「島田泰臣のCisco技術検証コラム『Cisco Duo』 Vol.2」

    目次

    1. はじめに
    2. 検証計画
    3. Cisco Duoセキュリティの検証実施
      -セットアップ
      -管理画面へのアクセス
      3-1. DuoダッシュボードとASAと連携させるために、DAPに埋め込むキーを発行する
      3-2. Duo Authentication Proxy (DAP) の構築と設定
    4. まとめと今後の検証予定

    1.はじめに

    こんにちは。前回は簡単に私達の紹介と、ゼロトラストについてご説明させていただきました。ご興味を持たれた方は、遠慮なくお問い合わせください。私達もまだ検証をしている段階ですのでお客様のご意見はとても貴重で、検証計画に組み入れながら行っております。リクエストがございましたらお願い致します!

    2.検証計画

    Duoセキュリティには、ライセンスグレードが「MFA」「Access」「Beyond」3つあります。このライセンスグレード毎に実現できること・できないことなども踏まえて検証を計画していきたいと思います。
    ライセンスのグレードとできることについて、メーカ資料をそのまま転機させていただいておりますが、意味が分かりにくいと思われる項目もございますのでそのあたりも解説しながら進めていきたいと思います。

    それでは、検証内容と目的を明確にし、とにかく触ってみます!ということで、最初にMFAライセンスの機能について検証していきたいと思います。

    -検証内容:在宅勤務で利用率急上昇。リモートアクセスのセキュリティを向上させる。

    現在(2020年6月)コロナウィルス感染拡大の影響をうけ多くの企業が在宅勤務を導入されていることと思います。「緊急事態宣言」後、すぐにインフラ環境を整える必要があり、とりあえずID・パスワードの認証のみでリモートアクセスを導入されたケースも多くあるようです。そこで今回の検証は、「リモートアクセスVPNの認証」を「Duoの多要素認証でセキュリティを向上させ、社内に接続する」を検証していきたいと思います。リモートアクセスの構成はCisco ASA、AnyConnectを採用します。

    -目的:Duoの基本動作確認、オンプレ中継サーバの構築

    ① Duoの検証を進めていくために、Duo Push機能、多要素認証を行うと実際どのような動きになるのかを確認する。

    ② 中継のゲートウェイとなるDAP(Duo Authentication Proxy)とはどのような動きを行うのかなど、Duo Securityのベースとなる部分を理解し、設定方法を明確にする。

    以下の構成で検証環境を構築します。

    図1:リモートアクセスの認証を「スマートフォン Duo Mobile プッシュ通知」にて行う環境
    表1:図1の①~⑩の処理内容をまとめたもの
    ※AnyConnect (ASAリモートアクセスのソフトウェア) ※DAP(Duo Authentication Proxy)

    ユーザIDとパスワードを入力するだけでは、本人とは認めず、所持しているスマートフォン(2要素)で認証を行うことで本人確認とできるわけです。もしかすると、証明書をクライアントにインストールする証明書認証と同等のセキュリティを担保し、運用や導入の手間暇やコストの削減も実現できそうですね。

    Print Friendly, PDF & Email
    Pages:

    1

    2 3 4 5

    Related post

    更新情報

    更新情報

    ログインステータス

    Return Top