Cisco 担当者コラム
Cisco・Security
Security 第69回「Cisco Umbrellaのアイデンティティと対応したポリシーの相関」
こんにちは。ディーアイエスサービス&ソリューションセキュリティ担当の今村です。
今回のブログでは、Umbrellaのアイデンティティと対応したポリシーの相関についてご紹介します。
ポリシーを適用する対象のことをアイデンティティと呼びます。Umbrellaで作成できるポリシーには、DNSポリシー、Webポリシー、DLPポリシー、ファイアウォールポリシーの4種類があります。中でもDNSポリシー、Webポリシー、DLPポリシーは必ずアイデンティティの指定を行います。Umbrellaでは、ポリシーによって適用できるアイデンティティが異なります。
Umbrella上で指定できるアイデンティティは以下です。
・AD Computers
…Active Directory内のコンピュータ
・AD Groups
…Active Directory内のグループ
・AD Users
…Active Directory内のユーザー
・Chromebooks
…Chromebookアカウント
・G Suite OUs
…G Suite内の組織
・G Suite Users
…G Suite内のユーザー
・Mobile Devices
…iPhoneやAndroidなどの携帯端末
・Network Devices
…Umbrellaとの連携に対応したCisco製ルータやアクセスポイントなど
・Networks
…ユーザーの拠点が使用しているグローバルIPアドレス
・Roaming Computers
…Umbrella Module for Cisco Secure Clientをインストールしたコンピュータ※1
・SDWAN Service VPN IDs
…Catalyst SD-WANとの連携で使用するアイデンティティ
・Security Group Tags
…セキュリティグループを識別するタグ
・Sites
…インターネットとの接続口を持つ場所
・Tags
…ローミングコンピュータを識別するタグ
・Tunnels
…UmbrellaとVPN機器間で接続したVPNトンネル
・Internal Networks (All Tunnels)
…Tunnels経由で接続された拠点ネットワークのIPアドレス
※1 Umbrella Module for Cisco Secure Clientのインストール手順につきましては、DISオリジナルコンフィグガイド「Umbrella Module for CiscoSecure Clientのインストール手順(Windows11)」をご参照ください。(iDATEN(韋駄天)| トップページを開いてから、https://www.idaten.ne.jp/portal/page/in/DIS/cisco2/technology/04/4126.pdfを貼り付けると表示されます。)
各ポリシーと適用できるアイデンティティの対応表は以下です。
今回は主に指定されるアイデンティティを3つ紹介します。
1つ目はMicrosoftのAD(Active Directory)内にあるADコンピュータ(AD Computers)、ADグループ(AD Groups)、ADユーザー(ADUsers)です。ADコネクタ(AD Connector)を使用して、ユーザーのADやIdP(ユーザーの認証情報を提供するサービス)からユーザーデータベースをUmbrellaに同期させ、グループやユーザー単位でのポリシーの割り当てを可能にします。これらのポリシーを適用するためには、Umbrella Module for Cisco Secure ClientやSAML認証といった端末からの通信とユーザー情報を紐づける手段が必要になります。
2つ目はローミングコンピュータ(Roaming Computers)です。端末にUmbrella Module for Cisco Secure Clientをインストールし、オーガナイゼーション情報(orginfo.json)を付与することで、端末がローミングコンピュータとして自動的に自社のUmbrella環境に登録されます。端末単位やタグでのポリシーの割り当てが可能です。
3つ目はネットワーク(Networks)です。ネットワークをアイデンティティに指定することで、ユーザーの固定グローバルIPアドレス単位でのポリシーの割り当てが可能です。社内DNSサーバーの参照先をUmbrellaに向けたり、PACファイル(プロキシ自動設定ファイル)でUmbrellaをプロキシとして使用したりする際に指定します。
いかがでしたでしょうか。
アイデンティティと対応したポリシーの相関についてのご紹介は以上です。
下記のURLもご参考ください。
・Umbrella:AD Connector の役割について - Cisco Community
・Umbrella:アイデンティティとは何か? - Cisco Community
・Umbrella:Networks と Internal Networks の相違点について - Cisco Community
お読みいただきありがとうございました。
<<<Cisco Security エンジニア情報局 前回の記事>
<Cisco Security エンジニア情報局 次回の記事>>>
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」