【コラム】島田泰臣のCisco技術検証「Cisco Duo」Vol.3

  • 2020/9/28

目次

  1. はじめに
  2. 検証計画
    -検証背景:クラウドサービス利用の増加、リモートアクセスによるインターネット負荷の増加。
    -検証内容:「Cisco Duo」の2つの機能「シングルサインオン」「多要素認証」を検証。
  3. 「Cisco Duoセキュリティ」の検証実施
    -セットアップ
    -DAGの設定(1)
    -Duoクラウドの設定
    -DAGの設定(2)
    -Cisco Umbrellaの設定(SaaSサービス側の設定)
    【動画】「Cisco Duo」を利用した「Cisco Umbrella」への多要素認証+シングルサインオン(SSO)連携
  4. まとめと今後の検証予定

1.はじめに

こんにちは。前回コラムを書いてから今日までに多くのお客様から「多要素認証」や「ゼロトラスト」などのキーワードでお問い合わせを頂きました。内容としては「ゼロトラストを検討していきたい」「テレワークでVPNを使っているがセキュリティが不安」「クラウドサービスへ直接アクセスを検討している」などでした。今回は、「クラウドサービスへ直接アクセスを検討している」について検証を行いたいと思います。ご興味を持たれた方は、遠慮なくお問い合わせください。こんなことはできないのか?などリクエストがございましたらお願い致します!

2.検証計画

前回ご説明したように、「Cisco Duoセキュリティ」には、ライセンスグレードが「MFA」「Access」「Beyond」3つあります。今回も一番安価な「MFA」のライセンスで実現できる検証を行って参ります。

-検証背景:クラウドサービス利用の増加、リモートアクセスによるインターネット負荷の増加。

お問い合わせの「クラウドサービスへ直接アクセスを検討している」背景には、テレワークの普及に伴い、リモートアクセスが整備されました。しかしながら、リモートアクセスの通信経路としては、インターネットから社内へ、社内からインターネットへと通信が往復で発生するため、インターネットトラフィックがいままでより増加してしまい、パフォーマンスが落ちるというものです。そこで、回避策としてクラウドサービスへ直接アクセスすることで負荷を軽減するというものですが、どこからでもアクセスすることができるということは、それだけセキュリティリスクが高くなるということですね。

-検証内容:「Cisco Duo」の2つの機能「シングルサインオン」「多要素認証」を検証。

①Cisco Umbrellaクラウドサービスにて、シングルサインオン+多要素認証を実現。
②中継のゲートウェイとなるDAG(Duo Access Gateway)を構築、クラウドサービスとSAML連携。

以下の構成で検証環境を構築します。

図1:「Cisco Webex」 や 「Cisco Umbrella」管理画面へ 「シングルサインオン」+「スマートフォン Duo Mobile プッシュ通知」にて行う環境
表1:図1の①~⑩の処理内容をまとめたもの
※Cloud Service (Cisco Umbrella等) ※DAG(Duo Access Gateway)

ポイントとしては、Duo Access Gatewayが、クラウドサービスとSAML連携を行うことで実現します。また、Duo Access Gatewayは、外部サイトからアクセスがあるためDMZ等の環境に配置する必要があるため、既存のサーバなどに同居させることは推奨されません。


3.「Cisco Duoセキュリティ」の検証実施

-セットアップ

まず、DAGの構築を行っていきます。Windowsサーバ(LinuxでもOK)、サーバ上でIISをインストール、自己証明書の発行が必要になります(SaaSや、外部からアクセスする際にも必要になります)。Duo Access Gatewayのインストーラをダウンロードし、Windowsサーバで展開します。

ここで指定するServer Hostnameが後に、外部からクラウドサービスからSAML連携でアクセスするURLになる。後で変更することができないので、インストール時に決めておく必要があります。

続いて、DAGコンソールへ接続できるIP(ホスト)制限を行います。

インストールは、これで完了です。

Print Friendly, PDF & Email
Pages:

1

2 3 4

Related post

更新情報

更新情報

ログインステータス

Return Top