今日は2本立て!
Catoの中でナレッジを見ていると「SDP」という言葉が出てくるんですね。で、なんとなくなんかのポータルのWEBアプリのアイコンが並んでいるのが出ているんです。SDPポータルって書かれていたりするんですけどね。
で、SDPってなんだよ?!と思って調べていたら直ぐに実装出来たもので・・・。
なんというか・・・昔でいう所のSSL-VPN装置のSSL-Proxy的な?ものでしょうかね。
SDPとは「Software-Defined Perimeter」の略らしく、翻訳すると・・・「ソフトウェアで定義された境界」だそうです・・・(^-^;
組織内のアプリケーションにクライアントレスでアクセスできると言うてますね。
クライアントVPNとかやんなくてもいいんだよということですね。
ま、説明はこのへんで、どんな感じか。
最初に組織内のアプリケーションを定義します。ちょっとHTTPやHTTPSサイトの準備が出来ていないので、ダミーで作りました。
ここが先かな。Subdomainっていう所が接続先URLの決め手となるので、ここを先に決めると、同時に接続先URLも自動的に決まる感じです。
SSOプロバイダは3種類選べますが、これがどー紐づけるのか・・・ちょっと今回は試してないです。
で、ここの設定でリモートアクセスをオンにして、Portalロゴあるならぶち込んで、許可ドメインの設定とかは今回はパス。私が作成したCato userを使いたいので、そこをオンにして、あとはそのままです。
で、最後にポリシーを定義します。ユーザーだったりグループだったりでリモートアクセスできるアプリケーションを振り分ける所ですね。
で、おしまい。
用意されたURLにアクセスすると・・・
こんな感じです。ここの編集はロゴが採用されるだけかな・・・。
ログインができると・・・
こんな感じのポータル画面が出るっす。ロゴサイズ、グシャっとなりましたね。どこかに規定サイズが書かれているといいかもですね。
まぁ社内のWEBシステムをインターネット上に直接公開した状態でログイン・パスワードを要求するよりはワンクッションある形ですかね。やりようによってはSSO連動できるみたいですね。ワンクッションの意味がSSOでなくなりますけど…。例えば今まで公開サーバーとかの手順をふんで大変な環境だったけど、社内の外部公開していないシステムだったけどコロナでちょっとそれだけを使えれば良いというクライアントレスがうれしいケースとか?にハマりそうかな。
WEBアプリだけじゃなくて、RDPとかSSHがしたいんです・・・どうしたら・・・というようなケースには「Apache Guacamole」でやってみるといいかも・・・という動画が上がっておりました。。。なるほど。
SDP: RDP and SSH Applications Demo (using Guacamole server)
こちらは組織のセキュリティによっては採用しにくいかもしれませんが、応用次第でこんなことできますよということでしょう。
さて明日は、いよいよセキュリティ廻りの設定に飛び込んでいきます。
明日はプロキシのメンテナンスもしなくちゃだった・・・。
なんか、「(元)インフラエンジニア・・・」という出だしのブログなのに、インフラエンジニアなネタしか結局書いていないですね。
