ポリシー
セキュリティ > Cloud Access > コンソール使用ガイド > ポリシー
ポリシータブでは、以下の項目を管理できます。
- 外部エージェントと内部インスタンス間のトラフィックを制御する ACLポリシー
- ユーザーグループごとに認証・エンドポイント設定を適用する ユーザーポリシー
ACLポリシーの管理
追加
- 送信元、宛先、ポートを基にポリシーを追加できます。
- 既存のオブジェクトから送信元、宛先、ポートを選択します。
- ポリシーの状態(有効/無効)、動作(許可/拒否)、スケジュール、ログ有無などの設定が可能です。
- ➊ ポリシー名を入力し、以下の項目を設定します。
- 状態:有効または無効
- 動作:許可または拒否
- スケジュール:適用する時間帯
- ログ:ログの有無を選択
- ➋ 送信元と宛先のオブジェクトを選択します。
- 該当オブジェクトがない場合は オブジェクト追加 をクリックして新規作成します。
- ➌ 許可または拒否するポートを選択します。
- オブジェクトがない場合は同様に オブジェクト追加 をクリックしてください。
コピー
- コピーをクリックしてACLポリシーを複製できます。
- 複製されたポリシーは無効状態で表示されます。
編集
編集をクリックしてACLポリシーを変更します。
移動
移動をクリックしてポリシーの順序を変更します。
削除
削除をクリックしてポリシーを削除します。
追加機能
- ポリシー一括登録:ダウンロードしたテンプレートファイルを使用して、複数のポリシーを一括で登録できます。
- テンプレートのダウンロード:一括登録に必要なテンプレートファイルをダウンロードします。
- ポリシー一括ダウンロード:ACLポリシータブに作成されているすべてのポリシーを一括でダウンロードできます。
ポイント
- コピーされたポリシーは無効状態です。編集ボタンから有効に設定してください。
- default-denyポリシーの下には移動できません。
注意
- 一度削除したACLポリシーは復元できません。削除する際はご注意ください。
- default-denyポリシーは削除できません。
ユーザーポリシーの管理
追加
エージェントユーザーに適用するポリシーを追加します。
- ➊ 必須情報を入力します。
- ユーザーIP割当範囲:接続時に自動割当されるプライベートIP範囲
- アクセス可能範囲:内部インスタンスにアクセス可能なIP範囲(最大100個)
- ➋ ユーザー接続条件を設定します。 * 接続可能OS、初回パスワード変更、ヘルスチェック間隔、アイドル時間など
- ➌ 多要素認証を設定します。
- 以下4種から選択。すべて選ぶとすべての認証が必要です。
- TOTP
- 携帯電話
- メール
- 生体認証
- 以下4種から選択。すべて選ぶとすべての認証が必要です。
- ➍ エンドポイント設定を構成します。
- インターネット遮断:接続後のインターネット使用を制限
- 必須ソフトウェア:インストールが必須のソフトウェアを指定。ない場合は接続拒否または再認証
- 登録方式:プロセス、レジストリ(Windows)、ファイルパス
- ブロックソフトウェア:マルウェアや遮断対象ソフトを指定。存在する場合は接続拒否または再認証
- 登録方式:プロセス、レジストリ(Windows)、ファイルパス
- ウイルス対策ソフト確認:指定のウイルス対策ソフトがない場合、接続拒否または再認証
編集
編集をクリックしてユーザーポリシーを変更します。
削除
削除をクリックしてユーザーポリシーを削除します。
ポイント
- ウイルス対策ソフトは、WindowsのSecurity Centerのdisplaynameで登録して検査可能です。
- displaynameはPowerShellコマンドで確認できます。
- コマンド:Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct
注意
エンドポイント設定はOSごとにそれぞれ登録する必要があります。例えば、許可ソフトウェアにWindowsのみを対象としてファイルパスを登録した場合、Windowsで接続時は該当ファイルパスを検査後に許可またはブロックしますが、macOSは検査する項目がないためブロックできません。