Prisma Access (旧名称:GlobalProtect Cloud Service)を購入後、製品を使用するまでの流れ

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
100%が役に立ったと言っています (1/1)

概要

本文書はPrisma Access (Panorama Managed)(旧名称:GlobalProtect Cloud Service)を使用するに当たってのハイレベルでの概要を紹介します。

注1:本文書はGlobalProtect Cloud Service Getting Started Guideをベースとしておりましたが、現在セットアップの文書はPrisma Access Administrator's Guide (Panorama Managed)となっております。

本文書は参考に留め、Administrator's Guideをご参照ください。

注2:本文書ではClean Pipeのライセンスや機能は説明の対象としません。

Prisma Access (Panorama Managed) Administrator's Guideをご参照ください。

 

 

Prisma Access Administrator’s Guide (Panorama Managed)

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin

 

 

目次

(1)Prisma Accessのライセンス
(2)その他、必要なライセンス
(3)Prisma Accessのライセンス入手方法
(4)Prisma Accessに必要なコンポーネントとライセンス有効化
(5)評価ライセンスから商用ライセンスへの移行
(6)Prisma AccessとCortex Data Lake用にPanoramaアプライアンスをHA(高可用性)で設定する
(7)Prisma Access インフラストラクチャーの準備

(8)ゾーン マッピング
(9)Prisma Accessファイアウォールで使用するIPアドレスの取得
(10)Cloud Service セットアップ
(11)Prisma Access for Networks
(12)Prisma Access for Users

 

(1)Prisma Accessのライセンス

 

用途により以下があります。

  • Prisma Access for Networks (旧名称:GlobalProtect Cloud Service for Remote Networks)
  • Prisma Access for Users(旧名称:GlobalProtect Cloud Service for Mobile Users)
  • Prisma Access for Clean Pipe(本文書では取り扱いません)

 

(2)その他、必要なライセンス

  • Panorama
  • Cortex Data Lake

 

(3)Prisma Accessのライセンス入手方法

 

1. Authorization Code(以下Auth Code)とSales Order番号の確認

 

Prisma Accessのご購入が確認されましたらAuth Code、Sales Order番号が販売代理店様より発行されます。Auth CodeとSales Order番号は次の手順(2)で必要になります。まずはお手元にAuth CodeとSales Order番号がある事をご確認下さい。

なお、弊社プレミアムサポートではAuth CodeおよびSales Order番号についてお問い合わせ頂きましてもご回答することができません。Auth CodeまたはSales Order番号に関しましては購入先の販売代理店様までお問い合わせ頂けますようお願いいたします。

 

2. カスタマーサポートポータルへのアカウント登録


ライセンスファイルの入手や製品サポートを受けるためにはアカウントのご登録が必要となります。以下の記事を参考にアカウントを登録します。

 

カスタマーサポートポータルへのアカウント登録方法:

https://live.paloaltonetworks.com/t5/%E3%81%8A%E5%AE%A2%E3%81%95%E3%81%BE%E5%90%91%E3%81%91%E3%82%B5...

 

カスタマーサポートポータルには複数のユーザーを登録することができます。ユーザーを追加登録する場合は以下の記事をご参照下さい。


カスタマサポートポータルにユーザを追加する方法:

https://live.paloaltonetworks.com/t5/%E3%81%8A%E5%AE%A2%E3%81%95%E3%81%BE%E5%90%91%E3%81%91%E3%82%B5...

 

(4)Prisma Access (Panorama Managed)に必要なコンポーネントとライセンス有効化

 

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > License and Install the Prisma Access Components

 

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...

 

前提

Prisma Access (Panorama Managed)はCloud Services PluginをPanoramaにインストールすることで展開します。これを行う前に以下を準備する必要があります。

 

  • PanoramaをPAN-OS 9.0.4、または9.1.1以降へUpgrade
  • Panoramaがプレミアム サポート ライセンスを持っていること
  • PanoramaがDNSとNTPを使用していること
  • Prisma Access (Panorama Managed)のauth codeをアクティベートする際、Cloud Services PluginをインストールしたPanoramaのシリアル番号との紐づけが必要です。
  • Cortex Data Lake サブスクリプションの購入。Cortex Data Lakeのauth codeをお持ちであれば、「Cortex Data Lake(旧名称:Logging Service) を購入後、製品を使用するまでの流れ」を参照の上、Prisma Accessのauth codeのアクティベート前に、予めアクティベートしておいてください。

 

STEP 1

以下の情報があることを確認します。

  • Prisma Accessのアクティベートに必要なアクティベーションリンクを記載したorder fulfillment emailを受信していること。
  • HA(高可用性)でPrisma Accessを使用する場合、先に以下を参照してHAモードの設定をPrimaryとSecondaryのPanoramaに行ってください。

Configure Panorama Appliances in High Availability for the Prisma Access

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...

