Catoクライアントによるルーティング(スプリットトンネルポリシー)

この記事では、スプリットトンネル ポリシーに基づく Cato クライアントのトラフィック ルーティング ルールを集中管理する方法について説明します。

概要

CatoクライアントはユーザートラフィックをCato CloudへのDTLSトンネルを確立することによって保護します。 スプリットトンネルポリシーは、どのトラフィックがこの安全なトンネルを通過するか、どのトラフィックがそれをバイパスしてローカルネットワークインターフェースを直接通過するかを制御します。 ポリシーは、ルーティング動作の柔軟で集中的な管理をサポートします。

Cato Cloudを通じてルーティングされたトラフィックは、完全なセキュリティ検査と施行、およびCatoバックボーン上の経路最適化の恩恵を受けます。 しかし、リアルタイムメディアサービスのパフォーマンスを最適化する場合や、サードベンダーと一緒に運用する場合など、適応ルーティングを必要とする状況もあります。

ルールは、ユーザーの身元、ジオロケーション、オペレーティングシステム、ソースネットワークなど、複数の基準に基づいて一致します。 包括的または例外に基づくルールのいずれかを定義できます。 例:

  • アイデンティティ - 特定のユーザーまたはユーザーグループに選択的にルーティングルールを適用します
  • デバイス - ルーティングルールが適用されるOSと国を選択します
  • ソースネットワーク - 管理されているまたは管理されていないネットワークに基づいてトラフィックのルーティングを行います

ルーティング設定は以下をサポートします:

  • ユーザートラフィック:

    • Cato Cloudにすべてのトラフィックを転送し、内部アプリケーションやベンダーホストのリソースに対して特定の除外を設けます
    • レガシーVPNソリューションを置き換えるために、一部の選択されたトラフィックのみをルーティングします
    • Catoクラウドを通じてWeb専用のトラフィックのみをルートし、他のトラフィックはローカルで抜けることを許可します。

  • DNSトラフィック:

    • 指定されたドメインに対して、ローカルDNSサーバーによるDNS解決をサポートします
    • DNS競合を防ぐために、サードパーティVPNが必要とするドメインに対してローカルDNS解決をサポートします

このレベルの制御により、セキュリティカバレッジを最適化しつつ、レイテンシーを最小限に抑え、信頼されたリソースへの直接アクセスを維持できます。

前提条件

以下の機能はWindowsクライアントv5.16以上でのみ利用可能です

  • DNS除外

    • ローカルファイアウォールで以下のアクセスを許可してください:

      • IPアドレス127.0.0.253
      • Cato Networks DNSサービス
      • DNSリレープロセス、dns-relay.exe

  • Web専用ルーティング

    • CatoクライアントがシステムPACファイルに書き込み権限を持っていることを確認してください

複数の管理者によるポリシーの改訂と同時編集

スプリット トンネル ポリシーでは、異なる管理者がポリシーを並行して編集できます。 各管理者は、ルールを編集して変更をルール ベースに保存し、それを独自のプライベートな改訂に発行し、アカウント ポリシー (発行された改訂) に発行できます。 ポリシー管理の詳細については、ポリシーリビジョンの作業を参照してください。

ユースケース

Catoインターネットセキュリティとリモートプライベートアクセス

ABC Companyは、Catoクライアントを常時オンを有効にしてユーザーにプロビジョニングします。 これは、オフィスに居る間もサードベンダーの背後で接続されていることを意味します。 管理者として、内部アプリケーションのトラフィックがサードベンダーによって保護され、オフィスのユーザーのためにCatoクラウドから除外されることを確認しています。 他のすべてのトラフィックはセキュリティのためにCatoクラウドに送信されます。

split_tunnel.png

スプリットトンネルポリシーでこの動作を実装するために2つのルールを設定します。

managed_network_exclude.png
  • ルール1は、管理された任意のネットワークの背後から発信されるユーザートラフィック用で、すべてのポートとプロトコルに適用されます。 除外されたDNSと宛先が定義されています。 これにより、トラフィックがCatoクラウドに送られないようになります。
  • ルール2は、未管理の任意のネットワークの背後から発信されるユーザートラフィック用で、すべてのポートとプロトコルに適用されます。 除外はなく、このトラフィックはCatoクラウドにルーティングされます。

軽量インターネットセキュリティ

ABC Companyは、CatoがSaaSアプリケーションおよび公共インターネットへのWebトラフィックのみを保護するよう求めています。 これにより、ユーザーが管理されたネットワークおよび未管理のネットワークから接続する場合に、Catoがサードベンダーと共存する必要があります。 これは、プロキシベースのアーキテクチャからCatoへの段階的なオンボードに適した軽量モードです。

注: Catoの前提条件に準拠するサードパーティVPNは、Web専用モードのWindows用Catoクライアントによって中断されるべきではありません。

Diagram2.png

スプリットトンネルポリシーでルールを作成し、すべてのWebトラフィックをCatoクラウドに送り、他のすべてのトラフィックは管理されたネットワークを通過させます。

スプリットトンネルポリシーの設定

スプリットトンネルポリシーは、順序付けられたルールベースであり、ルールが該当するかを順次チェックします。一度ルールが一致すると、優先度の低いルールは無視されます。 ユーザーがルールを満たすと、そのルールに基づいてトラフィックルーティング設定が適用されます。 ルールが満たされない場合、トラフィックは Cato クラウドを経由してルーティングされ、LAN アクセスが許可されます。

