2つの独立したVLANがあります。プライベートアクセスをどのように展開しますか?
アプリケーションのアクセス許可を管理するには、プライベートアクセスルールを作成することが不可欠です。
シナリオ
あなたの会社は、互いに通信できず、それぞれのネットワーク外部からアクセスできない2つの独立したVLANを運用しています。各VLANは複数の内部サービスをホストしています。ネットワーク外部にいる2人の従業員がこれらのサービスにアクセスしようとしています。
あなたのVLANと内部サービス
|
VLAN
|
内部サービス
|
|
VLAN_1
|
|
|
VLAN_2
|
|
コネクタグループをデプロイ
まず、コネクタグループを作成し、コネクタを展開します。コネクタグループはVLANを公開し、外部ユーザが内部でホストされているサービスにアクセスできるようにします。
2つの独立したVLANがあるため、VLAN_1に1つ、VLAN_2に1つのコネクタを展開する必要があります。
内部アプリケーションを作成
コネクタを展開した後、コネクタが内部ネットワーク上でアクセス可能なアプリケーションを識別できるようにするために、Trend Vision Oneコンソールで内部アプリケーションを追加することが重要です。
ユーザアクセス用のサービスが4つあるため、これらのサービスに対応する4つの内部アプリケーションを作成する必要があります。
このシナリオでは、
Service_1とService_2を内部アプリケーションとして追加する際、両方のサービスはConnector Group 1に割り当てられるべきです。このコネクターグループはサービスと同じVLANに展開されています。逆に、Service_3とService_4はConnector Group 2に割り当てられるべきです |
注意現在、内部アプリケーションを設定しています。ユーザはSecure Access Moduleを搭載したデバイスを通じてこれらのアプリケーションにアクセスできます。ただし、特定の内部アプリケーションへのアクセスは、恒久的な権限を持つユーザに制限されています。
さらに、
内部アプリへのアクセスのためのデフォルトルールというタイトルのデフォルトルールは、すべてのユーザが内部アプリケーションにアクセスすることをブロックします。 |
プライベートアクセスルールの作成
私たちが作成したアプリケーションのアクセス許可を管理するためには、プライベートアクセスルールを作成することが不可欠です。
例えば、サービス1とサービス2は従業員Aと従業員Bの両方がアクセス可能です。しかし、サービス3は従業員Aに限定されており、サービス4は従業員Bのみがアクセス可能です。
|
VLAN
|
アクセス可能者
|
|
|
VLAN_1
|
サービス_1
|
|
|
サービス_2
|
|
|
|
VLAN_2
|
サービス_3
|
従業員A
|
|
サービス_4
|
従業員B
|
次に、これらのユーザのために、プライベートアクセスルールRule Allow AとRule Allow Bを作成します。
- ルール許可A: このルールは従業員Aにサービス1、2、3へのアクセスを許可します。
- 選択されたユーザ/ユーザグループ: Employee A
- 選択されたアプリ: サービス1、2、3
- アクション: 内部アプリへのアクセスを許可
- ルール許可B: このルールは従業員Bにサービス1、2、4へのアクセスを許可します。
- 選択されたユーザ/ユーザグループ: Employee B
- 選択されたアプリ: サービス1、2、4
- アクション: 内部アプリへのアクセスを許可
デフォルトルールがすでにアクセスをブロックしているため、従業員Aは引き続きサービス4にアクセスできず、従業員Bは引き続きサービス3にアクセスできません。