はじめに
このドキュメントでは、8月1日から始まる、ロシアおよびベラルーシのCisco UmbrellaおよびOpenDNSのお客様に対して示される動作の変更について説明します。これらの動作の変更は、Cisco UmbrellaがIPベースのジオブロッキングを実装するその他のリージョンにも適用されます。このドキュメントの最終更新は2022年7月28日です。
DNSのお客様:
- ロシア、ベラルーシ、クリミア、ルハンスク、ドネツク、シリア、キューバ、イラン、北朝鮮、およびgeoブロッキングを使用するその他の認定された地域からのIPアドレスで識別されるクエリに対するDNSサービスには、セキュリティポリシーまたはコンテンツフィルタリングポリシーは適用されません。DNSクエリは有効な応答を受信し、他の地域からのトラフィックと同じサービスレベルで処理されます。
- DNSに使用すると、UmbrellaローミングセキュリティモジュールとAnyConnect Umbrellaローミングモジュールで引き続きDNSトラフィックが解決されます。
- ローミングクライアントの同期と内部ドメインのリストは、ダッシュボードとの同期を続行し、予期された動作を提供できます(内部ドメインを内部DNSサーバーに送信します)。 これは将来変更される可能性があります。
SIGカスタマー:
- UmbrellaのセキュアなWebゲートウェイサーバは、発信元IPがロシア、ベラルーシ、クリミア、ルハンスク、ドネツク、シリア、キューバ、イラン、北朝鮮およびその他のジオブロッキング対象地域から発信されるトラフィックを受け入れません。これを実装すると、これらのリージョンからの接続で、Cisco Umbrellaサーバがオフラインまたは使用不能と見なされます。トラフィックは受け入れられず、処理されません。
- デフォルトのAnyConnect Umbrellaモジュール設定では、Umbrellaが使用できない場合にインターネットに直接接続されます。一部のお客様の設定は「フェールクローズ」モードで動作する可能性があり、ユーザがインターネットアクセスを失う原因となります。
- 現時点では、Umbrellaから更新を取得するために、外部ドメインリストの同期が継続されます。これは将来変更される可能性があります。
- デフォルトのUmbrella PACファイルを使用すると、Umbrellaが使用できない場合にインターネットに直接接続されます。一部の特定のお客様の設定(デフォルトルートのない設定など)は「フェールクローズ」され、ユーザがインターネットアクセスを失う原因となる可能性があります。
- IPsecトンネルは、IPブロッキングまたはIKEクレデンシャルの失効によって切断されます。動作とユーザエクスペリエンスは、お客様の構成によって異なります。設定によっては、直接インターネット接続に戻る場合や、MPLSに戻る場合、ユーザがインターネットアクセスを失う場合があります。
すべてのお客様:
- IPベースのジオブロッキングが国に完全に実装されると、UmbrellaダッシュボードとAPIアクセスもブロックされます。
影響を受ける地域のユーザが影響を受ける地域以外の企業VPNに接続し、そこからUmbrellaに接続したらどうなりますか。
geoブロッキングは、Umbrellaサービスで認識される送信元IPアドレスに基づいてIPベースで行われます。
シスコはなぜこのような取り組みを行っているのでしょうか。
詳細については、「The War in Ukraine: Supporting Our Customers, Partners and Communities」を参照してください。
ユーザがブロックされても、影響を受ける地域に含まれていない場合はどうすればいいですか。
サポートに問い合わせて、問題を調査してください。
地理的にブロックしているデータはどれくらい正確ですか。
シスコは、業界をリードする位置情報サービスを使用して、特定のIPアドレスの国を特定します。
IPアドレスに関連付けられた場所が間違っている場合はどうすればいいですか。
修正要求を次のサービスに送信することをお勧めします。