Cisco Duo Network Gateway(DNG)のセキュリティ対策
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cisco Duo Network Gateway(DNG)のセキュリティ対策についてご紹介します。
Cisco Duo Network Gateway(DNG)とは
Cisco Duo Network Gateway(DNG)はLinuxOSのDockerベースアプリケーションでインターネットからDuo認証後に内部リソースにプロキシ出来るサーバとなります。
Cisco Duo Network Gateway(DNG)で利用可能なサービス
- Webリバースプロキシ
- リモートデスクトップ(RDP)
- SSH
- SMB
利用するには最上位のBeyondライセンスが必要となります。
Cisco Duo Network Gateway(DNG)のセキュリティ対策
- DNGは一般的な外部公開サーバと同様となり、個別にセキュリティ対策が必要
- 多層防御の観点から、セキュリティ製品(UTM製品)の導入も推奨
| 分類 | セキュリティ対策 | 実装例 |
|---|---|---|
| サーバセキュリティ | マルウェア対策 | * clamAV * McAfee Endpoint Security for Linux |
| OSパッチの最新化 | * yum * apt * YaST Online Update | |
| DNGのアプリケーション保護 | * SElinux * AppArmor | |
| DNGアプリケーションの最新化 | * docker経由のアップデート | |
| ホストレベルのファイアウォール | * firewalld * iptables | |
| NWセキュリティ | 不正侵入対策(IPS) | DNGの前段にUTMを導入し各種機能を有効化 |
| 暗号通信の復号化・分析(SSLインスペクション) | ||
| 国単位のアクセス制限(ジオロケーション) |
Cisco Duo Network Gateway(DNG) サーバセキュリティ ホストFWの設計注意事項
- Cisco Duo Network Gateway(DNG)が動作するDocker以外のホストアプリケーション宛通信はfirewalldの通常の制御(ゾーンと紐づくIF)に従って通信制御される
- Docker(DNG)宛の通信は全て独自のIF [例:docker0]→dockerゾーン→iptables→dockerのフローで通信制御が行われる
その為、通信制御はfirewalldではなくiptablesで実装する手法が公式ドキュメント※に記載されている - IF「docker0」の削除は可能だが、docker daemonの再起動で元に戻ってしまう
- 公式ドキュメント
Cisco Duo Network Gateway(DNG) ネットワークセキュリティ (UTM構成例)
- 国内のみでサービスを提供する場合はUTMでのジオロケーション機能でアクセス可能な国を制限する
- UTM側でIPS/マルウェア対策を実装する
まとめ
- Cisco Duo Network Gateway(DNG)はDuo認証後に内部リソースにアクセスできるサーバ
- 公開サーバとなるためセキュリティ対策は別途必要
サーバセキュリティ
NWセキュリティ
今回はCisco Duo Network Gateway(DNG)のセキュリティ対策についてご紹介しました。
