こんにちは、事業開発部の橋村です!
インテリジェント(な)プロキシとは?
今回はCisco Umbrellaの一機能である「インテリジェントプロキシ」についてご説明します。
賢いプロキシと言われて、どのようなプロキシを想像しますか?
私は藤井7冠を想像します (激寒)
といった前置きはさておき、内部ネットワーク・外部ネットワーク間のアクセスを代理で行うプロキシ(Proxy)が賢くなったらどうなるのか、イメージは出来たでしょうか。
Cisco Umbrellaのインテリジェントプロキシ機能は、下記2つの面で賢いプロキシです。
- 絶対ダメとは言えない怪しいサイトを賢く判別
- トラフィックに応じて賢くスケーリング
賢く判別
まず、前者の「賢く判別」についてご説明しますが、そもそも「絶対ダメとは言えない怪しいサイト」とはどんなサイトでしょうか。
Ciscoは、この例を「ユーザーがコンテンツをアップロードしたり共有したりすることが可能なサイト(Reddit(アメリカ発祥の掲示板投稿型ソーシャルサイト)やPastebin(テキストデータを保存し公開することができる、ウェブアプリケーションサービス)など)(※)」としています。
たしかに、公序良俗に従って使えば掲示板や公開情報は有用ですので、一律にアクセス禁止にするのは賢くありません。
(※)参考:What is the Intelligent Proxy?
この怪しいサイトとの通信が発生した場合、Umbrellaは当該ドメインのその後の通信をクラウド上のIntelligent Proxyサーバーに経由させます。Intelligent Proxyサーバー上で、この通信は安全だと判断されれば通常通りサイトにアクセスできます。Intelligent Proxyサーバー上で、この通信は危険だと判断された場合はブロックページにリダイレクトされるレスポンスをサーバーからユーザに返すことになります。
これが「賢く判別」です。(判別においては、SSL復号機能を用いることが可能)
ドメインをプロキシするかどうかは、専門の(賢い)Cisco Umbrellaセキュリティ研究者によって行われるため、わざわざこれはプロキシする・しないを運用担当者は意識する必要がなくなります。
賢くスケーリング
次に、後者の「賢くスケーリング」です。プロキシを介する通信は、インターネットの成長、ワークスタイルの変化に応じて膨らみ続けています。この変化に応じてスケーリングできないこと、これがオンプレミスのプロキシサーバにおける課題でした。
インテリジェントプロキシはクラウドベースのサービスであるUmbrellaの1機能なので、大量な通信が発生している場合は自動的に(賢い)スケーリングが行われます。
もちろん、クラウドサービスであるため、拠点内外問わず、いつでもどこでもインテリジェントプロキシ機能での保護は確保されるという面でも、ある意味賢いプロキシです。
うごかしてみたよ
では、実際にインテリジェントプロキシを動かしてみます。
インテリジェント プロキシのテストサイト
1.何も設定していない状態でテストサイトにアクセスすると下記の通り(インテリジェントプロキシ機能を使っていないよ! とのこと)
2.インテリジェントプロキシのテスト用ポリシー「Intelligent Proxy Test」を作成。今回はSSL復号を行いたいので、詳細設定>インテリジェントプロキシの有効化>SSL復号>ルート証明書にある「証明書のダウンロード」も併せて実施
3.上記手順でダウンロードした証明書をインポート
4.作成したポリシーをテストPCに割り当て
5.テストサイトにアクセスすると下記の通り(インテリジェントプロキシが有効だよ! とのこと)
6.どのサイトがどのようにブロックされるか確認
ゲーム系サイト
Steam ブロックされない
twitter コンテンツフィルタリングでブロックしている(インテリジェントプロキシではない)
掲示板サイト
redditのトップページ(賢く判別で記載した通りCiscoが示す怪しいサイトなのだが、証明書的にはSSL復号していない、トップページはホワイト判定?)
google インテリジェントプロキシが動作 →証明書がCiscoになっている。この時のログでもAction=Proxiedと記録
同じ検索エンジンでもYahooは動作しなかった
所感
インテリジェントプロキシ、設定が簡単なわりに受けれる効果は大きいのではと思います。ぜひUmbrellaにはこの機能もある!と覚えていただければ幸いです。
余談
いい前置きが思い浮かばず、藤井7冠から始めたのですが、かしこさが下がった気がします。
