購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
4157
閲覧回数
11
いいね!
0
コメント

Umbrella: Protected Network 機能について

Shinichi Nishimura
Cisco Employee
Cisco Employee

‎2018-02-01 09:38 AM - 最終編集日: ‎2021-06-23 03:45 PM 、編集者: Cisco Employee

 

※ 2021 年 6 月 23 日現在の情報をもとに作成しています

 

1. はじめに

 

Roaming Client (AnyConnect Umbrella Roaming Security Module も同様) には、組織内のネットワークと組織外のネットワークでポリシーを分け、組織内では Roaming Client 自体を無効にする Protected Network という機能が用意されています。

 

本記事では、Protected Network の特徴と使用するための条件について説明します。

 

2. Protected Network の特徴

 

Protected Network は前述のとおり、組織内外でポリシーを分けられますが、具体的には、組織内のネットワークにいる時は Networks アイデンティティを基にした粒度の粗いポリシーが適用され、組織外のネットワークにいる時は Roaming Computers アイデンティティを基にした粒度の細かいポリシーが適用されます。

 

また、それに伴って、Activity Search などのレポートに表示される内容も、組織内のものは粒度の粗いネットワーク単位となり、組織外のものは粒度の細かい PC 単位となります。

 

実際に Protected Network が有効になると、前述のとおり、組織内では IP Layer Enforcement 以外の Roaming Client の機能が全て無効になり、下図のように、全ての DNS クエリーが内部 DNS サーバーに送られるようになります。

 

 2018-01-31 17_11_39-Umbrella Protected Network 機能について - Word.png

 

その後、内部 DNS サーバーから Umbrella DNS サーバー (208.67.222.222/208.67.220.220) へ非暗号化通信で送られます。これにより、内部 DNS サーバーでキャッシュ機能が有効の場合、組織外への DNS トラフィックが減ります。

 

また、Roaming Client が無効になることから、Umbrella の DNS サーバーへの Probe の頻度も減り、Roaming Client を通常使用している時よりも、総じて組織外への DNS トラフィックが減ります。

 

3. Protected Network の条件について

 

Protected Network が有効になる条件は下記のとおりです。

 

A. クライアント PC の DNS サーバーに、内部 DNS サーバーの IP アドレスが設定されていること

 

B. 内部 DNS サーバーは、Umbrella の DNS サーバーに DNS クエリーを転送する設定がされていること

 

C. クライアント PC および内部 DNS サーバーのグローバル IP アドレスが同一で、かつ Umbrella Dashboard の Deployments -> Networks に登録されていること

 

D. 以下の例ように、Networks アイデンティティのポリシー (表内の Policy A) が Roaming Computers アイデンティティのポリシー (表内の Policy B) よりも上位にあること

 

順位 ポリシー名 関連するアイデンティティ
1 Policy A Networks
2 Policy B Roaming Computers
3 Default Policy All

 

E. Umbrella Dashboard の Deployments -> Roaming Computers の設定画面で、Traffic Forwarding on Umbrella Protected Networks の DNS Redirection の項目にチェックが入っていること

 

pic1.png 

 

なお、上記の全ての条件を満たしていないが、少なくとも A と D の条件を満たしている状態のことを、Protected Network と対比して Regular Network と呼んでいます。Regular Network の詳細については、こちらの記事で紹介します。


もし上記すべての条件を満たすと、以下の画像のように Roaming Client のステータスが Protected by Network になります。

 

pic4.png

 

同様に、Umbrella Dashboard の Deployments > Roaming Computers で、該当の Roaming Client のステータスが以下の画像のように ”Protected by Network” となります。

 

pic2.png

 

4. AnyConnect の SWG について

 

SIG サブスクリプションを契約している組織の AnyConnect Umbrella Roaming Security Module では、DNS セキュリティ機能だけでなく、SWG を使った Web セキュリティ機能も利用できます。この Web セキュリティ機能は、前述の Protected Network を有効にすると、DNS セキュリティ機能と同様に無効化されます。このことは、AnyConnect の画面からも確認できます。

 

pic3.png

 

なお、DNS セキュリティ機能または Webセキュリティ機能のみを無効化する設定は用意されておりません。

 

5. 参考情報

 

Umbrella Roaming Client – How it Works on Your Company Network

https://support.umbrella.com/hc/en-us/articles/230901168-Umbrella-Roaming-Client-How-it-Works-on-Your-Company-Network

 

Roaming Client: Enable/Disable Protected Network feature

https://support.umbrella.com/hc/en-us/articles/230560847-Roaming-Client-Enable-Disable-Protected-Network-feature

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents