- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
本文書はPrisma Access (Panorama Managed)(旧名称:GlobalProtect Cloud Service)を使用するに当たってのハイレベルでの概要を紹介します。
注1:本文書はGlobalProtect Cloud Service Getting Started Guideをベースとしておりましたが、現在セットアップの文書はPrisma Access Administrator's Guide (Panorama Managed)となっております。
本文書は参考に留め、Administrator's Guideをご参照ください。
注2:本文書ではClean Pipeのライセンスや機能は説明の対象としません。
Prisma Access (Panorama Managed) Administrator's Guideをご参照ください。
Prisma Access Administrator’s Guide (Panorama Managed)
https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin
(1)Prisma Accessのライセンス
(2)その他、必要なライセンス
(3)Prisma Accessのライセンス入手方法
(4)Prisma Accessに必要なコンポーネントとライセンス有効化
(5)評価ライセンスから商用ライセンスへの移行
(6)Prisma AccessとCortex Data Lake用にPanoramaアプライアンスをHA(高可用性)で設定する
(7)Prisma Access インフラストラクチャーの準備
(8)ゾーン マッピング
(9)Prisma Accessファイアウォールで使用するIPアドレスの取得
(10)Cloud Service セットアップ
(11)Prisma Access for Networks
(12)Prisma Access for Users
用途により以下があります。
Prisma Accessのご購入が確認されましたらAuth Code、Sales Order番号が販売代理店様より発行されます。Auth CodeとSales Order番号は次の手順(2)で必要になります。まずはお手元にAuth CodeとSales Order番号がある事をご確認下さい。
なお、弊社プレミアムサポートではAuth CodeおよびSales Order番号についてお問い合わせ頂きましてもご回答することができません。Auth CodeまたはSales Order番号に関しましては購入先の販売代理店様までお問い合わせ頂けますようお願いいたします。
ライセンスファイルの入手や製品サポートを受けるためにはアカウントのご登録が必要となります。以下の記事を参考にアカウントを登録します。
カスタマーサポートポータルへのアカウント登録方法:
カスタマーサポートポータルには複数のユーザーを登録することができます。ユーザーを追加登録する場合は以下の記事をご参照下さい。
カスタマサポートポータルにユーザを追加する方法:
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > License and Install the Prisma Access Components
Prisma Access (Panorama Managed)はCloud Services PluginをPanoramaにインストールすることで展開します。これを行う前に以下を準備する必要があります。
以下の情報があることを確認します。
Configure Panorama Appliances in High Availability for the Prisma Access
既存のPanoramaをPrisma Accessの管理に使用する場合、PAN-OS Version 9.0.4または9.1.1で稼働していることを確認してください。
1.6 Cloud Service pluginをインストールするには、Panoramaは9.0.4以上のPAN-OS Versionで動作していなければなりません。
PAN-OS 9.1.1も1.6 pluginをサポートします。ただし古いpluginはPAN-OS 9.1.1との互換性がないため、古いバージョンのpluginからアップグレードする場合は、Panoramaを9.0.Xから9.1.1にUpgradeする前に、pluginを1.6にアップグレードしてください。
PAN-OS 8.1ないしはそれより古いバージョンで稼働するPanoramaに1.6 pluginをインストールするのは、サポートされない設定となりデータの損失につながります。
パロアルトネットワークスより受信したアクティベーション用のemailにてActivateをクリックします。
ライセンスされたすべてのPrisma AccessとCortex Data Lakeのアクティベートリンクを選択します。
"Hub"へのサインインが終わっていない場合、サインインを促されます。
アクティベートしたいすべての製品を選択し、Start Activationをクリックします。
多くの場合、表示されたすべての製品をアクティベートします。しかし、Prisma Accessを既存のアクティベート済みのCortex Data Lakeに関連付けしたい場合は、Cortex Data Lakeを選択から外します。
選択した製品をCustomer Support Accountに割り当て、Nextをクリックします。
emailに複数のCustomer Support Accountが関連付けられていた場合、製品を割り当てたいアカウントを選択してください。
Prisma Accessを管理したいPanoramaアプライアンスを選択し、Nextをクリックします。
既存のPanoramaを選択するか、新しいPanoramaアプライアンスのシリアル番号を登録することもできます。
Cortex Data Lakeのオプションを選択します。
アクティベーションプロセスは20分程度かかります。
ワンタイム パスワード(OTP)をコピーします。後でPanorama上でのアカウント確認に必要になります。
注:ワンタイム パスワードは生成から10分間のみ有効です。
Cloud Service pluginのダウンロードとインストールを行います。PanoramaでサポートされるCloud Service pluginのバージョンは以下で確認してください。
