Cisco 担当者コラム
Cisco・Security
Security 第58回「Duo Network Gatewayを用いたVPNレスでの社内ファイルサーバーへのアクセス」
こんにちは。セキュリティ製品担当の長岡です。
今回はCisco Secure Access by Duo(以下Duo)で利用可能なDuo Network Gateway(以下DNG)についてご紹介致します。
まず始めにDNGについて簡単にご紹介致します。DNGはDuo Beyondライセンスで提供される、組織・企業のローカルリソースにアクセスする際に利用されるコンポーネントです。社外においても、リモートアクセスVPNを使用することなく、組織LAN内部のアプリケーションへのアクセスを実現し、かつアクセス時に多要素認証(MFA)を提供することが可能です。
DNGで実現されるVPNレス環境により、以下のメリットがユーザーにもたらされます。
1. セキュリティの向上
組織のリソースへの接続において、きめ細かいポリシーの適用を可能にします。例えば、より機密性の高いアプリケーションにアクセスする場合は、FIDO2セキュリティキー(WebAuthn)またはDuo Push(スマートフォンによる2要素目の認証)を使用した多要素認証(MFA)によりユーザー認証の強度を高め、企業管理デバイスからのアクセスに限定するといったポリシーの設定が可能になります。
2. 使いやすさ
アプリケーション全体で一貫したログインの操作性を実現し、ハイブリッド環境やマルチクラウド環境(オンプレミス、Azure、AWS、Google Cloud Platform)へのセキュアなアクセスを提供します。またIT管理者は、アプリケーションごとのポリシーと最小権限モデルを簡単に実装できます。
3. TCOの削減
Duoはシンプルなユーザー単位のサブスクリプションモデルを提供し、保護できる内部リソースの数に上限はありません。また、適応型認証、エンドポイントに対する可視性と制御、リモートアクセス、シングルサインオン(SSO)など、多くのセキュリティツールの機能を1つのプラットフォームに統合します。
そして今回は、DNGの機能の一つである「SMB リレー」について検証を行ってみました。SMB(Server Message Block)は、主にWindowsを中心とした環境で、LANを通じてファイル共有やプリンタ共有等に使用される通信プロトコルのことです。つまりファイルサーバーへのアクセスの際に使用される通信となります。DNGのSMB リレーは、このSMBの通信をHTTPSによりトンネリングすることで、社外からインターネットを通じたファイルサーバーへのアクセスを可能にします。これにより、社外に居る場合でも、従来のようにリモートアクセスVPNを使用することなく社内にあるファイルサーバーへの安全なアクセスが可能となります。
1. DNGのインストール
まずはDNGのインストールから開始します。DNGはDMZに配置した物理または仮想の最新64ビットLinuxサーバー上にインストールします。CentOS、Fedora、Ubuntu、Debian、SUSE Enterprise Linux等のディストリビューションを選択することができます。本検証では、UbuntuにDNGをインストールしました。詳細は下記URL内「Prerequisites(前提条件)」をご覧下さい。
https://duo.com/docs/dng#install-docker
2. DNGの構成(初期設定)
内部ネットワークから https://"DNG URL":8443にWebアクセスし、管理アクセス用パスワードや、認証ソースの設定を実施します。
3. SMB リレーの設定
Duo ダッシュボードより、SMB リレー アプリケーションの登録を行います。必要に応じて個別のPolicyを作成・適用します。
続いてDNGの設定を行います。
SMB リレーをアプリケーションとして登録し、対象のファイルサーバーの登録や、
外部ドメインと内部ドメインの紐付け等の設定を行います。
4. クライアントPCの設定
最後に、クライアントPCにDuo Device Health、DuoConnectと呼ばれる軽量なエージェントをインストールし、DNGのFQDNを設定します。
SMB リレーの環境構築が完了したので、動作確認を行ってみます。自宅LAN等、社内LANには接続されていない環境に置いたWindows PCにて確認を行います。
エクスプローラーからネットワークドライブの割り当てを行い、対象のファイルサーバーのパスを設定します。
二要素目の認証方式を選択し、承認の処理を行います。(本検証ではDuo Pushを使用しました。)
するとファイルサーバーへのアクセスが成功し、ファイルを開くことができました。
ネットワークドライブが登録されるため、2回目以降のアクセスも簡単に行えます。
自宅に居ながら、社内リソースへのアクセスを堅牢かつシームレスに行うことができました。クラウド環境の普及に伴い、社内ネットワークのVPNレス化を検討しているユーザーには有効なツールとなるのではないでしょうか。
今回は以上です。お読みいただきありがとうございました。
<<<Cisco Security エンジニア情報局 前回の記事>
<Cisco Security エンジニア情報局 次回の記事>>>
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」