皆さん、こんにちは。
ネットワールドSE 　西日本技術部の廣澤です。

 

今回は、「ZTNAアクセスプロキシ」の第3回目として、

「ZTNAアクセスプロキシ＋インラインCASB｣をご紹介します。

是非、最後までお読みいただければ幸いです。

• リソースはクラウドにもある
• ZTNAアクセスプロキシ(インラインCASB)
  • 概要
  • 設定方法
    • FortiGate
    • FortiClient(ZTNA Destination)
  • 動作確認
    • 想定された企業アカウントを使用したクラウドアクセス
    • 想定されない企業アカウントを使用したクラウドアクセス
    • 個人アカウントを使用したクラウドアクセス
• 最後に

リソースはクラウドにもある

これまでの「ZTNAアクセスプロキシ」は「社外から社内」へのアクセス制御を行っていました。

ですが、現代のリソースは「社内」だけでなく、

「クラウド」

にも存在することを忘れてはいけません。

従来のVPNでは社外からクラウドアクセスの制御を行う為に以下の課題がありました。

課題

● クラウドアプリトラフィックのみを識別してVPNトンネル経由にすることが出来ない

● 全トラフィックをVPN装置経由にすることによってVPN装置の回線がひっ迫する

ですが、「ZTNAアクセスプロキシ」では上記の課題を解決し、

クラウドアプリトラフィックのみをZTNAアクセスプロキシ経由にすることが出来ます。

更に、ZTNAアクセスプロキシにFortiGateの「Inline-CASBプロファイル」を組み合わせることで、

「ZTNAアクセスプロキシ(インラインCASB)機能」

を実現することが出来ます。

ZTNAアクセスプロキシ(インラインCASB)

概要

「ZTNAアクセスプロキシ(インラインCASB)」の通信の流れは以下の通りです。

上記に加えて、FortiGateではZTNAアクセスプロキシ用ポリシーに

「Inline-CASBプロファイル」

を追加適用します。

blogs.networld.co.jp

２つの機能を組み合わせることで、社外(リモート)端末のクラウドアクセス制御を実現します。

設定方法

FortiGate

設定方法をご紹介する前に使用するFortiGateについて注意点があります。

注意点

● FortiGateのバージョンは「v7.6.x」以降を推奨

　インラインCASB用のZTNAアクセスプロキシは「v7.6.x」からGUI設定が可能です。
　「v7.4.x」もCLIからの設定が可能ですが、難易度が高いので「v7.6.x」を推奨します。

●メモリサイズ制限

　Inline-CASB機能は搭載メモリサイズが4GB以上のモデルで利用可能です。
　2GB以下のモデルでは利用することが出来ません。

上記をご確認の上、設定いただくようお願い致します。

1．ZTNAサーバの作成

クラウド(SaaS)アプリケーションの転送に対応したZTNAサーバを作成します。

2．Inline-CASBプロファイルの作成

FWポリシーに適用するInline-CASBプロファイルを作成します。

「個人アカウント」の制御が必要な場合は以下のコマンドを追加設定します。

※個人アカウント制御の詳細はこちらを参照ください。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-block-personal-Microsoft-365-accounts-by/ta-p/365105

3．SSLインスペクションプロファイルの作成

デフォルトの「deep-inspection」は「live.com」が復号化除外されているため、

「live.com」が復号化されるように新規のプロファイルを作成します。

4．FWポリシーの作成

ZTNAサーバとInline-CASBプロファイルを使ったFWポリシーを作成します。

以上でFortiGateの設定は完了です。

FortiClient(ZTNA Destination)

1．アプリケーションカタログの確認

SaaS用のZTNAサーバがアプリケーションカタログに自動登録されていることを確認します。

手動で作成する場合は以下のような画面になります。

2．ZTNA Destinationプロファイルの作成

設定配布用のZTNA Destinationプロファイルを作成します。

3．配布ポリシーの作成

プロファイルを配布するためのポリシーを作成します。

以上でZTNA Destinationの設定は完了です。

動作確認

FortiClientEMSから設定が配布されていることを確認し、

各アカウントで「Microsoft365」にアクセスを行います。

想定された企業アカウントを使用したクラウドアクセス

想定されない企業アカウントを使用したクラウドアクセス

個人アカウントを使用したクラウドアクセス

最後に

全3回を通してご紹介した「ZTNAアクセスプロキシ」はいかがでしたでしょうか？

Fortinetから「SSL-VPN機能の廃止」が発表され「IPSec-VPN」や他ソリューションへの

乗り換えを検討されているお客様も多いかと思います。

その中で、既存のFortinetリソースを活用しつつ新たなリモートアクセスの選択肢として、

「ZTNAアクセスプロキシ」をご検討いただければと思います。

【関連記事】

【Fortinet】新しいリモート接続その①「ZTNAアクセスプロキシ(HTTP/HTTPS)｣ - ネットワールド らぼ

【Fortinet】新しいリモート接続その②「ZTNAアクセスプロキシ(TCP)｣ - ネットワールド らぼ

免責事項

• 本書は、株式会社ネットワールド（以下 弊社）が作成・管理します。
• 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
• 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
• 本書の利用は、利用者様の責任において行われるものとします。
• 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
  従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。