※2021 年 6 月 3 日現在の情報をもとに作成しています
1. はじめに
Umbrella の SIG サブスクリプションを契約されている場合、Web ポリシーを使った Web セキュリティ機能を利用することが可能です。
Web ポリシーの設定について、これまでは DNS ポリシーと同様にポリシーをベースとした設定方法が用いられてきましたが、先ごろ Webポリシー独自のルールセットを用いた方法が導入されました。
本記事では Web ポリシーのルールセットで何が変わったかについて説明します。
2. 従来のポリシーによる設定
まずは、現在も引き続き DNS ポリシーの方で使われているポリシーによる設定についておさらいします。
ポリシーによる設定は、以下の例のように事前に複数のポリシーを定義し、それぞれに適用したいアイデンティティを関連付けていく方法です。
(例) あるユーザーの DNS ポリシー
- ポリシー 1 => すべての Networks アイデンティ
- ポリシー 2 => すべての Roaming Computers アイデンティティ
- ポリシー 3 => すべての AD Users アイデンティティ
- デフォルト ポリシー => すべてのアイデンティティ
実際にポリシーが適用されるまでの流れですが、Umbrella の DNS サーバーはユーザーから DNS リクエストを受け取ると、その DNS リクエストに当てはまる一つ以上のアイデンティティを識別します。
そして、最上位のポリシーから順番にアイデンティティが該当するかを比較していき、合致したポリシーを DNS リクエストに適用します。
上記の例においては、ユーザーから送られてきた DNS リクエストが Roaming Client によるものだった場合、ポリシー 2 が選ばれます。そのあとは、ポリシー 2 の設定内容に従って DNS リクエストをブロックするか許可するかなどを決定します。
3. ルールセットによる設定
Web ポリシーに新しく導入されたルールセットによる設定は、これまでのポリシーによる設定と大きくは変わっておらず、違いを一言で表すと、「より細かく条件設定が可能になった」と言えます。そのため、これまでポリシーで可能だった設定がルールセットになってできなくなることはありません。
実際に、ポリシーによる設定をこれまで使ってきた既存ユーザーの Web ポリシーは、自動的にルールセットに移行しており、以前と似たような感覚で利用し続けることが可能です。
では具体的に何が変わったかについてですが、まずこれまでポリシーと呼んでいたものがルールセットと呼ばれるようになりました。これにより前項で挙げた例は、単純に以下のように呼ばれるようになります。
(例) あるユーザーの Web ポリシー
- ルールセット 1 => すべての Networks アイデンティ
- ルールセット 2 => すべての Roaming Computers アイデンティティ
- ルールセット 3 => すべての Network Tunnels アイデンティティ
- デフォルト ルールセット => すべてのアイデンティティ
実際にポリシーが適用されるまでの流れも同様で、SWG はユーザーから HTTP/HTTPS リクエストを受け取ると、その HTTP/HTTPS リクエストに当てはまる一つ以上のアイデンティティを識別し、最終的に HTTP/HTTPS リクエストに適用するルールセットを決定します。
ルールセットの中身には従来とは大きく違う箇所があり、これまでポリシーの中で直接設定していたアプリケーション設定、コンテンツカテゴリ、接続先リスト (3 つまとめて送信先と呼ぶ) がルールセットの中のルールと呼ばれる枠の中で設定するように変わりました。
以下はルール設定の具体例で、ルールはルールセットの中に複数作成することが可能です。
(例) ルールセット 1 のルール (左からアイデンティティ、アクション、送信先)
- ルール 1 => Networks アイデンティ、許可、アプリケーション XXX
- ルール 2 => Networks アイデンティ、警告、コンテンツカテゴリ YYY
- ルール 3 => Networks アイデンティ、ブロック、接続先リスト ZZZ
※「警告」は今回の機能で新しく追加されたアクションの一つで、対象のページにアクセスするとブロック ページが表示されますが、ページ内の続行ボタンを押すことで対象のページを閲覧できます
これらのルールは最上位のものから順番に比較が行われていき、アイデンティティと送信先が完全に合致したものが実際に適用されます。
なお、ルールにはルールセットにあるようなデフォルト設定は用意されておらず、どのルールにも該当しない場合は、ルールセット内の他の項目のみが HTTP/HTTPS リクエストに適用されることになります。もちろん、ルールを持たないルールセットを作成することも可能です。
ここで、「ルールセットとルールの両方でアイデンティティを設定する必要があるのか」と思われた方がいると思いますが、ルールセットのアイデンティティは適用するルールセットを特定するために必要で、ルールのアイデンティティは各ルールが適用対象かを判断するために必要です。
※ ルール側に設定したアイデンティティはルールセット側のアイデンティティに含まれている (または同一である) 必要があります
4. 参考情報
ルールセットにはこの記事では紹介していない機能がいくつか用意されています。ルールセットの詳細について知りたい場合は、以下の公開文書を参照してください。
Manage the Web Policy
https://docs.umbrella.com/umbrella-user-guide/docs/manage-web-policies