Cisco Duo

「島田泰臣のCisco技術検証コラム『Cisco Duo』 Vol.3」

Print Friendly, PDF & Email
Shimada column cover

はじめに

こんにちは。前回コラムを書いてから今日までに多くのお客様から「多要素認証」や「ゼロトラスト」などのキーワードでお問い合わせを頂きました。内容としては「ゼロトラストを検討していきたい」「テレワークでVPNを使っているがセキュリティが不安」「クラウドサービスへ直接アクセスを検討している」などでした。今回は、「クラウドサービスへ直接アクセスを検討している」について検証を行いたいと思います。ご興味を持たれた方は、遠慮なくお問い合わせください。こんなことはできないのか?などリクエストがございましたらお願い致します!


検証計画

前回ご説明したように、「Cisco Duoセキュリティ」には、ライセンスグレードが「MFA」「Access」「Beyond」3つあります。今回も一番安価な「MFA」のライセンスで実現できる検証を行って参ります。

-検証背景:クラウドサービス利用の増加、リモートアクセスによるインターネット負荷の増加。

お問い合わせの「クラウドサービスへ直接アクセスを検討している」背景には、テレワークの普及に伴い、リモートアクセスが整備されました。しかしながら、リモートアクセスの通信経路としては、インターネットから社内へ、社内からインターネットへと通信が往復で発生するため、インターネットトラフィックがいままでより増加してしまい、パフォーマンスが落ちるというものです。そこで、回避策としてクラウドサービスへ直接アクセスすることで負荷を軽減するというものですが、どこからでもアクセスすることができるということは、それだけセキュリティリスクが高くなるということですね。

-検証内容:「Cisco Duo」の2つの機能「シングルサインオン」「多要素認証」を検証。

①Cisco Umbrellaクラウドサービスにて、シングルサインオン+多要素認証を実現。
②中継のゲートウェイとなるDAG(Duo Access Gateway)を構築、クラウドサービスとSAML連携。

以下の構成で検証環境を構築します。

shimada column3 1
図1:「Cisco Webex」 や 「Cisco Umbrella」管理画面へ 「シングルサインオン」+「スマートフォン Duo Mobile プッシュ通知」にて行う環境
shimada column3 2
表1:図1の①~⑩の処理内容をまとめたもの
※Cloud Service (Cisco Umbrella等) ※DAG(Duo Access Gateway)

ポイントとしては、Duo Access Gatewayが、クラウドサービスとSAML連携を行うことで実現します。また、Duo Access Gatewayは、外部サイトからアクセスがあるためDMZ等の環境に配置する必要があるため、既存のサーバなどに同居させることは推奨されません。


「Cisco Duoセキュリティ」の検証実施

-セットアップ

まず、DAGの構築を行っていきます。Windowsサーバ(LinuxでもOK)、サーバ上でIISをインストール、自己証明書の発行が必要になります(SaaSや、外部からアクセスする際にも必要になります)。Duo Access Gatewayのインストーラをダウンロードし、Windowsサーバで展開します。

ここで指定するServer Hostnameが後に、外部からクラウドサービスからSAML連携でアクセスするURLになる。後で変更することができないので、インストール時に決めておく必要があります。

shimada column3 3

続いて、DAGコンソールへ接続できるIP(ホスト)制限を行います。

shimada column3 4

インストールは、これで完了です。
では、本題の検証に取り掛かります。
 今回やることは、4つです。
・ADユーザの作成(割愛します)
・DAGの設定
・Duoクラウドの設定
・Cisco UmbrellaのSAML連携設定

-DAGの設定(1)

Authentication Sourceにて、ADの属性を決めて設定します。今回はメールアドレスにします。

shimada column3 5

次に、アプリケーションの設定で、metadataをダウンロードします。

shimada column3 6

-Duoクラウドの設定

Applications >「Protect an Application」にて、Umbrellaを検索し、Protectをクリック。

shimada column3 7

Umbrella – Duo Access Gatewayの設定画面が開いたら、json形式のconfiguration file をダウンロードします(以下jsonファイル)。
また、AD情報取得のための属性設定をmail以外で設定する場合は、ここで設定します。

shimada column3 8

-DAGの設定(2)

続いて、先程ダウンロードした jsonファイルをDAGにアップロードします。

shimada column3 9