Prisma Accessについての理解
現状(24年11月時点)Palo Altoが提供しているゼロトラストなクラウドセキュリティサービスぐらいの認識です。
今回取り上げるPrisma Accessとの接続形態について、3つあるということはわかったのですがひとまずはその整理をざっくりとできればなぁ~ぐらいに思っています。
ちょい知識
GlobalProtect(GP) というVPN接続を行うための専用ソフトがあり、これでPCやスマホからユーザー認証を行い、Prismaに接続するのが基本的な前段として必要な操作になります。
とはいえ私自身、GPに対する理解はまだぼんやりしているので詳しくはデータシートを見ていただければ…
3つの接続形態
まず全容としてはこんな感じです。(公式等に出ている画像の方がわかりやすいのは承知の上で見てもらえれば…)
※オレンジの矢印は特に決まった接続形態の名前がない部分です。
それぞれどこで使うかというと…
-
RN - Remote Network
会社の拠点(本社・支社どちらも)からIPsecトンネルモードでPrismaに繋ぐ。
機器例:GPを利用しない(利用できない)PC、複合機
-
MU - Mobile User
社内や自宅、出先などからGP経由でPrismaに繋ぐ。
機器例:社用PC、社用スマホ
-
SC - Service Connection
RNやMUからDCに向けてPrisma経由で繋ぐ。
通信経路
ここでは通信経路としてありえそうなものをいくつか挙げてみる。
-
拠点-拠点
拠点間、拠点内問わずRNでPrismaに出てRNで戻ってくるパターン。
-
出先-拠点
MUでPrismaに出てRNに入っていくパターン。
-
拠点-DC
RNでPrismaに出てSCに入っていくパターン。
-
出先-DC
MUでPrismaに出てSCに入っていくパターン。
-
拠点-インターネット
RNでPrismaに出てインターネットに抜けていくパターン。
-
出先-インターネット
MUでPrismaに出てインターネットに抜けていくパターン。
-
DC-インターネット
SC経由は出来ないのでストレートにインターネットへ抜けていくパターン。
表でまとめるとこんな感じです。
| From/To | 拠点 | 出先 | データセンター | インターネット |
|---|---|---|---|---|
| 拠点 | RN-RN | RN-MU | RN-SC | RN-Internet |
| 出先 | MU-RN | - | MU-SC | MU-Internet |
| データセンター | SC-RN | SC-MU | - | 直抜け |
| インターネット | Internet-RN | Internet-MU | 直抜け | - |
MUからインターネットへは直抜けするパターンもあります。
通信制御
ここまでの接続パターンのうちRNとMUからPrismaを経由して各方面に向かっていくとき通信制御はPrismaで行われます。
一方でSCから来た通信はPrismaでは通信制御が行われないためPrismaとは別にファイアウォールを設置する必要があります。
こちらも表でまとめるとこんな感じです。
| From/To | 拠点 | 出先 | データセンター | インターネット |
|---|---|---|---|---|
| 拠点 | Prisma | Prisma | Prisma | Prisma |
| 出先 | Prisma | - | Prisma | Prisma |
| データセンター | 外部FW | 外部FW | - | 外部FW |
| インターネット | Prisma | Prisma | 外部FW | - |
終わりに
初投稿記事なのでいろいろ試す意味で画像とか表を使っていますが本当にいるのかは微妙なところです…
そしてあくまでもこれを投稿した時点まででわかったことをまとめたものなのでここからさらに理解できれば適宜追記していきたいと思っています。