Secure Access Service Edge (SASE) は、エンタープライズネットワークの初期接続ポイントとして機能する、組み込みの Software as a Service (SaaS) アクセスポイントを提供します。また、SASE サービスを使用して、オフィス、データセンター、または他のクラウドサービスに専用アクセスポイントをデプロイすることもできます。このデプロイメントにより、オフィスの場所からエンタープライズアプリケーションにアクセスするユーザーに対して、ゼロトラストの権限管理が可能になります。このトピックでは、SaaS アクセスポイントの管理、専用アクセスポイントの設定、およびエンドポイントアクセスポリシーの設定方法について説明します。
ターミナルアクセスポイントの種類
SASE は、Software-Defined Wide Area Network (SD-WAN) アーキテクチャを使用します。SASE アプリは、最も近いアクセスポイントをインテリジェントに識別して接続し、高品質のユーザーエクスペリエンスを保証します。
種類 | 説明 | サーバーのデプロイ要件 |
SaaS アクセスポイント | SaaS アクセスポイントはすべてのユーザーによって共有され、ネットワーク遅延を引き起こす可能性があります。 サポートされているエディション:
| いいえ |
専用アクセスポイント | 専用アクセスポイントは、お客様のエンタープライズ専用であり、低いネットワーク遅延で高いセキュリティを提供します。 サポートされているエディション: Private Access Pro Edition | 専用アクセスポイントを設定するには、デプロイメント用のサーバーを準備する必要があります。サーバーは次の要件を満たす必要があります:
説明 高可用性 (HA) を実現し、単一障害点を回避するために、複数のサーバーに専用アクセスポイントをデプロイできます。サーバーは物理マシンまたは仮想マシンにすることができます。 |
SaaS アクセスポイントの管理
プライベートアクセス機能を有効にすると、すべての SaaS アクセスポイントがデフォルトで有効になります。要件に基づいてアクセスポイントを有効または無効にできます。次の表に、各エディションでサポートされているアクセスポイントと VPC ネットワークを示します。
エディション | サポートされているアクセスポイントと VPC ネットワーク |
プライベートアクセス (VPN エディション) | サポートされていません。 |
プライベートアクセス (Basic Edition) | 北京、上海、深セン、シリコンバレー、バージニア、フランクフルト、シンガポール、東京、中国 (香港)、ドバイ。 |
プライベートアクセス (Pro エディション) | 北京、上海、深セン、シリコンバレー、バージニア、フランクフルト、シンガポール、東京、中国 (香港)、ドバイ。 |
インターネットアクセスセキュリティ (オフィスデータ保護エディション) | サポートされていません。 |
エンドポイント保護 (ウイルス対策エディション) | サポートされていません。 |
Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ページで、SASE の組み込み SaaS アクセスポイントに関する情報を表示します。
ターゲットアクセスポイントを見つけ、[アクセスポイントスイッチ] 列で、アクセスポイントを有効または無効にします。
ターゲットアクセスポイントの Actions 列にある Details をクリックして、そのアドレス、名前、および構成を表示します。アクセスポイントの名前を変更することもできます。
専用アクセスポイントの設定
ステップ 1: 専用アクセスポイントの追加
タブで、Create Dedicated Access Point をクリックします。
Create Dedicated Access Point パネルで、次のパラメーターを設定し、[OK] をクリックします。
設定項目
説明
Chinese Access Point Name
専用アクセスポイントの中国語名を設定します。
English Access Point Name
専用アクセスポイントの英語名を設定します。
Access Point Location
専用アクセスポイントが配置されているリージョンを設定します。有効な値: 中国本土および中国本土以外。
Access Point Configuration
必要に応じて、パブリックエンドポイントとプライベートエンドポイントを設定できます。
パブリックエンドポイントの設定
Public Endpoint
従業員がリモートで作業する場合、SASE アプリはパブリックドメイン名を介して専用アクセスポイントに自動的に接続します。
重要開始する前に、専用アクセスポイントがデプロイされているサーバーのパブリック IP アドレスがエンタープライズアプリケーションにアクセスできることを確認してください。
Certificate Content
パブリックエンドポイントの証明書の内容をアップロードします。証明書ファイルは .crt または .pem 形式である必要があります。
Private Key Content
証明書の秘密鍵をアップロードします。秘密鍵ファイルは .key または .pem 形式である必要があります。
プライベートエンドポイントの設定
Private Endpoint
従業員がオフィスで作業する場合、SASE アプリはプライベートドメイン名を介して専用アクセスポイントに自動的に接続します。ユーザーがゼロトラストポリシーに基づいて認証されると、専用アクセスポイントはアクセストラフィックを宛先アプリケーションに転送します。
