SASE Private Access を使用する前に、IP アドレスまたはドメイン名を設定して、社内業務アプリケーションを SASE に追加します。 従業員は、SASE クライアントを介して、設定済みの社内業務アプリケーションにのみアクセスできます。 本トピックでは、サポートされているアプリケーションタイプ、社内業務アプリケーションの追加方法、およびアプリケーションのドメイン名前解決ポリシーについて説明します。
サポートされているアプリケーションの種類
-
プライベート IP アドレスまたはプライベートドメイン名を使用してアクセス可能なアプリケーション
プライベートアプリケーションは、従業員が使用し、特定のユーザーのみがアクセスできる、内部アプリケーションサービス、サーバー、データベースなどの内部 IT リソースです。
-
パブリック IP アドレスまたはパブリックドメイン名を使用してアクセス可能なアプリケーション (ホワイトリストが設定されている場合)
パブリックアプリケーションのアドレスに対してホワイトリストが設定されています。たとえば、ECS セキュリティグループまたは Cloud Firewall のアクセス制御ポリシーを使用して、特定の CIDR ブロックのみがアプリケーションにアクセスできるように許可できます。
オフィスアプリケーションの追加
企業のオフィスアプリケーションを SASE に追加すると、SASE はすべてのアプリケーションにゼロトラストセキュリティの原則を適用し、すべてのアクセスを拒否するデフォルトポリシーを作成します。したがって、アプリケーションを追加した後は、アクセスを許可するポリシーも設定する必要があります。詳細については、「ゼロトラストポリシーの設定」をご参照ください。
Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
-
Office Application ページで、Add Application をクリックし、次のようにアプリケーションを設定します。
アプリケーションは、手動設定または一括インポートで追加できます。
-
Manual Configuration
-
Manual Configuration タブで、次の表に従って基本パラメーターを設定します。
パラメーター
説明
Application Name
アプリケーションの名前。
名前は 2~100 文字で、使用できる文字は、英字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) です。
Tag
アプリケーションのカスタムタグ。タグは、アプリケーションの分類、検索、管理に役立ちます。
説明カスタムタグを追加してアプリケーションを分類、検索、管理したり、システムが提供するデフォルトタグを使用したりできます。
Status
アプリケーションのステータス。有効な値:有効、無効。
Access Mode
設定するアクセスモードを選択します。
-
クライアントベースのアクセス:このモードでオフィスアプリケーションにアクセスするには、ユーザーは SASE クライアントをインストールする必要があります。このモードは、レイヤー 4 およびレイヤー 7 のアプリケーションをサポートし、オフィスおよび O&M の要件を満たし、豊富なエンドポイントセキュリティの検出および制御ポリシーを提供します。
-
ブラウザベースのアクセス:ユーザーは SASE クライアントをインストールせずに、ブラウザから Web ベースのオフィスアプリケーションにアクセスできます。このモードは、エンドポイントセキュリティの検出および制御ポリシーをサポートしていません。
-
-
Next をクリックします。選択したアクセスモードに基づいて、アプリケーションのアドレス情報を設定します。
-
クライアントベースのアクセスモード
パラメーター
説明
[一致モード]
グローバルまたは詳細なポート一致を選択します。
-
Global Match:Application Address と Port のペアを 1 つだけ設定できます。リソース内のすべてのドメイン名または IP アドレスが同じポートを使用するシナリオ向けです。
-
Fine-grained Match:複数の Application Address と Port のペアを設定できます。リソース内の異なるドメイン名または IP アドレスが異なるポートを使用するシナリオ向けです。
Application Address
SASE を介してアクセスするオフィスアプリケーションのアドレス、ポート、プロトコルを入力します。
アプリケーションアドレスには、次のいずれかの種類があります:
-
特定の IP アドレス。例:
10.10.XX.XX。 -
CIDR ブロック。例:
10.0.0.0/8、172.16.0.0/12、または192.168.0.0/24。 -
特定のドメイン名。例:
www.aliyun.com。 -
ワイルドカードドメイン名。
*.aliyun.comと入力すると、SASE は指定したポート情報に基づいてサブドメインを照合し、*.aliyun.comの特定のサブドメインへのアクセスを許可します。
次のポートフォーマットがサポートされています:
-
連続したポートの範囲には、ハイフンを使用します。たとえば、
80-8080には 80 から 8080 までのすべてのポートが含まれます。 -
連続していないポートの場合は、ポート番号をカンマで区切ります。例:
80, 8080。 -
単一のポートの場合は、番号を入力します。例:
80。
サポートされているプロトコル:
-
TCP
-
UDP
Port
Protocol
