Meraki 第140回「Cisco Secure Connectによるリモートアクセスについて」

2023/12/27

こんにちはMeraki製品担当の林です。

今回はCisco Secure Connectを使ったリモートアクセスVPNについてご紹介します。

Secure Connect のCompleteパッケージをご購入いただくと、Secure Connectのデータセンター上でリモートアクセスVPNを受けることが出来るようになります。

Secure Connectの構成では、各拠点もMeraki MXを使用してSecure ConnectのデータセンターとVPNで接続されているため、ユーザはSecure ConnectへリモートアクセスVPNで接続することで、Secure Connectをハブとして各拠点へのアクセスが可能になります。

リモートアクセスVPNサーバとしてSecure Connectを使用するメリットとしては、次のような点が挙げられます。

・リモートアクセスVPNサーバの脆弱性対応やソフトウェア更新はサービス側で実施してくれる

・複数のデータセンターで冗長化されるため、BCP対策にもつながる

・リモートアクセス用の回線や固定IPアドレスが不要になる

特に、最近はリモートアクセスVPNサーバをターゲットにした攻撃が増えていることから、脆弱性対応などのメンテナンスをサービス側でやってくれる、という点は管理者の方にとって大きなメリットですね。

ということで早速実際に設定してみました。

DNSサーバとドメインの設定

トラフィックステアリング（スプリットトンネル）の設定

クライアントに払い出されるプロファイルの操作

リージョンと払い出すセグメントの設定

設定内容はかなりシンプルですね。

個人的な感想として、設定の難易度で言うとMXとASAの中間くらいでしょうか。

ちなみに接続時にはシスコ純正のCiscoSecure ClientというVPNソフトを使用することになりますが、現状では自分で加工したプロファイルのアップロードに対応していないため、ASAなどで細かな作りこみをされているようなユーザさんの場合はリプレースの際に注意が必要です。

もう一点、知っておく必要があるポイントとしてSecure Connectのリモートアクセスでは認証にSAMLを使用する必要がある、という点です。

リモートアクセスVPNというと認証にRADIUSサーバを使われているお客様も多いと思いますが、Secure ConnectはSAML認証に特化した製品となりますので、SAMLに対応したIdPが必要になります。

え、IdPなんてないけど？というユーザさんは簡易的なIdPサービスとしてMeraki認証を利用することもできますのでご安心ください。

Meraki認証以外の連携先としてメジャーなところではマイクロソフト社のEntra IDやOktaなどがあります。

あれDuoは？という鋭いご指摘をいただくことがあるのですが、ここで確認しておく必要があるのがSCIMというプロトコルです。

Secure Connect側では、先ほどの手順に加えて対象のユーザもしくはグループを、リモートアクセスユーザに対して割り当てる、というステップが必要になります。

その為、認証にSAMLを使用するだけでなく、IdPの持っているユーザ情報をUmbrellaに同期するSCIMというプロトコルが必要になります。

現状、DuoはこのSCIMをサポートしておらず、サポートしているIdPが先ほど挙げたMeraki認証やEntra ID、Oktaになるのです。

詳しくは下記のメーカー記事もご覧ください。

　■Cisco Secure Connect - Identity Provider(IdP) Setup

　　https://documentation.meraki.com/CiscoPlusSecureConnect/Cisco__Secure_Connect_Now_-_Users

　このSAMLとSCIMを使用したSecure ConnectとIdPの連携についても検証してみましたので、次の記事では設定手順についてご紹介してみたいと思います。

　今回は以上です。

　最後までお読みいただきありがとうございました。

＜＜＜Cisco Meraki エンジニア情報局前回の記事＞

＜＜＜第139回「Cisco+ Secure Connectのセットアップをやってみた」

＜Cisco Meraki エンジニア情報局次回の記事＞＞＞

第141回「Cisco Secure ConnectとSAML IdPの連携」＞＞＞

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様はこちらをお読みください。

Ciscoの記事

Collaboration 第145回「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」

Collaboration 第144回「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」

Collaboration 第143回「新製品！天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」

Security 第78回「Cisco Secure Endpoint　ダッシュボードからのアンインストールについて」

Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」

Collaboration 第142回「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」

一覧ページ