ここではSCM(Strata Cloud Manager)を使ったPrisma Accessの設定について紹介致します。
モバイルユーザがインターネットに通信するまでを簡単な設定方法をまとめました。
設定をするにあたり下記の環境は準備をお願い致します。
・CSPアカウントの作成
・Prisma Accessのアクティベイトとテナントの展開
下記のメーカーサイトにてアクティベイトに関する情報がありますので参考にしてください。
ネットワーク構成
以下のようなモバイルユーザ接続をサービスコネクション経由でAD認証をしてインターネットに接続する構成を設定します。
![](https://pansetech.net/wp-content/uploads/2024/04/構成図.png)
ライセンス
メーカーサイトにまとめられているライセンス表があったため載せておきます。
PAシリーズでも利用できるセキュリティ機能をどこまで利用したいかでエディションが別れています。
ZTNAのみモバイルユーザー接続限定の接続が提供されます。
また、接続したい国や拠点によってlocal 5箇所の接続拠点、Worldwide 任意の接続拠点を選択できます。
![](https://pansetech.net/wp-content/uploads/cocoon-resources/blog-card-cache/ed750726f367f7020f95a8953422a6d0.png)
![](https://pansetech.net/wp-content/uploads/2024/04/ライセンス.png)
初期設定
インフラストラクチャー
インフラストラクチャー設定はPrisma Access内に展開された各ノードにて利用されます。
拠点との接続時にも利用されるため既存のネットワークやモバイルユーザのIPプールとバッティングしないアドレスにする必要があります。また169.254.0.0/16、100.64.0.0/10はPrisma Accessの内部にて利用しているため利用することができません。
![](https://pansetech.net/wp-content/uploads/2024/04/インフラストラクチャ.png)
- Workflows→Prisma Access Setup→Prisma Accessをクリックし表示された歯車をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/インフラストラクチャ設定1-1.png)
- 下記のインフラサブネットのアドレスを設定して保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/インフラストラクチャ設定2.png)
モバイルユーザーセットアップ
- Workflows→Prisma Access Setup→モバイルユーザーをクリックしGlobalProtect Connectionを有効化する
![](https://pansetech.net/wp-content/uploads/2024/04/モバイルユーザーセットアップ.png)
サービスコネクション
サービスコネクションはデータセンタ、本社など既存のリソースに接続するために利用できる専用の接続方式となります。今回はActive Directoryとの接続に利用してモバイルユーザの認証に利用します。ZTNAエディション、Enterpriseエディションを購入している場合にローカルで2つ、Worldwideで5つ無料で利用可能となります。追加で購入することも可能です。
利用時の制限としては下記の制限があります。
- サービスコネクション接続をしている拠点はPrisma Accessのサービスコネクション接続を経由してInternet接続はできない
- サービスコネクション接続から発信する通信はPrisma Accessに接続している拠点、端末に対するポリシー制御できない(通信できてしまう)
- Workflows→Prisma Access Setup→サービスコネクションをクリックし追加サービスコネクションをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション1-1.png)
- トンネル名、Prisma Access Locationを選択してプライマリ トンネルのセットアップをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション2-1.png)
- トンネルの作成をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション3-1.png)
- トンネルの接続先情報を入力しスクロール
ブランチデバイスタイプは標準的なIPSECのパラメータが準備されているので利用が可能
もしリストにない場合には他のデバイスを選択
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション4-2.png)
- IKE詳細オプション、IPSEC詳細オプションにて暗号方式、認証、DHグループなど詳細に設定が可能です。今回は接続先がPAシリーズのためブランチデバイスタイプにて選択されたテンプレートを利用します。設定が完了したら保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション5-2.png)
- データセンタ側のRoutingを設定するためにroutingのセットアップをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション6-1.png)
- スタティックルーティングに+にてサブネットを追加して保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション7-1.png)
- すべて入力できたら保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション8.png)
- 作成したサービスコネクションがあることを確認して設定のプッシュをクリックし表示されたプッシュをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション9-1.png)
- Descriptionに文字を入力しサービスコネクションにチェックが入っていることを確認してプッシュをクリック
設定の反映の際に新規でノードが立ち上がるため30分程度待つ
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション9-2.png)
- 設定の反映が完了するとサービスIPが表示されます。そのIPがピアとなるIPアドレスですので、そちらを対抗機器にて設定をします。トンネルがアップするとステータスが緑色になります。
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション11-1.png)
![](https://pansetech.net/wp-content/uploads/2024/04/サービスコネクション12.png)
GlobalProtectのセットアップ
インフラストラクチャ設定
Workflows→Prisma Access Setup→GlobalProtectをクリックし表示されたセットアップをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定1.png)
- ユーザが接続する際に利用するポータルのホスト名やDNSの設定、ユーザがVPN接続した際に払い出されるIPプールを設定して保存をクリック
今回はインターネットアクセスのみのためDNS設定はPrisma Accessのデフォルト設定を利用します。
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定2-2.png)
ロケーションの選択
- ロケーションの追加をクリックし接続したいロケーションを地図から選択して有効にしたら保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定3.png)
ポータルユーザー認証