スプリットトンネル設定の例外としてIP範囲を含めるには、IP範囲をグローバルIPレンジエンティティに追加します。

Split_Tunnel_Policy.png

スプリットトンネルポリシーの概要

これらは、スプリットトンネルポリシー内のルール用に定義できる設定です:

  1. 一般設定(例:名前、説明)。
  2. ルールの適用先(ユーザーとグループプラットフォームソースネットワーク)。
  3. ルールが適用されるトラフィックの範囲、例えば、すべてのトラフィックまたはWebのみ
  4. トラフィックの範囲に対するルーティングポリシー。

基本スプリットトンネルルールの作成

このセクションでは、スプリットトンネルポリシーで基本的なルールを設定する方法について説明します。 ほとんどすべてのトラフィックをCatoクラウドにルーティングしたいと仮定しています。

スプリットトンネルルールのカスタマイズに関する情報は、以下を参照してください

To configure the Split Tunnel Policy:

  1. From the navigation menu, click Access > Split Tunnel Policy.

  2. 新規作成をクリックします。

    新規スプリットトンネルポリシールールパネルが表示されます。

  3. 以下の一般設定を設定します:

    • 名前
    • 説明
    • 位置

    ルールを適用するには、有効にすることを確認してください。

  4. ルールが誰に適用されるかを定義するには、以下を定義します:

    • ユーザーとユーザーグループ
    • プラットフォーム

  5. 設定の下で、以下を構成します:

    • 接続モードを選択セクションでは、このルールに含まれるトラフィックの範囲を選択します。

    • ルーティングポリシーの下で、スコープがどのようにルーティングされるかを決定します。 オプションは次のとおりです

      • すべてのトラフィックをCatoにルーティングする:トラフィックはCatoクラウドを介してルーティングされます。 インターネットに直接ルーティングする例外を定義できます。

        注: アウトバウンドLANアクセスをブロックする場合、このオプションはWindowsクライアントv5.6以上でのみサポートされます。

      • 選択したもののみをCatoにルートする:トラフィックは直接インターネットにアクセスし、Catoクラウドをバイパスします。 Catoクラウドを介してルーティングされる例外を定義できます。 アウトバウンドLANアクセスをブロックすることは、このオプションと対立しており、選択できません。
      • エンドユーザー定義: ユーザーは、どのトラフィックがCatoクラウドを通じてルーティングされ、どのトラフィックがCatoクラウドから除外されるかを設定するテキストファイルをクライアントにアップロードできます。 アウトバウンドLANアクセスをブロックすることは、このオプションと一緒に選択できません。
    • 宛先除外の下で、ルーティングポリシーが適用されないアプリやIP範囲を設定します

  6. LANアクセスを許可するかブロックするかを決定します

    同じ IPアドレスを持つサブネット間のトラフィックルーティングの競合を避けるために、競合が発生した場合には、アウトバウンドLANアクセスをブロックできます。 このオプションを使用することで、全方向トラフィックがカトクラウドにルーテッドされ、セキュリティが強化されます。 クライアントはリモートユーザーの家庭内ネットワークにあるLANホストへの接続がブロックされた。

  7. 適用をクリックします。
  8. スプリットトンネルポリシーの各ルールに対して、ステップ2-5を繰り返します。

  9. Enable the Split Tunnel Policy and then click Save.

    ルールが有効な場合はスライダーが緑色になり、無効な場合は灰色になります。

ソースネットワークをカスタマイズする

スプリットトンネルルールを作成する際に、管理されているまたは管理されていないかに基づいて、ソースネットワークによる異なるルーティングポリシーを決定できます。

トラフィックが未管理ネットワークにある場合、常に最初にCatoを通過します。 管理されたネットワーク上のトラフィックについては、トラフィックがCatoを通じてルーティングされるか、直接宛先に送られるかを決定できます。

注: ルールを適切に適用するためには管理ネットワークを有効化し、設定する必要があります。

ソースネットワークをカスタマイズするには:

  1. ナビゲーションメニューから、アクセス > スプリットトンネルポリシーをクリックします。
  2. 新しいルールを作成し、「上記」の手順2~4の設定を構成します。

  3. ソースネットワークセクションの下で、このルールが適用されるかどうかを決定します。

    • すべてのネットワーク
    • すべての未管理ネットワーク
    • すべての管理されたネットワーク
  4. 接続モード、ルーティングポリシー、および宛先で除外されたものを手順5~7で定義します。上記

Catoから除外されるトラフィックをカスタマイズする

スプリットトンネルルールを作成するとき、すべてのトラフィックをさらなるセキュリティ利益のためにCatoにルーティングし、特定のトラフィックを除外するルーティングポリシーを決定できます。 例えば、ローカルDNSサーバーに向かうトラフィックを検査する必要はありません。

