オンプレミスのインターネットアクセスゲートウェイの配置

手順

1. Trend Vision One コンソールで、 Zero Trust Secure Access → Secure Access Configuration → [Internet Access and AI Service Access Configuration]に移動します。
2. [ゲートウェイ] タブで、 [新しいオンプレミスゲートウェイを配置]をクリックします。
3. [Service Gateway Inventoryに移動]をクリックして、オンプレミスのインターネットアクセスゲートウェイを設定します。

   重要 Service Gateway2.0以降でのみ、ゼロトラストインターネットアクセスオンプレミスゲートウェイサービスがサポートされます。

   1. 会社の場所を識別する既存のService Gatewayを選択するか、新しいService Gateway仮想アプライアンスをデプロイするゼロトラストインターネットアクセスオンプレミスゲートウェイサービスの場合。

      重要 インターネットアクセスオンプレミスゲートウェイサービスを使用する場合は、Service Gatewayでクラウドサービス拡張機能を無効にしてください。クラウドサービス拡張機能により、オンプレミスゲートウェイの通常の動作が妨げられる可能性があります。詳細については、 Service Gatewayの設定を参照してください。

   2. ゼロトラストインターネットアクセスオンプレミスゲートウェイサービスをインストールして有効にします。詳細については、Service Gatewayでのサービスの管理 。
4. 配信完了後、サービスステータスとオンプレミスゲートウェイのその他の情報を[Internet Access and AI Service Access Configuration]のオンプレミスゲートウェイで確認します。
5. オンプレミスゲートウェイの設定をするには、編集アイコン ().をクリックします。
   • 基本設定を構成し、企業の所在地名やタイムゾーンを設定し、必要に応じてオプションの説明を追加します。デフォルトの所在地名は、オンプレミスゲートウェイを実行しているService Gateway Virtual Applianceのホスト名です。
   • オンプレミスゲートウェイのサービスモードを選択し、必要な設定を構成します。
   以下の表は、オンプレミスゲートウェイで利用可能なサービスモードを概説し、構成オプションを説明します。

