キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: ドメイン管理の内部ドメインと外部ドメインについて

1175
閲覧回数
0
いいね!
0
コメント

 

2021 10 12 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella Dashboard の「導入」>「設定」>「ドメイン管理」には「内部ドメイン」と「外部ドメイン & IPs」の二つの設定タブがあります。本記事ではそれぞれが作られた背景と適用範囲について説明します。

 

pic1.png

 

※ 契約しているサブスクリプションによっては、ドメイン管理画面内に内部ドメインと外部ドメインがタブ分けされていない場合があります。その場合は「内部ドメイン」のみが設定できることになります

 

2. 内部ドメインが作られた背景

 

Umbrella は当初 DNS セキュリティ単体の製品であり、ユーザー PC 上で生成された DNS クエリーを何らかの形で Umbrella に転送し、そのクエリーを検査/ブロックすることでセキュリティ機能を提供していました。

 

この「DNS クエリーを Umbrella に転送」する方法として最初に用いられたのが、PC DNS 設定を Umbrella DNS サーバー (208.67.222.222/208.67.220.220) に変更するというものです。これにより、ユーザー PC 上で生成された DNS クエリーは漏れなく Umbrella DNS サーバーに送られるため、セキュリティが格段に向上しました。

 

その一方で、組織内のサーバーに対する名前解決までもが組織外にある Umbrella によって行われましたので、組織内のコンテンツにアクセスできなくなる問題が発生しました。これに対応できるようにしたものが、Roaming Client であり、Virtual Appliance となります。

 

Roaming Client の場合、PC 上で生成された DNS クエリーのうち、組織内のドメイン以外の DNS クエリーだけを Umbrella に転送するようにします。Virtual Appliance の場合、PC から全ての DNS クエリーを受け取りますが、組織内で使用しているドメイン以外の DNS クエリーだけを Umbrella に転送するようにします。

 

そして、これらの動作を実現するために、Umbrella Dashboard 上に「内部ドメイン (Internal Domains)」という画面が用意され、組織内のドメインを定義できるようになりました。

 

3. 外部ドメインが作られた背景

 

数年後、Umbrella のクラウド側に SWG (Secure Web Gateway) という HTTP/HTTPS のフルプロキシが用意され、本格的な Web セキュリティ機能が提供されました。

 

SWG の環境においても内部ドメインはそのまま利用され、組織内の Web 通信が Umbrella 側に送られないようにしましたが、Web の世界では内部ドメインを使った除外設定だけでは不十分で、「組織外の一部のドメイン宛ての通信についても Umbrella から除外したい」という要望が挙がりました。

 

実際のところ、そういった組織外のドメインについても、内部ドメインに追加してしまえば目的を果たせますが、「内部ドメイン」という言葉の意味と大きくかけ離れてしまうため、新たに「外部ドメイン」という SWG 専用の設定箇所を用意し、別途そちらに組織外のドメインを登録することにしました。

 

その後、AnyConnect 使用時に限り IP アドレスも登録できるようになり、最終的に「内部ドメイン」画面は「ドメイン管理」という名前に変更し、その中に「内部ドメイン」「外部ドメイン & IPs」という二つのタブが存在する現在の形に納まりました。

 

4. 内部ドメインと外部ドメインの適用範囲

 

これまで説明してきた歴史的背景もあり、Umbrella の各導入方法における内部ドメインと外部ドメインが利用できる範囲は以下のようになっています。

 

宛先

内部ドメイン

外部ドメイン

IPs

DNS サーバー

(Roaming Client/

AnyConnect)

×

×

DNS サーバー

(モバイルデバイス)

×

×

DNS サーバー

(Virtual Appliance)

×

×

DNS サーバー

(それ以外)

×

×

×

SWG

(PAC ファイル)

×

SWG

(Proxy Chaining)

×

×

×

SWG

(AnyConnect)

SWG

(ネットワーク トンネル)

×

×

×

 

なお、SWG Proxy Chaining およびネットワーク トンネルにおいて、内部ドメイン/外部ドメインがともに使われないのは、これらの構成の場合、クライアント側に Web 通信の除外処理を行うコンポーネント (PAC ファイル内のスクリプトおよび AnyConnect がこれに相当) が用意されていないためです。