Palo Alto Networks Compatibility Matrix > Panorama Plugins > Cloud Services
https://docs.paloaltonetworks.com/compatibility-matrix/panorama/plugins.html#id17C8A0Y0M9I
Cloud Service pluginをインストールすると、pluginは管理用のユーザー__cloud_servicesを作成します。このユーザーアカウントはPrisma AccessのEnterprise DLPと、Prisma Accessの管理インフラストラクチャーでの通信を有効化するために必要となります。Palo Alto Networksは、本サービスの利用者の組織のパスワード ポリシーに従って、この管理用アカウントのパスワードを変更することを推奨します。
__cloud_servicesを削除してしまうと、手動で再度追加しなければなりません。このアカウントはEnterprise DLPの登録とアクティベート、またセキュリティ ポリシーから参照されるデータ パターンやデータ フィルタリング プロファイルを用いたDLP スキャニングに使用されます。
より新しいバージョンのCloud Service pluginのインストールは、古いバージョンを上書きします。初めてpluginをインストールした場合は、インストールの成功後にPanoramaは表示を更新し、Panoramaタブの下にCloud Serviceメニューを表示します。
PanoramaでPrisma Accessのライセンスを取得します。
Panoramaでアカウントの確認を行います。
Cloud Service pluginのインストール後、アカウントの確認を促されます。これにより登録されたシリアル番号を持つPanoramaとPrisma Accessとの安全な通信パスの確立を行います。
STEP 8のワンタイム パスワードを使用します。
注:ワンタイム パスワードは生成から10分間のみ有効です。
Prisma Accessインフラストラクチャーにデバイスグループの変更を適用します。
Prisma Accessのインフラストラクチャーを有効化し、Prisma Accessのデプロイを行います。
次項以降を参照して設定作業を継続してください。
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed)> Transfer or Update Prisma Access Licenses
注:Prisma Access、Panoramaアプライアンスそれぞれのライセンスが評価用(evaluation)か商用(Production)ごとに適用の手順が変わります。Supported Update Pathsの記載をご確認ください。
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Configure Panorama Appliances in High Availability for Prisma Access
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Prepare the Prisma Access Infrastructure and Service Connections
以下の各項目の準備が必要です。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Zone Mapping
デフォルトではPrisma Accessで作成したゾーンはUntrustにMappingされ、クラウドに展開されます。
インターネット方向へのトラフィックは、承認したアプリケーションは可視性とポリシー管理がされるようになります。
クラウド サービスに関連付けた外部に接するインターフェイスのゾーンはuntrustにマップし、エンジニアのツールやデータセンターアプリなど社内のアプリケーションへのアクセスを提供するゾーンはtrustを割り当てます。
パブリッククラウドにホストするO365などのアプリケーションへのアクセス管理のためIPホワイトリストを作成している場合、Prisma Accessインフラストラクチャーで使用するアドレスが変更されることは、管理上の困難となります。
Prisma AccessインフラストラクチャーのIPアドレス変更を知る手段として、これらの変更を通知するURLをcloud service plugin にて提供します。
通知の内容やAPI keyの取得の方法は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Retrieve the IP Addresses for the Prisma Access
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Plan the Service Infrastructure and Service Connections
リモート ネットワークとモバイル ユーザーのサービス インフラを有効化するために、既存のネットワークで使用中の範囲と重ならない、RFC 1918準拠のサブネットを用意してください。
Prisma Accessのライセンスは100箇所までの本社、データセンターなどとのService Connectionでの接続を含んだライセンスです。最初の3箇所までは帯域などのコストは掛かりません。それ以降はPrisma Access for Networksの帯域から1接続あたり300Mbpsを消費します。
「社内ネットワークへのアクセスのセットアップ」を開始する前に、本社/データーセンターに関する以下の情報を収集します。
注:IPSecトンネル、トンネルモニタリング、IPSec暗号プロファイルを含む既存のテンプレートがある場合、そのテンプレートをテンプレート スタックに追加することでIPSecトンネルの設定を簡略化できます。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Configure the Service Infrastructure
設定を続行する前に、サービス インフラのサブネットを設定しなければなりません。既存の社内ネットワークやPrisma Access for Usersのプールと重複しない、 RFC 1918準拠の/24 サブネットを使用します。
