Secure Web Applianceでの認証のバイパス

はじめに

このドキュメントでは、Secure Web Appliance(SWA)で認証を免除する手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• SWA管理。

次のツールをインストールしておくことを推奨します。

• 物理または仮想SWA

• SWAグラフィカルユーザインターフェイス(GUI)への管理アクセス

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

認証の免除 

Cisco SWAの特定のユーザまたはシステムの認証を免除することは、運用効率を維持し、特定の要件を満たすうえで非常に重要です。まず、一部のユーザやシステムは、認証プロセスの妨げとなる可能性のある、重要なリソースやサービスへの中断のないアクセスを必要とします。たとえば、定期的な更新やバックアップを実行する自動化されたシステムやサービスアカウントには、認証メカニズムによる遅延や潜在的な障害を伴わない、シームレスなアクセスが必要です。

また、Webサービスプロバイダーがプロキシを使用せずにサービスにアクセスすることを推奨するシナリオもあります。このような場合、認証を除外することで、プロバイダーのガイドラインに確実に準拠し、サービスの信頼性を維持できます。さらに、特定のユーザのトラフィックを効果的にブロックするには、まずそのユーザを認証から除外してから、適切なブロッキングポリシーを適用しなければならないことがよくあります。このアプローチにより、アクセス権限を正確に制御できます。

Microsoftのアップデートのように、アクセスされるWebサービスが信頼され、世界中で受け入れられる場合もあります。このようなサービスの認証を免除すると、すべてのユーザのアクセスが簡素化されます。さらに、ユーザのオペレーティングシステムやアプリケーションがSWAで設定された認証メカニズムをサポートしていない場合には、接続を確保するためにバイパスが必要になります。

最後に、固定IPアドレスを持ち、ユーザログインがなく、制限付きの信頼できるインターネットアクセスを持つサーバは、アクセスパターンが予測可能で安全であるため、認証を必要としません。

このようなケースに対して認証を戦略的に除外することで、組織はセキュリティニーズと運用効率のバランスを取ることができます。

Cisco SWAで認証を免除する方法

SWAでの認証の免除は、それぞれ特定のシナリオと要件に合わせたさまざまな方法で実現できます。認証例外を設定する一般的な方法を次に示します。

• IPアドレスまたはサブネットマスク：最も簡単な方法の1つは、特定のIPアドレスまたはサブネット全体を認証から除外することです。これは、インターネットまたは内部リソースへの中断のないアクセスを必要とする、固定IPアドレスまたは信頼できるネットワークセグメントを持つサーバに特に役立ちます。SWA設定でこれらのIPアドレスまたはサブネットマスクを指定することにより、これらのシステムが認証プロセスをバイパスするようにできます。
• プロキシポート：特定のプロキシポートに基づいてトラフィックを除外するようにSWAを設定できます。これは、特定のアプリケーションまたはサービスが通信に指定ポートを使用する場合に便利です。これらのポートを特定することで、これらのポート上のトラフィックの認証をバイパスするようにSWAを設定し、関連するアプリケーションまたはサービスにシームレスなアクセスを確保できます。
• URLカテゴリ：URLカテゴリに基づいて認証を免除する方法もあります。このテンプレートには、定義済みのシスコカテゴリと、組織固有のニーズに基づいて定義したカスタムURLカテゴリの両方を含めることができます。たとえば、Microsoftのアップデートなどの特定のWebサービスが信頼され、一般的に受け入れられると見なされる場合は、これらの特定のURLカテゴリの認証をバイパスするようにSWAを設定できます。これにより、すべてのユーザが認証を必要とせずにこれらのサービスにアクセスできます。
• ユーザエージェント：ユーザエージェントに基づく認証の免除は、設定された認証メカニズムをサポートしていない特定のアプリケーションやデバイスを扱う場合に便利です。これらのアプリケーションまたはデバイスのユーザエージェント文字列を特定することにより、SWAを設定して、それらのアプリケーションまたはデバイスから発信されるトラフィックの認証をバイパスし、シームレスな接続を確保できます。

.

認証をバイパスする手順 

認証を免除するIDプロファイルを作成する手順を次に示します。

ステップ 1：GUIから、Web Security Managerを選択し、Identification Profilesをクリックします。
ステップ 2：Add Profileをクリックして、プロファイルを追加します。
ステップ 3：このプロファイルを有効にする、または削除せずにすばやく無効にするには、Enable Identification Profileチェックボックスを使用します。
ステップ 4：一意のプロファイル名を割り当てます。
ステップ5:（オプション）説明を追加します。
手順 6：Insert theドロップダウンリストから、このプロファイルをテーブルのどこに表示するかを選択します。

注意：リストの最上位に認証を必要としない職階識別プロファイル。このアプローチにより、SWAの負荷が軽減され、認証キューが最小化され、その結果、他のユーザの認証が高速化されます。

手順 7： User Identification Methodセクションで、Exempt from authentication/ identificationを選択します。

ステップ 8：サブネットによるメンバーの定義で、この識別プロファイルを適用する必要があるIPアドレスまたはサブネットを入力します。IPアドレス、クラスレスドメイン間ルーティング(CIDR)ブロック、およびサブネットを使用できます。

ステップ9:（オプション）Advancedをクリックして、Proxy Ports、URL Categories、User Agentsなどの追加のメンバーシップ基準を定義します。

注意：透過型プロキシ導入では、トラフィックが復号されない限り、SWAはユーザエージェントまたはHTTPSトラフィックのフルURLを読み取ることができません。その結果、ユーザエージェントを使用して識別プロファイルを設定した場合、または正規表現を使用してカスタムURLカテゴリを設定した場合、このトラフィックは識別プロファイルの照合に失敗します。

カスタムURLカテゴリの設定方法の詳細については、Configure Custom URL Categories in Secure Web Appliance - Ciscoを参照してください。

ヒント：ポリシーではANDロジックが使用されます。つまり、IDプロファイルが一致するためにはすべての条件を満たす必要があります。Advancedオプションを設定すると、ポリシーが適用されるすべての要件を満たす必要があります。

イメージ：認証をバイパスするIDプロファイルの作成手順

ステップ 10：送信し、変更を確定します。

関連情報

• AsyncOS 15.0 for Cisco Secure Web Applianceユーザガイド – GD（一般導入） – ポリシーアプリケーションのエンドユーザの分類[Cisco Secure Web Appliance] – シスコ
• Secure Web ApplianceでのカスタムURLカテゴリの設定：シスコ
• Cisco Webセキュリティアプライアンス(WSA)でOffice 365トラフィックを認証および復号化から除外する方法：シスコ