- ポータルユーザー認証の認証の追加をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定4.png)
- 利用したい認証方式を選択し新規作成をクリック
複数の認証環境がある場合には次よりユーザーを認証するの項目にて接続OSなどで認証方式を分けることが可能です。
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定5.png)
- 認証プロファイルの選択画面にて新規作成をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定6.png)
- PAシリーズ同様にActive-Directoryの情報を入力し保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定7-1.png)
- 認証プロファイル名を入力し先程作成したプロファイルを選択する。
その他、Acitve Directoryの認証パラメータを入力し保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定8-2.png)
- 作成した認証プロファイルが選択されていることを確認して保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定9.png)
- 作成した認証設定を一番上に移動
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定10.png)
GlobalProtectアプリケーション
- GlobalProtectアプリケーションをクリックしてアプリケーション設定の追加アプリケーションをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定11-1.png)
- ユーザにインストールしたアプリケーションの振る舞いやオプションを設定し保存をクリック
設定できる内容などは下記の画面を参照してください。
今回はデフォルト設定を使用します。
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定12-1.jpg)
アプリケーションの設定にて詳細をクリックするとより詳細なアプリケーションの設定が可能
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定13-1.jpg)
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定14-1.png)
- 作成したアプリケーション設定を一番上に移動
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定15.png)
- トンネル設定の追加トンネル設定をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定16.png)
- スプリットトンネルの設定を設定し保存をクリック
設定できる内容などは下記の画面を参照してください。
今回はデフォルト設定を使用します。
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定17-1.jpg)
- グローバルアプリケーション設定の歯車をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定18.png)
- ユーザが利用するアプリのバージョンの指定やルート証明書の配布設定等を設定し保存をクリック
設定できる内容などは下記の画面を参照してください。
今回はデフォルト設定を使用します。
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定19-1.png)
- すべての設定が完了したら設定のプッシュをクリックし表示されたプッシュをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定20.png)
- Descriptionに文字を入力しサービスコネクションにチェックが入っていることを確認してプッシュをクリック設定の反映の際に新規でノードが立ち上がるため30分程度待つ
![](https://pansetech.net/wp-content/uploads/2024/04/グローバルプロテクト設定21-1.png)
セキュリティポリシー
Zoneについてはすでに定義されているものを利用します。追加でZoneを作成する必要はありません。今回設定しているサービスコネクション、モバイルユーザ接続はTrustゾーンとなりインターネットの通信はUntrustゾーンとなります。
![](https://pansetech.net/wp-content/uploads/2024/04/prisma-zone.png)
ポリシーの適用方法が階層化されており下記のようになっています。
今回はモバイルユーザのみですが環境に合わせて管理スコープを切り替えて設定していきます。
- グローバル
すべてのネットワークトラフィックに適用されるポリシーとなる - モバイルユーザーコンテナ
すべてのモバイルユーザ接続(Proxy含む)に適用されるポリシーとなる - リモートネットワーク
リモートネットワーク接続に適用されるポリシーとなる
![](https://pansetech.net/wp-content/uploads/2024/04/prisma-scope.png)
- Manage→Configuration→NGFW and Prisma Accessをクリックし設定スコープをGlobalProtectに変更
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定1-1.png)
- セキュリティサービスをクリックしセキュテリィポリシーをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定3-1.png)
- ルールの追加をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定4-1.jpg)
- ポリシーの設定を入力し保存をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定5.png)
- セキュリティポリシー設定時のセキュリティプロファイルについては標準でbest-practiceが選択され保護されるようになっています。こちらを変更した場合にはポリシー設定にて変更が可能です。
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定9.png)
- 作成したポリシーを移動する場合には対象のポリシーを選択して移動をクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定6-1.png)
- すべての設定が完了したら設定のプッシュをクリックし表示されたプッシュをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定7.png)
- Descriptionに文字を入力しサービスコネクションにチェックが入っていることを確認してプッシュをクリック
![](https://pansetech.net/wp-content/uploads/2024/04/ポリシー設定8.png)
クライアント接続
- 端末にてhttps://設定したポータルURLにて接続しID、PWを入力することでソフトウェアをダウンロードができます。
![](https://pansetech.net/wp-content/uploads/2024/04/接続1-1.png)
- ソフトウェアをインストールしたらブラウザに入力したURLを設定しID、PWを入力すれば接続できます。
![](https://pansetech.net/wp-content/uploads/2024/04/接続2-1.png)
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!