Security 第58回「Duo Network Gatewayを用いたVPNレスでの社内ファイルサーバーへのアクセス」

2023/03/27

こんにちは。セキュリティ製品担当の長岡です。

今回はCisco Secure Access by Duo（以下Duo）で利用可能なDuo Network Gateway（以下DNG）についてご紹介致します。

まず始めにDNGについて簡単にご紹介致します。DNGはDuo Beyondライセンスで提供される、組織・企業のローカルリソースにアクセスする際に利用されるコンポーネントです。社外においても、リモートアクセスVPNを使用することなく、組織LAN内部のアプリケーションへのアクセスを実現し、かつアクセス時に多要素認証（MFA）を提供することが可能です。

DNG イメージ図（https://duo.com/docs/dng より抜粋）

DNGで実現されるVPNレス環境により、以下のメリットがユーザーにもたらされます。

1. セキュリティの向上

組織のリソースへの接続において、きめ細かいポリシーの適用を可能にします。例えば、より機密性の高いアプリケーションにアクセスする場合は、FIDO2セキュリティキー（WebAuthn）またはDuo Push（スマートフォンによる2要素目の認証）を使用した多要素認証（MFA）によりユーザー認証の強度を高め、企業管理デバイスからのアクセスに限定するといったポリシーの設定が可能になります。

2. 使いやすさ

アプリケーション全体で一貫したログインの操作性を実現し、ハイブリッド環境やマルチクラウド環境（オンプレミス、Azure、AWS、Google Cloud Platform）へのセキュアなアクセスを提供します。またIT管理者は、アプリケーションごとのポリシーと最小権限モデルを簡単に実装できます。

3. TCOの削減

Duoはシンプルなユーザー単位のサブスクリプションモデルを提供し、保護できる内部リソースの数に上限はありません。また、適応型認証、エンドポイントに対する可視性と制御、リモートアクセス、シングルサインオン（SSO）など、多くのセキュリティツールの機能を1つのプラットフォームに統合します。

そして今回は、DNGの機能の一つである「SMB リレー」について検証を行ってみました。SMB（Server Message Block）は、主にWindowsを中心とした環境で、LANを通じてファイル共有やプリンタ共有等に使用される通信プロトコルのことです。つまりファイルサーバーへのアクセスの際に使用される通信となります。DNGのSMB リレーは、このSMBの通信をHTTPSによりトンネリングすることで、社外からインターネットを通じたファイルサーバーへのアクセスを可能にします。これにより、社外に居る場合でも、従来のようにリモートアクセスVPNを使用することなく社内にあるファイルサーバーへの安全なアクセスが可能となります。

1. DNGのインストール

まずはDNGのインストールから開始します。DNGはDMZに配置した物理または仮想の最新64ビットLinuxサーバー上にインストールします。CentOS、Fedora、Ubuntu、Debian、SUSE Enterprise Linux等のディストリビューションを選択することができます。本検証では、UbuntuにDNGをインストールしました。詳細は下記URL内「Prerequisites（前提条件）」をご覧下さい。

https://duo.com/docs/dng#install-docker

2. DNGの構成（初期設定）

内部ネットワークから https://"DNG URL":8443にWebアクセスし、管理アクセス用パスワードや、認証ソースの設定を実施します。

3. SMB リレーの設定

Duo ダッシュボードより、SMB リレーアプリケーションの登録を行います。必要に応じて個別のPolicyを作成・適用します。

続いてDNGの設定を行います。

SMB リレーをアプリケーションとして登録し、対象のファイルサーバーの登録や、

外部ドメインと内部ドメインの紐付け等の設定を行います。

4. クライアントPCの設定

最後に、クライアントPCにDuo Device Health、DuoConnectと呼ばれる軽量なエージェントをインストールし、DNGのFQDNを設定します。

SMB リレーの環境構築が完了したので、動作確認を行ってみます。自宅LAN等、社内LANには接続されていない環境に置いたWindows PCにて確認を行います。

エクスプローラーからネットワークドライブの割り当てを行い、対象のファイルサーバーのパスを設定します。

するとブラウザが起動するので、クレデンシャルを入力します。

二要素目の認証方式を選択し、承認の処理を行います。（本検証ではDuo Pushを使用しました。）

するとファイルサーバーへのアクセスが成功し、ファイルを開くことができました。

ネットワークドライブが登録されるため、2回目以降のアクセスも簡単に行えます。

自宅に居ながら、社内リソースへのアクセスを堅牢かつシームレスに行うことができました。クラウド環境の普及に伴い、社内ネットワークのVPNレス化を検討しているユーザーには有効なツールとなるのではないでしょうか。

今回は以上です。お読みいただきありがとうございました。

＜＜＜Cisco Security エンジニア情報局前回の記事＞

＜＜＜第57回「Duo パスワードレス認証を用いたSecure Client（AnyConnect）連携について」

＜Cisco Security エンジニア情報局次回の記事＞＞＞

第59回「Umbrella　の内部ドメインと外部ドメイン」＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様はこちらをお読みください。

Ciscoの記事

Collaboration 第142回「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」

Security 第77回「Cisco Secure Client Cloud Managementのご紹介」

Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」

Collaboration 第141回「Cisco AI アシスタント（生成AIによる自動要約）を使ってみたその3 ~ 議事録ダウンロードについて ~」

Security 第76回「Cisco Secure Endpoint　端末のネットワークから隔離について」

Collaboration 第140回「Cisco AI アシスタント（生成AIによる自動要約）を使ってみたその２ ~ Meetingsでの使い方 ~」

一覧ページ