Web アプリケーションのトラフィックに対してセキュリティ検証やアクセス追跡を行うために、次の強化ポリシーを設定できます。
-
Security Verification:Host リクエストヘッダーを検査して、悪意のあるバイパス試行を防ぎます。
-
Access Tracing:アクセス追跡のために HTTP ヘッダーにユーザー情報を追加します。
SASE は、選択された追跡情報を HTTP リクエストヘッダーに挿入します。バックエンドサービスは、これらのヘッダーを取得して解析するように設定する必要があります。ヘッダーには、
X-Csas-Client-IP(デバイス IP)、X-Csas-Username(ユーザー名)、X-Csas-Device-Tag(一意のデバイス ID) が含まれます。 -
Sensitive Application Detection:ダウンロード動作のある内部アプリケーションを機密アプリケーションとしてマークします。これらのアプリケーションは、[機密アプリケーション] タグで確認できます。
機密アプリケーションでダウンロードが発生すると、SASE は Log Service (SLS) にログレコードを生成します。[ログ分析] に移動し、[内部機密ファイルのダウンロード検出ログ] を選択してダウンロードログを表示できます。
-
Timeout Configuration:オフィスアプリケーションにアクセスするためのレイヤー 7 接続タイムアウトを設定します。タイムアウト期間が経過すると、接続は自動的に切断されます。
-
Application Layer Port:Web Application Access Reinforcement 設定が有効になるポート範囲。
重要-
Web Application Access Reinforcement 設定は、アクセスされたポートが設定された有効なポート範囲内にある場合にのみ有効になります。
-
開始ポートと終了ポートは、設定されたアプリケーションのポート範囲内にある必要があります。
-
-
-
ブラウザベースのアクセスモード
パラメーター
説明
Application Address
SASE を介してアクセスするオフィスアプリケーションのアドレス、ポート、プロトコルを入力します。
アプリケーションアドレスには、次のいずれかの種類があります:
-
特定の IP アドレス。例:
10.10.XX.XX。 -
特定のドメイン名。例:
www.aliyun.com。
Port
ポート番号を設定します。例:
80。Protocol
サポートされているプロトコル:
-
HTTPS
-
HTTP
Proxy Domain Name (SaaS Proxy Gateway)
ドメイン名マッピングまたは CNAME レコードを使用してプロキシゲートウェイを設定します。
-
Domain Name Mapping:マッピングされたドメイン名を設定します。SASE は、元のアプリケーションアドレスにマッピングされる新しいドメイン名を生成します。従業員は、新しいドメイン名を通じて元のアプリケーションにアクセスします。
-
CNAME:元のドメイン名を SASE ゼロトラストゲートウェイに解決する CNAME レコードを設定します。この方法により、ユーザーエクスペリエンスが維持されます。
-
Custom Proxy Domain Name: カスタムプロキシドメイン名を設定します。
警告カスタムプロキシドメイン名を SASE アクセスポイントドメイン名に解決する CNAME レコードを作成する必要があります。
-
Internal DNS Server:内部ドメイン名の解決に使用する DNS サーバーを選択します。
-
SSL Certificate:SSL 証明書を選択します。
-
Browser Access Settings
SASE は 3 つのブラウザアクセス設定方法をサポートしています。
-
HTML-based Internal Domain Rewriting:HTML を変更することでドメイン名マッピングを実装します。書き換え前後のアドレスを設定する必要があります。
-
JavaScript-based Internal Request Rewriting:JavaScript ファイルを変更することでドメイン名マッピングを実装します。書き換え前後のアドレスを設定する必要があります。
-
Anonymous Access:ソース IP アドレスまたは CIDR ブロックとそのアクセスパスのホワイトリストを設定します。これらのソースからのリクエストに対してはアクセス制御は実行されません。
Advanced Settings
より詳細な設定のために、ゲートウェイリクエストのヘッダーとクエリパラメーターを書き換えます。
-
ヘッダーのRewrite:リクエストヘッダーとレスポンスヘッダーのパラメーターを動的に追加、設定、または削除して、より柔軟なリクエスト制御とレスポンスの最適化を実現します。
-
クエリParameter Rewriting:クエリ文字列のパラメーターを動的に追加、設定、または削除します。
-
-
-
-
Batch Import
Access Mode に応じて、Client-based Access または Browser-based Access を選択できます。
-
クライアントベースのアクセス:オフィスアプリケーションにアクセスするには、SASE クライアントをインストールする必要があります。このモードは、レイヤー 4 およびレイヤー 7 のアプリケーションをサポートし、オフィスおよび O&M の要件を満たし、豊富なエンドポイントセキュリティの検出および制御ポリシーを提供します。
