こんにちはMeraki製品担当の林です。

今回はリリースされたばかりのCisco Secure Connectの新機能「Client-based ZTNA」についてご紹介します。

元々Secure ConnectのZTNA機能にはブラウザベースアクセスもしくはClientless ZTNAと呼ばれるリバースプロキシを使用した機能がありました（機能の紹介はこちら）が、Client-based ZTNAが新たに追加された形になります。

 

この機能は、その名の通りPCやスマートフォンに専用のクライアントエージェントをインストールして利用する機能です。

以下の図のように、インストールしたエージェントが自動的にSecure Connect上のZTNA　Proxyに対して接続を行い、Secure Connectに接続された拠点やパブリッククラウドに対してのアクセスを提供します。

と、ここまで書くとリモートアクセスVPNと何が違うの？と思われるかもしれませんが、ポイントは対象へのアクセスはZTNA Proxyを経由して行われ、あらかじめ管理者が許可した宛先とポート番号の組み合わせにしか接続できない点です。

ネットワークレベルでのアクセスを提供するVPNに比べ、用途が限定的なためZero Trustで言うところの最小権限の割り当てとなり、よりセキュリティが高いアクセス方法と言えます。

また、VPNで行うようにユーザが接続する際の認証を都度行う必要が無く、利便性が非常に高い機能です。

 

では早速実際の設定の流れを見てみたいと思います。

ざっくりとした流れとしては、次の通りです。

 

1. 宛先とポート番号の組み合わせをアプリケーションとして登録

2. デバイスポスチャルールを作成

3. Zero Trust Accessポリシーを作成

4. 端末にZTAのエージェントをインストールし、認証を実施（認証は初回のみ）

 

1. 宛先とポート番号の組み合わせをアプリケーションとして登録

まず、以下の様に宛先とポート番号を指定したアプリケーションを作成します。

宛先にはIPアドレス、FQDN、CIDRなどが利用可能です。

冒頭でご紹介したClientless ZTNAではブラウザベースでのアクセスとなるため

プロトコルはHTTP/HTTPSしか登録ができませんでしたが、Client-based ZTNAの場合にはこうした制限がありませんので、RDPなどのアプリケーションも利用可能です！

2. デバイスポスチャルールを作成

続いてデバイスポスチャルールを作成します。

これは、Client-based ZTNAでアクセスしようとする端末のセキュリティ設定をスキャンし、要件に合わないデバイスはアクセスを拒否するというものです。

OSの種類やマルウェア対策のインストール状況、ディスクの暗号化などが指定可能でした。

3. Zero Trust Accessポリシーを作成

作成したアプリケーションとデバイスポスチャルールを紐づける先として、ZeroTrust Accessポリシーを作成します。合わせて、アクセスを許可するユーザおよびグループの指定も行います。

この際、ユーザとグループの情報はIdPとのSCIM連携などを行い、あらかじめSecure Connectに登録されている必要があります。

4. 端末にZTAのエージェントをインストールし、認証を実施（認証は初回のみ）

今回はWindows端末に対してのエージェントインストールを行います。

Secure ConnectのダッシュボードからダウンロードしたSecure Clientのインストーラを起動し、Zero Trust Accessモジュールをインストールします。

この画像ではすでにSecure ClientでVPNをしている場合にZTAモジュールのみを追加しています。

インストールが完了すると、Zero Trust AccessのEnrollを行うよう求められますので、ボタンを押してEnrollを実行します。

ここであらかじめSecure Connectと連携させたIdPにリダイレクトされますので、IdPに登録されたメールアドレスを入力すると、SAML認証が実行されます。

SAML認証に成功するとEnrollが完了します。

一度Enrollに成功すると、以降はPCを立ち上げたタイミングで自動的にZero Trust Accessモジュールが起動する形になり、認証等も不要です。

この状態で社外のネットワークから社内のPCに対してリモートデスクトップを実行してみると…

見事RDPの画面を開くことができました！スゴイ！

思った以上に簡単に社内へのアクセスができました。アプリケーションによって利用できるものとできないものがあるようなので検証は必要ですが、ある程度用途が限られているユーザ様の場合には非常に便利な機能だと思います。

詳しい情報につきましては、下記のメーカー様ドキュメントもご参照ください。

■Cisco Secure Connect - Client-based ZTNA

https://documentation.meraki.com/CiscoPlusSecureConnect/Cisco_Secure_Connect_-_ZTNA_Architecture_Start/Cisco_Secure_Connect_-_Client-based_ZTNA

 

なお、2024年9月現在、すでにSecureConnectの環境をお持ちの方はこの機能の有効化を希望される場合にはサポートへのケースオープンが必要となります。設定画面出ないな？と思ったらサポートまでご確認ください。

今回は以上です。

最後までお読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Collaboration 第142回 「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
• Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
• Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
• Collaboration 第141回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その3 ~ 議事録ダウンロードについて ~」
• Security 第76回「Cisco Secure Endpoint　端末のネットワークから隔離について」
• Collaboration 第140回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その２ ~ Meetingsでの使い方 ~」

一覧ページ