はじめに
このドキュメントでは、Cisco Secure Accessのコンプライアンスおよび地理的制限をエクスポートする方法について説明します。
背景説明
シスコは、シスコの輸出全般に関するコンプライアンスポリシーに従い、またウクライナとの戦争に対応して、ロシア、ベラルーシ、クリミア、ルハンスク、ドネツク、シリア、キューバ、イラン、北朝鮮などの国および地域からのセキュアなアクセスの購入、導入、およびアクセスを制限しています。
ドメイン ネーム サーバ(DNS)
- ロシア、ベラルーシ、クリミア、ルハンスク、ドネツク、シリア、キューバ、イラン、北朝鮮、およびgeoブロッキングを使用するその他の承認済み地域から発信されたIPアドレスから発信されたクエリのDNSサービスには、セキュリティポリシーまたはコンテンツフィルタリングポリシーは適用されません。レポートも無効になります。DNSクエリは有効な応答を受信し、他の地域からのトラフィックと同じサービスレベルで処理されます。
- DNSに使用する場合、Secure Client Roamingセキュリティモジュールは引き続きDNSトラフィックを解決します。
Webセキュリティ
- Webセキュリティサーバは、ブロックされた国または地域の1つから発信IPを受信するトラフィックを受け入れません。
- 既定のSecure Clientローミングセキュリティモジュール構成では、セキュリティで保護されたアクセスが利用できないときにインターネットに直接接続します。一部のお客様の設定は「フェールクローズ」モードで動作するため、ユーザはインターネットアクセスを失う可能性があります。
- デフォルトのSecure Access Protected Access Credential(PAC)ファイルでは、セキュアアクセスが使用できないときにインターネットに直接接続されます。一部の特定の顧客設定(デフォルトルートのない設定など)は「フェールクローズ」され、ユーザがインターネットアクセスを失う原因となる可能性があります。
- IPsecトンネルは、IPブロッキングまたはインターネットキーエクスチェンジ(IKE)クレデンシャルの失効によって切断されます。動作とユーザエクスペリエンスは、お客様の設定によって異なります。設定によっては、直接インターネット接続に戻る場合や、マルチプロトコルラベルスイッチング(MPLS)に戻る場合があります。また、ユーザがインターネットアクセスを失う原因となる設定もあります。
VPNおよびゼロトラストアクセス
発信元IPがこれらの国または地域のいずれかから発信されている場合、VPNおよびゼロトラストアクセスサーバへの接続は拒否されます。
ダッシュボードと管理者アクセス
セキュアアクセスダッシュボードとAPIは、リストされているリージョンのいずれかから接続しているユーザに対してブロックされます。
FAQ
- ユーザがブロックされても、影響を受けるリージョンに含まれていない場合はどうすればいいですか。
サポートに問い合わせれば、喜んで調査に応じます。
- 地理的にブロックしているデータはどの程度正確ですか。
特定のIPアドレスの国を特定するために、業界をリードする位置情報サービスが使用されます。
- IPアドレスに関連付けられた場所が間違っている場合は、何をする必要がありますか。
修正要求を次のサービスに送信することをお勧めします。