購入する または契約更新する
購入する または契約更新する
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2402
閲覧回数
16
いいね!
1
コメント

AnyConnect Umbrella Roaming Security Module の優位性について

siyali
Cisco Employee
Cisco Employee

‎2023-02-14 05:24 PM

 

※ 2023 年 2 月 14 日現在の情報をもとに作成しています


1.概要

 

本記事では、Roaming Client と比較した際の AnyConnect Umbrella Roaming Security Module (以下、AC-RSM) の優位性について説明します。

 

2. Roaming Client AC-RSM の違い

 

Roaming Client は、Windows および macOS にインストール可能なソフトウェアで、どちらも DNS セキュリティ機能を提供します。

 

具体的な動作としては、まずインストールされた端末の DNS 設定を 127.0.0.1 (localhost) に変更することで、端末上で生成された DNS クエリを Roaming Client が受け取るようになります。

 

これにより、Roaming Client は DNS クエリ内に必要な情報の埋め込み、暗号化してから、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に転送します。

 

Umbrella の DNS サーバーでは、埋め込まれた情報から端末を特定し、ポリシーを適用した後、結果 (通常の IP アドレス/ブロック ページの IP アドレス) を端末へ返します。

 

一方で、AC-RSM は、AnyConnect の追加モジュールの 1 つで、Roaming Client が持つ機能をベースに、いくつか AnyConnect 特有の機能を追加したものとなっています。

 

両者の一番顕著な違いとしては、AC-RSM はカーネル レベル (非常に高い権限) で動作するため、127.0.0.1 (localhost) を設定せずとも、Roaming Client と同等の処理を行う点です。

 

なお、Roaming Client は AC-RSM とは異なり、独立したソフトウェアとして動作するため、文書によっては「スタンドアローン Roaming Client」という名前で紹介される場合があります。

 

3. AC-RSM の利点について

 

AC-RSM を利用する場合の利点としては以下のものが挙げられます。

 

・DNS セキュリティ機能だけでなく、Web セキュリティの機能も併せ持つ (SIG サブスクリプション契約が必要)

・カーネル レベルで動作するため、他のソフトウェアの影響を受けにくい

・AnyConnect VPN のフルトンネル接続時に AC-RSM を無効化できる (管理用のトラフィックが減る)

・AnyConnect の信頼できるネットワーク (TND) 上で AC-RSM を無効化できる

・ソフトウェアの自動更新機能を ON/OFF できる

・VPN でスプリットトンネルを使っている場合の互換性が Roaming Client よりも高い。それぞれのソフトウェアの互換性については、以下のサポート記事を参照してください。

 

Umbrella Roaming Client (standalone): Compatibility Guide for Software and VPNs

https://support.umbrella.com/hc/en-us/articles/230561147

 

Software Compatibility - Roaming Security Module (Umbrella module) for AnyConnect or Cisco Secure Client

https://support.umbrella.com/hc/en-us/articles/4403064229140

 

・AnyConnect 用のインストール オプションを利用可能 (サービスのロックダウンなど)

詳細については、以下のサポート記事を参照してください。

AnyConnect Roaming Security Module: Pre-Deployment Tips (Windows)

https://support.umbrella.com/hc/en-us/articles/115004629343-AnyConnect-Roaming-Security-Module-Pre-Deployment-Tips-Windows-

 

4. Roaming Client の利点について

 

Roaming Client を利用する場合の利点としては以下のものが挙げられます。

 

・タスクトレイのアイコンの非表示や「アプリと機能」からの非表示が可能

・最新機能の導入と不具合の修正が優先して行われる

・オフィシャル リリース前に、リリース ノート上でインストーラーを入手可能

・自動更新が有効になっており、常に最新の状態を維持できる

 

5. AC-RSM の注意点

 

以下の  Umbrella のパッケージを契約した場合、AC-RSM を利用する権利が付属していますが、それ以外の AnyConnect のモジュール (VPN など) の権利は付属していません。

 

  • DNS Essentials
  • DNS Advantage
  • SIG Essentials
  • SIG Advantage
  • および同等の機能を持つバンドル製品

 

Umbrella のライセンスに関する詳しい情報については、以下の公式ガイドを参照してください。

UMB-SEC-SUB Ordering Guide

https://www.cisco.com/c/en/us/products/collateral/security/umbrella/guide-c07-742830.html

 

なお、VPN 機能を外した状態で AC-RSM のみをインストールしたい場合は、以下の公開文書に手順の記載があります。

 

Command-Line and Customization for Installation

https://docs.umbrella.com/deployment-umbrella/docs/command-line-and-customization-for-installation

 

6. 結論

 

どちらのソフトウェアも組織内外における十分なセキュリティ機能を提供しますが、他ソフトウェアとの互換性や機能の充実度を考慮すると、AC-RSM を利用することを推奨します。

 

7. 参考資料

 

Standalone Roaming Client vs AnyConnect Roaming Module

https://support.umbrella.com/hc/en-us/articles/360000429306-Standalone-Roaming-Client-vs-AnyConnect-Roaming-Module

ラベル:
コメント
cja56910tf
VIP
VIP
‎2023-02-16 05:15 PM

Roaming Client と AnyConnect Umbrella Roaming Security Module の違い(機能差異)について、分かり易く且つ丁寧にまとめられており、とても役立つ秀逸な内容だと思いました。

ちなみに可能であればで良いのですが、下記の項目についても解説いただけると有難いです。

・AnyConnectでSplit Tunnel 、 Split DNSを利用している場合のAC-RSMの動作

・信頼できるネットワーク (TND) はどのように設定すべきか、また設定した場合のAC-RSMの動作例

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents