このセッションでは、Umbrella がセキュリティを実現するために実装されている様々な機能の概要をご紹介します。DNS セキュリティがどのように動作するか、DNS ポリシー と Webポリシーとの使い分け、Umbrella によるアプリケーション制御 や Activity Log の確認方法など、幅広い内容を解説していきます。

【録画】

【健康診断サービスのお申込み】

2024年7月31日(水) まで「健康診断サービス」を期間限定無料で提供中です。ご希望のお客様はセミナー事務局 ciscocxseminar@cisco.com までお問合せください。

【セッション中にいただいたご質問と回答】

※都合により掲載を見送らせていただいたご質問もございます。ご了承ください。

質問１：Umbrellaには数種類のポリシーがあるということでしたが、それらの処理順序は決められているのでしょうか？
ご認識のとおり、ポリシーのご説明の際に図に記載しておりました順番で、ポリシーの設定内容をなめていく仕様となっています。
例えば、SD-WAN での IPSecトンネル接続で利用するケースの場合には、
① DNSポリシー
② CDFW(L3/L4 L7 ファイアウォールの制御)
③ SWG のポリシー
④ DLP のポリシー
の順序となります。

質問２：DNSポリシー内やSWG内で動作するポリシー内でも複数の機能があると思います。（ブラックリストやアプリケーションフィルタとか。）
こちらの処理順序も決まっている場合には教えてください。
個々のポリシー機能内でどのコンポーネントが優先して検査が行われるかについては、公式には公開されていませんが、実際の動作を通してどうなっているか検証をしたコミュニティ記事の情報がありましたので URL を共有します。
https://community.cisco.com/t5/-/-/ta-p/4429741

質問３：AnyConnect Umbrella Roaming Security ModuleもUmbrella Roaming Clientと同様にEoLですか？
EOL時期が少し違いますが、どちらもEOLアナウンスがされていました。
Anyconnectの後継製品のSecure Clientへのご利用をご検討お願いいたします。
【End-of-Life Announcement for the Cisco Umbrella Roaming Client】
https://www.cisco.com/c/en/us/products/collateral/security/anyconnect-secure-mobility-client/umbrella-roaming-client-eol.html
【End-of-life for AnyConnect Client Version 4.x】
https://support.umbrella.com/hc/en-us/articles/13785492124692-End-of-life-for-AnyConnect-Client-Version-4-x

質問４：SIGでDNS/Webポリシーの双方設定可能かと思いますが、コンテンツカテゴリフィルタリングなど、DNS/Webポリシー双方で設定可能なものについては運用上、どのようにDNS/Webポリシー双方で設定するのが望ましいでしょうか？
SIGでDNS/Webポリシーの併用可能な場合、HTTP/HTTPSはWebポリシーで保護しFTPやssh等のHTTP/HTTPS以外はDNSポリシーで保護するのがUmbrella Sigの一般的なDNS/Webポリシーの併用についての運用ですか？
SIGの場合、ご認識の通り、DNS/Webポリシーの双方設定可能です。
両方設定する場合、DNS→SWGという順に適用されます。
また、SWGより検査するのがポート80と443への通信だけで、HTTP/HTTPS以外はDNSポリシーで保護します。
DNS のIntelligent Proxy とSWG併用する場合だけ、注意点があります。
それを記載する技術文書がありますので、お手数ですが、ご参照お願いいたします。
https://community.cisco.com/t5/-/-/ta-p/4455747
DNSとSWGを併用するメリットとして、悪意のあるドメインが検出された場合、処理順序的にwebポリシーが動く前にDNSポリシーで止めることができるので、不要なHTTP/HTTPS通信を抑えることが可能です。

質問５：SIGでDNS/Webポリシーを併用する場合、DNSのインテリジェントプロキシは基本的に利用するシーンは無いと思って良いでしょうか？（基本的にDNSのライセンスを購入したユーザだけ利用するもの？）
はい。ご認識の通り、DNS/Webポリシーを併用する場合にはSWGのフルプロキシが動くため、インテリジェントプロキシを利用するシーンは敢えて設定しないかぎりございません。

質問６：ブラウザ以外の通信(HTTPやHTTPSのアプリ)経由のUmbrella接続はDNSセキュリティだけ動いて、SWGは機能しないという挙動になるのか。
ポート80と443への通信のみがSWG見ている対象です。

質問７：DNSの部分ですが、端末に設定されているIP、DNSサーバがあると思いますがSecureClientをいれた場合には、上記のDNSサーバを使わずにUmbrellaに名前解決が向かうということでしょうか。
Secure Client を入れた場合には、ポリシーの設定によって動作は異なりますが、基本的にUmbrella で名前解決が行われます。内部のDNSで名前解決を行いたい場合には、内部ドメイン（umbrella で設定可能）として定義されたものについては組織のDNSサーバにて名前解決を行うことが可能です。
下記のコミュニティページにて解説をしております。
https://community.cisco.com/t5/-/-/ta-p/4484273

質問８：セレクティブプロキシ利用時にグレー判定をされた際にはUmbrellaがプロキシをするというご説明ですが、接続先から端末に対してのレスポンスがすべてUmbrellaを経由して行われるということでよろしいでしょうか？
ご認識の通りです。レスポンスされるIPアドレスがIntelligent Proxy サーバーの IP アドレスになります。コミュニティページに図を含めた説明がございましたのでお送りいたします。
＜コミュニティページ文言抜粋＞
ポリシーで Intelligent Proxy を有効にした場合、通常「白」と判定されるドメインの中で、「危険性が疑われるが、その確証がないドメイン」または「正常な通信の中に危険性が高い通信が紛れ込む可能性のあるドメイン」を「グレー」と判定し、Umbrella クラウド上の Intelligent Proxy サーバーの IP アドレスを返します。
https://community.cisco.com/t5/-/-/ta-p/3313488

質問９："Umbrella提供の仮想アプライアンス"の情報がどこに記載されているかご教示頂ければ幸いです。またADと連携する場合は、この方法でしか連携ができないのでしょうか？
Umbrella がVA、ADと連携することについて、下記のガイドをご参照お願いいたします。エンドポイントのIPアドレスとユーザー名が見られる運用として、ADとVA連携します。
【Active Directory Integration with the Virtual Appliances】
https://docs.umbrella.com/deployment-umbrella/docs/active-directory-integration-with-the-virtual-appliances
【Active Directory 統合設定ガイドの概要】
https://www.cisco.com/c/dam/global/ja_jp/umbrella/pdf/active_directory.pdf

質問１０：Umbrellaのデータセンター障害が発生したことが分かる仕組みやサイトはありますか？
Umbrella の障害があった場合に生存確認やいつ障害が起きているのかが分かるサイトがございます。DNSの障害が発生した際にもアクセスできるようにグローバルIPでご登録いただくのが推奨となります。また本ページの右上にある SUBSCRIBE TO UPDATES にて 自分のメールアドレスを登録することによって、Umbrella に障害が起きた際、自分宛てへ通知メールを送ることが可能です。こちらの登録は条件を細かく指定が可能で、リージョンや機能などに絞って通知メールを送ることができます。
https://status.umbrella.com/#/
https://146.112.59.2/#/

質問１１：Umbrellaと連携しているNW機器配下に、エージェントをインストールした端末を接続しアクセスをした場合、エージェントによるDNS名前解決が優先されるのでしょうか。
ネットワーク機器側で設定されている場合や、信頼されたドメインにいる場合、エージェント側の名前解決を無効にする設定がございます。これらを設定していない場合にはエージェント側の名前解決が優先されます。下記コミュニティに詳細がございますのでご参照ください。
https://community.cisco.com/t5/-/-/ta-p/3681938