Secure Access Service Edge(SASE)には、企業がネットワーク接続を確立するための初期アクセスポイントとして機能する SaaS(Software as a Service)アクセスポイントが組み込まれています。SASE を使用すると、企業はオフィスゾーン、データセンター、またはその他のクラウドサービスに専用のアクセスポイントをデプロイすることもできます。これにより、ユーザーがオフィスゾーンのエンタープライズアプリケーションにアクセスする際のゼロトラスト権限管理が容易になります。このトピックでは、SaaS アクセスポイントの管理、専用アクセスポイントの設定、およびターミナルアクセス ポリシーの設定方法について説明します。
ターミナルアクセスポイントの種類
SASE は、ソフトウェア定義の広域ネットワーク(SD-WAN)アーキテクチャを使用します。このアーキテクチャにより、SASE クライアントは、最も近いアクセスポイントをインテリジェントに識別して接続し、ユーザーエクスペリエンスを向上させることができます。
種類 | 説明 | サーバーのデプロイ要件 |
SaaS アクセスポイント | SaaS アクセスポイントはすべてのユーザーで共有されます。ユーザーが SaaS アクセスポイントを使用する場合、ネットワークレイテンシが発生する可能性があります。 サポートされているエディション:
| なし。 |
専用アクセスポイント | 専用アクセスポイントは企業専用であり、低ネットワークレイテンシで強力な保護を提供します。 サポートされているエディション: Private Access Advanced | 専用アクセスポイントを設定するには、専用アクセスポイントをホストするサーバーをデプロイする必要があります。サーバーは次の要件を満たしている必要があります。
説明 アクセスポイントの高可用性を実現し、単一障害点を防ぐために、複数のサーバーに専用アクセスポイントをデプロイできます。サーバーは、物理サーバーまたは仮想マシンの場合があります。 |
SaaS アクセスポイントの管理
プライベートアクセス機能を有効にすると、すべての SaaS アクセスポイントが自動的に有効になります。ビジネス要件に基づいてアクセスポイントを有効または無効にすることができます。
[SASE コンソール] にログオンします。
左側のナビゲーションペインで、 を選択します。
表示されるページの タブで、SaaS Access Point タブをクリックして、SASE の組み込み SaaS アクセスポイントに関する情報を表示します。
必要なアクセスポイントを見つけます。[アクセスポイントスイッチ] 列で、アクセスポイントを有効または無効にします。
アクセスポイントの Actions 列にある Details をクリックすると、アクセスポイントの場所、名前、および設定を表示できます。アクセスポイントの名前を変更することもできます。
専用アクセスポイントの設定
手順 1: 専用アクセスポイントを作成する
タブで、Dedicated Access Point タブをクリックします。次に、Create Dedicated Access Point をクリックします。
[専用アクセスポイントの作成]Create Dedicated Access Point パネルで、パラメーターを設定し、[OK] をクリックします。次の表にパラメーターを示します。
パラメーター
説明
Chinese Access Point Name
専用アクセスポイントの中国語名。
English Access Point Name
専用アクセスポイントの英語名。
Access Point Location
専用アクセスポイントの場所。有効な値: 中国本土および中国本土以外。
Access Point Configuration
ビジネス要件に基づいて、パブリックエンドポイントと内部エンドポイントを設定できます。
パブリックエンドポイントの設定
Public Endpoint
ユーザーが自宅またはリモートで作業し、SASE クライアントを使用する場合、クライアントはパブリックエンドポイントを使用して専用アクセスポイントに接続します。ユーザーがゼロトラストポリシーに基づいて認証に合格すると、専用アクセスポイントはクライアントからのトラフィックを宛先オフィスアプリケーションに転送します。
重要この機能を有効にする前に、専用アクセスポイントをホストするサーバーのパブリック IP アドレスがオフィスアプリケーションで許可されていることを確認してください。
Certificate Content
パブリックエンドポイントの証明書の内容。証明書ファイルは、CRT または PEM ファイルにすることができます。
Private Key Content
証明書の秘密鍵。秘密鍵ファイルは、KEY または PEM ファイルにすることができます。
内部エンドポイントの設定
Private Endpoint
ユーザーがオフィスゾーンで作業し、SASE クライアントを使用する場合、クライアントはプライベートエンドポイントを使用して専用アクセスポイントに接続します。ユーザーがゼロトラストポリシーに基づいて認証に合格すると、専用アクセスポイントはクライアントからのトラフィックを宛先オフィスアプリケーションに転送します。
重要この機能を有効にする前に、専用アクセスポイントをホストするサーバーのプライベート IP アドレスがオフィスアプリケーションで許可されていることを確認してください。この機能を有効にする場合は、プライベート IP アドレスからのアクセスのみをすべてのオフィスアプリケーションに許可することをお勧めします。