 

STEP 2(オプション)

既存のPanoramaをPrisma Accessの管理に使用する場合、PAN-OS Version 9.0.4または9.1.1で稼働していることを確認してください。

 

1.6 Cloud Service pluginをインストールするには、Panoramaは9.0.4以上のPAN-OS Versionで動作していなければなりません。

PAN-OS 9.1.1も1.6 pluginをサポートします。ただし古いpluginはPAN-OS 9.1.1との互換性がないため、古いバージョンのpluginからアップグレードする場合は、Panoramaを9.0.Xから9.1.1にUpgradeする前に、pluginを1.6にアップグレードしてください。

PAN-OS 8.1ないしはそれより古いバージョンで稼働するPanoramaに1.6 pluginをインストールするのは、サポートされない設定となりデータの損失につながります。

 

STEP 3

パロアルトネットワークスより受信したアクティベーション用のemailにてActivateをクリックします。

ライセンスされたすべてのPrisma AccessとCortex Data Lakeのアクティベートリンクを選択します。

"Hub"へのサインインが終わっていない場合、サインインを促されます。

 

STEP 4

アクティベートしたいすべての製品を選択し、Start Activationをクリックします。

多くの場合、表示されたすべての製品をアクティベートします。しかし、Prisma Accessを既存のアクティベート済みのCortex Data Lakeに関連付けしたい場合は、Cortex Data Lakeを選択から外します。

 

STEP 5

選択した製品をCustomer Support Accountに割り当て、Nextをクリックします。

emailに複数のCustomer Support Accountが関連付けられていた場合、製品を割り当てたいアカウントを選択してください。

 

STEP 6

Prisma Accessを管理したいPanoramaアプライアンスを選択し、Nextをクリックします。

既存のPanoramaを選択するか、新しいPanoramaアプライアンスのシリアル番号を登録することもできます。

 

STEP 7

Cortex Data Lakeのオプションを選択します。

  • Cortex Data Lake Selectionでは、新しいCortex Data Lakeインスタンスをアクティベートするか、既存のインスタンスを選択するかを選びます。
  • Region SelectionではCortex Data Lakeのリージョンを選択します。

アクティベーションプロセスは20分程度かかります。

 

STEP 8

ワンタイム パスワード(OTP)をコピーします。後でPanorama上でのアカウント確認に必要になります。

注:ワンタイム パスワードは生成から10分間のみ有効です。

 

STEP 9

Cloud Service pluginのダウンロードとインストールを行います。PanoramaでサポートされるCloud Service pluginのバージョンは以下で確認してください。

Palo Alto Networks Compatibility Matrix > Panorama Plugins > Cloud Services

https://docs.paloaltonetworks.com/compatibility-matrix/panorama/plugins.html#id17C8A0Y0M9I

 

Cloud Service pluginをインストールすると、pluginは管理用のユーザー__cloud_servicesを作成します。このユーザーアカウントはPrisma AccessのEnterprise DLPと、Prisma Accessの管理インフラストラクチャーでの通信を有効化するために必要となります。Palo Alto Networksは、本サービスの利用者の組織のパスワード ポリシーに従って、この管理用アカウントのパスワードを変更することを推奨します。

__cloud_servicesを削除してしまうと、手動で再度追加しなければなりません。このアカウントはEnterprise DLPの登録とアクティベート、またセキュリティ ポリシーから参照されるデータ パターンやデータ フィルタリング プロファイルを用いたDLP スキャニングに使用されます。

より新しいバージョンのCloud Service pluginのインストールは、古いバージョンを上書きします。初めてpluginをインストールした場合は、インストールの成功後にPanoramaは表示を更新し、Panoramaタブの下にCloud Serviceメニューを表示します。

 

STEP 10

PanoramaでPrisma Accessのライセンスを取得します。

 

STEP 11

Panoramaでアカウントの確認を行います。

Cloud Service pluginのインストール後、アカウントの確認を促されます。これにより登録されたシリアル番号を持つPanoramaとPrisma Accessとの安全な通信パスの確立を行います。

STEP 8のワンタイム パスワードを使用します。

注:ワンタイム パスワードは生成から10分間のみ有効です。

 

STEP 12

Prisma Accessインフラストラクチャーにデバイスグループの変更を適用します。

 

STEP 13

Prisma Accessのインフラストラクチャーを有効化し、Prisma Accessのデプロイを行います。

次項以降を参照して設定作業を継続してください。

 

(5)評価ライセンスから商用ライセンスへの移行

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed)> Transfer or Update Prisma Access Licenses

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...

