特定のサービスのみをエッジサービス経由にする
- document
前提条件
クライアントへのSecureEdge Access エージェントのインストールおよび、エンロールメントは完了しているものとする。
SecureEdge側の設定
1: エッジサービスの作成
「インフラストラクチャ」>「Edge Service」にアクセスし、「新規Edge Service」をクリックしてエッジサービスを作成します。
2: 入口の作成
「アクセス」>「入口」にアクセスし、「入口の作成」をクリックして入口を作成します。
3: カスタムアプリケーションを作成
エッジサービスを通過させたいサービスがプリセットされている場合は不要です。
「セキュリティポリシー」>「アプリとリソース」にアクセスし、「新規カスタムアプリケーション」をクリックします。
カスタムアプリケーションには 2種類あります。
名称 | 説明 |
|---|---|
新規カスタムネットワークアプリケーション | カスタムアプリケーションをIPアドレスとポート番号で定義します。 |
新規カスタムウェブアプリケーション | カスタムアプリケーションを FWDN名で定義します。 |
新規カスタムネットワークアプリケーション
設定項目名 | 説明 |
|---|---|
名前 | 新規カスタムアプリケーションのユニークな名前です。(必須項目) |
内容 | 新規カスタムアプリケーションの説明です。 |
プロトコル | TCP、UDP、任意から選択します。(必須項目) |
送り先 | 新規カスタムアプリケーションの接続先をIPアドレス、ネットワークアドレス、ドメイン名で定義します。(必須項目) |
最初のポート | 新規カスタムアプリケーションで利用する先頭のポート番号 |
最後のポート | 新規カスタムアプリケーションで利用するの最後のポート番号 |
カテゴリー | 新規カスタムアプリケーションの分類カテゴリー(必須項目) |
新規カスタムウェブアプリケーション
設定項目名 | 説明 |
|---|---|
名前 | 新規カスタムアプリケーションのユニークな名前です。(必須項目) |
内容 | 新規カスタムアプリケーションの説明です。 |
プロトコル | HTTP/HTTPSに固定されています。 |
ポート | 80/443に固定されています。 |
送り先 | 新規カスタムアプリケーションの接続先をFQDNで定義します。(必須項目) |
カテゴリー | 新規カスタムアプリケーションの分類カテゴリー(必須項目) |
4: ゼロトラストアクセスポリシーの設定
「セキュリティ ポリシー」>「アクセス」>「ゼロトラストアクセス」にアクセスして「ポリシーを追加」をクリックします。
ここでは、リソースタイプが重要で、プリセットされているものは「パブリックエンドポイント」を、カスタムアプリケーション(アプリとリソースで作成)は「社内リソース」を選択します。
設定項目名 | 説明 |
|---|---|
名前 | ゼロトラストアクセスポリシーのユニークな名前です。(必須項目) |
内容 | セロトラストアクセスポリシーの説明です。 |
リソースタイプ | プリセットされているものは「パブリックエンドポイント」を、カスタムアプリケーション(アプリとリソースで作成)は「社内リソース」を選択します。(必須項目) |
リソース | ゼロトラストアクセスポリシーでアクセスさせるアプリケーションを選択します。(必須項目) |
ユーザー | ゼロトラストアクセスポリシーを適用するユーザを設定します。 |
グループ | ゼロトラストアクセスポリシーを適用するグループを設定します。 |
装置ポスチャ | コンプライアンスの実施、ログ違反、無効にするを選択します。 |
セキュリティ検査 | 有効にすると、選択したアプリケーションはトンネルを経由で入口に接続されて、より詳細なセキュリティ検査を受けます。無効に場合はトンネルを経由せずにインターネットアクセスします。 |
以上で、SecureEdge側の設定は完了です。
エージェント側(クライアント側)の確認
エージェントが起動していない場合のアクセス結果
エッジサービスを経由せずにそのままインターネットアクセスを実施していることがわかります。
エッジサービスとエージェントに情報が伝搬するまで少し時間がかかりますが、正常に伝搬が完了すると、確認くんへのアクセスが、エッジサービスのアドレスを使って実施されます。
トラブルシューティング
ゼロトラストアクセスポリシーを設定した通信が「入口」に設定されているエッジサービスを経由していない場合、以下のテストを実施ください。
エージェントのトラブルシューティング機能
これを使うとどこでアクセスに問題が発生しているのかわかります。
例:Testing tunnel is connected :これはエージェントとエッジサービス間でトンネルが張れていることを意味します。
エージェントの設定画面を表示して、「トラブルシューティング」でカスタムアプリケーションとして登録した「確認くんのURL」を入力してチェックし、すべてがグリーンになることを確認します。
実際の動作としては、確認くん(www.ugtop.com)の名前解決をすると、エージェントが動作していないときには、219.94.129.26が返りますが、エージェントが正しく動作すると 192.18.0.5といった内部動作のアドレスが返り、エージェントとエッジサービス間で接続されている TINAトンネル(Barracudaの IPSec拡張プロトコルを TINAと呼んでいます。)を通じてアクセスが行われていることが確認できます。
この中で、リソース登録されていないURLをチェックすると、Resolve given domainが「×」となります。
正しくは、192.18.0.xといった、SecureEdgeの内部IPアドレスが返ってくる必要があるのですが、グローバルの正規のIPアドレスが返ってきた場合エラーとして表示されます。