   サービスモード	設定オプション
   転送プロキシ	フォワードプロキシモードでは、次の設定を構成できます: [ユーザ認証]: Secure Access Moduleがインストールされていないエンドポイントに接続するためにはユーザ認証が必要です 必要に応じて、選択または作成 ユーザ認証を常にバイパスする可能性のある、 Secure Access Moduleを持たない接続されたエンドポイントのプライベートIPアドレスグループ ユーザ認証をバイパスすることのない、接続されたエンドポイントのプライベートIPアドレスグループ 注意 Secure Access Moduleがインストールされていないエンドポイントに対するユーザ認証を無効にすると、接続時にエンドポイントにインターネットアクセスルールが適用されます。 [上位プロキシルール]:特定のIPアドレス、ドメイン、またはサブドメインに送信されるデータトラフィックに使用されるアップストリームプロキシを指定するためにアップストリームプロキシルールを有効にします さまざまなプロキシオプションを使用して、最大10個のルールを設定できます。 詳細については、アップストリームプロキシルールの設定を参照してください。
   ICAP	オンプレミスゲートウェイがインターネットコンテンツ適応プロトコル（ICAP）サーバーとして機能し、HTTPリクエスト（デフォルトポート1344）に対する脅威保護や情報漏えい対策（DLP）を処理できるようにします。提供されたRECMODおよびRESMOD URLを使用して、ICAPクライアントを構成します。 ICAP クライアントを安全な接続（デフォルトポート 11344）でオンプレミスゲートウェイに接続するために、ICAP over SSL を有効にします。デフォルトの SSL 証明書を使用するか、秘密鍵とパスフレーズを含むカスタム証明書を提供することができます。 必要に応じて、使用する特定のICAP対応およびリクエストヘッダーを選択します。 重要 ICAP サービス モードのオンプレミス ゲートウェイは、ICAP v1.0 準拠のプロキシ サーバーとしか統合できず、次の機能をサポートしません: HTTPS復号 HTTP/HTTPSトラフィックフィルタ ボットネット検出 テナントの制限 デバイスポスチャベースのアクセス制御 エンドユーザ認証 リスク管理ルール 帯域幅制御 レート制限
   リバースプロキシ	重要 リバースプロキシモードを使用するには、Service Gatewayおよび対応するインターネットアクセスオンプレミスゲートウェイサービスを最新バージョンに更新していることを確認してください。 リバースプロキシモードによって有効化されたレート制限機能は、プライベートな生成AIサービスを保護するオンプレミスゲートウェイにのみ適用されます。 生成AIサービスを保護するオンプレミスゲートウェイは、リクエストを受信および管理するために、サービスをホストするサーバーの前に配置する必要があります。 リバースプロキシモードを有効にすると、オンプレミスゲートウェイが構成されたプライベートアプリまたは生成AIサービス（デフォルトポート8088）へのHTTPリクエストに対して、アクセス制御、脅威保護、情報漏えい対策（DLP）、またはレート制限を適用できます。詳細については、リバースプロキシモードの構成を参照してください。 HTTPSリスニングポートを有効にして、セキュアなリクエストを処理します（デフォルトポートは8443）。デフォルトのSSL証明書を使用するか、プライベートキーとパスフレーズを含むカスタム証明書を提供することができます。 保護したいプライベートアプリの名前を提供し、それが一般アプリかプライベート生成AIサービスかを指定してください。 必要に応じて、プライベートアプリに使用されるFQDNまたはIPアドレスとポート、およびFQDN/IPを経由するトラフィックの重み（0から100パーセント）を指定します。最大10個のFQDNまたはIPアドレスを提供できます。 一度リバースプロキシモードが設定されると、保護されたアプリがプライベート生成AIサービスである場合、オンプレミスゲートウェイへのリクエストを対象とするレート制限ルールを設定できます。詳細については、レート制限ルールの管理を参照してください。 重要 プライベート生成AIサービスを保護し、接続エンドポイントにレート制限を適用するためにリバースプロキシモードを使用するには、プライベート生成AIサービスをホストしているサーバーを構成して、元のエンドポイントIPアドレスをX-Forwarded-Forリクエストヘッダーに追加する必要があります。そうしないと、オンプレミスゲートウェイはエンドポイントを識別できません。

6. 必要に応じて、オンプレミスゲートウェイの追加設定を構成します。
   次の表は、オンプレミスゲートウェイを構成する際に有効にすることができる追加設定について説明しています。

   設定	説明
   ログ転送	Trend Vision One に検出ログまたはアクティビティデータをアップロードするか、アクティビティデータを Common Event Format (CEF) で別の syslog サーバーに送信するかを選択します。 アクティビティデータをSyslogサーバに送信するには、サーバとの通信に使用するサーバのアドレス、ポート、およびプロトコルを指定します。 インターネットアクセスログアウトプットと CEF syslog形式のコンテンツマッピングの詳細については、Syslogコンテンツのマッピング - CEFを参照してください。
   Deep Discovery Analyzer	既存のDeep Discovery Analyzer Applianceを統合して設定し、オンプレミスゲートウェイからファイルサンプルを収集して分析します。 ヒント プライマリとセカンダリの両方のDeep Discovery Analyzer Applianceを設定すると、Applianceの可用性が向上します。

7. [保存] をクリックします。
8. HTTP/HTTPSトラフィックをオンプレミスゲートウェイに転送するようにPACファイルを設定して適用します。
   1. プロキシ設定に使用するオンプレミスゲートウェイの1つまたは複数のPACファイルに完全修飾ドメイン名またはIPアドレスを追加します。
   2. 配信されたSecure Access ModulesにPACファイルを適用 します。
9. 帯域幅制御を設定して、オンプレミスゲートウェイでのネットワークパフォーマンスを最適化します。