Certificate Content
プライベートエンドポイントの証明書の内容。証明書ファイルは、CRT または PEM ファイルにすることができます。
Private Key Content
証明書の秘密鍵。秘密鍵ファイルは、KEY または PEM ファイルにすることができます。
Port
アクセスポイントのエンドポイントのポート番号。
Status
専用アクセスポイントのステータス。[有効] 状態の専用アクセスポイントのみを使用できます。
手順 2: サーバーに専用アクセスポイントをデプロイする
タブで、Dedicated Access Point タブをクリックします。新しく作成された専用アクセスポイントを見つけ、[操作] 列の [デプロイ] をクリックします。
[デプロイ] パネルで、デプロイコマンドをコピーして、サーバーに専用アクセスポイントをデプロイします。
デプロイメントが完了したら、サーバーの DNS 設定にドメインネームシステム (DNS) レコードを手動で追加する必要があります。
SASE は、サーバー上の専用アクセスポイントをアップグレードまたはアンインストールするために使用できるコマンドを提供します。ビジネス要件に基づいて、専用アクセスポイントをアップグレードまたはアンインストールできます。
デプロイが成功したら、専用アクセスポイントを使用してインターネット経由でサーバーにアクセスできます。このタイプのネットワークトポロジが使用されている場合、データは SASE に転送されませんが、ログは SASE にアップロードされます。
サーバーのパブリックエンドポイントを公開したくない場合は、インターネットに公開できるサーバーに専用アクセスポイントをデプロイするようにネットワークトポロジを変更できます。こうすることで、インターネットとビジネスネットワークが分離されます。この場合、SASE コネクタを作成し、専用アクセスポイントと SASE コネクタ間のネットワーク接続を有効にする必要があります。詳細については、「SASE コネクタを使用する」をご参照ください。
手順 3: 専用アクセスポイントと SASE コネクタ間のネットワーク接続を有効にする
タブで、Dedicated Access Point タブをクリックします。新しく作成された専用アクセスポイントを見つけ、[操作] 列の [デプロイ] をクリックします。
[関連付けられているサーバー] タブで、[関連付けられているサーバー] をオンにします。
SASE コネクタがインストールされているサーバーと専用アクセスポイントがデプロイされているサーバー間の逆接続ポートを指定します。
デフォルトでは、専用アクセスポイントの接続ポートは 9813 です。このポートがビジネスで使用されている場合は、別の逆接続ポートを指定します。
専用アクセスポイントがデプロイされているサーバーの IP アドレスを構成し、SASE コネクタがインストールされているサーバーとの通信を有効にします。
通信には内部 IP アドレスを使用することをお勧めします。パブリック IP アドレスを使用する場合は、SASE コネクタのサーバーのアクセス制御ポリシーを設定して、専用アクセスポイントがデプロイされているサーバーのパブリック IP アドレスを許可する必要があります。
ネットワークに複数のサーバーが存在し、各サーバーに SASE コネクタが設定されている場合は、各サーバーの IP アドレスを設定する必要があります。
[OK] をクリックします。
専用アクセスポイントリストで、アクセスポイントのステータスと情報を確認できます。
ターミナルアクセス ポリシーの設定
SASE は、中国本土の SASE アクセスポイントを承認するための組み込みポリシーを提供します。デフォルトでは、このポリシーは有効になっています。SASE グローバルオフィスのアクセスポイントを承認する場合、SASE の組み込みターミナルアクセス ポリシーにもアクセスポイントが含まれます。
ビジネス要件に基づいて、カスタム ターミナルアクセス ポリシーを作成できます。
[SASE コンソール] にログオンします。
左側のナビゲーションペインで、 を選択します。
Policy Management タブで、Create Policy をクリックします。
Create Policy パネルで、パラメーターを設定し、OK をクリックします。次の表にパラメーターを示します。
パラメーター
説明
Policy Name
ターミナルアクセス ポリシーの名前。
値の長さは 1 ~ 64 文字で、文字、数字、ハイフン (-)、アンダースコア (_)、およびピリオド (.) を含めることができます。
Authorized Access Points
ユーザーがアクセスを許可されているアクセスポイント。
Secondary Access Points
セカンダリアクセスポイント。デフォルトでは、セカンダリアクセスポイントは表示されません。承認済みアクセスポイントのレイテンシが 500 ミリ秒を超える場合、セカンダリアクセスポイントが有効になります。
Policy Status
ターミナルアクセス ポリシーのステータス。Enabled 状態のポリシーのみが有効になります。
次のステップ
ユーザーは SASE クライアントにログオンし、アクセスポイントを選択して、内部ネットワークに接続します。詳細については、「プライベートアクセスのネットワーク保護を有効または無効にする」をご参照ください。
関連情報
グローバルオフィスのアクセスポイントを承認する方法の詳細については、「グローバルオフィスのネットワーク接続を有効にする」をご参照ください。