Secure Access Service Edge:SASE にオフィスアプリケーションを追加する

SASE に追加できるアプリケーションの種類

• プライベート IP アドレスまたはプライベートエンドポイントを使用してアクセスできるアプリケーション

  プライベートアプリケーションとは、内部アプリケーションサービス、サーバー、データベースなどのオフィス IT リソースです。 プライベートアプリケーションには、特定のユーザーのみがアクセスできます。

• ホワイトリストメカニズムが構成されており、パブリック IP アドレスまたはパブリックエンドポイントを使用してアクセスできるアプリケーション

  企業は、オフィスアプリケーションのパブリック IP アドレスまたはパブリックエンドポイントのホワイトリストメカニズムを構成します。 たとえば、Elastic Compute Service (ECS) セキュリティグループまたは Cloud Firewall のアクセス制御ポリシーを構成して、ユーザーが特定の CIDR ブロックからのみアプリケーションにアクセスできるようにします。

SASE にオフィスアプリケーションを追加する

SASE にオフィスアプリケーションを追加すると、SASE はゼロトラストセキュリティ原則に基づいて、すべてのアクセスを拒否するポリシーを自動的に作成します。 SASE にアプリケーションを追加した後、アプリケーションへのアクセスを許可するポリシーを構成する必要があります。 詳細については、「ゼロトラストポリシーを構成する」をご参照ください。

1. SASE コンソール にログオンします。

2. 左側のナビゲーションウィンドウで、Private Access > Application Management を選択します。

3. [オフィスアプリケーション] ページで、[アプリケーションの追加] をクリックし、次の操作を実行してアプリケーションを構成します。

   手動構成またはバッチインポート方式を使用してアプリケーションを構成できます。

   • [手動構成]

     1. [手動構成] タブで、アプリケーションを構成します。 次の表に、構成する必要のあるパラメータを示します。

        パラメータ	説明
        Application Name	アプリケーションの名前。 名前は 2 ～ 100 文字で、文字、数字、ハイフン（-）、アンダースコア（_）、ピリオド（.）を含めることができます。
        [タグ]	アプリケーションの分類、検索、および管理に使用するタグ。 説明 カスタムタグを作成して、アプリケーションの分類、検索、および管理に役立てることができます。 デフォルトタグを使用することもできます。
        [ステータス]	アプリケーションのステータス。 アプリケーションを有効または無効にすることができます。
        [アクセスモード]	アプリケーションのアクセスモード。 [クライアントベースのアクセス]: オフィスアプリケーションにアクセスするには、SASE クライアントをインストールする必要があります。 SASE クライアントは、Layer 4 および Layer 7 アプリケーションへのアクセスをサポートしており、作業および O&M 要件を満たします。 SASE クライアントは、さまざまな端末セキュリティ検出および制御ポリシーもサポートしています。 [ブラウザベースのアクセス]: SASE クライアントをインストールせずに、ブラウザから Web オフィスアプリケーションにアクセスできます。 このモードでは、端末セキュリティ検出および制御ポリシーはサポートされていません。

     2. Next をクリックします。 アプリケーションアドレスを構成します。 パラメータは、[基本構成] ステップで選択したアクセスモードによって異なります。 次の表にパラメータを示します。

        • [クライアントベースのアクセス]

          パラメータ	説明
          Application Address	SASE がオフィスアプリケーションへのアクセスに使用するオフィスアプリケーションのアドレス、ポート情報、およびプロトコルタイプを入力します。 次のタイプのアプリケーションアドレスがサポートされています。 IP アドレス。 例: 10.10.XX.XX。 CIDR ブロック。 例: 10.0.0.0/8、172.16.0.0/12、192.168.0.0/24。 特定のドメイン名。 例: www.aliyun.com。 ワイルドカードドメイン名。 たとえば、*.aliyun.com と入力すると、システムは指定したポート情報に基づいて *.aliyun.com のサブドメインを照合します。 これにより、SASE はワイルドカードドメイン名の特定のサブドメインにアクセスできます。 [ポート] パラメータは、次のルールに基づいて構成します。 ポート番号が連続している場合は、ポート範囲を入力します。 例: 80 ～ 8080。 ポート番号が連続していない場合は、特定のポート番号を入力します。 例: 80 および 8080。 1 つのポート番号のみを使用してオフィスアプリケーションにアクセスする場合は、開始ポート番号と終了ポート番号に同じ番号を入力します。 例: 80 ～ 80。 オフィスアプリケーションで使用されるプロトコル。 次のプロトコルがサポートされています。 TCP UDP
          Port
          Protocol
          [詳細設定] > Web Application Access Reinforcement	Web アプリケーションのアクセストラフィックでセキュリティ検証またはアクセストレースを実行する場合は、次のセキュリティ強化ポリシーを構成できます。 Security Verification Check the Host request header to prevent malicious bypass. Access Tracing Add information such as the username to the HTTP header for access tracing. 選択したトレース情報を HTTP リクエストのリクエストヘッダーに追加します。 業務システムは、X-Csas-Client-IP (デバイス IP アドレス)、X-Csas-Username (ユーザー名)、X-Csas-Device-Tag (デバイス固有 ID) などの新しく追加されたリクエストヘッダーを取得して解析する必要があります。

