突然ですが、Catoクラウドには「Trusted Network」という機能があることをご存知でしょうか?
「モバイルユーザは常時接続(Always-On)させたいけれど、オフィス内など特定の環境下では切断したい」といった場合に役立つ機能です。本記事にて具体的な用途や動作仕様をご紹介します。
なお、後述しますが、Trusted Networkは2024年8月現在はWindowsでしか動作しないため、他OSも含めて上記の動作を実現したい場合には、Office Modeの応用など、他の方法を取る必要があります。Office Modeについては別記事にてご説明予定です。
Trusted Networkとは?
Trusted Networkとは、条件に一致したネットワークを「Trusted Network」(信頼できるネットワーク)とみなし、その環境下ではCatoクライアントの接続を自動切断する機能です。詳細はCato Knowledge Baseもご参照ください。
Disable Always-On in Designated Trusted Networks | Cato Knowledge Base
利用シーンを図にしてみました。
社外ではCatoクライアントをAlways-Onとし、社内ではCatoクライアントを切断したい場合に、社内ネットワークを「Trusted Network」と定義して、自動切断させることができます。
なお、この構成は、リモートユーザのみがCatoを経由していることから変な構成に見えますが、既存ネットワークからの段階的な移行において、リモートユーザに先行して導入した場合など、一時的にはよくある構成です。
Trusted Networkの「定義」とは?
では、「このネットワークはTrusted Networkである」というのは、どのように定義・識別するのでしょうか。
Catoクラウドでは以下の定義に対応しており、CMA(管理画面)から設定が可能です。
| Type | 動作 |
| HTTPS Response | HTTPSのURLを指定します。クライアントはURLにアクセスし、200 or 300 台の応答があればTrusted Networkの中にいると判定します。 |
| DNS Resolving | ホスト名とIPアドレスのセットを指定します。クライアントはローカルネットワークのDNSサーバ(※)へ問い合わせし、指定のIPアドレスが返ればTrusted Networkの中にいると判定します。 |
| Ping Response Hostname | HostnameまたはIPアドレスを指定します。クライアントは宛先に対しPingを実行し、応答があればTrusted Networkの中にいると判定します。 |
| Ping Response IP Address |
※CatoのDNSサーバではなく、端末が接続されている有線or無線ネットワーク上のDNSです。多くの場合、社内DNSサーバになるかと思います。
いずれの場合も、判定の通信はCatoクライアントの仮想アダプタではなく、端末が接続されているローカルネットワークのアダプタから行われます。
なお、条件としてPing Response IP Address でプライベートIPアドレスを指定した場合、社外で接続した場合に意図せず同じIPアドレスの機器が存在し、誤判定が起こる可能性があることにご注意ください。CatoはHTTPS Responseでの設定を推奨しています。
また、条件は複数設定が可能です。複数条件を設定した場合にはOR条件となり、どれか1つでも条件を満たせば Trusted Networkと判定されます。
動作を確認してみました
実際に、以下の設定で動作を確認してみました。
管理画面にてTrusted Networkの条件を設定します。今回はHTTPS Responseで社内WebサイトのURLを指定しました。
社外のネットワークに接続し、PCを起動します。Always-Onが有効なためクライアントが自動接続されます。切断はできません。(切断ボタンが無効になっています)
次に、社内ネットワークに接続しなおします。ネットワークが切れたことで通常は再接続が走りますが、以下の表示になり、クライアントが切断されました。Trusted Networkと判定され、Disconnectedになっていることがわかります。
なお、この状態で接続ボタンを押してCatoクライアントを接続することも可能です(※)。Trusted Network内にいるときは、Always-Onが有効であっても、切断・接続をユーザが手動で行えます。
※社内NWにてCatoクライアントの通信が許可されている必要があります。つまり、社内からはCatoクライアントを接続させたくない場合には、社内のファイアウォール等で通信を制限することで実現可能です。
Trusted Networkの制約・注意
Trusted Networkには、以下の機能制約があります。
- Trusted Networkは、Windowsクライアントのバージョン5.8以降でのみ動作します。
2024年8月現在、残念ながらWindowsのみの対応です。将来的にMacOSへの対応予定があると聞いていますが、他OSについては未定です。 - Catoクライアントに設定されているユーザが1つの場合のみ正常に動作します。
2つ以上のユーザが設定されていると、クライアントがTrusted Networkの中にいても、Trusted Networkと判定されない場合があることを確認しています。
なお、CatoクライアントでTrusted Networkの判定が成功したか失敗したかは、CMA(Cato管理画面)のEventsには記録されません。Trusted Network内ではCatoクラウドとは切断されている状態だからです。一方、Catoクライアントログには判定動作の詳細が記録されていますので、調査したい場合はクライアントログを参照することとなります。
また、Trusted Networkに限らずCatoクライアントのローカルな設定全般に当てはまる内容ですが、CMAで設定した内容は、CatoクライアントがCatoに接続したときに反映される(設定がダウンロードされるイメージです)ので、未接続の状態では反映されません。設定をCatoクライアントに反映するには、一度Catoクライアントを正常に接続する必要があります。
特に、Catoクライアントへの接続を制限している環境では、CMAで設定したTrusted Networkがクライアントに反映されないまま接続すると、Trusted Networkの判定が行われず、Always-Onを切ることもできず、全く通信できなくなるといったことも起こり得ます。もしそうなってしまった場合は、一度社外NWに繋いで、Catoクライアントを接続し数分置いておくと設定が反映され、問題が解消できます。
まとめ
Trusted Networkは、主に既存ネットワークからCatoクラウドへの移行中の状況で、クライアントのAlways-Onと自動切断を制御できる機能です。
しかしながら、2024年8月現在ではWindowsしか対応していないため、もしiOSやMacなど他OSも含めて同じ動作をさせたいときには、別の方法が必要となります。
具体的には、Catoクライアントの「Office Mode」の動作を応用することで、制約はあるものの全OSの制御が可能です。次回、Office Modeとその応用についてご紹介予定です。