こんにちは。ディーアイエスサービス＆ソリューションセキュリティ担当の今村です。

今回のブログでは、Umbrellaのアイデンティティと対応したポリシーの相関についてご紹介します。

 

ポリシーを適用する対象のことをアイデンティティと呼びます。Umbrellaで作成できるポリシーには、DNSポリシー、Webポリシー、DLPポリシー、ファイアウォールポリシーの4種類があります。中でもDNSポリシー、Webポリシー、DLPポリシーは必ずアイデンティティの指定を行います。Umbrellaでは、ポリシーによって適用できるアイデンティティが異なります。

 

Umbrella上で指定できるアイデンティティは以下です。

・AD Computers

　…Active Directory内のコンピュータ

・AD Groups

　…Active Directory内のグループ

・AD Users

　…Active Directory内のユーザー

・Chromebooks

　…Chromebookアカウント

・G Suite OUs

　…G Suite内の組織

・G Suite Users

　…G Suite内のユーザー

・Mobile Devices

　…iPhoneやAndroidなどの携帯端末

・Network Devices

　…Umbrellaとの連携に対応したCisco製ルータやアクセスポイントなど

・Networks

　…ユーザーの拠点が使用しているグローバルIPアドレス

・Roaming Computers

　…Umbrella Module for Cisco Secure Clientをインストールしたコンピュータ^※1

・SDWAN Service VPN IDs

　…Catalyst SD-WANとの連携で使用するアイデンティティ

・Security Group Tags

　…セキュリティグループを識別するタグ

・Sites

　…インターネットとの接続口を持つ場所

・Tags

　…ローミングコンピュータを識別するタグ

・Tunnels

　…UmbrellaとVPN機器間で接続したVPNトンネル

・Internal Networks (All Tunnels)

　…Tunnels経由で接続された拠点ネットワークのIPアドレス

 

※1 Umbrella Module for Cisco Secure Clientのインストール手順につきましては、DISオリジナルコンフィグガイド「Umbrella Module for CiscoSecure Clientのインストール手順（Windows11）」をご参照ください。（iDATEN(韋駄天)｜ トップページを開いてから、https://www.idaten.ne.jp/portal/page/in/DIS/cisco2/technology/04/4126.pdfを貼り付けると表示されます。）

　

各ポリシーと適用できるアイデンティティの対応表は以下です。

今回は主に指定されるアイデンティティを3つ紹介します。

1つ目はMicrosoftのAD（Active Directory）内にあるADコンピュータ（AD Computers）、ADグループ（AD Groups）、ADユーザー（ADUsers）です。ADコネクタ（AD Connector）を使用して、ユーザーのADやIdP（ユーザーの認証情報を提供するサービス）からユーザーデータベースをUmbrellaに同期させ、グループやユーザー単位でのポリシーの割り当てを可能にします。これらのポリシーを適用するためには、Umbrella Module for Cisco Secure ClientやSAML認証といった端末からの通信とユーザー情報を紐づける手段が必要になります。

2つ目はローミングコンピュータ（Roaming Computers）です。端末にUmbrella Module for Cisco Secure Clientをインストールし、オーガナイゼーション情報（orginfo.json）を付与することで、端末がローミングコンピュータとして自動的に自社のUmbrella環境に登録されます。端末単位やタグでのポリシーの割り当てが可能です。

3つ目はネットワーク（Networks）です。ネットワークをアイデンティティに指定することで、ユーザーの固定グローバルIPアドレス単位でのポリシーの割り当てが可能です。社内DNSサーバーの参照先をUmbrellaに向けたり、PACファイル（プロキシ自動設定ファイル）でUmbrellaをプロキシとして使用したりする際に指定します。

いかがでしたでしょうか。

アイデンティティと対応したポリシーの相関についてのご紹介は以上です。

下記のURLもご参考ください。

・Umbrella:AD Connector の役割について - Cisco Community

・Umbrella:アイデンティティとは何か？ - Cisco Community

・Umbrella:Networks と Internal Networks の相違点について - Cisco Community

お読みいただきありがとうございました。

＜Cisco Security エンジニア情報局 次回の記事＞＞＞

• 第70回 Cisco Secure Endpoint　USBデバイス制御機能について ＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Collaboration 第142回 「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
• Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
• Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
• Collaboration 第141回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その3 ~ 議事録ダウンロードについて ~」
• Security 第76回「Cisco Secure Endpoint　端末のネットワークから隔離について」
• Collaboration 第140回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その２ ~ Meetingsでの使い方 ~」

一覧ページ