Umbrella SIG Advantageライセンスを購入してブラウザアイソレーション機能を試してみた
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Umbrella SIG Advantageライセンスを購入してブラウザアイソレーション機能を検証してみました。
新しい、Umbrella SIG Advantageライセンスについては以前の記事をご参照ください。
今回、検証するブラウザアイソレーション機能はUmbrella SIG Essentials、Advantage共にオプションライセンスとなります。
ブラウザアイソレーション機能とは
以前の記事で取り上げましたが、自治体情報システム強靭性向上モデル等で取り上げられたブラウザ分離、仮想ブラウザの機能になります。仮想ブラウザ側で描画して画面情報のみを表示して実データは端末側に送られないためセキュリティパッチが当てられない状況やゼロデイ攻撃に効果があります。
ブラウザアイソレーション ポリシー設定
1.宛先カテゴリを作成するため、「ポリシー」-「ポリシーコンポーネント」-「コンテンツカテゴリ」を選択します。
2.設定名を命名して、カテゴリを選択します。今回は全ての送信先をブラウザアイソレーションするため「SELECT ALL」で設定しました。
送信先はライセンス種別で異なりますので利用ライセンスに合わせてください。
3.Webポリシーでブラウザアイソレーションポリシーを追加します。「ポリシー」-「管理」-「Webポリシー」を選択します。
4.新規でルールセットを作成、ルールの追加をします。ルールアクションは「分離」を選択します。
5.アイデンティティ(送信元)をルールセットと同じにします。
6.送信先を先程設定した、コンテンツカテゴリに設定します。注意点は「任意の接続先」にするとルールにヒットしなくなります。
コンテンツカテゴリを選択後に適用します。
7.ルールを保存します。
8.ルールを有効化します。
9.ルールセット内の設定をします。「ルールセットアイデンティティ」と「HTTPS検査」は必須になります。
設定は以上になります。
動作確認
1.今回はネットワークアイデンティティ+PACファイルにてPC側を準備しました。グローバルIPアドレスの登録とPCにPACファイルのURL登録をします。
2.PCのブラウザからアクセスするとブラウザの右下に下記のマークが現れます。このマークが出ているとアイソレーションされている状況になっています。
今回、送信先を「任意の接続先」にするとルールヒットせずブラウザアイソレーション機能が動作しない事象切り分けに時間がかかりました。
どの送信元、送信先でどのルールにヒットするかはダッシュボードのWebポリシーテスターで分かるので切り分けに利用すると便利です。
今回はUmbrellaの ブラウザアイソレーション機能を検証をしてみました。
