SaaS

Netskope_テナント識別してのアクセス制御方法について

はじめに

どうもkakeruです。今回は、Netskopeのインラインポリシーを利用した、テナントを識別してのアクセス制御方法についてまとめています。

本設定は、自社で利用許可を実施しているSaaSであっても自社テナントや取引先テナントは許可したいが、個人利用のテナントは利用させたくない場合などに有効です。

前提条件

  • 作業用ユーザはNetskopeの管理コンソールにログインでき、下記権限を有すること
    • Tenant Admin
  • 本設定が行えるのは、NetskopeにおいてテナントIDの識別ができるSaaSのみ実施が可能
    • 本手順では、Boxを利用します
  • 自社テナント以外へのアクセスのブロック確認を行うために、個人利用のSaaSアカウントを用意しておくこと

事前準備

  • Netskope Clientが導入されている端末にて、自社テナントのBoxにログインします
  • Netskopeの管理コンソールへログインし、Skope IT > Application Eventsの順に遷移します
  • ApplicationがBox、ActivityがLogin Successfulのログが記録されていることを確認します

設定手順

App Instanceの作成

  • 事前準備で確認したLogin Successfulのログの詳細を開きます
  • APPLICATIONの項目のInstance Nameの右にある [+ New App Instance]をクリックします

  • App Instanceの登録画面が表示されるので任意でインスタンス名を入力して[Save]をクリックします

Real-time Protectionポリシーの作成

  • ポリシー作成には以下の二つのポリシーが必要です
    • 自社テナントIDのApp Instanceを許可するポリシー
    • 対象のSaaS全体をBlockするポリシー
  • Real-time Protectionポリシーは上位に設定したポリシーより評価されるため、必ず、上に許可ポリシー、下にブロックポリシーの順で設定してください

自社テナントIDのApp Instanceを許可するポリシーの作成

  • Netskopeの管理コンソールから、Policies > Real-time Protectionの順に遷移します
  • [NEW POLICY] > [Cloud App Access]の順にクリックして、新規ポリシーを作成します
  • ポリシー内容を以下の通りに設定して、[SAVE]をクリックして保存します
    • Source
      • User
        • 自社テナントへのアクセスを許可したいユーザ/グループを指定
        • 特にユーザの制限が必要がない場合はデフォルトのAll Usersを利用
    • Destination
      • App Instanceに設定
      • App Instance
        • 作成したApp Instanceを指定
    • Profile & Action
      • Action
        • Allow
    • Set Policy
      • Policy Name
        • 任意で設定
    • Status
      • Enabled

対象のSaaS全体をBlockするポリシーの作成

  • Netskopeの管理コンソールから、Policies > Real-time Protectionの順に遷移します
  • [NEW POLICY] > [Cloud App Access]の順にクリックして、新規ポリシーを作成します
  • ポリシー内容を以下の通りに設定して、[SAVE]をクリックして保存します
    • Source
      • User
        • 特にユーザの制限が必要がない場合はデフォルトのAll Usersを利用
      • Applicationに設定
    • Destination
      • App
        • アクセス制限したいSaaSを設定
      • Profile & Action
        • Action
          • Block
      • Templete
        • 特に指定がなければDefault Templateを利用する
        • Userに何かしらの通知を行いたい場合に、テンプレート設定を行う
        • テンプレートの内容については、別ブログに記載予定です
    • Set Policy
      • Policy Name
        • 任意で設定
    • Status
      • Enabled

設定の保存

  • 2種類のポリシー設定が完了したら、[APPLY CHANGES]をクリックします
  • Apply Changesにて、変更した内容を任意で記載し[APPLY]をクリックすることで設定が保存されます
    • 入力した内容は、Audit Logに記載される

動作確認

  • 動作確認を行いたい端末にログインします
  • Netskopeのアイコン > Configurationの順にクリックし、ConfigのUpdate時間が、ポリシー設定時間以降になっていることを確認します
    • ポリシー設定が反映されていない場合は、Update時間が更新されていません
    • Configuration画面にUpdateが表示されている場合は、クリックして更新を行ってください
    • ConfigのUpdate時間が、ポリシー設定時間になっており、Updateの表示がされていない場合は、端末を再起動すると反映されます

  • 自社テナントBoxにログインできること、個人用Boxにログインできないことを確認できれば完了

終わりに

今回は、テナントIDを使ってのSaaSのアクセス許可、ブロックについて設定しました。

次は、テナントIDが利用できない場合にどういった制御ができるかについても触れたブログを出したいと思います。

kakeru

こんにちは、セキュリティチーム所属の新米エンジニアkakeruです。業務で少しでも役に立つ情報をブログに書いていきますので、よろしくお願いします。

記事一覧