SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

SWG製品比べてみた ~Proxy / DNS型の違いとは~

ゼロトラスト
2021.08.03

▼はじめに

こんにちは、SB C&S 横山です。今回は最近流行りのSWGについてです。

まずはじめに、SWGとはSecure Web Gatewayの名前の通り社内外からインターネットへアクセスする際の門番的な役割です。ゼロトラストを実現するための要素の一つでありテレワーク需要が高まった昨今、注目度も非常に高まっております。
そしてこのSWGの中でも大きくDNS / Proxyといった2つのカテゴリに分けることが出来ます。今回はこのカテゴリの違いによって動作にはどのように差分が出るのかをご紹介致します。

▼カテゴリ毎の動作概要

では早速見ていきましょう。
まずDNS型の場合、SWGはエンドポイントからのDNSリクエストに対してクエリを返すことによってアクセス制御を実施します。代表的なものにはCisco Umbrella(DNS Security)などが挙げられます。

dns_gif.gif

一方、Proxy型の場合はその名の通りクラウド型のプロキシとして動作します。webトラフィックがプロキシ経由となり、URLチェックなどのアクセス制御が実現出来ます。代表的なものとしてはibossやZscalarなどが挙げられます。


proxy_gif.gif

▼端末側の設定方法

上記のカテゴリ差分はユーザ側の端末設定方法にも差分が出ます。
DNS型の場合、端末側のDNS設定を対象のSWGのアドレスに変更することで設定出来ます。
※クライアントソフトをインストールする方法などでも可能です。

umbrella.png

一方、Proxy型の場合は端末側にPAC-URLを参照させることでプロキシ経由の通信とすることが出来ます。
※こちらもクライアントソフトをインストールすることなどでも可能です。

14879491eae93de08d421c249e555a4235858467.png

▼フィルタリング方式の差分

また、もう一つの大きな差分としてアクセス時のフィルタリング方式に違いが出ます。
DNS型はあくまでドメイン単位での判定となるため、URLベースの詳細な制御は出来ません。しかしその分管理の手間は減り、運用面では楽になります。
Proxy型の場合はURL単位の詳細な制御が可能です。一方、運用面の負荷やSSL複合などによりトラフィックが重くなる可能性があります。

url.PNG

アフターGIGA_プロキシ型とDNS型フィルタリング製品について.png

▼さいごに

今回はSWGのProxy / DNS型についてご紹介致しました。大事なことはこの2つはどちらが優れているといったことはありません。それぞれのニーズにより合ったものを選択することでより安心・安全なゼロトラストセキュリティの実現につながっていきます。
今回ご紹介したSWG製品やゼロトラストセキュリティへのご質問・ご相談があればお問い合わせタブよりご連絡頂ければ当社専属エンジニアが対応致しますのでお気軽にご連絡ください。

banner-in-article.PNG

著者紹介

SB C&S株式会社
技術本部 第2技術部 2課
横山 章太郎