 

注:Prisma Access、Panoramaアプライアンスそれぞれのライセンスが評価用(evaluation)か商用(Production)ごとに適用の手順が変わります。Supported Update Pathsの記載をご確認ください。

 

(6)Prisma AccessとCortex Data Lake用にPanoramaアプライアンスをHA(高可用性)で設定する

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Configure Panorama Appliances in High Availability for Prisma Access

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...

 

(7)Prisma Accessインフラストラクチャーの準備

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Prepare the Prisma Access Infrastructure and Service Connections

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prepare-the-pris...

 

以下の各項目の準備が必要です。

 

  • Set Up Prisma Access
  • Plan the Service Infrastructure and Service Connections
  • Configure the Service Infrastructure
  • Create a Service Connection to Allow Access to Your Corporate Resources
  • Create a Service Connection to Enable Access between Mobile Users and Remote Networks
  • Use Traffic Forwarding Rules with Service Connections
  • How BGP Advertises Mobile User IP Address Pools for Service Connections and Remote Network Connections
  • Routing Preferences for Service Connection Traffic
  • List of Prisma Access Locations

 

(8)ゾーン マッピング

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Zone Mapping

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

 

デフォルトではPrisma Accessで作成したゾーンはUntrustにMappingされ、クラウドに展開されます。

インターネット方向へのトラフィックは、承認したアプリケーションは可視性とポリシー管理がされるようになります。

クラウド サービスに関連付けた外部に接するインターフェイスのゾーンはuntrustにマップし、エンジニアのツールやデータセンターアプリなど社内のアプリケーションへのアクセスを提供するゾーンはtrustを割り当てます。

 

 

(9)Prisma Accessファイアウォールで使用するIPアドレスの取得

 

パブリッククラウドにホストするO365などのアプリケーションへのアクセス管理のためIPホワイトリストを作成している場合、Prisma Accessインフラストラクチャーで使用するアドレスが変更されることは、管理上の困難となります。

Prisma AccessインフラストラクチャーのIPアドレス変更を知る手段として、これらの変更を通知するURLをcloud service plugin にて提供します。

通知の内容やAPI keyの取得の方法は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) >  Retrieve the IP Addresses for the Prisma Access

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-ov...

 

(10)Cloud Service セットアップ

サービス インフラとService Connectionのプラン

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Plan the Service Infrastructure and Service Connections 

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prepare-the-pris...

 

リモート ネットワークとモバイル ユーザーのサービス インフラを有効化するために、既存のネットワークで使用中の範囲と重ならない、RFC 1918準拠のサブネットを用意してください。

Prisma Accessのライセンスは100箇所までの本社、データセンターなどとのService Connectionでの接続を含んだライセンスです。最初の3箇所までは帯域などのコストは掛かりません。それ以降はPrisma Access for Networksの帯域から1接続あたり300Mbpsを消費します。

 

「社内ネットワークへのアクセスのセットアップ」を開始する前に、本社/データーセンターに関する以下の情報を収集します。

 

  • IPSec使用可能な、ファイアウォール、ルーター、またはSD-WAN機器の接続
  • Prisma AccessとIPSec使用可能機器を接続する、プライマリVPNトンネルを終端するIPSecトンネルの設定
  • Prisma AccessとIPSec使用可能機器を接続する、セカンダリVPNトンネルを終端するIPSecトンネルの設定

注:IPSecトンネル、トンネルモニタリング、IPSec暗号プロファイルを含む既存のテンプレートがある場合、そのテンプレートをテンプレート スタックに追加することでIPSecトンネルの設定を簡略化できます。

 

  • 該当のサイトのIPサブネットのリスト
  • Cloud Serviceが名前解決する必要があるドメインのリスト
  • IPSecトンネル モニタリングのPING宛先となるIPアドレス
  • アクセスにお客様用意の認証サービスを使用する場合、そのサービス アカウント
  • サービス インフラ サブネットへのネットワーク到達性のための設定

 

サービスインフラの有効化

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Configure the Service Infrastructure

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prepare-the-pris...

