 本記事は 夏休みクラウド自由研究 8/7付の記事です。 |
こんにちは!SCSKの中山です。
少し前のアップデートにて、Cato Clientのセッション強制切断(Revoke Session)機能が実装されました。
こちらの機能は名前の通り、Cato Clientで接続しているSDPユーザをCMA上から切断することができる機能になります。
今回はこの機能を使い方や検証した内容を書きつつ、実際に運用における利用シーンを考えてみようと思います。
Revoke Session機能について
まず「Revoke Session」機能について、最初にお伝えしておくと、本機能のメインはあくまで再認証を強制する機能になります。
こちらのCatoのナレッジにも記載がありますが、「Revoke Session」はクライアント側に再認証を求め、ユーザ側で10分以内に認証しない場合に接続を切断する仕様になっております。
そのため、”切断”という観点では対象のユーザをCatoから切断するために10分程度時間がかかるという仕様になってます。
Cato KnowledgeBase(Revoking a Remote User’s Session)
実施手順
①CMAにより、「Access」>「Users」>「User Directory」より切断したいユーザを選択します。
②右上の「Actions」>「Revoke sessions」をクリックすると確認画面が出てくるので、「Confirm」を押します。
画面上部に「Sessions revoke successfuly」とポップアップが出てきたら、セッションの切断が成功しております。
実際にセッション切断をやってみた
まずは、セッション切断時にClient利用者側の画面・表示はどのようになるかを試してみました。
今回はWindows のCato Clientのセッション切断を実施しました。
▼セッション切断後のCato Clientの画面
「Revoke Sessions」押下後、2,3分後にCato Clientでは上記のログイン画面が再度表示されておりました。
今回は検証にあたりClientの確認を続けていたので気づきましたが、何か作業中に切断された場合には、気づかないかもです。。
ログイン画面が表示された時点でCMAの「Topology」を確認すると「Revoke Session」を実施したユーザが表示されており、Eventsを見てもまだSDPユーザで接続されているログが残っておりました。
▼Cato Client側がログアウト画面になった時のCMAの「Topology」画面
その後、「Topology」から表示が消え、セッションの切断が確認できたのは「Revoke Sessions」押下後、約10分後ぐらいでした。
⇒Catoの仕様通りではありますが、個人的にはセッション切断というと即時で切断できる機能かと思ったので、ここら辺感覚と違う人も多いのでは?と思います。なので運用にあたっては注意が必要かもです。
ちなみに、Cato Clientではログアウト画面、「Topology」上には表示がある状態で再度接続を試してみました。
接続時間が継続していたため、Cato Clientでログイン画面が表示された状態は、あくまで再認証が求められている状態なだけでセッション自体は続いていることがClient側でも確認できました。
ユースケースを考えてみた
まずは端末を紛失した場合ですかね。
こちらはCatoのナレッジの使用例にもあったケースでCato Clientのセッションが残ってしまっている状態で端末を紛失してしまった場合、その端末からは社内NWに入ることができてしまいます。
それをセッション切断を行うことで、正規の利用者以外はログインできないため第三者が社内NWに侵入することを防ぐことができ、情報漏洩のリスクを削減することができます。こちらは端末紛失時の運用に組み込めば、実運用でも使えそうです。
ナレッジの使用例だと「Stories Workbench」で大量アップロードしているユーザを特定し、そのユーザのセッションを切断するケースが紹介されておりました。正当な利用者であるか否かを選別できるのはメリットですが、業務で短期的に大量データをやり取りする場合と区別が難しいと思いますので、実運用に組み込む際には注意が必要かなと思います。
他にも何かを検知してセッションを切断するというケースがあるかと思ったのですが、現状の機能だと向いてない気がします。
あくまで再認証を求める機能で、検証した通りセッションが切断されるまでに約10分ほどかかっておりましたので、ウイルスやマルウェアを検知した時に運用側で対応するのでは対応が遅くなってしまうかと思います。
また、ユーザ制御の観点でセッションを切断する場面があるかもと考えましたが、現状では利用者本人であればセッションを切断しても再ログインできてしまうので、正当な利用者の行動を制限することは難しそうです。
上記の例にも書いた通り、Clientの正当な利用者か否かを選別したいという場面では、一応使えそうではあります。
まとめ
今回はCato Client接続のセッション切断機能について記事を書いてみました。
ユースケースでも運用と絡めて記載をしておりますが、セッション切断機能は実際の運用に関わる機能なので、使用にあたってはしっかりと運用ルールを決める必要があります。運用ルールを決めて使えばとても有用な機能になりますので、本機能のリリースと合わせて運用ルールも見直してみては如何でしょうか。