        • [ブラウザベースのアクセス]

          パラメータ	説明
          Application Address	SASE がオフィスアプリケーションへのアクセスに使用するオフィスアプリケーションのアドレス、ポート情報、およびプロトコルタイプを入力します。 次のタイプのアプリケーションアドレスがサポートされています。 IP アドレス。 例: 10.10.XX.XX。 特定のドメイン名。 例: www.aliyun.com。
          Port	ポート番号を指定します。 例: 80 ～ 80。
          Protocol	オフィスアプリケーションで使用されるプロトコル。 次のプロトコルがサポートされています。 HTTPS HTTP
          [プロキシドメイン名 (saas プロキシゲートウェイ)]	ドメイン名マッピングまたは CNAME レコードを使用してプロキシゲートウェイを構成します。 業務要件に基づいて、次のいずれかの方法を選択します。 [ドメイン名マッピング]: SASE は、元のアプリケーションアドレスをマッピングするドメイン名を作成します。 ユーザーは、新しいドメイン名を使用してアプリケーションにアクセスできます。 [CNAME]: CNAME レコードを構成して、元のアプリケーションアドレスを SASE のゼロトラストゲートウェイに解決し、スムーズなユーザーエクスペリエンスを確保できます。 [カスタムプロキシドメイン名]: CNAME レコードを構成します。 警告 CNAME レコードを構成して、カスタムプロキシドメイン名を SASE アクセスポイントのドメイン名に解決します。 [内部 DNS サーバー]: 内部ドメイン名の解決に使用する DNS サーバーアドレスを選択します。 [SSL 証明書]: 証明書を選択します。
          [ブラウザアクセス設定]	ブラウザアクセス方法を選択します。 業務要件に基づいて、次のいずれかの方法を選択します。 [HTML ベースの内部ドメイン書き換え]: HTML ベースの URL 書き換え手法を使用してドメイン名をマッピングできます。 この場合、[書き換え前のアドレス] パラメータと [書き換え後のアドレス] パラメータを構成する必要があります。 [javascript ベースの内部リクエスト書き換え]: JavaScript ベースの URL 書き換え手法を使用してドメイン名をマッピングできます。 この場合、[書き換え前のアドレス] パラメータと [書き換え後のアドレス] パラメータを構成する必要があります。 [匿名アクセス]: IP アドレスと CIDR ブロックのホワイトリスト、およびリクエストパスのホワイトリストを指定できます。 ホワイトリスト内の IP アドレスおよび CIDR ブロックから開始されたリクエストは、ホワイトリスト内のリクエストパスへのアクセスが許可されます。
          [詳細設定]	よりきめ細かい制御のために、ゲートウェイリクエストのヘッダーとクエリパラメータを書き換えます。 [ヘッダーの書き換え]: リクエストヘッダーとレスポンスヘッダーの特定のパラメータを動的に追加、構成、または削除して、柔軟なリクエスト制御とレスポンスの最適化を実装できます。 [クエリパラメータの書き換え]: 特定のクエリパラメータを動的に追加、構成、または削除できます。

   • Batch Import

     [アクセスモード] パラメータを構成できます。 有効な値は、[クライアントベースのアクセス] と [ブラウザベースのアクセス] です。

     • [クライアントベースのアクセス]: オフィスアプリケーションにアクセスするには、SASE クライアントをインストールする必要があります。 SASE クライアントは、Layer 4 および Layer 7 アプリケーションへのアクセスをサポートしており、作業および O&M 要件を満たします。 SASE クライアントは、さまざまな端末セキュリティ検出および制御ポリシーもサポートしています。

       1. [layer 4 テンプレートのダウンロード] をクリックし、手順に従ってテンプレートに入力します。

       2. Upload Local File をクリックして、準備したテンプレートファイルをアップロードします。

     • [ブラウザベースのアクセス]: SASE クライアントをインストールせずに、ブラウザから Web オフィスアプリケーションにアクセスできます。 このモードでは、端末セキュリティ検出および制御ポリシーはサポートされていません。

       1. [layer 7 テンプレートのダウンロード] をクリックし、手順に従ってテンプレートに入力します。

       2. Upload Local File をクリックして、準備したテンプレートファイルをアップロードします。

     説明

     XLSX 形式のファイルがサポートされています。 ファイルサイズは最大 100 MB です。

4. OK をクリックします。

   追加したオフィスアプリケーションがアプリケーションリストに表示されます。

オフィスアプリケーションのドメイン名を解決する

ホワイトリストにオフィスアプリケーションを追加する

オフィスアプリケーションを削除および変更する

ビジネス要件に基づいて、次の操作を実行できます。

• オフィスアプリケーションを変更する: [オフィスアプリケーション] ページで、変更するオフィスアプリケーションを見つけます。 [アクション] 列の [詳細] をクリックして、オフィスアプリケーションの詳細を表示するか、[詳細] パネルでアプリケーションに関する情報を変更します。

• オフィスアプリケーションを削除する: [オフィスアプリケーション] ページで、削除するオフィスアプリケーションを見つけます。 [アクション] 列の [削除] をクリックして、オフィスアプリケーションを削除します。

  重要

  オフィスアプリケーションを削除すると、ユーザーはアプリケーションにアクセスできなくなります。 慎重に行ってください。