重要開始する前に、専用アクセスポイントがデプロイされているサーバーのプライベート IP アドレスがエンタープライズアプリケーションにアクセスできることを確認してください。この設定を有効にする場合は、アクセスポイントサーバーのプライベート IP アドレスのみがすべてのエンタープライズアプリケーションにアクセスできるようにします。
Certificate Content
プライベートエンドポイントの証明書の内容をアップロードします。証明書ファイルは .crt または .pem 形式である必要があります。
Private Key Content
証明書の秘密鍵をアップロードします。秘密鍵ファイルは .key または .pem 形式である必要があります。
Port
エンドポイントのポート番号を入力します。
Status
専用アクセスポイントの有効化ステータスを設定します。[有効] 状態の専用アクセスポイントのみが従業員によって使用できます。
ステップ 2: サーバーへの専用アクセスポイントのデプロイ
タブで、追加した専用アクセスポイントを見つけ、[アクション] 列の [デプロイ] をクリックします。
[デプロイ] タブで、デプロイメントコマンドをコピーし、サーバーで実行して専用アクセスポイントをデプロイします。
デプロイメントが完了したら、デプロイメントサーバーに手動で DNS レコードを追加する必要があります。
SASE は、サーバー上の専用アクセスポイントをスペックアップまたはアンインストールするためのコマンドも提供します。要件に基づいてこれらのコマンドを実行して、アクセスポイントをスペックアップまたはアンインストールできます。
デプロイメントが成功すると、専用アクセスポイントを使用してインターネット経由でサーバーにアクセスできます。このネットワークトポロジーでは、ビジネスデータは SASE を通過しませんが、ログは SASE にレポートされます。
アプリケーションサーバーのパブリック IP アドレスを公開したくない場合は、ネットワークトポロジーを変更できます。ビジネスネットワークを分離するために、インターネットに接続されたサーバーにアクセスポイントをデプロイします。この場合、SASE コネクタを作成し、専用アクセスポイントと SASE コネクタの間にネットワークチャネルを確立する必要があります (ステップ 3)。詳細については、「SASE コネクタの使用」をご参照ください。
ステップ 3: 専用アクセスポイントと SASE コネクタ間のネットワークチャネルの確立
タブで、追加した専用アクセスポイントを見つけ、[アクション] 列の [詳細] をクリックします。
[コネクタの関連付け] タブで、[コネクタの関連付け] スイッチをオンにします。
SASE コネクタサーバーと専用アクセスポイントサーバー間の通信用に逆接続ポートを設定します。
デフォルトでは、専用アクセスポイントの接続ポートは 9813 です。このポートが既に使用されている場合は、別の逆接続ポートを指定します。
SASE コネクタサーバーと通信する専用アクセスポイントサーバーの IP アドレスを設定します。
通信にはプライベート IP アドレスを使用します。パブリック IP アドレスを使用するには、専用アクセスポイントサーバーと SASE コネクタサーバー間でのみパブリック IP 通信を許可するアクセスの制御ポリシーを設定する必要があります。
ネットワークに複数のアプリケーションサーバーが含まれており、各サーバーに SASE コネクタを設定している場合は、各アプリケーションサーバーの IP アドレスを設定する必要があります。
[OK] をクリックします。
設定が完了すると、専用アクセスポイントリストでアクセスポイントのステータスと情報を表示できます。
ターミナルアクセス ポリシーの設定
SASE は、中国本土の SASE 組み込みアクセスポイントへのアクセスを承認するための組み込みポリシーを提供します。このポリシーはデフォルトで有効になっています。グローバルオフィス用のアクセスポイントを承認している場合、組み込みの SASE クライアントアクセスポリシーには、グローバルオフィス用のアクセスポイントも含まれます。
組み込みのアクセスポリシーがビジネス要件を満たさない場合は、カスタムの端末アクセスポリシーを作成できます。
Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
Policy Management ページで、Create Policy をクリックします。
Create Policy パネルで、次のパラメーターを設定し、OK をクリックします。
設定項目
説明
Policy Name
端末アクセスポリシーの名前を設定します。
名前は 1~64 文字で、文字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を使用できます。
Authorized Access Points
承認されたユーザーがアクセスを許可されているアクセスポイントを設定します。
Secondary Access Points
バックアップアクセスポイントを追加します。バックアップアクセスポイントはデフォルトでは表示されません。すべての承認済みアクセスポイントの遅延が 500 ms を超えると有効になります。
Policy Status
端末アクセスポリシーの有効化ステータスを設定します。Enabled 状態のポリシーのみが有効になります。
次のステップ
設定後、ユーザーは SASE アプリにログインし、ネットワークアクセスポイントを選択して、内部ネットワークに接続できます。詳細については、「プライベートアクセスのセキュリティ保護を有効または無効にする」をご参照ください。
関連情報
グローバルオフィス用のアクセスポイントを有効にするための権限の付与に関する詳細については、「グローバルオフィス用のネットワークチャネルの確立」をご参照ください。