※ 2023 年 2 月 8 日現在の情報をもとに作成しています
1. はじめに
本記事では、Umbrella の SIG (Secure Internet Gateway) サービスで使用されるグローバル IP アドレスについて紹介します。
2. SIG のグローバル IP アドレス
Umbrella はもともとパブリック DNS サーバー (208.67.222.222/208.67.220.220) を利用した DNS セキュリティ サービスでしたが、その後、クラウド上で動作する Web フル プロキシ サーバー (Secure Web Gateway: SWG) およびクラウド上で動作するファイアウォール (Cloud-Delivered Firewall: CDFW) が導入されました。
これらの後発の 2 つのサービスのことをまとめて SIG と呼んでおり、SIG を利用するには、基本的に “SIG” を冠する専用のサブスクリプション契約が必要となります。
SIG はユーザーが行うインターネット通信の仲介役を果たしているため、基本的にクライアント (送信元) からの通信は SIG へ送られ、サーバー (送信先) への通信は SIG から送られます。
そのため、SIG への通信または SIG からの通信に使われる「SIG のグローバル IP アドレス」は、ファイアウォールなどの何らかのアクセス制御機能によるブロック対象とならないよう、必要に応じて許可設定を行う必要があります。
なお、Umbrella 全体では、現在、以下のグローバル IP アドレスを管理しており、この中の一部のみを SIG で利用しています。
67.215.64.0/19
146.112.0.0/16
151.186.0.0/16
155.190.0.0/16
185.60.84.0/22
204.194.232.0/21
208.67.216.0/21
208.69.32.0/21
Secure Web Gateway's IP List and Domains to Allow in Customer Firewalls
https://support.umbrella.com/hc/en-us/articles/360047136412-Secure-Web-Gateway-s-IP-List-and-Domains-to-Allow-in-Customer-Firewalls
今後、SIG が必要とするグローバル IP アドレスは増加することが考えられるため、あらかじめ上記のグローバル IP アドレスすべてを許可しておくことをお勧めします。
3. 現在の SIG へのグローバル IP アドレス
CDFW を利用するには、組織側のルータと SIG 側の間でネットワークトンネルを構築する必要がありますが、この時に指定する SIG 側のグローバル IP アドレスは以下の公開文書に記載があります。
Connect to Cisco Umbrella Through Tunnel
https://docs.umbrella.com/umbrella-user-guide/docs/cisco-umbrella-data-centers
また、SWG にアクセスする際のグローバル IP アドレスに関しては、2023 年 2 月現在で proxy.sig.umbrella.com (または swg-url-proxy-https.sigproxy.qq.opendns.com) というドメインの名前解決をした際の IP アドレスが使われています。
4. 現在の SIG からのグローバル IP アドレス
SIG からのグローバル IP アドレスは、以下の公開文書およびサポート記事に記載があるとおり、2023 年 2 月現在で 3 つのネットワーク セグメントの中から選ばれます。
Cisco Umbrella SIG User Guide - Welcome to Cisco Umbrella
https://docs.umbrella.com/umbrella-user-guide/docs
> Public IP traffic from SIG users will appear to come from the address ranges 146.112.0.0/16 and 155.190.0.0/16.
Additional egress IP address block: 151.186.0.0/16
https://support.umbrella.com/hc/en-us/articles/12999157943316-Additional-egress-IP-address-block-151-186-0-0-16
> we've added the following IP address range:
> SIG egress IP address range 151.186.0.0/16
なお、SIG からのグローバル IP アドレスを固定化したい場合のために、Reserved IP という機能が用意されています (追加の契約が必要)。詳しくは以下の公開文書を参照してください。
Cisco Umbrella SIG User Guide - Reserved IP
https://docs.umbrella.com/umbrella-user-guide/docs/reserved-ip
Cisco Umbrella SIG User Guide - Reserved IP Supplemental Terms
https://docs.umbrella.com/umbrella-user-guide/docs/reserved-ip-terms
また、Reserve IP と類似した Persistent IP という機能がありますが、こちらは、Web 通信のセッションが続く間は同一のグローバル IP アドレスを使用し続けるというもので、デフォルトで有効になっています。詳しくは以下のサポート記事を参照してください。
SWG: IP Persistence
https://support.umbrella.com/hc/en-us/articles/360059095552-SWG-IP-Persistence