リクエストの送信元ネットワークに基づいてクラウド サービスへのアクセスを制限したいと考えています。ネットワークと、ネットワーク内からリクエストを受信するクラウド サービスの両方を制御できます。ネットワークはルーターの背後にあるため、すべてのユーザーは同じ送信 (動的) IP アドレスを持ちます。
例を挙げましょう。会社 A が会社 B からサービスを購入します。B のサービスはクラウドでホストされています。A は、ユーザーが A の企業ネットワーク内にいる場合にのみ、このサービスを利用できるようにしたいと考えています。したがって、B は、A のユーザーからのリクエストが A の企業ネットワークから発信されていることを確認する必要があります。
そこで私がやりたいのは、会社 A が会社 B のサービスへのアクセスを制限できるようにして、サービスにアクセスするすべてのユーザーが会社 A のネットワーク内にいるようにすることです。
ネットワークが 1 つだけであれば、外部からのアクセスを防止したい場合、これは簡単です。
答え1
私が考えられる解決策としては、次の 2 つが考えられます。
- ネットワークをセグメントに分割します。VLAN タグ付けを使用すると、1 つの物理ネットワーク上で 2 つの異なるセグメントを実行できます。次に、DHCP を使用して 2 つの異なる IP アドレス範囲を配布し、1 つ以上のルーターを使用してセグメント間のトラフィックをルーティングします。
- 各 AP に DHCP リレーを配置し、AP が自身のリレーを経由する場合を除き、DHCP 要求が転送されるのをブロックするようにします。次に、リレーされた DHCP 要求が、有線機器に渡される IP アドレスとは区別できる IP アドレスを取得するように手配します。これは強力なアクセス制御メカニズムではないことに注意してください。ユーザーは、静的 IP アドレスを割り当てることで、このバージョンを簡単にバイパスできます。
答え2
これは典型的な使用例ですRADIUS認証プラットフォームが提供されていないため、具体的な実装の詳細をお伝えすることはできませんが、これは通常、Wi-Fi を含むネットワーク アクセスの許可されたユーザー グループを定義できるため、企業ネットワークに最適なソリューションです。PKI と組み合わせると、エンド ユーザーに対して完全に透過的に実行することもできます。つまり、必要な証明書を持つユーザーまたはデバイスは接続を許可され、それ以外は許可されません。