Meraki 第142回「Cisco Secure Connectでアプリケーションが動かなくなったら」

2024/02/29

こんにちはMeraki製品担当の林です。

以前こちらの記事でもご紹介したように、Secure ConnectではクラウドWebプロキシであるSWGを経由させてインターネットへのアクセスを保護します。

この際、お客様の環境によってはSecure Connectを経由させることで業務に利用されているアプリケーションが上手く動作しなくなる、というケースがあります。

原因としては様々なものが考えられるのですが、今回は代表的なケースとその対処法についてご紹介します。

■端末側に証明書がインストールされていない

　Secure Connectの構成ではSWGをWebプロキシとして使用するため、Secure Connectで使用される証明書を事前にユーザの端末にインストールしておく必要があります。

　この操作を行わない場合、HTTPSのページを開くとブラウザが証明書エラーを表示してしまいます。

回避策として、Secure Connectの画面からルート証明書のダウンロードが可能ですので、Secure Connectに接続する端末に対して必ず事前インストールを実施するようにしてください。

■アプリケーションがグローバルIPアドレスによるアクセス制限を掛けている

　不正アクセスの防止を目的として、業務アプリケーションに対して送信元のグローバルIPアドレスを制限されているユーザ様も多いかと思います。

　Secure Connectを経由した場合、通信の送信元は下記のアドレスプールでNATされることになりますが、かなり大きなプールになるためこうした制御との相性がどうしても悪くなります。

＜Secure Connectを経由した場合の送信元グローバルIPアドレス範囲＞

・155.190.0.0/16

・146.112.0.0/16

・151.186.0.0/16

　回避策としては、拠点のMXで対象の宛先に対するトラフィックをVPNに送らない、いわゆるインターネットブレークアウトの設定を行って頂くことが考えられます。

上図のように、Meraki MXシリーズでは一番安価なEnterpriseライセンスからIPアドレスもしくはDNSで宛先を指定して簡単にブレークアウトの設定が可能です。

■アプリケーションで証明書のPinningを行っている

　通信経路上でデータの傍受を行う中間者攻撃を防ぐために特定の証明書を使用するクライアントからの通信のみを許可するPinningという手法があります。

　WebプロキシサーバであるSWGはある意味中間者ですので、Pinningが有効なアプリケーションがエラーで動作しなくなってしまう可能性があります。

　こうしたアプリケーションに対する回避策としては、HTTPSの復号化をバイパスする選択的復号化の設定を使用します。

こちらの設定を行うことで、登録した宛先の通信に対する復号化をしなくなりますので、証明書のエラーを防ぐことができます。

　実はこの事象は一つ前でご紹介したインターネットブレークアウトでも防ぐことは可能なのですが、通信のログをできるだけSecure Connectに残す、という観点から考えるとできるだけ選択的復号化を中心に使って頂く方がオススメです。

また、この選択的復号化の設定は、Meraki MXのブレークアウトと違ってカテゴリやアプリケーションでも指定することが可能なので運用も楽になります。

Pinningが有効なアプリケーションに関しては英語ですがCiscoさんでも記事を作られているので合わせてこちらもご参照ください。

・Public Key Pinning/Certificate pinning

https://support.umbrella.com/hc/en-us/articles/360030956912-Public-Key-Pinning-Certificate-pinning

　今回ご紹介した設定は運用開始後も良く触る部分になるかと思いますので、ぜひ覚えておいていただければと思います。

　最後までお読みいただきありがとうございました。

＜＜＜Cisco Meraki エンジニア情報局前回の記事＞

＜＜＜第141回「Cisco Secure ConnectとSAML IdPの連携」

＜Cisco Meraki エンジニア情報局次回の記事＞＞＞

第143回「Cisco Secure ConnectのZTNAについて」＞＞＞

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様はこちらをお読みください。

Ciscoの記事

Security 第80回「Cisco Secure Endpoint　主要な脅威検知エンジンについて」

Collaboration 第147回「Webex Calling のご紹介その1~ 概要紹介 ~」

Meraki 第153回「Secure Connect Reserved IPオプションついて」

Security 第79回「Cisco Secure Client Cloud Managementのご利用の流れ」

Meraki 第152回「Meraki Subscriptionライセンスについて」

Collaboration 第146回「高品質な音声体験を実現するCisco Webex の生成AI技術 ~Webex AI Codec~」

一覧ページ