【コラム】島田泰臣のCisco技術検証「Cisco Duo」Vol.4

  • 2020/10/28

目次

  1. はじめに
  2. 検証計画
  3. 「Cisco Duo」セキュリティの検証実施
     ①RADIUS Tokenの設定
     ②NAM(Network Access Module)のセットアップ
    【動画】「Cisco Duo Security」×「Cisco ISE」×「Cisco Meraki」多要素認証
  4. まとめと今後の検証予定

1.はじめに

こんにちは。最近は「ゼロトラスト」という言葉をよく耳にするようになってきました。「ゼロトラストネットワーク」とは、以前簡単に書きましたが、社内ネットワークの概念をなくし、基本的には全てのネットワークを危険な世界として捉えて作っていくネットワークです。先日も「ゼロトラスト」を検討しているというお客様とお話をしてきたのですが、全ての社内システムをクラウドへ移行していくことは非常に難しいというお話になりました。

例えば、現在のファイルサーバをクラウドに移行する場合、データ量が多ければ多いほどコストは比例して増大化する。また、基幹システムをIaaSに移設する場合、自社で開発した基幹システムをWeb化、インターネットに公開するためのセキュリティ対策などを考えると結局IaaSとVPN環境を作るなど、なかなか社内ネットワークの概念をなくすことができません。

今回は、「ゼロトラスト」の新しい形を提案。社内ネットワークを残しつつ限りなく「ゼロトラストネットワーク」に近づけるソリューションについて、検証を行って参りたいと思います。

2.検証計画

-検証背景:社内ネットワークを残すことを前提とした「ゼロトラストネットワーク」の実現

多くのお客様では、「ゼロトラストネットワーク」を実現したい目的として「現在の“リモートアクセスVPNありきの通信”をやめたい」が理由の1つです。攻撃側が社内ネットワークに入ることさえできれば(無線LANやリモートアクセス)、その先のセキュリティは無いに等しいことが多いです。では、社内ネットワークに接続する認証をクラウド環境と同じ認証レベルに設定すれば良いのではないでしょうか?しかしながら、クラウド上の認証基盤、社内ネットワークの認証基盤が別々のものだと、導入コストも、管理コストも高くなることが懸念されます。そこで今回は、

-検証内容:社内ネットワークの認証も、クラウドサービスの認証も「Cisco Duo」で実現してみる

①認証の基盤にCisco Identity Services Engine(ISE)を構築し、社内の認証をISE→DAGへ連携する。

②前回ASA連携で構築したDAP(Duo Authentication Proxy)を利用する。PCはWindow10、サプリカントは、Cisco AnyConnectにNetwork Access Moduleを追加して利用します。

以下の環境が構築できている前提でDuo & ISEの検証環境を構築します(図1)。

  • Cisco ISEの初期インストールが完了している。
  • Cisco Meraki MRの802.1X認証の設定が完了している。
  • DAPのセットアップが完了している
  • Cisco AnyConnectに、Network Access Moduleのインストールが完了している。

※このあたりのセットアップも気になる方は、お問い合わせください。

図1:社内ネットワークアクセスを「Cisco ISE」+「スマートフォン Duo Mobile プッシュ通知」にて行う環境
表1:図1の①~⑪の処理内容をまとめたもの
※ISE(Cisco Identity Services Engine) ※DAP(Duo Authentication Proxy)

ポイント:「Cisco ISE」を認証基盤とすることでより多くの認証方式に対応することができます。また今後ご紹介させていただきたいと思いますが、認証方法や端末の種別により「人」「デバイス」によってセキュリティレベルを振り分けることが可能となり、仮に社内に接続された場合に対してもセキュリティを高めることができます。

Print Friendly, PDF & Email
Pages:

1

2 3 4

Related post

更新情報

更新情報

ログインステータス

Return Top