 

設定を続行する前に、サービス インフラのサブネットを設定しなければなりません。既存の社内ネットワークやPrisma Access for Usersのプールと重複しない、 RFC 1918準拠の/24 サブネットを使用します。

STEP 1

Panorama > Cloud Service > 設定 >  (Prisma Access) > Service Setupに移動します。 

 

STEP 2

全般タブにて RFC 1918準拠の/24 サブネットを設定します。

注:一度設定したサブネットは、変更はしないでください。

 

STEP 3

Prisma AccessでのHQ/データセンターと拠点間の動的なルートの構成をする場合、AS番号をInfrastracture BGP ASに入力します。デフォルトでは65534が使用されます。

 

 

STEP 4(オプション)

サービス コネクション用のテンプレートを設定します。デフォルトでService_Conn_Template_Stackがテンプレート スタックには組み込まれていますが、他のテンプレートを追加が可能です。

 

STEP 5

社内内部のドメイン名を解決するためのDNSサーバーの設定をします。

 

STEP 6

Cortex Data Lakeを有効化します。

注:ログをCortex Data Lakeに転送するには、Prisma Accessでプッシュするデバイス グループで、転送するログタイプの転送方式で"Panorama/ロギング サービス"をチェックします。

 

STEP 7

OKをクリックしてService Setupの設定を保存します。

 

STEP 8

Panorama、Prisma Accessに対してCommitを行います。

 

注:Panoramaとインターネットの間にファイアウォールがある場合、インターネット向きのTCP ポート 444を使用したSSL通信を許可する必要があります。Palo Alto Networks ファイアウォールを使用して"application-default"ポートを許可する設定の場合、Palo Alto Networks ファイアウォールはこの通信をブロックしてしまいます。そのため、別に許可ルールを作成しなければなりません。Palo Alto Networks ファイアウォールではApp ID paloalto-logging-serviceとpaloalto-shared-servicesで該当の通信を識別できるため、App-IDによる許可ルールの作成がより望ましいです。

 

STEP 9

Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。

  

STEP 10

続いて以下の必要な設定を行います。

 

  • 社内ネットワークへのアクセスの設定(Service ConnectionによるHQ、DCへの接続)
  • Prisma Access for Networks(利用する場合のみ)
  • Prisma Access for Users(利用する場合のみ)

 

社内ネットワークへのアクセスの設定

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Create a Service Connection to Allow Access to Your Corporate Resources

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prepare-the-pris...

 

例えば社内ネットワークへのアクセスにあたって、社内のActive Directoryの認証を行いたい場合など、そのサービスが有る社内のロケーションへのアクセスが必要です。同様にfor Networksやfor Usersがアクセスの必要な社内リソースもあるでしょう。

対応する社内ネットワークへのアクセス有効化が必要です。


サービスコネクションの確立のため、例えばPalo Alto Networks 次世代ファイアウォールやSD-WAN機器など、IPSecトンネル設定可能なデバイスが必要です。

 

データーセンター/HQへのルート構成にはスタティック ルートかBGPが使用できます。

 

STEP 1

Panorama > Cloud Service > 設定 > Service Setupに移動します。 

 

STEP 2

On Boarding セクションで追加をクリックします。

 

STEP 3

社内ネットワークの名称を入力します。

 

STEP 4

社内ネットワークに近いリージョンを"場所"としてドロップ ダウンから選択します。

 

STEP 5

IPSecトンネルを設定します。既存のトンネルを選択するか、新しいトンネルを選択します。

 

注:テンプレートのIPSecトンネルは"自動キー"、"IPv4"である必要があります。

 

STEP 6

社内ネットワークのサブネットを設定します。

スタティック ルートかBGPを使用できます。

 

STEP 7

社内ネットワーク にセカンダリのWANがあるのであれば、"Enable Secondary WAN"をチェックして、STEP 5と同様にIPSecトンネルを設定します。

 

STEP 8

Panorama、Prisma Accessに対してCommitを行います。

 

STEP 9

Panorama > Cloud Service > 状態 > Network Detailsに移動し、Service IP Adressを確認します。

お客様のIPSec 対応機器からPrisma Accessに接続するIPSecトンネルの設定を行います。

他社IPSec 機器の設定方法は弊社ではサポートしていません。

 

STEP 10

Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。

 

