※ 2018 年 5 月 23 日現在の情報をもとに作成しています
1. はじめに
Umbrella Dashboard の Deployments の項には、「Networks」と「Internal Networks」という似た名前の項目があります。本記事では、これらの相違点について説明します。
2. 主な相違点
Networks と Internal Networks は、共に Identity と呼ばれる「Umbrella が守るべき DNS 通信を識別するもの」の種類の 1 つで、どちらにおいても「指定した IP アドレス(またはその範囲)からの DNS 通信を守る」ことで共通しています。
一方で、これらの主な相違点として、Networks ではグローバル IP アドレスを指定するのに対し、Internal Networks ではローカル IP アドレスを指定することが挙げられます。
では、この相違点がそれぞれの Identity の設定と動作にどのように影響しているかについて、次項以降で詳しく説明していきます。
3. Networks の設定と動作
Networks を使用する場合、組織が使用しているグローバル IP アドレスからの DNS 通信を守ることになりますので、まずは Umbrella Dashboard にそのグローバル IP アドレスを登録します。
次に、クライアント PC の DNS サーバーの設定を Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に変更します。これにより、クライアント PC で生成された DNS リクエストは全て Umbrella の DNS サーバーに送られるようになります。
実際の動作としては、DNS リクエストを受け取った Umbrella の DNS サーバーが、グローバル IP アドレスから組織を特定し、その組織用のポリシーを適用します。図に表すと以下のとおりです。
なお、Umbrella Dashboard の Activity Search レポートなどには、全ての DNS リクエストが単一の組織から生成されたものとして記録されます。
4. Internal Networks の設定と動作
Internal Networks を使用する場合、Umbrella がローカル IP アドレスを認識できるようにするために、組織内に Virtual Appliance を設置します。
※ Virtual Appliance を使用するには、Umbrella Insights 以上のサブスクリプションが必要です
また、組織内の各部門が使用しているローカル IP アドレス (またはその範囲) を Umbrella Dashboard に登録します。
次に、クライアント PC の DNS サーバーの設定を Virtual Appliance に変更します。これにより、クライアント PC で生成された DNS リクエストは全て Virtual Appliance に送られるようになります。
実際の動作としては、DNS リクエストを受け取った Virtual Appliance が、DNS リクエストに「クライアント PC のローカル IP アドレス」を付与し、暗号化してから Umbrella の DNS サーバーに転送します。
※ Active Directory Integration を使用している場合、ローカル IP アドレス以外に AD Users などの情報も DNS リクエストに付与されます
そして、Umbrella の DNS サーバーは、DNS リクエストに付与されたローカル IP アドレスから部門を特定し、その部門用のポリシーを適用します。図に表すと以下のとおりです。
なお、Internal Networks だと、リクエストを行ったローカル IP アドレスがクラウド側に伝わるため、「どのローカル IP アドレスがこの DNS リクエストを生成したか」という情報が Activity Search レポートなどに記録されます。この情報はユーザーの Web アクセスの監査などに役立てられる場合があります。
5. まとめ
- Networks はグローバル IP アドレスをもとに、Internal Networks はローカル IP アドレスをもとに Umbrella Dashboard に登録を行い、Internal Networks の方が細かい単位でポリシーを適用できる
- Networks は DNS リクエストを生成したユーザーをレポート上から特定できないが、Internal Networks はローカル IP アドレスからユーザーを特定できる可能性がある
- Internal Networks を使うには、Virtual Appliance および Umbrella Insights 以上のサブスクリプションが必要