株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

NetMotion 解説 ~ゼロトラストネットワークアクセス(ZTNA)編~

本稿ではNetMotion Platform のうち、ソフトウェア制御によりセキュアなアクセスコントロールを可能にするZTNA要素の基本機能を紹介してみたいと思います。

f:id:networld-blog-post:20211006213612p:plain

 

まず、始めに理解しておきたいのが、NetMotionで構成したZTNAアーキテクチャーは下図の様になり、従来からあるVPNフルトンネルに加えて、Mobilityクライアントでコンテキストを検知して経路の制御を行うため、ソフトウェア制御のZTNAプラットフォームとして利用することができるということです。
良くある分かりやすい例としては、社内へのアクセスはVPNトンネルを通すけれど、信頼済みのクラウドアプリケーション(Office365やMicrosoft Teams, Zoomなど)へのアクセスはローカルブレイクアウトして、エンドポイントから直接インターネット経由でそれらのクラウドアプリケーションにアクセスするなどが可能です。

f:id:networld-blog-post:20211006213726p:plain

 

そしてZTNAを実装する具体的な機能として、モバイルデバイスの状況に応じてネットワークトラフィックをコントールする「ポリシー」と、VPN接続を開始する前にモバイルデバイスの状態を確認する機能「NAC」(Windows端末のみ)があり、これらの機能を組み合わせて要件にマッチさせることが可能です。
また、接続先の安全性をマシンラーニングで解析する「レピュテーション」機能もクライアントに辞書をキャッシュした状態で保持し、クライアント端末からトラフィックが出ること無く、危険なサイト等へのアクセスを制御することもできます。

 

それではどの様にトラフィックを制御できるのか、もう少し詳細に設定項目等を確認してみましょう。


ポリシー機能

ポリシー機能を使うと、モバイルデバイスの状態に応じて、ネットワークトラフィックをコントロールすることができます。

下図の様に、検出条件を指定して、アクションを設定することで様々な要件に対応することが可能です。ポリシーは管理コンソールから簡単に設定が可能で、各機能が対応しているデバイスの種類もアイコン表示されているのでとてもわかり易くなっています。

f:id:networld-blog-post:20211006213856p:plain

検出条件

f:id:networld-blog-post:20211006214005p:plain


アクション

f:id:networld-blog-post:20211006213935p:plain


これらを組み合わせて実現できる良くある活用例

  1. 業務アプリケーションだけを社内ネットワークに転送 (per-app VPN)
  2. LTE 回線では、オンラインストレージアプリをブロック
  3. ビデオ会議アプリケーションを起動すると、データフローを最適化する
  4. 在宅勤務者に、自宅のプリンターの利用を許可
    など

レピュテーション機能

Webレピュテーションは、不正URLへのアクセスをブロックするセキュリティ機能です。  NetMotionのレピュテーション機能は、WebRoot社 Bright Cloud IP レピュテーションサービスの分析エンジンを実装しています。レピュテーションデータベースは 1日に1回 更新、更新有無のチェックは5分ごとに自動実行されています。

f:id:networld-blog-post:20211006214151p:plain

レピュテーション機能はエンドポイントデバイスがアクセスするIPアドレス(40億個以上)、FQDN(7億5千万件以上)、URL(320億個以上)ごとに安全性を診断しています。
また、辞書に見つからない場合にはリアルタイムでクラウドに問い合わせるか、アクセスさせないか、など柔軟に設定することが可能になっています。

この強力なレピュテーション機能を、Mobilityクライアントでレピュテーションデータベースを保持することにより、エンドポイントデバイスからインターネットトラフィックが出る前に、Webアクセスを自動で判断してアクセス制御を行うことを可能にしています。
アクセス制御には「トンネルする」、「パススルーする」、「ブロック」のアクションが選択できます。

NAC機能
※注意※
NAC機能はWindows端末でのみ利用可能な機能です。MacOS、iOS、Androidでは利用することができません。

NAC機能を使うと、VPN接続を開始する前にエンドポイントデバイスの状態を確認して通信を制御することができます。
ポリシー同様に、検出条件を指定してアクションを設定します。

f:id:networld-blog-post:20211006214320p:plain

具体的な活用例

  1. Windows ファイアーウォールを動作させていないデバイスは、接続させない
  2. ウィルス定義ファイルが古いマシンは、接続先システムを制限する
    など

「2.ウィルス定義ファイルが古いマシンは、接続先システムを制限する」を例に設定画面を見てみましょう。
下図では、検出条件でアンチウイルスを選択肢、更新日付で制御しています。
もちろん、企業で導入している製品やそのバージョンなどで制御することも可能です。

f:id:networld-blog-post:20211006214417p:plain


条件に引っかかった場合のアクション画面です。
下図ではクライアントに警告し、メッセージを送る。というアクションが設定されています。

f:id:networld-blog-post:20211006214458p:plain


ポリシー及びNACの適用先

ポリシー及びNACのルールセットを作成したら、そのルールの適用先は優先度を考慮して決定する必要があります。優先度は下記の通りです。

f:id:networld-blog-post:20211006214605p:plain

※「グローバルポリシー」には厳しい制限をかけてデフォルトで「通信禁止」としつつ、会社が認定した正規デバイスやユーザーには、追加の権限(許可宛先、通信許可アプリ)を割当てるなどします。

まとめ

企業が使うアプリケーションやコンテンツはクラウドに移行しつつありますが、オンプレミスで稼働しているアプリケーションもまだ多く、ユーザーは混在した環境の中でセキュリティを意識して利用する必要があります。
しかしながら、ユーザーが注意しなければならい環境はあまり良いとは言えません。
今回紹介した通り、NetMotionを利用すれば管理者が設定した通りにトラフィックを制御できるため、ユーザーは考える必要なくセキュアな環境で業務に取り組むことができます。

NetMotion は、高いユーザーエクスペリエンスのVPNとZTNAを実現できるセキュリティプラットフォームですので、これからも継続するリモートワーク環境の見直しをしてみるのも良いかもしれません。

NetMotionにご興味のある方は下記アドレス、もしくは弊社担当営業までお問い合わせください。
問い合わせ先: netmotion-info@networld.co.jp

記事作成:NetMotion 製品担当チーム