Panorama > Cloud Service > 設定 > (Prisma Access) > Service Setupに移動します。
全般タブにて RFC 1918準拠の/24 サブネットを設定します。
注:一度設定したサブネットは、変更はしないでください。
Prisma AccessでのHQ/データセンターと拠点間の動的なルートの構成をする場合、AS番号をInfrastracture BGP ASに入力します。デフォルトでは65534が使用されます。
サービス コネクション用のテンプレートを設定します。デフォルトでService_Conn_Template_Stackがテンプレート スタックには組み込まれていますが、他のテンプレートを追加が可能です。
社内内部のドメイン名を解決するためのDNSサーバーの設定をします。
Cortex Data Lakeを有効化します。
注:ログをCortex Data Lakeに転送するには、Prisma Accessでプッシュするデバイス グループで、転送するログタイプの転送方式で"Panorama/ロギング サービス"をチェックします。
OKをクリックしてService Setupの設定を保存します。
Panorama、Prisma Accessに対してCommitを行います。
注:Panoramaとインターネットの間にファイアウォールがある場合、インターネット向きのTCP ポート 444を使用したSSL通信を許可する必要があります。Palo Alto Networks ファイアウォールを使用して"application-default"ポートを許可する設定の場合、Palo Alto Networks ファイアウォールはこの通信をブロックしてしまいます。そのため、別に許可ルールを作成しなければなりません。Palo Alto Networks ファイアウォールではApp ID paloalto-logging-serviceとpaloalto-shared-servicesで該当の通信を識別できるため、App-IDによる許可ルールの作成がより望ましいです。
Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。
続いて以下の必要な設定を行います。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Create a Service Connection to Allow Access to Your Corporate Resources
例えば社内ネットワークへのアクセスにあたって、社内のActive Directoryの認証を行いたい場合など、そのサービスが有る社内のロケーションへのアクセスが必要です。同様にfor Networksやfor Usersがアクセスの必要な社内リソースもあるでしょう。
対応する社内ネットワークへのアクセス有効化が必要です。
サービスコネクションの確立のため、例えばPalo Alto Networks 次世代ファイアウォールやSD-WAN機器など、IPSecトンネル設定可能なデバイスが必要です。
データーセンター/HQへのルート構成にはスタティック ルートかBGPが使用できます。
Panorama > Cloud Service > 設定 > Service Setupに移動します。
On Boarding セクションで追加をクリックします。
社内ネットワークの名称を入力します。
社内ネットワークに近いリージョンを"場所"としてドロップ ダウンから選択します。
IPSecトンネルを設定します。既存のトンネルを選択するか、新しいトンネルを選択します。
注:テンプレートのIPSecトンネルは"自動キー"、"IPv4"である必要があります。
社内ネットワークのサブネットを設定します。
スタティック ルートかBGPを使用できます。
社内ネットワーク にセカンダリのWANがあるのであれば、"Enable Secondary WAN"をチェックして、STEP 5と同様にIPSecトンネルを設定します。
Panorama、Prisma Accessに対してCommitを行います。
Panorama > Cloud Service > 状態 > Network Detailsに移動し、Service IP Adressを確認します。
お客様のIPSec 対応機器からPrisma Accessに接続するIPSecトンネルの設定を行います。
他社IPSec 機器の設定方法は弊社ではサポートしていません。
Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。
Panorama > Cloud Service > 状態 > モニターで"Service Connection"を選択して、視覚的に状態を確認できます。
BGPを設定していた場合、BGP状態を確認します。Panorama > Cloud Service > 状態 > Network Detailsで"Service Connection"からBGP状態を確認できます。
Remote Networksのプランにあたって、以下を準備しておきます。
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Plan to Deploy Prisma Access for Networks
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Configure Prisma Access for Networks
Panorama > Cloud Service > 設定 > Remote Networksに移動します。
テンプレートを設定します。デフォルトではテンプレート スタック(Remote_Network_Template_Starck)が作成され、テンプレート(Remote_Network_Template)がプッシュされます。既存のテンプレートを追加できます。
親 デバイス グループを選択します。既存のデバイス グループか"共有"を選択できます。
ゾーンを作成するか、既存のテンプレートのゾーンをTrusted Zones, Untrusted Zonesに振り分けます。デフォルトではPrisma Accessに設定したゾーンはuntrustとなります。必要に応じてtrustにします。
追加したいリモート ネットワークの名称を入力します。
帯域幅を選択します。拠点あたりの帯域幅は、利用できるISPの帯域を考慮して決定します。
