こんにちはMeraki製品担当の林です。

今回はSecure Connectで提供されるZTNA機能についてご紹介します。

　Zero Trust Network Access(ZTNA)という言葉の定義は広く、一言でZTNAと言っても製品によってさまざまな実装があるのですが、Secure ConnectのZTNAはブラウザアクセスという機能によって提供されています。

　このブラウザアクセスはいわゆるリバースプロキシの機能です。SecureConnectのデータセンター上に用意されたプロキシサーバを経由して、社内イントラなど非公開のサーバにアクセスするために使用します。

ブラウザアクセス、という名前の通りユーザのPCには特別な設定やエージェントのインストールが不要で、ブラウザさえ利用できれば使うことが可能です。

 

使用する際はユーザがSecure Connectのダッシュボードで作成されたブラウザアクセス用のURLを開き、SAMLによるユーザ認証を行います。

＜ログイン画面イメージ＞

この認証をパスすると、紐づけた社内Webサーバ上のページが表示できるという流れです。

VPNアクセスとは異なり特定のWebページへのアクセスのみを提供するため、例えば委託業者の方に特定のサイトだけアクセスさせたい、と言ったような用途を限定したアクセスとしてご利用いただくことが可能です。

また、接続の際にPC側の属性として

・OSの種類

・ブラウザの種類

・アクセス元の国情報(IPアドレスベース)

を指定することが出来ますので、ある程度条件を絞ってアクセスを提供することも可能です。

(あくまでブラウザから情報を読み取るので、参照できる属性はDuoなどのエージェント型のポスチャと比較すると少ないですが)

個人的には、こうしたアクセス範囲を限定するような使い方がZTNAに該当する部分なのかな？と思っています。

 

ブラウザアクセスの設定について私も自分の環境で試してみましたが、あらかじめWebサーバをMeraki MX経由でSecureConnectへ接続しておけば、設定作業自体は5分くらいで完了出来ました。

　ざっくりと設定画面をご紹介しておくと、まずこの画面で接続させるサーバをアプリケーションとして登録します。

登録が成功するとアクセス用のURLが生成されます。

このURLをアクセス用に利用者に配布するイメージです。

その後、登録したアプリケーションに対してポスチャルールや接続を許可するユーザ情報を紐づけたルールを作成します。

以上です。

設定そのものが簡単なのはもちろん、公開用のグローバルIPアドレスやドメインの登録、証明書の準備なども不要になるのでとても簡単ですね。

ちなみにWebサーバ側ではSecure Connect内のZTNA Proxyが使用する100.64.0.0/16および100.127.0.0/16のIPアドレスレンジからのアクセスが許可されている必要があるのでご留意ください。

 

　是非この機能もSecure Connectを導入する上でのメリットとしてご紹介いただけますと幸いです。

　最後までお読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Security 第71回「Cisco Umbrellaのテナント制御」
• Collaboration 第129回 「遂に実装！CiscoデバイスのMicrosoft Teams ボタンからTeams会議に参加する ~ WebRTC接続のダイヤルイン ~」
• Collaboration 第128回 「Webex Appアップデート情報 ~ Vidcastボタン・リマインダー・インスタントミーティング（ワンタイムミーティング）~」
• Security 第70回「Cisco Secure Endpoint　USBデバイス制御機能について」
• Meraki 第143回「Cisco Secure ConnectのZTNAについて」
• Collaboration 第127回 「Webexで標準利用できる投票機能 Slido のご紹介 その５ ~ Slidoイベントの終了後レポート出力手順 ~」

一覧ページ