SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Cato Networks】Cato SDP ClientのAlways-ONについて

  1. ホーム
  2. 技術ブログ
  3. Cato Networks
  4. 【Cato Networks】Cato SDP ClientのAlways-ONについて
Cato Networks
2023.12.18

Cato SDP Clientの自動接続について

Catoといえば、ソケットを使った拠点間におけるSASE(SD-WAN機能)が代名詞になっていますが、SDP利用つまり、SSEやZTNAとしての利用も優れた利便性を持っています。

Catoのアーキテクチャは一般的なSSE製品のWebプロキシとは異なり、ファイアウォールとなっているため、SDPユーザーのアクセス先のPoPは必ず1つであり、このPoPによってすべてのSASE処理ができます。
この仕組みによって生まれる利点としては、ユーザーがアクセスしようとしているサイト(パブリック/プライベート)に関わらず、Cato SASE Cloud上でファイアウォール、IPS、アンチマルウェアやDLPといったスキャンを行うことができるといったメリットに繋がります。

さて今回はCatoの中でも採用ケースが増えている、Cato SDP Clientの"Always-On"についての機能解説です。

Cato SDP Client Always-On

Cato SDP Clientは先に述べたように、ユーザーに対して1つのCato PoPへ接続させるという方法を使っています。
ユーザーは常に最寄りのCato PoPへ接続させることで、どんなサイトへアクセスする際も、Cato PoP上のファイアウォールベースに様々ななセキュリティ機能を適用された状態で各種データへ安全な状態でアクセスが可能となります。
通常では、Cato PoPへの接続はユーザーの意思によって、ON/OFFができてしまうので、場合によってはユーザーが故意にCato SDP ClientをOFFにしてしまうかもしれません。

その"故意"を防ぐのが"Always-On"と呼ばれる機能です。
この機能はユーザーがインターネットへ接続を行うタイミングから、常時Cato SASE Cloudへ接続させ、"故意"に切断をさせないようにするセキュリティガバナンスを強化する機能です。
Always-On時のCato SDP Clientの状態 Ondemand時のCato SDP Clientの状態
always-on2.png always-on3.png
並べると違いがわかりますが、Always-Onの場合はON/OFFボタンが無効化されてしまいます。

このAlways-Onによってユーザーはインターネットに接続すると、必ずCato SASE Cloudへすべての通信を転送する形になるため、どんな回線(カフェ、自宅、出張先などのフリーWiFiなど)を使っても、安全で快適であり、また同時に企業・組織のコンプライアンスに沿ったアクセスができるという仕組みです。(Catoの特徴は先に述べたように、ファイアウォールであるため、DNSを始め、IP通信はすべてCato上に転送されてスキャンの対象となります)

Always-Onの設定は簡単

Always-ONの設定は、CMA(Cato Management App)から有効化するだけです。
対象は、ユーザー、デバイスなどの条件をもとに適用ができるため、Always-Onを有効化するユーザーとそうでないユーザーのポリシーを分けることができます。
Always-ON Settings.png
さらにAlways-ONの対象は、Windowsを始め、macOS, iOS, Androidのデバイスが対象です。

Always-ONが有効化された端末は、自動的にCato SASE Cloudを通して、次回ログイン以降に設定が強制されます。その後Cato SDP Client上からON/OFFができない状態となるため、Always-ONが適用された端末は常にCato SASE Cloudへ接続しつづけることになります。
テレワーク、モバイルワークが主体の利用ならもはや必須の機能と言えるでしょう。インターネットさえあれば、組織内のデータ、パブリックサイトへ安全性を確保しながらアクセスできるます。

疑問 Always-Onを使って社内ネットワークに接続したらどうなるの?

よくあるお問い合わせの一つです。Always-Onは確かに便利な機能ではあるものの、社内ネットワーク、つまりVPN接続を必要としないネットワークへ接続した場合もCatoを経由してしまうんではないか?という疑問です。
社外からアクセスする場合は、もちろんCato経由で問題ないが、社内ネットワークだと、Cato経由になることで遅延が心配、ソケットとの2重トンネル問題などを想定した疑問が多くあります。
この疑問については、ユーザーの環境にもよるのですが、今回は2つの例にCatoのAlways-Onを便利に使う方法を紹介します。

パターン1: Office Modeを使う

オフィスモード(Office Mode)とは、Cato上でデフォルトで有効化されている機能であり、Cato SDP Client自体が自身の居場所を自動的に判断し、Cato PoPへの接続方法を自動調整する機能です。

always-on4.png



一般的な前提としては、社内ネットワークはCatoのソケット等によってCato PoPへ接続されていて、社外からSDP Clientを利用してアクセスするケースを想定します。
つまり、社内ネットワークについては、SDP Clientを利用しなくても、ソケットによってCato PoPへ接続できることになるため、社内ではSDP Clientを使ったPoP接続が不要です。