STEP 11

Panorama > Cloud Service > 状態 > モニターで"Service Connection"を選択して、視覚的に状態を確認できます。

 

STEP 12(オプション)

BGPを設定していた場合、BGP状態を確認します。Panorama > Cloud Service > 状態 > Network Detailsで"Service Connection"からBGP状態を確認できます。

 

 

(11)Prisma Access for Networks

Prisma Access for Networksのプラン

Remote Networksのプランにあたって、以下を準備しておきます。

 

  • Service Connection
  • テンプレート
  • 親 デバイス グループ
  • IPサブネット

 

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Plan to Deploy Prisma Access for Networks

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

 

Prisma Access for Networksの設定

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Configure Prisma Access for Networks

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

STEP 1

Panorama > Cloud Service > 設定 > Remote Networksに移動します。 

 

STEP 2

テンプレートを設定します。デフォルトではテンプレート スタック(Remote_Network_Template_Starck)が作成され、テンプレート(Remote_Network_Template)がプッシュされます。既存のテンプレートを追加できます。

 

STEP 3

親 デバイス グループを選択します。既存のデバイス グループか"共有"を選択できます。

 

STEP 4

ゾーンを作成するか、既存のテンプレートのゾーンをTrusted Zones, Untrusted Zonesに振り分けます。デフォルトではPrisma Accessに設定したゾーンはuntrustとなります。必要に応じてtrustにします。

 

STEP 5

追加したいリモート ネットワークの名称を入力します。

 

STEP 6

帯域幅を選択します。拠点あたりの帯域幅は、利用できるISPの帯域を考慮して決定します。

注:各拠点の帯域幅の合計がPrisma Access for Networksのライセンスで購入している合計帯域幅を超過した時点で、拠点の設定は追加できなくなります。

 

 

 

remote_bandwidth.PNG 

 

STEP 7

Prisma Accessがリモート ネットワークを実装するリージョンを"場所"として選択します。地理的に近い場所の選択が望ましいです。

 

STEP 8

IPSecトンネルを設定します。既存のトンネルを選択するか、新しいトンネルを選択します。

またスタティックルートかBGPを設定します。

 

STEP 9

該当のリモートネットワーク にセカンダリのWANがあるのであれば、"Enable Secondary WAN"をチェックして、STEP 8と同様にIPSecトンネルを設定します。

 

STEP 10

Panorama、Prisma Accessに対してCommitを行います。

 

STEP 11

Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。

 

STEP 12(オプション)

BGPを設定していた場合、BGP状態を確認します。Panorama > Cloud Service > 状態 > Network Detailsで"Service Connection"からBGP状態を確認できます。

 

STEP 13

リモート ネットワーク拠点にてIPSecトンネルを形成するIPSec機器を設定します。

他社IPSec 機器の設定方法は弊社ではサポートしていません。

 
STEP 14

リモート ネットワークの通信の安全を保つため、セキュリティー ポリシーを設定します。

 

STEP 15

Cortex Data Lake へのログ転送を有効にします。ログ転送プロファイルを作成して、ログを転送したいポリシーに適用する必要があります。

 

STEP 16

Panorama、Prisma Accessに対してCommitを行います。

 

(12)Prisma Access for Users

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Secure Mobile Users with Prisma Access

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

 

 

Prisma Access for Usersのプラン

Prisma Access for Usersのプランにあたって、以下を準備しておきます。

 

  • IPアドレス プール。RFC 1918準拠で社内での他の利用やCloud Serviceセットアップに使用したものと重複してはなりません。リージョンが複数ある場合は、リージョンごとのプールの設定をします。
  • テンプレート。オンプレミスのGlobalProtectをすでに使用していた場合など、既存のテンプレートも使用できます。
  • Parent デバイス グループ。セキュリティ ポリシー、セキュリティ プロファイルやその他のオブジェクトのプッシュに必要です。
  • オンボードするロケーション。地理的、あるいは同じ国、言語の観点から選択してください。IP プールの設定とも関連します。
  • ポータル ホスト名。Cloud Serviceでホスト名と関連証明書の生成ができます。ただし自社のドメインを使いたい場合は、ポータル用の必要な証明書の発行と、それを参照するためのSSL/TLSサービスプロファイルを設定する必要があります。独自のホスト名をポータルに使用する場合は、所有するDNSサーバーがポータルのDNS CNAMEを解決できるようにする必要があります。
  • サービス コネクション。

    例えば認証サーバーやデータ センター、HQなど社内ネットワーク、あるいはPrisma Access for Networksの拠点へのアクセスのためにサービス コネクションの設定が必要です。

詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Plan To Deploy Prisma Access for Users

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

Prisma Access for Usersの設定

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

Prisma Access Administrator's Guide (Panorama Managed) > Configure Prisma Access for Users

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-fo...

