Service Gateway仮想アプライアンスを導入し、Zero Trust Internet Access On-Premises Gatewayサービスを有効にします。
ゼロトラストインターネットアクセスオンプレミスゲートウェイサービスは、プロキシサーバを介した次の外部接続をサポートします。
-
最新の設定とポリシーを取得するための Trend Vision One との通信
-
WebレピュテーションサービスやActiveUpdateなどのサービスへのクエリ
-
HTTPとHTTPSの両方のエンドユーザWebトラフィックを最終的な送信先に転送する
重要Internet Access On-Premises Gatewayには、大量のシステムリソースが必要です。システムパフォーマンスへの悪影響を避けるため、他のサービスがインストールまたは有効化されていないアプライアンスに
トレンドマイクロ ゲートウェイを設定することをお勧めします。
|
手順
- Trend Vision One コンソールで、 に移動します。
- [ゲートウェイ] タブで、 [新しいオンプレミスゲートウェイを配置]をクリックします。
- [Service Gateway Inventoryに移動]をクリックして、オンプレミスのインターネットアクセスゲートウェイを設定します。
重要
Service Gateway2.0以降でのみ、ゼロトラストインターネットアクセスオンプレミスゲートウェイサービスがサポートされます。- 会社の場所を識別する既存のService Gatewayを選択するか、新しいService Gateway仮想アプライアンスをデプロイするゼロトラストインターネットアクセスオンプレミスゲートウェイサービスの場合。
重要
インターネットアクセスオンプレミスゲートウェイサービスを使用する場合は、Service Gatewayでクラウドサービス拡張機能を無効にしてください。クラウドサービス拡張機能により、オンプレミスゲートウェイの通常の動作が妨げられる可能性があります。詳細については、 Service Gatewayの設定を参照してください。 - ゼロトラストインターネットアクセスオンプレミスゲートウェイサービスをインストールして有効にします。詳細については、Service Gatewayでのサービスの管理 。
- 会社の場所を識別する既存のService Gatewayを選択するか、新しいService Gateway仮想アプライアンスをデプロイするゼロトラストインターネットアクセスオンプレミスゲートウェイサービスの場合。
- 配信完了後、サービスステータスとオンプレミスゲートウェイのその他の情報を[Internet Access and AI Service Access Configuration]のオンプレミスゲートウェイで確認します。
- オンプレミスゲートウェイの設定をするには、編集アイコン ().をクリックします。次の表はオンプレミスゲートウェイの使用可能な設定の概要と設定オプションについての説明を示しています。設定オプション基本設定企業の場所の名前と対三ゾーンを更新し、必要に応じてオプションの説明を追加します。
-
デフォルトのロケーション名は、オンプレミスゲートウェイを実行しているService Gateway仮想アプライアンスのホスト名です。
ユーザ認証-
Secure Access Moduleをインストールせずに接続するエンドポイントにユーザ認証を要求する
-
Secure Access Moduleをインストールせずに接続するエンドポイントでユーザ認証を無効にすると、接続されたすべてのエンドポイントで認証不要のインターネットアクセスルールが適用されます。
-
Secure Access Moduleなしで接続するエンドポイントにユーザ認証を要求する場合は、次の項目を選択または作成できます。
-
ユーザ認証を常にバイパスする可能性のある、 Secure Access Moduleを持たない接続されたエンドポイントのプライベートIPアドレスグループ
-
ユーザ認証をバイパスすることのない、接続されたエンドポイントのプライベートIPアドレスグループ
-
-
上位プロキシルール特定のIPアドレス、ドメイン、またはサブドメインへのデータトラフィックに対してアップストリームプロキシルールを有効にする-
さまざまなプロキシオプションを使用して、最大10個のルールを設定できます。
-
詳細については、アップストリームプロキシルールの設定を参照してください。
ログ転送Common Event Format (CEF) syslog形式の検出ログまたはアクティビティデータを Trend Vision Oneにアップロードするかどうかを選択します。-
アクティビティデータをSyslogサーバに送信するには、サーバとの通信に使用するサーバのアドレス、ポート、およびプロトコルを指定します。
- インターネットアクセスログアウトプットと CEF syslog形式のコンテンツマッピングの詳細については、Syslogコンテンツのマッピング - CEFを参照してください。
ICAPの統合-
オンプレミスゲートウェイをインターネットコンテンツアダプテーションプロトコル (ICAP) サーバとして有効にし、HTTP要求の脅威対策またはデータ損失対策 (DLP) を処理します (初期設定のポートは1344)。
-
提供されたRECMODおよびRESMODのURLを使用して、ICAPクライアントを設定します。
-
-
ICAP over SSLを有効にして、ICAPクライアントをオンプレミスゲートウェイに安全な接続 (初期設定のポート番号11344) で接続します。
-
初期設定のSSL証明書を使用することも、秘密鍵とパスフレーズを含むカスタム証明書を提供することもできます。
-
-
目的のICAP対応および要求ヘッダを選択します。
重要
ICAPが有効になっているオンプレミスゲートウェイは、ICAP v1.0準拠のプロキシサーバとのみ統合でき、次の機能はサポートされません。-
HTTPS復号
-
ボットネット検出
-
テナントの制限
-
デバイスポスチャベースのアクセス制御
-
エンドユーザ認証
-
リスク管理ルール
-
帯域幅制御
Deep Discovery Analyzer既存のDeep Discovery Analyzer Applianceを統合して設定し、オンプレミスゲートウェイからファイルサンプルを収集して分析します。ヒント
プライマリとセカンダリの両方のDeep Discovery Analyzer Applianceを設定すると、Applianceの可用性が向上します。 -
- [保存] をクリックします。
- HTTP/HTTPSトラフィックをオンプレミスゲートウェイに転送するようにPACファイルを設定して適用します。
- プロキシ設定に使用するオンプレミスゲートウェイの1つまたは複数のPACファイルに完全修飾ドメイン名またはIPアドレスを追加します。
- 配信されたSecure Access ModulesにPACファイルを適用 します。
- 帯域幅制御を設定して、オンプレミスゲートウェイでのネットワークパフォーマンスを最適化します。