注:各拠点の帯域幅の合計がPrisma Access for Networksのライセンスで購入している合計帯域幅を超過した時点で、拠点の設定は追加できなくなります。
Prisma Accessがリモート ネットワークを実装するリージョンを"場所"として選択します。地理的に近い場所の選択が望ましいです。
IPSecトンネルを設定します。既存のトンネルを選択するか、新しいトンネルを選択します。
またスタティックルートかBGPを設定します。
該当のリモートネットワーク にセカンダリのWANがあるのであれば、"Enable Secondary WAN"をチェックして、STEP 8と同様にIPSecトンネルを設定します。
Panorama、Prisma Accessに対してCommitを行います。
Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。
BGPを設定していた場合、BGP状態を確認します。Panorama > Cloud Service > 状態 > Network Detailsで"Service Connection"からBGP状態を確認できます。
リモート ネットワーク拠点にてIPSecトンネルを形成するIPSec機器を設定します。
他社IPSec 機器の設定方法は弊社ではサポートしていません。
リモート ネットワークの通信の安全を保つため、セキュリティー ポリシーを設定します。
Cortex Data Lake へのログ転送を有効にします。ログ転送プロファイルを作成して、ログを転送したいポリシーに適用する必要があります。
Panorama、Prisma Accessに対してCommitを行います。
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Secure Mobile Users with Prisma Access
Prisma Access for Usersのプランにあたって、以下を準備しておきます。
例えば認証サーバーやデータ センター、HQなど社内ネットワーク、あるいはPrisma Access for Networksの拠点へのアクセスのためにサービス コネクションの設定が必要です。
詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Plan To Deploy Prisma Access for Users
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Prisma Access Administrator's Guide (Panorama Managed) > Configure Prisma Access for Users
Panorama > Cloud Service > 設定 > Mobile Usersに移動します。
テンプレートを設定します。デフォルトではテンプレート スタック(Mobile_User_Template_Stack)が作成され、テンプレート(Mobile_User_Template)がプッシュされます。既存のテンプレートを追加できます。
注:Mobile_User_Templateを編集する場合、"外部ゲートウェイ"の設定を削除したり、変更したりしないようにしてください。
Prisma Access for Usersのためにプッシュしたい、親 デバイス グループを選択します。
セキュリティ ポリシー、セキュリティ プロファイル、そして他のポリシー オブジェクト(アプリケーション グループとオブジェクト、アドレス グループなど)、HIPオブジェクトとプロファイル、認証ポリシーなど、デバイス グループの階層を使用してPrisma Access for Usersに一貫したポリシーを提供します。
ログ転送プロファイルにて転送するログタイプの転送方式で"Panorama/ロギング サービス"をチェックします。これはCloud Serviceへのログ転送の唯一の方法です。
選択したテンプレートのゾーンをTrusted Zones, Untrusted Zonesに振り分けます。デフォルトではPrisma Accessに設定したゾーンはuntrustとなります。必要に応じてtrustにします。
On Boarding セクションでConfigureをクリックします。
注:Portal Name Typeで以下を選択します。
注:Prisma Accessの端末用のIP プールは社内の他の使用されているものであったり、他のIP プールで使用しているものであってはなりません。プールのサイズは"場所"(端末が接続するリージョン)で収容するモバイル ユーザーの数に応じて変わりますが、Panoramaのプラグインは最低/20のマスクであることをチェックします。IP Poolの領域として、仮想的に全リージョン共通で使用できる"Worldwide"か、プールごとに利用可能なリージョンを分けることができます。
注:プライマリDNS、セカンダリDNSは空欄だとCloud Serviceのデフォルトを使用します。プライマリ、セカンダリDNSを設定した場合、Prisma AccessゲートウェイのDNSプロキシは、設定されたDNSにDNS要求を送信します。
モバイル ユーザーの通信の安全を保つため、セキュリティー ポリシーを設定します。
Cortex Data Lakeにログを転送します。
ログ転送プロファイルを作成して、各々のポリシーに設定する必要があります。
Panorama、Prisma Accessに対してCommitを行います。
Panorama > Cloud Service > 状態 > 状態に移動し、インフラが正しく展開されているか確認します。
Portal Name Typeで"Use Company Name Domain"を選択していた場合、内部のDNSサーバーにポータルのホスト名を登録しておく必要があります。
エンド ユーザーにGlobalProtectクライアント ソフトウェアを展開します。
Mac OSとWindows ユーザーはPrisma Accessのポータル アドレスからユーザーがダウンロードできます。
モバイル アプリのユーザーはオペレーティング システムのアプリ ストアからインストールができます。
Prisma Accessのアクティベート方法が変わっているので、こちらを反映していただけないでしょうか?
https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/license-prisma-a...