株式会社プログデンス
🍂

MS SSE (Microsoft Secure Service Edge) についての技術共有 第一回

株式会社プログデンス
に公開
Security
Network
Microsoft Entra
tech

はじめに

この度、Microsoft社の Entra Internet Access (EIA) および Entra Private Access (EPA) の導入に携わりましたので、EIA/EPA について調べたこと、気づいたことをまとめます。

第一回は、MS SSE全般の概要と、EIAについてのまとめ。
第二回は、EPAについてのまとめと、総括を行います。

Microsoft Secure Service Edge (MS SSE) とは

本題のEIA/EPAの内容に入る前に、今回紹介する EIA および EPA を提供する基盤である Microsoft Secure Service Edge (以下、MS SSE) について説明します。MS SSE は、Microsoft社が提供するゼロトラストに基づいたクラウド型ネットワークセキュリティサービスです。MS SSEはEIA/EPA を提供しており、それらをまとめて、Global Secure Access と呼び、Microsoft Entra 管理センター内で管理しています。

この仕組みを利用するにはクライアント端末に Global Secure Access Client (GSA Client) をインストールする必要があります。これにより、ユーザーの通信はMicrosoftのグローバルネットワークに取り込まれ、ポリシーに基づいて安全に転送されます。

また、Microsoft社のソリューションであるため、同社が提供するMicrosoft 365の認証サービスである、Entra管理センター上でアクセス制御やポリシー設定を一元的に管理できる点も大きな利点です。

MS SSEの EIAおよびEPAにより、インターネットへのアクセス、オンプレミス環境への安全なアクセスを行うことができます。

MS SSEを導入した環境をおおまかに再現して図にしました。

各要素の詳細については、各章で解説します。

Entra Internet Access (EIA) について

Entra Internet Access (以下、EIA) は、Microsoft社が提供するゼロトラストベースのインターネットアクセス制御サービスです。

従来のWebフィルタリングやプロキシに代わる形で、通信経路をMicrosoftのグローバルネットワークに取り込み、Entraポリシーに基づいてアクセス制御を行うことで、ユーザーがインターネット上のSaaSアプリケーションやWebサービスにアクセスする際のセキュリティを強化します。

また、EIAの機能により、たとえばユーザーがアクセスするWebサイトをカテゴリごとに制限することが可能です。

一方で、導入時に注意すべき点もあります。EIAを利用した構成では、MicrosoftのSecure Service Edge (SSE) ネットワークのIPアドレスが送信元IPとして使用されるため、アクセス先のWebサイトがIPの地理情報に基づいてフィルタリングを行っている場合、ブロックされる可能性があります。

実際に、ある顧客環境では特定のWebサイトが国別IPフィルタによりブロックされる事象が発生しました。

この問題に対しては、Global Secure Access (GSA) のポリシー制御を用いて対象サイトをローカルブレークアウトさせることで、正常に接続できるようになりました。

このような事象を防ぐためにも、導入前に業務で頻繁に利用するWebサイトがIPベースの制限を行っていないかを確認しておくことが重要です。

EIAの動作イメージは以下の図の通りです。

もし、上記の環境でEIAのポリシーで制御されているカテゴリのアクセスを試みた場合、対象のサイトへのアクセスはブロックされます。

図の例では、アクセスしたいサイトが、SSEのポリシーによって制限されているサイトの為、接続できません。

アクセスできない場合の注意点として、クライアントの画面では上図のように
EIAによってブロックされた旨のメッセージは表示されず、通信エラーとして表示されます。

そのため、運用目線で考えると、導入環境ではクライアント側から、特定のサイトにつながらない、という形で報告がされるかもしれません。

第一回まとめ

今回の第一回では、Microsoft Secure Service Edge (MS SSE) の全体像と、その構成要素の一つである Entra Internet Access (EIA) について紹介しました。

MS SSEは、ゼロトラストの考え方に基づき、従来の境界型セキュリティから脱却し、ユーザー・デバイス・アプリケーション単位でのアクセス制御を実現する新しいネットワークセキュリティ基盤です。その中でもEIAは、インターネットアクセスにおけるセキュリティ強化を担う重要なコンポーネントであり、SaaSやWebサービスへのアクセスをポリシーベースで制御できる点が大きな特徴です。

次回の第二回では、もう一つの構成要素である Entra Private Access (EPA) について、まとめていきます。

EPAは、オンプレミスやプライベートクラウド環境へのアクセスをゼロトラストで実現する仕組みであり、従来のVPNに代わる新しい選択肢となります。

株式会社プログデンス
株式会社プログデンス

株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible

設定によりコメント欄が無効化されています