注: 除外を含むルールを作成する場合、オペレーティングシステムをWindowsとして明示的に指定する必要があります。

以下の手順は、ローカルDNSトラフィックを除外しながら、すべてのトラフィックをCatoに送信するルールを設定する方法を説明しています。

注: このルールでもソースネットワークのカスタマイズを適用できます。

off-ramp_cato.png

Catoクラウドから除外されるトラフィックをカスタマイズするには:

  1. ナビゲーションメニューから、アクセス > スプリットトンネルポリシーをクリックします。
  2. 上記」の手順2~4の設定を構成して新しいルールを作成します。
  3. 設定セクションで、接続モードを選択の下で、すべてのポートとプロトコルを選択します。
  4. ルーティングポリシーで、Catoへのすべてのルートを選択します。

  5. DNS除外のセクションで、解決するドメインをローカルDNSサーバーに入力します。

    これらのドメインへのトラフィックは、宛先に直接行き、Catoを通過しません。

  6. 適用をクリックし、その後保存をクリックします。

特定の(含まれる)宛先のみを保護する

スプリットトンネルルールを作成する際に、特定のトラフィックのみがCatoにルーティングされて検査されるように、ルーティングポリシーを決定できます。 たとえば、ネットワークトラフィックのほとんどがサードパーティソリューションに行く場合でも、特定のトラフィックをCato経由でリモートデータセンタにルートしたい場合。

注: 除外を伴うルールを作成する場合、明示的にオペレーティングシステムをWindowsと指定しなければなりません

次の手順は、特定のトラフィックの宛先のみをCato Cloudに送信し、残りをサードパーティソリューションにルーティングするためのルールの構成方法を説明します。

注: このルールでソースネットワークにカスタマイズを適用できます。

on-ramp_cato.png

どのトラフィックがCatoにルーティングされるかをカスタマイズするには:

  1. ナビゲーションメニューから、アクセス > スプリットトンネルポリシーをクリックします。
  2. 新しいルールを作成し、上記のステップ2〜4で設定を構成します。
  3. 設定のセクションで、接続モードを選択の下に、すべてのポートとプロトコルを選択します。
  4. ルーティングポリシーで、選択されたもののみをCatoにルートを選択します。

  5. ルーティング例外の定義セクションの宛先除外の下で:

    • アプリケーションまたはIPレンジのいずれかを選択します。
    • 除外として追加するアイテムを選択します

    これらのアイテムは追加のセキュリティチェックのためにCatoにルーティングされます

  6. 適用をクリックし、その後保存をクリックします。

CatoクライアントとMicrosoft Defenderの使用

Microsoft Defenderの「Isolate」機能は、トラフィックを直接Windows Defender Cloud IPアドレスに送信する必要があります。 デフォルトでは、CatoクライアントはトラフィックをCatoネットワークアダプタを通して送信します。 しかし、Microsoft DefenderはトラフィックがMicrosoft Defenderアダプタから送信されることを期待しており、これがMicrosoft DefenderとWindows Defender Cloud間の通信の失敗を引き起こします。

CatoクライアントでMicrosoft Defenderを動作させるために、スプリットトンネルポリシーでルールを定義して、トラフィックをMicrosoft Defenderアドレスへ送信します。

ユーザー定義のスプリットトンネル設定

ユーザーがクライアントでスプリットトンネルの設定を構成できるようにします。 ユーザーはトンネルに含まれるまたは除外されるIPレンジを含むファイルをアップロードできます。

注: 生産環境ではこのオプションは推奨されておらず、中央集権型のポリシー制御が必要ない例外的なケースでのみ使用されるべきです。

クライアントでスプリットトンネル設定のIPレンジを定義するには:

  1. 暗号化されたトンネルを通過または除外するIPアドレスを含むテキストファイルを作成します。

    テキストファイル内で次のルールを設定できます:

    • 含む: トラフィックは暗号化されたトンネルを通過します。 その他の全てのトラフィックは直接インターネットにルートされます。 テキストファイルで、暗号化されたトンネルを通過するためにIPアドレスとネットマスクのリストを次のように追加します:

      /コメント
含む
<IP>,<netmask>
<IP>,<netmask>

      例:

      /splittunnel
含む
198.51.100.0,255.255.255.255

    • 除外: トラフィックはIP範囲に直接インターネットへルートされます。 その他の全てのトラフィックは暗号化されたトンネルを通じてルートされます。 テキストファイル内で、インターネットへ直接ルートするためのIPアドレスとネットマスクのリストを次のように追加します:

      ;コメント
除外
<IP>,<netmask>
<IP>,<netmask>

      例えば:

      /splittunnel
除外
198.51.100.0,255.255.255.255

    コメントにはスラッシュ(/)またはセミコロン(;)を使うことができます。

  2. Windowsクライアントの 設定 画面で、 ファイルをアップロード をクリックしてテキストファイルをアップロードします。

    macOSクライアントの 設定 画面で、 スプリットトンネル有効 を選択します。

  3. Windowsクライアントの 設定 画面で、スプリットトンネルの有効化を選択します。

    macOSクライアントで、 スプリットトンネル構成をアップロード をクリックしてテキストファイルをアップロードします。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント