アクセス制御

このセクションは、ポリシーとともに、Tunnelsメニューで設定されたZTNAサーバー及びゲートウェイにアクセスするユーザー権限を制御するために設計された機能です。

基本的にアクセス制御は次のように動作します:

以下は各メニューの説明です。


検索	アクセス制御ルールをフィルタリングできます
優先順位変更	ルールの優先順位を変更する（上にあるほど優先されます）
チェックボックス	選択した1つまたは複数のルールを削除するときに使用
作成	新しいアクセス制御ルールの作成メニューを開く
編集	選択したルールを修正

アクセス制御の設定

アクセス制御メニューでは、内部Webアプリケーションへのアクセスを許可/制限するルールを作成できます。

ZTNA > アクセス制御 に移動し、 「作成」 をクリックすると、「アクセス制御の作成」メニューが表示されます。メニューの説明は以下のとおりです。


有効化	ルールの有効化/無効化
名前（一意）	ルールを識別するための識別名
ポリシー	アクセスポリシー適用空白の場合、下の User フィールドに指定したユーザーに許可、残りはブロック処理される
デバイスポスチャー	Connectorメニューで設定したDevice Postureを満たしているか確認
タイプ	許可する接続タイプ（HTTPS/HTTP/TCP/UDP/ICMP）
応用	Tunnelメニューで作成したサーバーのSA Domainとポート番号を入力する
リダイレクトURI	特定のアプリケーションにアクセスするときにユーザーにリダイレクトするURL タイプがHTTP / HTTPSの場合にのみ入力可能
ブロックページ	ユーザーがブロックされたときに表示されるページ（設定→ブロックページで設定）
ユーザー	このアクセス制御ルールが適用されるユーザーのリストここに含まれていないユーザーはデフォルトでブロックされています
RBI	RBIの適用。ダウンロード/アップロード/クリップボード/プリント/透かしなどの詳細制御可能

アプリケーションの欄に入力するのは、トンネルメニューで作成された SA ドメイン（セキュアアクセスドメイン） です。「追加」ボタンを押すと保存されます。

サーバートンネルからSAドメインに入る

参照したサーバートンネル（ZTNA＞トンネル　メニューで作成）

プロトコル でTCP/UDP/ICMP を選択した場合は、SA ドメインは入力できず、IP/CIDR/PORT情報を直接入力する必要があります。「追加」ボタンで保存してください。

ZTNAは Zero-Trustモデル に基づいています。
つまり、明示的にAccess Controlに追加されたユーザーのみがアクセス可能 です。

ベストプラクティスとして、ユーザーグループを作成することで、個々のユーザーを細かく管理することなく、アプリケーションへの適切なアクセス権限を付与しやすくなります。

アクセスポリシールールを使用する際、アクセス制御ルールとアクセスポリシールールの両方でユーザーを指定する場合、アクセスポリシールールが正しく機能するためには、アクセス制御で定義されているユーザーリストにそのユーザーが含まれている必要があります。

これは、アクセス制御で指定されていないすべてのユーザーはデフォルトでブロックされるという動作ロジックによるものです。

適用をクリックした後、Webサーバーにアクセスするには、まずConnector経由でワークスペースに接続する必要があります。

このように接続し、権限も付与されていることが確認できたら、ブラウザなどであらかじめ設定しておいたSAドメインにアクセスしてみましょう。正常にアクセスできることを確認してください。

動作しないことを確認するには、Connectorを切断してアプリケーションにアクセスしてみてください。

Connectorなしで内部リソースにアクセスしようとした場合にどうなるかを確認できます。

最後に、Connectorを介して接続されているがアプリケーションへの明示的なアクセス権は持たないユーザーがアクセス可能かどうかをテストします。

アクセス権のないユーザーがブロックされた様子（設定したブロックページが表示されています）。