こんにちは。ディーアイエスサービス＆ソリューションセキュリティ担当の今村です。

今回のブログでは、Umbrellaのアイデンティティと対応したポリシーの相関についてご紹介します。

 

ポリシーを適用する対象のことをアイデンティティと呼びます。Umbrellaで作成できるポリシーには、DNSポリシー、Webポリシー、DLPポリシー、ファイアウォールポリシーの4種類があります。中でもDNSポリシー、Webポリシー、DLPポリシーは必ずアイデンティティの指定を行います。Umbrellaでは、ポリシーによって適用できるアイデンティティが異なります。

 

Umbrella上で指定できるアイデンティティは以下です。

・AD Computers

　…Active Directory内のコンピュータ

・AD Groups

　…Active Directory内のグループ

・AD Users

　…Active Directory内のユーザー

・Chromebooks

　…Chromebookアカウント

・G Suite OUs

　…G Suite内の組織

・G Suite Users

　…G Suite内のユーザー

・Mobile Devices

　…iPhoneやAndroidなどの携帯端末

・Network Devices

　…Umbrellaとの連携に対応したCisco製ルータやアクセスポイントなど

・Networks

　…ユーザーの拠点が使用しているグローバルIPアドレス

・Roaming Computers

　…Umbrella Module for Cisco Secure Clientをインストールしたコンピュータ^※1

・SDWAN Service VPN IDs

　…Catalyst SD-WANとの連携で使用するアイデンティティ

・Security Group Tags

　…セキュリティグループを識別するタグ

・Sites

　…インターネットとの接続口を持つ場所

・Tags

　…ローミングコンピュータを識別するタグ

・Tunnels

　…UmbrellaとVPN機器間で接続したVPNトンネル

・Internal Networks (All Tunnels)

　…Tunnels経由で接続された拠点ネットワークのIPアドレス

 

※1 Umbrella Module for Cisco Secure Clientのインストール手順につきましては、DISオリジナルコンフィグガイド「Umbrella Module for CiscoSecure Clientのインストール手順（Windows11）」をご参照ください。（iDATEN(韋駄天)｜ トップページを開いてから、https://www.idaten.ne.jp/portal/page/in/DIS/cisco2/technology/04/4126.pdfを貼り付けると表示されます。）

　

各ポリシーと適用できるアイデンティティの対応表は以下です。

今回は主に指定されるアイデンティティを3つ紹介します。

1つ目はMicrosoftのAD（Active Directory）内にあるADコンピュータ（AD Computers）、ADグループ（AD Groups）、ADユーザー（ADUsers）です。ADコネクタ（AD Connector）を使用して、ユーザーのADやIdP（ユーザーの認証情報を提供するサービス）からユーザーデータベースをUmbrellaに同期させ、グループやユーザー単位でのポリシーの割り当てを可能にします。これらのポリシーを適用するためには、Umbrella Module for Cisco Secure ClientやSAML認証といった端末からの通信とユーザー情報を紐づける手段が必要になります。

2つ目はローミングコンピュータ（Roaming Computers）です。端末にUmbrella Module for Cisco Secure Clientをインストールし、オーガナイゼーション情報（orginfo.json）を付与することで、端末がローミングコンピュータとして自動的に自社のUmbrella環境に登録されます。端末単位やタグでのポリシーの割り当てが可能です。

3つ目はネットワーク（Networks）です。ネットワークをアイデンティティに指定することで、ユーザーの固定グローバルIPアドレス単位でのポリシーの割り当てが可能です。社内DNSサーバーの参照先をUmbrellaに向けたり、PACファイル（プロキシ自動設定ファイル）でUmbrellaをプロキシとして使用したりする際に指定します。

いかがでしたでしょうか。

アイデンティティと対応したポリシーの相関についてのご紹介は以上です。

下記のURLもご参考ください。

・ADConnector - AWS Directory Service (amazon.com)

・Umbrella:AD Connector の役割について - Cisco Community

・Umbrella:アイデンティティとは何か？ - Cisco Community

・Umbrella:Networks と Internal Networks の相違点について - Cisco Community

お読みいただきありがとうございました。

＜Cisco Security エンジニア情報局 次回の記事＞＞＞

• 第70回 Cisco Secure Endpoint　USBデバイス制御機能について ＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Security 第71回「Cisco Umbrellaのテナント制御」
• Collaboration 第129回 「遂に実装！CiscoデバイスのMicrosoft Teams ボタンからTeams会議に参加する ~ WebRTC接続のダイヤルイン ~」
• Collaboration 第128回 「Webex Appアップデート情報 ~ Vidcastボタン・リマインダー・インスタントミーティング（ワンタイムミーティング）~」
• Security 第70回「Cisco Secure Endpoint　USBデバイス制御機能について」
• Meraki 第143回「Cisco Secure ConnectのZTNAについて」
• Collaboration 第127回 「Webexで標準利用できる投票機能 Slido のご紹介 その５ ~ Slidoイベントの終了後レポート出力手順 ~」

一覧ページ