-
Download Layer 4 Template をクリックし、テンプレートに記入します。
-
Upload Local File をクリックして、完成したテンプレートファイルをアップロードします。
-
-
Browser-based Access:SASE クライアントをインストールする必要はありません。ユーザーはブラウザから Web ベースのオフィスアプリケーションにアクセスできます。このモードは、エンドポイントセキュリティの検出および制御ポリシーをサポートしていません。
-
Download Layer 4 Template をクリックし、テンプレートに記入します。
-
Upload Local File をクリックして、完成したテンプレートファイルをアップロードします。
-
説明サポートされているのは XLSX ファイルのみです。最大ファイルサイズは 100 MB です。
-
-
-
OK をクリックします。
新しいエンタープライズオフィスアプリケーションがアプリケーション一覧に表示されます。
アプリケーションの名前解決
名前解決ポリシー
-
プライベートアクセスエンドポイントのユーザーが名前解決リクエストを開始すると、SASE はまず Alibaba Cloud DNS PrivateZone にクエリを送信して一致する DNS レコードを検索し、その結果を返します。
説明Alibaba Cloud DNS PrivateZone がネットワークアーキテクチャの一部である場合、SASE は PrivateZone の解決データを自動的に同期します。SASE コンソールで PrivateZone の情報を設定する必要はありません。PrivateZone の詳細については、「プライベート DNS 解決の概要」をご参照ください。
-
ドメイン名が PrivateZone で見つからない場合、SASE はカスタム DNS サービス (Default DNS Service または Other DNS Services) が設定されているか確認します。設定されている場合、SASE はリクエストをカスタム DNS サービスに転送し、その結果を返します。
-
従業員が SASE クライアントで DNS サービスを切り替えていない場合、デフォルトの DNS サービスが名前解決に使用されます。
-
従業員が SASE クライアントで特定の DNS サービスに切り替えた場合、選択された DNS サービスが名前解決に使用されます。
-
-
カスタム DNS サービスが設定されていない場合、SASE はリクエストを ECS インスタンスに設定されているデフォルトの DNS サービスに送信し、その結果を返します。
カスタム DNS サービスの設定
-
Office Application ページで、Internal DNS Configuration をクリックします。
-
DNS Address ダイアログボックスで、Default DNS Service と Other DNS Services を設定します。
DNS サービスには複数のサーバー IP アドレスを設定できます。1 つのサーバーがドメイン名の解決に失敗した場合、リクエストは同じ DNS サービスの別のサーバーに送信されます。
各 DNS サービスには、名前とサーバー IP が含まれます。[サーバー IP] 入力ボックスに IP アドレスを入力し、Enter キーを押して確定します。各 DNS サービスには最大 2 つの IP アドレスを設定できます。
オフィスアプリケーションのホワイトリスト登録
アプリケーションをホワイトリストに登録する状況
特定のオフィスアプリケーションのネットワークトラフィックに対して SASE のセキュリティ分析と監査をバイパスするには、アプリケーションの IP アドレスまたはドメイン名をプライベートアクセスホワイトリストに追加します。アプリケーションがホワイトリストに登録されると、そのネットワークトラフィックは SASE をバイパスします。
たとえば、アプリケーション管理でワイルドカードドメイン名 *.abc.com を設定したとします。企業がサブドメイン 123.abc.com へのトラフィックを安全とみなし、SASE の分析と監査を必要としない場合、123.abc.com をホワイトリストに追加できます。
オフィスアプリケーションのホワイトリストの設定
アプリケーションの IP アドレスまたはドメイン名をオフィスアプリケーションのホワイトリストに追加できます。複数の IP アドレスや CIDR ブロック、複数のドメイン名やワイルドカードドメイン名など、複数のエントリを追加できます。ホワイトリストの設定方法の詳細については、「プライベートアクセスホワイトリストの設定」をご参照ください。
オフィスアプリケーションの編集または削除
必要に応じて、次の操作を実行できます:
-
編集:Details をクリックします。Details パネルで、アプリケーションの情報を表示または変更します。
-
削除:Delete をクリックしてアプリケーションを削除します。
重要アプリケーションを削除すると、従業員はアクセスできなくなります。操作は慎重に行ってください。
次のステップ
-
追加したオフィスアプリケーションのアクセスポリシーを作成します。詳細については、「ゼロトラストポリシーの設定」をご参照ください。
-
従業員が信頼できるエリア内で作業する場合、信頼できるオフィスゾーンを設定して、オフィスアプリケーションへのアクセスに対する SASE のトラフィック分析と監査をバイパスできます。詳細については、「オフィスゾーン識別の設定」をご参照ください。