Security 第58回「Duo Network Gatewayを用いたVPNレスでの社内ファイルサーバーへのアクセス」

2023/03/27

こんにちは。セキュリティ製品担当の長岡です。

今回はCisco Secure Access by Duo（以下Duo）で利用可能なDuo Network Gateway（以下DNG）についてご紹介致します。

まず始めにDNGについて簡単にご紹介致します。DNGはDuo Beyondライセンスで提供される、組織・企業のローカルリソースにアクセスする際に利用されるコンポーネントです。社外においても、リモートアクセスVPNを使用することなく、組織LAN内部のアプリケーションへのアクセスを実現し、かつアクセス時に多要素認証（MFA）を提供することが可能です。

DNG イメージ図（https://duo.com/docs/dng より抜粋）

DNGで実現されるVPNレス環境により、以下のメリットがユーザーにもたらされます。

1. セキュリティの向上

組織のリソースへの接続において、きめ細かいポリシーの適用を可能にします。例えば、より機密性の高いアプリケーションにアクセスする場合は、FIDO2セキュリティキー（WebAuthn）またはDuo Push（スマートフォンによる2要素目の認証）を使用した多要素認証（MFA）によりユーザー認証の強度を高め、企業管理デバイスからのアクセスに限定するといったポリシーの設定が可能になります。

2. 使いやすさ

アプリケーション全体で一貫したログインの操作性を実現し、ハイブリッド環境やマルチクラウド環境（オンプレミス、Azure、AWS、Google Cloud Platform）へのセキュアなアクセスを提供します。またIT管理者は、アプリケーションごとのポリシーと最小権限モデルを簡単に実装できます。

3. TCOの削減

Duoはシンプルなユーザー単位のサブスクリプションモデルを提供し、保護できる内部リソースの数に上限はありません。また、適応型認証、エンドポイントに対する可視性と制御、リモートアクセス、シングルサインオン（SSO）など、多くのセキュリティツールの機能を1つのプラットフォームに統合します。

そして今回は、DNGの機能の一つである「SMB リレー」について検証を行ってみました。SMB（Server Message Block）は、主にWindowsを中心とした環境で、LANを通じてファイル共有やプリンタ共有等に使用される通信プロトコルのことです。つまりファイルサーバーへのアクセスの際に使用される通信となります。DNGのSMB リレーは、このSMBの通信をHTTPSによりトンネリングすることで、社外からインターネットを通じたファイルサーバーへのアクセスを可能にします。これにより、社外に居る場合でも、従来のようにリモートアクセスVPNを使用することなく社内にあるファイルサーバーへの安全なアクセスが可能となります。

1. DNGのインストール

まずはDNGのインストールから開始します。DNGはDMZに配置した物理または仮想の最新64ビットLinuxサーバー上にインストールします。CentOS、Fedora、Ubuntu、Debian、SUSE Enterprise Linux等のディストリビューションを選択することができます。本検証では、UbuntuにDNGをインストールしました。詳細は下記URL内「Prerequisites（前提条件）」をご覧下さい。

https://duo.com/docs/dng#install-docker

2. DNGの構成（初期設定）

内部ネットワークから https://"DNG URL":8443にWebアクセスし、管理アクセス用パスワードや、認証ソースの設定を実施します。

3. SMB リレーの設定

Duo ダッシュボードより、SMB リレーアプリケーションの登録を行います。必要に応じて個別のPolicyを作成・適用します。

続いてDNGの設定を行います。

SMB リレーをアプリケーションとして登録し、対象のファイルサーバーの登録や、

外部ドメインと内部ドメインの紐付け等の設定を行います。

4. クライアントPCの設定

最後に、クライアントPCにDuo Device Health、DuoConnectと呼ばれる軽量なエージェントをインストールし、DNGのFQDNを設定します。

SMB リレーの環境構築が完了したので、動作確認を行ってみます。自宅LAN等、社内LANには接続されていない環境に置いたWindows PCにて確認を行います。

エクスプローラーからネットワークドライブの割り当てを行い、対象のファイルサーバーのパスを設定します。

するとブラウザが起動するので、クレデンシャルを入力します。

二要素目の認証方式を選択し、承認の処理を行います。（本検証ではDuo Pushを使用しました。）

するとファイルサーバーへのアクセスが成功し、ファイルを開くことができました。

ネットワークドライブが登録されるため、2回目以降のアクセスも簡単に行えます。

自宅に居ながら、社内リソースへのアクセスを堅牢かつシームレスに行うことができました。クラウド環境の普及に伴い、社内ネットワークのVPNレス化を検討しているユーザーには有効なツールとなるのではないでしょうか。

今回は以上です。お読みいただきありがとうございました。

＜＜＜Cisco Security エンジニア情報局前回の記事＞

＜＜＜第57回「Duo パスワードレス認証を用いたSecure Client（AnyConnect）連携について」

＜Cisco Security エンジニア情報局次回の記事＞＞＞

第59回「Umbrella　の内部ドメインと外部ドメイン」＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様はこちらをお読みください。

Ciscoの記事

Collaboration 第129回「遂に実装！CiscoデバイスのMicrosoft Teams ボタンからTeams会議に参加する ~ WebRTC接続のダイヤルイン ~」

Collaboration 第128回「Webex Appアップデート情報 ~ Vidcastボタン・リマインダー・インスタントミーティング（ワンタイムミーティング）~」

Security 第70回「Cisco Secure Endpoint　USBデバイス制御機能について」

Meraki 第143回「Cisco Secure ConnectのZTNAについて」

Collaboration 第127回「Webexで標準利用できる投票機能 Slido のご紹介その５ ~ Slidoイベントの終了後レポート出力手順 ~」

Collaboration 第126回「Webexで標準利用できる投票機能 Slido のご紹介その４ ~ Slidoイベントの開催・参加手順 ~」

一覧ページ