こんにちはMeraki製品担当の林です。

今回はSecure Connectで提供されるZTNA機能についてご紹介します。

　Zero Trust Network Access(ZTNA)という言葉の定義は広く、一言でZTNAと言っても製品によってさまざまな実装があるのですが、Secure ConnectのZTNAはブラウザアクセスという機能によって提供されています。

　このブラウザアクセスはいわゆるリバースプロキシの機能です。SecureConnectのデータセンター上に用意されたプロキシサーバを経由して、社内イントラなど非公開のサーバにアクセスするために使用します。

ブラウザアクセス、という名前の通りユーザのPCには特別な設定やエージェントのインストールが不要で、ブラウザさえ利用できれば使うことが可能です。

 

使用する際はユーザがSecure Connectのダッシュボードで作成されたブラウザアクセス用のURLを開き、SAMLによるユーザ認証を行います。

＜ログイン画面イメージ＞

この認証をパスすると、紐づけた社内Webサーバ上のページが表示できるという流れです。

VPNアクセスとは異なり特定のWebページへのアクセスのみを提供するため、例えば委託業者の方に特定のサイトだけアクセスさせたい、と言ったような用途を限定したアクセスとしてご利用いただくことが可能です。

また、接続の際にPC側の属性として

・OSの種類

・ブラウザの種類

・アクセス元の国情報(IPアドレスベース)

を指定することが出来ますので、ある程度条件を絞ってアクセスを提供することも可能です。

(あくまでブラウザから情報を読み取るので、参照できる属性はDuoなどのエージェント型のポスチャと比較すると少ないですが)

個人的には、こうしたアクセス範囲を限定するような使い方がZTNAに該当する部分なのかな？と思っています。

 

ブラウザアクセスの設定について私も自分の環境で試してみましたが、あらかじめWebサーバをMeraki MX経由でSecureConnectへ接続しておけば、設定作業自体は5分くらいで完了出来ました。

　ざっくりと設定画面をご紹介しておくと、まずこの画面で接続させるサーバをアプリケーションとして登録します。

登録が成功するとアクセス用のURLが生成されます。

このURLをアクセス用に利用者に配布するイメージです。

その後、登録したアプリケーションに対してポスチャルールや接続を許可するユーザ情報を紐づけたルールを作成します。

以上です。

設定そのものが簡単なのはもちろん、公開用のグローバルIPアドレスやドメインの登録、証明書の準備なども不要になるのでとても簡単ですね。

ちなみにWebサーバ側ではSecure Connect内のZTNA Proxyが使用する100.64.0.0/16および100.127.0.0/16のIPアドレスレンジからのアクセスが許可されている必要があるのでご留意ください。

 

　是非この機能もSecure Connectを導入する上でのメリットとしてご紹介いただけますと幸いです。

　最後までお読みいただきありがとうございました。

＜Cisco Meraki エンジニア情報局 次回の記事＞＞＞

• 第144回「Cisco Secure Connectによるユーザベースでのポリシー割り当てについて」 ＞＞＞

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Security 第80回「Cisco Secure Endpoint　主要な脅威検知エンジンについて」
• Collaboration 第147回 「Webex Calling のご紹介 その1~ 概要紹介 ~」
• Meraki 第153回「Secure Connect Reserved IPオプションついて」
• Security 第79回「Cisco Secure Client Cloud Managementのご利用の流れ」
• Meraki 第152回「Meraki Subscriptionライセンスについて」
• Collaboration 第146回 「高品質な音声体験を実現するCisco Webex の生成AI技術 ~Webex AI Codec~」

一覧ページ