SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【3分で分かるFortinet】【第28回】FortiSASE セキュアプライベートアクセス

Fortinet
2023.09.20

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、FortiSASEの機能である、セキュアプライベートアクセスについて紹介いたします。

事前準備

FortiSASEでのセキュアプライベートアクセス構成で必要なものは下記3つになります。

・FortiSASE

FortiGate + FortiSASEと接続するための、セキュアプライベートアクセス(SPA)ライセンス

・FortiClient (FortiSASE連携済み)

検証条件

Hasegawa-FortiSASE-SPA (1).png

セキュアプライベートアクセスの概要

セキュアプライベートアクセスは、エージェント(FortiClient)を導入した端末が、FortiSASE環境を経由して、拠点やデータセンターにアクセスする仕組みです。

エージェントからは、ポスチャー(状態)をFortiSASEに送り、認証だけでなく、状態によってアクセスの許可/拒否を行うことができます。

注意点としては、FortiSASEとFortiGateを接続するために、FortiGate側にセキュアプライベートアクセス(SPA)ライセンスが必要になります。

Hasegawa-FortiSASE-SPA (2).png

細かい動作としては、FortiSASEから、FortiGateに対して、IPSecVPNにてトンネルを接続するため、必然的にFortiGateがグローバルIPを持つ必要があります。

また、FortiSASE上で、FQDNによる接続先の指定が利用できないため、FortiGate側には固定グローバルIPが必要です。

Hasegawa-FortiSASE-SPA (3).png

ライセンス

参考までに、FortiSASEとFortiSASEと関わる製品で利用するライセンスをまとめました。

今回は、FortiGateに適用するFortiSASE secure private access(SPA)ライセンスが必要です。

Hasegawa-FortiSASE-SPA (4).png

ネットワーク環境

本記事で実施した構成です。

改めて、資料ではFortiGateのwan1がFQDNになっていますが、FortiSASE上で設定する値はグローバルIPとなります。

Hasegawa-FortiSASE-SPA (5).png

IPSecVPNトンネルの中では、BGPによる動的ルーティングで、FortiSASEへルーティング情報を伝える動作になります。

Hasegawa-FortiSASE-SPA (6).png

FortiGate側の設定

FortiSASEからのIPSecVPN接続受付および、BGPによるルーティングの設定を行います。

Hasegawa-FortiSASE-SPA (7).png

IPSecVPNトンネル内でBGPのやり取りを行うために、トンネル内にIPを設定します。

Hasegawa-FortiSASE-SPA (8).png

BGPのパラメータを設定します。

もしFortiSASE経由でFortiGateを超えた後、さらにルーティングが必要な場合は、"redistribute" パラメータを併用してルーティングを追加します。

Hasegawa-FortiSASE-SPA (9).png

IPSecVPNトンネルから拠点/データセンターへアクセスするためのファイアウォールを設定します。

Hasegawa-FortiSASE-SPA (10).png

FortiSASE側の設定

Network >> Secure Private Access(図ではPrivate Access)から、セキュアプライベートアクセス設定を行います。

Hasegawa-FortiSASE-SPA (11).png

FortiSASE上のファイアウォールで適用するセキュリティプロファイルを設定します。

注意点としては、インターネットアクセス向けと、セキュアプライベートアクセス向けが分かれているため、設定箇所を間違えないようにします。

Hasegawa-FortiSASE-SPA (12).png

FortiSASEを通過させるファイアウォールポリシを作成します。

セキュリティプロファイルと同様に、インターネットアクセス向けと、セキュアプライベートアクセス向けが分かれているため、設定箇所を間違えないようにします。

Hasegawa-FortiSASE-SPA (13).png

セキュアプライベートアクセス先で名前解決を行う場合

拠点やデータセンター内で、独自の名前解決が必要な場合は、分割DNS(Split DNS)設定を行います。

今回のネットワークでは、cent1.sbcas.local というプライベートネットワークで利用する名前解決を行います。

Hasegawa-FortiSASE-SPA (14).png

Configration >> DNS

より、分割DNS(Split DNS) Rulesを作成します。

Hasegawa-FortiSASE-SPA (15).png

DNSサーバのIPアドレスと、問い合わせを行うドメインを指定します。

Hasegawa-FortiSASE-SPA (16).png

実際にテストを行った場合、社内ネットワークでも名前解決ができることが確認できます。

Hasegawa-FortiSASE-SPA (17).png

動作確認

エージェント(FortiClient)を利用して、FortiSASEへ接続します。

Hasegawa-FortiSASE-SPA (18).png

FortiSASE上では、FortiGateとIPSecVPN接続について正常にできていることが確認できます。

※PoPs は4つあるため、4つのFortiSASEから、FortiGateにIPSecVPN接続が行われます。

Hasegawa-FortiSASE-SPA (19).png

FortiGate側も4つのIPSecVPNトンネルがアップしていることを確認できます。

Hasegawa-FortiSASE-SPA (20).png

ルーティングテーブルを見ると、BGPでそれぞれのFortiSASEのPoPsに対するルーティング情報を確認できます。

Hasegawa-FortiSASE-SPA (21).png

端末からセキュアプライベートアクセス先のサーバにアクセスを行います。

Hasegawa-FortiSASE-SPA (22).png

分割DNSにより、セキュアプライベートアクセス先で利用している名前解決も可能です。

Hasegawa-FortiSASE-SPA (23).png

トレースルートを行うと、IPSecVPNトンネルを通ることも確認できます。

Hasegawa-FortiSASE-SPA (24).png

セキュアプライベートアクセス利用の際の注意点

FortiSASEのセキュアプライベートアクセスでは、あらかじめ5つのセグメントが予約されています。

導入する際は、セグメントが重複していないか確認いただき、重複している場合はセグメントの変更が必要になります。

Hasegawa-FortiSASE-SPA (25).png

いかがでしたでしょうか。

FortiSASEのセキュアプライベートアクセス構成は、既存資産のFortiGateを有効に活用することができます。

ZTNA方式の場合は、アクセス先ごとにルールを作成する必要があるため、ルールの作成が手間でしたが、セキュアプライベートアクセスによってIPSecVPNと同じように作成ができ、さらにポスチャーチェックを利用するなどゼロトラストとしても活用できます。

以上、ご拝読ありがとうございました。


※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