キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: AnyConnect の SWG と他の導入方法との連携について

248
閲覧回数
0
いいね!
0
コメント

 

2022 5 17 日現在の情報をもとに作成しています

 

1. はじめに

 

以下のサポート記事で紹介されているとおり、AnyConnect を使って SWG (Secure Web Gateway) を利用している場合、他の導入方法によって作成されたアイデンティティ (ネットワークおよびネットワークトンネル) が連携されるようになりました。

 

Network and Tunnel Identities for AnyConnect Users is now available

https://support.umbrella.com/hc/en-us/articles/4417837643156-Network-and-Tunnel-Identities-for-AnyConnect-Users-is-now-available

 

本記事では、具体的にどのような連携がなされたかについて、理解する上で必要な基礎情報も含め紹介します。

 

SWG を使うには、SIG (Security Internet Gateway) または SIG 相当のサブスクリプション契約が必要です

 

2. AnyConnect に含まれる Umbrella について

 

AnyConnect PC にインストールする際、Umbrella Roaming Security というモジュールを追加することで、AnyConnect 上で Umbrella の機能を利用することができます。

 

利用できる具体的な機能ですが、デフォルトで Umbrella DNS セキュリティを利用することができ、かつ、有効な SIG サブスクリプションがあり、Umbrella Dashboard の導入 (Deployments) > ローミングコンピュータ (Roaming Computers) の設定画面で機能を有効にしていれば、SWG を使った Web セキュリティを利用することもできます。

 

pic1.png

 

以下の画像は先に紹介したモジュールをインストールした Windows PC のサービス画面ですが、サービス名「Cisco AnyConnect Umbrella Roaming Security Agent」が DNS セキュリティを担当し、サービス名「Cisco AnyConnect SWG Agent」が Web セキュリティを担当します。

 

pic2.png

 

※ この画像の例では、SIG サブスクリプション契約がないため、SWG Agent が実行されていません

 

以下の項では、このうちの SWG Agent (つまり Web セキュリティ側) のみについて触れます。

 

3. SWG Agent が使用するアイデンティティについて

 

AnyConnect をインストールし、SWG Agent が起動されると、最初に登録用の API 通信が行われ、通信に問題がなければ Umbrella Dashboard の導入 (Deployments) > ローミングコンピュータ (Roaming Computers) に新しいアイデンティティが表示されます。そして、基本的にこのアイデンティティを使って Web ポリシーの設定を行うことになります。

 

さらに、Active Directory Integration を有効にしている場合、AD ユーザー (AD Users)AD グループ (AD Groups) をアイデンティティとして利用することも可能になります。

 

なお、これらのアイデンティティでそれぞれ別のポリシーを設定している場合、Web ポリシーの番号順の若いポリシーが適用されます。

 

4. 他の導入方法との連携について

 

本題となる他の導入方法との連携についてですが、まずはそれぞれの導入方法が使うアイデンティティについておさらいします。

 

Proxy PAC Proxy Chaining を用いて SWG を導入する場合、基本的にネットワーク アイデンティティ (中身はグローバル IP アドレス) を利用することになります。

 

一方、CDFW (Cloud Delivered FireWall) を用いて SWG を導入する場合、基本的にネットワークトンネル アイデンティティ (中身は VPN トンネル) を利用することになります。

 

さらに、いずれかの導入方法において、特定の必要要件を満たせば、送信元の内部 IP アドレス (または IP アドレスの範囲) をアイデンティティとして利用することができます。これは、Umbrella Dashboard の導入 (Deployments) > 内部ネットワーク (Internal Networks) で設定が可能です。

 

これまで紹介してきた導入方法とアイデンティティの組み合わせをリストにまとめると、以下のようになります。

 

導入方法

基本的なアイデンティティ

追加できるアイデンティティ

AnyConnect

ローミングコンピュータ

(Roaming Computers)

AD ユーザー (AD Users)

AD グループ (AD Groups)

Proxy PAC またはProxy Chaining

ネットワーク

(Networks)

内部ネットワーク

(Internal Networks)

CDFW

ネットワークトンネル

(Network Tunnels)

内部ネットワーク

(Internal Networks)

 

※ CDFW の SAML 連携については本記事の説明から除外しています

 

今回の変更で、AnyConnect をインストールした PC Proxy PACProxy ChainingCDFW のいずれかのネットワーク環境に持ち込んだ場合 (かつ、その時に AnyConnect が無効にならない場合)、それぞれのアイデンティティを組み合わせて利用できるようになりました。

 

例えば、この PC CDFW 環境に持ち込んだ場合、以下のアイデンティティすべてが利用可能になります。

 

  • ローミングコンピュータ (Roaming Computers)
  • AD ユーザー (AD Users)
  • AD グループ (AD Groups)
  • ネットワークトンネル (Network Tunnels)
  • 内部ネットワーク (Internal Networks)

 

なお、それぞれの導入方法で別々のポリシーを設定している場合のポリシーの決定方法については、前項で説明した方法と同じで、Web ポリシーの番号順の若いポリシーが適用されます。

 

5. レポートの表示

 

最後に、このような AnyConnect + α の導入方法を用いた環境における、アクティビティ検索 (Activity Search) レポートの表示のされ方について紹介します。

 

アクティビティ検索 (Activity Search) レポートには、アイデンティティに関する列項目として「アイデンティティ」と「ポリシーまたはルールセットのアイデンティティ」があります。

 

まずは「アイデンティティ」列についてですが、ここには対象となった複数のアイデンティティの中から代表的な 1 つが選出され、表示されます。今回のシチュエーションにおいては、基本的に「ローミングコンピュータ (Roaming Computers)」が表示されます。

 

次に「ポリシーまたはルールセットのアイデンティティ」列についてですが、ここにはポリシーを決定する際に使用されたアイデンティティが 1 つ表示されます。選出されたポリシーに関連付いたアイデンティティが 2 種類以上ある場合、以下の優先順位に基づき 1 つのみが表示されます。

 

  1. AD ユーザー (AD Users)
  2. 内部ネットワーク (Internal Networks)
  3. ローミングコンピュータ (Roaming Computers)
  4. ネットワーク (Networks) またはネットワークトンネル (Network Tunnels)

 

AD グループ (AD Groups) はレポート上には表示されません

 

なお、各行の一番右にある…をクリックし、「完全な詳細を表示」を選択すると、「イベントの詳細」という小画面が開きますが、この中の「アイデンティティ」の欄には対象となる全てのアイデンティティがリストで表示されます。