application Type] 列を確認してください。

    • [Custom Connection to Cloud Applications]:

      • [Custom Connection to Cloud Applications] を選択し、[OK] をクリックします。

      • [Custom Connection to Cloud Applications] パネルで、接続したいアプリケーションを選択し、[OK] をクリックします。

ステップ 4: プライベートアプリケーションの作成

SASE プライベートアクセスを使用する前に、SASE でエンタープライズオフィスアプリケーションの IP アドレスまたはドメイン名を設定する必要があります。設定されたオフィスアプリケーションのみが、従業員が SASE アプリを通じてアクセスできます。

  1. Office Security Platform コンソールにログインします。

  2. 左側のナビゲーションバーで、Private Access > Application Management を選択します。

  3. [Add Application] をクリックします。[Add Application] パネルの [Manual Configuration] タブで、次の表の説明に従ってパラメーターを設定します。

    パラメーター

    説明

    Application Name

    アプリケーションの名前。

    名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を使用できます。

    クラウドネイティブアプリケーション

    Status

    アプリケーションのステータス。有効または無効にできます。

    Enable

    Access Mode

    アクセスモードを選択します。

    • [Client-based Access]: SASE アプリをインストールしてオフィスアプリケーションにアクセスする必要があります。この機能は、従業員のオフィス業務や O&M のためのレイヤー 4 およびレイヤー 7 アプリケーションへのアクセスをサポートし、豊富なエンドポイントセキュリティ検出および制御ポリシーを提供します。

    • [Browser-based Access]: SASE アプリをインストールせずに、ブラウザを使用して企業の Web ベースのオフィスアプリケーションにアクセスできます。このモードは、エンドポイントセキュリティチェックや制御ポリシーをサポートしていません。

    Client-based Access

  4. [Next] をクリックします。アプリケーションの [Application Address]、[Port]、[Protocol] を設定し、[OK] をクリックします。

    アプリケーションへのアクセスを追跡するには、[Web Application Access Reinforcement] 機能を有効にします。[Access Tracing] を選択し、HTTP ヘッダーに追加するフィールドを選択してから、アプリケーションから情報を抽出します。

    利用可能なヘッダーフィールドには、ユーザー名デバイス IDデバイス IP があります。

ステップ 5: ゼロトラストポリシーの作成

  1. 左側のナビゲーションバーで、Private Access > Access Control を選択します。

  2. [Zero Trust Policies] タブで、[Create Policy] をクリックします。

  3. [Create Policy] パネルで、許可されたユーザーがクラウドネイティブアプリケーションにアクセスできるようにポリシーを設定し、[OK] をクリックします。

    ポリシー名クラウドネイティブアプリケーションのゼロトラストポリシー優先度1アクションアクセスを許可に設定します。選択したアプリケーションセクションで、クラウドネイティブアプリケーションを追加します。

ステップ 6: 設定の確認

  1. インストールした SASE アプリを開きます。

  2. 企業認証 ID を入力し、[OK] をクリックします。

    Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウの [Settings] ページで、[Enterprise Authentication Identifier] を取得できます。

  3. メールまたは電話で受け取った初期ユーザー名とパスワードを使用してログインします。

  4. プライベートネットワークに接続をクリックします。

  5. プライベートアプリケーションにアクセスします。プライベートアプリケーションへの接続に成功すると、設定が確認されます。

クラウドネイティブアプリケーションのパブリックアクセスの無効化

  1. 左側のナビゲーションバーで、Private Access > Network Settings を選択します。

  2. Services on Alibaba Cloud > Cloud-native Application タブで、パブリックネットワークアクセスを無効にできるアプリケーションタイプと、ネットワーク接続が有効になっているインスタンスのリストを表示します。

  3. パブリックインターネットに公開されているインスタンスについては、[Actions] 列の [Not Disabled] をクリックします。

  4. [Disable] ダイアログボックスで、[Select the public endpoint for which you want to disable access.] を選択し、[OK] をクリックします。

    重要

    無効にすると、すべてのパブリックネットワークアクセスが拒否され、アクセスポイントが制限されてセキュリティが強化されます。この操作は元に戻せません。アプリケーションには SASE を通じて引き続きアクセスできます。すべてのクラウドアプリケーションに対してゼロトラストポリシーが設定され、有効になっていることを確認してください。

  5. パブリックアドレスを使用してクラウドアプリケーションにアクセスしてみます。失敗した場合、設定が確認されます。