STEP 1

Panorama > Cloud Service > 設定 > Mobile Usersに移動します。 

 

STEP 2

テンプレートを設定します。デフォルトではテンプレート スタック(Mobile_User_Template_Stack)が作成され、テンプレート(Mobile_User_Template)がプッシュされます。既存のテンプレートを追加できます。

注:Mobile_User_Templateを編集する場合、"外部ゲートウェイ"の設定を削除したり、変更したりしないようにしてください。

 

Prisma Access for Usersのためにプッシュしたい、親 デバイス グループを選択します。

セキュリティ ポリシー、セキュリティ プロファイル、そして他のポリシー オブジェクト(アプリケーション グループとオブジェクト、アドレス グループなど)、HIPオブジェクトとプロファイル、認証ポリシーなど、デバイス グループの階層を使用してPrisma Access for Usersに一貫したポリシーを提供します。

ログ転送プロファイルにて転送するログタイプの転送方式で"Panorama/ロギング サービス"をチェックします。これはCloud Serviceへのログ転送の唯一の方法です。

 

STEP 3

選択したテンプレートのゾーンをTrusted Zones, Untrusted Zonesに振り分けます。デフォルトではPrisma Accessに設定したゾーンはuntrustとなります。必要に応じてtrustにします。

 

STEP 4

On Boarding セクションでConfigureをクリックします。

 

注:Portal Name Typeで以下を選択します。

  • Use Default Domain:"Portal Hostnameの入力値" +".gpcloudservice.com"となります。必要な証明書の作成と、ホスト名のDNSへの登録はPrisma Accessが行います。
  • Use Company Name Domain:所有しているドメイン名に合わせた名称としたい場合のオプションです。証明書と社内のDNSサーバーでの名前解決の準備などが必要です。

 

注:Prisma Accessの端末用のIP プールは社内の他の使用されているものであったり、他のIP プールで使用しているものであってはなりません。プールのサイズは"場所"(端末が接続するリージョン)で収容するモバイル ユーザーの数に応じて変わりますが、Panoramaのプラグインは最低/20のマスクであることをチェックします。IP Poolの領域として、仮想的に全リージョン共通で使用できる"Worldwide"か、プールごとに利用可能なリージョンを分けることができます。

 

注:プライマリDNS、セカンダリDNSは空欄だとCloud Serviceのデフォルトを使用します。プライマリ、セカンダリDNSを設定した場合、Prisma AccessゲートウェイのDNSプロキシは、設定されたDNSにDNS要求を送信します。

 

 

STEP 5

モバイル ユーザーの通信の安全を保つため、セキュリティー ポリシーを設定します。

 

STEP 6

Cortex Data Lakeにログを転送します。

ログ転送プロファイルを作成して、各々のポリシーに設定する必要があります。

 

STEP 7

Panorama、Prisma Accessに対してCommitを行います。

 

STEP 8

Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。

 

STEP 9

Portal Name Typeで"Use Company Name Domain"を選択していた場合、内部のDNSサーバーにポータルのホスト名を登録しておく必要があります。

 

STEP 10

エンド ユーザーにGlobalProtectクライアント ソフトウェアを展開します。

Mac OSとWindows ユーザーはPrisma Accessのポータル アドレスからユーザーがダウンロードできます。

モバイル アプリのユーザーはオペレーティング システムのアプリ ストアからインストールができます。 

 

この記事を評価:
コメント
L1 Bithead

Prisma Accessのアクティベート方法が変わっているので、こちらを反映していただけないでしょうか?

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...

L4 Transporter

Tahara様、

 

お時間空いてしまい申し訳ございませんでしたが、アクティベート方法の変更など反映して、

「(4)Prisma Access (Panorama Managed)に必要なコンポーネントとライセンス有効化」を中心に修正いたしました。

 

なお、Prisma Access Administrator's Guideの改版頻度も高いため、引き続きAdministrator's Guideもご参照いただきますよう、よろしくお願い致します。

 

  • 32845 閲覧回数
  • 2 コメント
  • 5 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎08-25-2020 12:02 AM
更新者: