はじめに
本記事はCiscoの有志による Cisco Systems Japan Advent Calendar 2024 カレンダー2の10日目として投稿しています。
2017年版: https://qiita.com/advent-calendar/2017/cisco
2018年版: https://qiita.com/advent-calendar/2018/cisco
2019年版: https://qiita.com/advent-calendar/2019/cisco
2020年版: https://qiita.com/advent-calendar/2020/cisco
2020年版(2枚目): https://qiita.com/advent-calendar/2020/cisco2
2021年版: https://qiita.com/advent-calendar/2021/cisco
2021年版(2枚目): https://qiita.com/advent-calendar/2021/cisco2
2022年版(1,2): https://qiita.com/advent-calendar/2022/cisco
2023年版: https://qiita.com/advent-calendar/2023/cisco
2024年版: https://qiita.com/advent-calendar/2024/cisco
免責事項
本ページおよび、これに対応するコメント記載については、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。
Cisco Secure Client Cloud Management
"Cisco Secure Client" (a.k.a. AnyConnect v5.x)は、VPNクライアントをコアに複数の機能モジュールを統合したエージェントソフトウェアです。
ASAやFTDなどのCisco Secure FirewallをVPN終端装置として使用している場合、VPN接続時に、このSecure Client ソフトウェアの設定ファイルを更新したり、バージョンアップを行うことができます。
Ciscoがクラウドサービスで提供するSSEソリューション "Cisco Secure Access" を利用する場合、無償サービスである "Cisco Secure Client Cloud Management" のプラットフォームを利用して、同様の管理を行うことができます。
想定構成
自宅のPCをSecure Accessの検証用にセットアップすることを目的とします。
今回は、Secure Clientのモジュールのうち、VPNモジュールとUmbrellaモジュールの2つをインストールしようと思います。
VPNモジュールにより、Secure AccessへのリモートアクセスVPNを経由し社内想定のサーバリソースへアクセスできるようにします。
Umbrellaモジュールにより、インターネット宛のDNSおよびWeb通信をSecure Accessで制御します。
補足: Cisco Secure Access + Secure Clientの構成にて、ZTNAモジュールによるフルトンネルVPNを使用しないアプリケーションアクセスも利用できますが、本記事では簡素化のため除外します
セットアップ方法
管理ポータルへのアクセス
Cloud Managementの管理ポータルにアクセスします。
該当ポータルはCisco XDRの一部として提供されますが、Cisco Secure Accessをご契約者様をはじめとしたCisco Secure Clientの利用権利をお持ちの方は適切な申請を行うことで使用できるようになます。
プロファイルの登録
Profiles > Upload から、クライアントに配布する設定プロファイルを登録します。
今回は、Secure AccessのVPN接続プロファイルと、Web接続プロファイルをそれぞれアップロードします。
続いて、Create New から、Cloud Management モジュール用の設定プロファイルを新規作成します。
Cloud Managementによる管理を行う場合、管理ポータルとの制御通信を行うCloud Management専用エージェントと、その設定プロファイルのデプロイが必要になります。
設定プロファイルでは、チェックインの間隔(Check-in Interval)や、アップデート時間帯(Product Update Window)などを指定することができます。
インストーラのダウンロード
Deployments > Create New から、デプロイ用のインストーラを作成します。
ソフトウェアバージョンと、デプロイしたいモジュールおよび設定プロファイルを指定します。
設定が完了したら、Full InstallerまたはNetwork Installerを選択してダウンロードします。
対象PCでインストーラを起動し、インストールが完了すれば、セットアップ完了です。
管理画面イメージ
エージェントのインストール後すぐに、該当PCの情報が、管理コンソール上に表示されました。
これにてエージェントインストール済み端末の情報を確認したり、新規モジュールや設定ファイルの配信やバージョンアップ等の操作を簡単に行うことができるようになりました。
おまけ:クライアントPC動作の確認
PCにインストールされたSecure Clientを確認すると、想定した2つのモジュールと設定ファイルが適用されていることが確認できます。
動作チェックのため、Secure AccessのWebポリシーに、ChatGPTへの入力文字列を制限するDLPポリシーを適用してみました。
”機密情報”の文字を含む文章のポストが、無事にブロックされました。