この場合Cato SDP Clientでは自身のネットワークを自動で検出して、"Office Mode"という機能を使って、社内にいることを検知し、SDP機能をサスペンドします。

もしその状態でテザリングや社外ネットワークへ接続した場合は、"Office Mode"を自動で解除し自動でSDP接続に切り替えるため、とても便利な機能が搭載されています。

パターン2: Trusted Networkを使う

トラステッドネットワーク(Trusted Network)は比較的新しい機能です。
ユーザーのネットワークである条件を予めCato上で定義します。

CatoSBCS-POC - Trusted Networks 2023-12-14 13-19-09.png

定義可能な条件は以下の通り

  • HTTPSのレスポンス
  • DNSの名前の解決
  • Ping (ICMP)の応答 ホスト名を使う
  • Ping (ICMP)の応答 IPアドレスを使う

を複数組み合わせて、信頼されたネットワークの状態になっているかを検証することができます。
信頼されたネットワーク内であれば、特定のネットワーク内のサーバーの応答があるかどうかで、ユーザーが接続されているネットワークかどうかの判定ができます。

CatoSBCS-POC - Trusted Networks 2023-12-14 13-23-42.png

もしユーザーの信頼されたネットワーク上に存在すると判定された場合は、"ユーザーの意思において" SDP Clientの一時解除を行う権利が生まれます。

trustednetwork.png

わかりにくいですが、Always-Onの状態でもDisconnectedにすることができます。

オフィスモードは、Always-Onの状態(ON)の状態から自動的にOFFへ移動。社外ネットワークの場合は強制ONの状態へ移動する。
トラステッドネットワークは、社内ネットワークであると判定された場合にかぎり、ユーザーの判断によって、SDPをOFFにすることができる。

という2つの機能を持ち合わせています。

推測ですが、オフィスモードが利用されるケースとしては、一般的に社内においては、Cato(ソケットなど)を使ったネットワークが構成されている前提であり、SDPをOFFにしても同じセキュリティポリシーを維持できることが前提になっています。
一方、トラステッドネットワークは、社内がCato環境では構築されていないものの、安全な状態が担保できていて、かつCato PoP経由だと通信上問題があるような場合に利用されることを想定しているのではないかと思っています。

Cato SDP Clientはネットワークの状態が変わると都度SDPアクセス、オフィスモード、Trusted Networkなのかをチェックし、もちろん信頼しないネットワークに接続すると、強制的にSDP接続となります。

まとめ

Cato SDP ClientのAlways-Onはとても便利な機能です。
一見すると、ユーザーにとっては、強制的に通信の可視化、制御が行われてしまうので、ユーザーにとってメリットがわからない機能と思ってしまいますが、SASEにおいては従来のVPNとは大きく変わります。
CatoのようなSASE製品の場合、クラウド上にPoPが配備されていて、そのPoPは複数のシステム、ロケーションによって可用性が保たれています。
そして、PoPはインターネットを介してどこからでもアクセスできるため、PoPにさえ接続できれば、安全かつ快適にネットワークを使うことをシステム側が担保してくれるわけです。

例えば、出張先で、会社から支給されたSIM(3G/4G/5G)を使うより、ホテルのWi-Fiのほうが快適なネットワークの場合もあります。
今まではフリーWi-Fiや公衆無線LANを使うリスクを恐れるばかりで、企業/組織側で利用できるネットワークを制限するケースが多くあります。ユーザーに自身のいる環境を認識させて、ユーザー判断でVPNを使うかどうかを委ねています。
ユーザーにとっては、業務を効率よく行うためのインターネットも、複雑なルールが有る場合は、迷いがうまれて、ちょっとしたことがヒューマンエラーを引き起こす可能性があります。
そこに、CatoのようなSASEは、たとえどんなインターネット回線を使ったとしても、端末からPoPまでの接続を暗号化し、すべての通信をPoPへ転送する仕組みを持っていれば、ユーザーが便利に利用できるネットワークの選択の幅が広がります。

ゼロトラストネットワークではユーザーがネットワークやセキュリティを意識しなくても、システム側で環境を把握、適切なルール適用をしてあげることで、ユーザーの利便性と安全、そして管理性を同時に高めることができるツールになります。

SASEのリモートワーカーへの双方向通信は実現できる

【Cato Networks】リモートアクセスを更に便利にする機能 リモートユーザーのIP固定機能が搭載

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部
宮本 世華

釣りが好きです。

Related Posts

関連記事