SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

VMware SASE CWSさわってみた

仮想化
2022.03.10

   

こんにちは。 SB C&S の鵜重です。
今回は、VMwareが提供するSecure Access Service Edge (SASE)ソリューション「VMware SASE」のCWSを実際にさわってみましたので、設定と動作のイメージをご紹介致します。

VMware SASEとは

VMWare SASEそのものに関しては弊社メンバーによる別記事にて、プロダクト概要とアーキテクチャをご紹介しておりますので、こちらもあわせてご覧ください。

VMware Cloud Web Securityとは?

A3411336-1140-474B-8B25-D47F4F7F123E.png
「VMware Cloud Web Security」(略称CWS)はVMware SASE PoPに接続したデバイスに対して、インターネットアクセス時のセキュリティ機能を提供します。本記事の投稿時点で備えている具体的なセキュリティ機能としては、いわゆるネットワークセキュリティとして分類される以下の諸機能が実装されております。

・SSLインスペクション(およびバイパス機能)
・Webカテゴリに基づいたURLフィルタリング
・脅威カテゴリに基づいた危険なWebサイトへのアクセスブロック
・コンテンツタイプに基づいたダウンロード/アップロードブロック
・ファイルスキャンおよびサンドボックスによる疑わしいファイルのダウンロード/アップロードブロック
・Web / クラウドサービスのアクセス状況モニタリング
・CASB機能(Webアプリケーションの詳細制御)
・SAML連携
・Webアクセス時のトラフィックログ

※この内、CASB機能(Webアプリケーションの詳細制御)、サンドボックスの一部ファイルタイプについてはCWSのAdvancedライセンスでの機能提供となります。


VMware SASE Cloud Web Securityさわってみた ① URLフィルタ

ここから実際の設定画面と動作イメージをご紹介します。日本人には嬉しい日本語でのUIがリリース当初から実装されています。
設定は専用のWeb管理コンソールから実施しますが、CWSはVMware SD-WANのUIである『VMware SD-WAN(VeloCloud)オーケストレータ』から行います。(CWSの他にもSD-WAN、Secure Accessの設定もこちらから実施します)
スクリーンショット 2022-03-09 16.04.51.png
セキュリティ機能の設定は非常にシンプルなウイザード形式の画面が用意されており、誰でも簡単に細かなセキュリティ設定を行うことが可能です。
一例としてURLフィルタの設定を順にご紹介しますと、

① カテゴリのタイプを選択

こちらの画面の"Webサイトカテゴリ"の他に"脅威カテゴリ"と宛先ドメインをスタティックに設定する"ドメイン"も選択できます
スクリーンショット 2022-03-09 16.11.20.png

アクセス制御の対象となる具体的なカテゴリを選択

スクリーンショット 2022-03-09 16.13.25.png

③アクションを選択(許可もしくはブロックを設定)

アクション22.png

④ルール名を定義して終了

rule.png
以上でURLフィルタリングの設定が終了します。
アクセス制御対象となるURLにアクセスした場合はユーザーのブラウザ上にブロックページが表示されます。
スクリーンショット 2022-03-09 16.18.47.png
また、ログからブロックした旨の情報と詳細な内容を確認することができます。クラウドで提供される製品の中にはログの表示までに大きなタイムラグが発生する製品も珍しくないですが、CWSのログはほぼリアルタイムで表示されます。
スクリーンショット 2022-03-09 16.22.04.pngスクリーンショット 2022-03-09 16.22.23.png

VMware SASE Cloud Web Securityさわってみた② SAML連携

さらにSAML連携についてご紹介したいと思います。
CWSでは送信元となる個別のユーザー名を条件に含めた細かなルールを書き分けることができますが、その際にはSAML連携が必要となります。
こちらも設定は非常にシンプルで、連携したいIdPをメニュー(Workspace ONE Access、OKTA、AzureADなど)から選択し、IdP側で設定したパラメータと証明書をこちらの画面から設定していきます。
スクリーンショット 2022-03-09 16.40.28.png
SAML連携が完了すると、デバイスからの通信が発生した際にIdP側のユーザー認証ページにリダイレクトされ、認証後の通信はすべてユーザー名と紐づいた形となり、ログにはこちらの画面の様にユーザーIDが表示され"誰が"その通信を行なったのかを特定することができます。
スクリーンショット 2022-03-10 3.06.54.png
先述の通りSAML連携を行うことで先ほどのURLフィルタリング設定でもユーザー名を個別に指定したルールを書くことも可能になります。
これにより、あるユーザーは許可とする通信でも違うユーザーではブロック対象とするなど、ユーザーに応じた柔軟な制御を行うことができます。
スクリーンショット 2022-03-10 3.11.35.png

おわりに

今回は、VMware SASEのCWSにフォーカスして実際の設定画面をご紹介しました。
ご紹介した機能以外にもCASBやサンドボックスといった他の機能で同じ様なウイザードが用意されていますので、セキュリティに不慣れな方でも迷うことなくスムーズに設定を行うことができるかと思います。また最新のバージョンではDLPも追加されるなど、昨年のプロダクトリリースから比較的早いペースで日々機能拡張がなされているのも大きなポイントです。
いかがでしたでしょうか。今後もVMware SASEを始めVMware 製品のアップデート情報などを発信していきますので引き続きご確認頂けると幸いです。

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
 
鵜重 翔一