• その他

HPE Aruba Networking SSE検証(SWG編 その3)

1.はじめに

本記事では、Hewlett Packard Enterprise社(以下 HPE社)が提供するネットワークセキュリティサービスである、HPE Aruba Networking SSE(以下Aruba SSE)での検証を行った内容について紹介を行います。

本記事ではArubaSSEのSWG機能について紹介します。

SWG編第1回のブログでは、Aruba SSEのSWG機能や基本的な設定方法について、第2回の記事ではSWGのセキュリティ機能についての機能紹介でしたが、SWG編の第3回となる本記事では応用機能として、ソースIP固定化を検証したので、その内容について紹介したいと思います。

第1回、第2回のブログをご覧になっていない方は、併せてご参照ください。

2.本記事について

第1回 SWGの基本的な設定方法についての紹介(前々回記事)

  • CA証明書のインストール方法
  • SSL Inspection
  • Threat Protection
  • Category Filter 

第2回 SWGでのセキュリティ機能についての紹介(前回記事)

  • ファイルスキャン方式の違いについて
  • File Security機能(クイックスキャン)
  • File Security機能(ディープスキャン)

第3回 IP アドレスの固定(アンカリング)について(本記事)

  • IPアドレスの固定とは
  • IPアドレスの固定の種類
  • IPアドレスの固定方法

本記事では、SWGの機能を応用しIPアドレスの固定を行いました。前回、前々回のように通信などを直接制限する機能ではないですが、応用できれば他ソリューションとの連携が容易になるかなり便利な機能です。

3.IPアドレスの固定とは

IPアドレスの固定(IPアンカリング)とは、インターネットアクセス時にアクセスしてくるIPアドレスを元にアクセス制御しているSaaSやWEBサイトに対してアクセスするIPアドレスを固定化する仕組みです。

通常、SWGで通信を行うとSWG側のグローバルアドレス(利用者共通)でかつ動的IPになってしまいます。

IPアンカリング機能を使うことによってアクセスするIPアドレスを固定化させることができます。

4.IPアドレスの固定の種類

Aruba SSEのIPアドレスの固定の方法には、2種類の方法があります。
1つ目は、自身の環境に作成したAxis Connectorを経由して通信を行うことで、送信元のIPアドレスをAxis Connector固定を行うことです。
この方法では、特定のSaaSアプリケーションやwebサイトにアクセスを行う際の送信元IPアドレスは、Axis Connectorの持つIPアドレスになります。

図4-1.Axis Connectorを利用したIPアドレス固定

2つ目は、サポートへの依頼を行うことで、SSEでの通信の際のIPアドレスを一意のものに固定する方法です。
こちらは、Axisサポートへの依頼が必要にはなりますが、Axis Connectorの経由を行わずにIPアドレスの固定が行えます。また、こちらは送信元アドレスがHPE社から払い出されるものになります。

図4-2.払い出されたアドレスを利用したIPアドレス固定

5.IPアドレスの固定手順

今回は、1つ目のAxis ConnectorによるIPアドレスの固定を行い、検証を行いました。

5-1.事前確認

今回、送信元IPアドレスを確認するために、以下の外部サイトを使用しました。

利用サイト:
CMAN|アクセス情報【使用中のIPアドレス確認】
URL:https://www.cman.jp/network/support/go_access.cgi

上記URLを利用して、IP固定を確認した際は以下のような結果になりました。
(IPアドレスは一部ぼかしています。)

5-2.IPアドレスの固定の設定手順

まず、宛先アドレスの設定を行います
axis コンソールを開き、Settings >Destinationsを開きます

New Applicationsを開きます

一覧から Web Applicationsカテゴリを探し、Self-Hosted Web Applicationを選びます

Nameに設定名、 Domain/IP Addressに設定するサイトのドメインまたはIPアドレスを記入します。

Remote Addressにサブドメインを入力します

今回は、タグにローカルアプリケーション用のタグを設定しています。

Submitで保存します

Apply Changes> Commit 1 changesより設定を保存。

つづいて、ポリシー設定の作成します

Settings> Rulesを開く。

New Ruleを選択し、Name欄にポリシー名を入力します。

Identityに適用するユーザを指定します。

Destinationに先ほど設定したアプリケーションを選択し、Submitで決定します。

Apply Changes> Commit 1 changesより設定を保存します。

5-3.IPアドレスの固定の確認方法

送信元IPアドレス固定の設定を入れた状態でのサイトにアクセスしてみます。

第3オクテットまでにモザイクを入れていますが、5-1のIPアドレス固定前とは、送信元IPアドレスが変わっていることが確認できました。

続いて、Settings> Connectorsより、コネクタのパブリックIPアドレスを確認します。

こちらにもモザイクを入れていますが、作成したAxis Connectorの「Public IP」の列が送信元IPアドレスと一致していることが確認できました。

新着記事一覧へ
すべて見る
すべて見る

人気記事

採用情報

私たちと一緒にはたらきませんか?

採用情報
採用情報へ