Comments
Description
Transcript
Panorama
Panorama Panorama は、セキュリティ集中管理 セキュリティ集中管理システ 集中管理システ ムです。 です。複数の 複数の Palo Alto Networks ファイ アウォールに アウォールに対し包括的な 包括的な制御を 制御を提供します 提供します。 します。 可視性、 可視性、制御、 制御、および管理 および管理の 管理の集中化: 集中化 複数の Palo Alto Networks ファイアウォ ールに関してデバイスとポリシーの集中 管理を実施 強力な可視化ツールにより、Palo Alto Networks ファイアウォールで構成する ネットワークを流れるアプリケーショ ン、ユーザー、およびコンテンツをシン プルで直感的に表示 中央の場所から確実な方法で完全なデバ イス管理を促進 一般的に 一般的に、大規模な 大規模な組織では 組織では、 では、組織のいたるところに 組織のいたるところに多 のいたるところに多くのファイアウォ くのファイアウォ ールが ールが配置されています 配置されています。 されています。そして大抵 そして大抵の 大抵の場合、 場合、個別の 個別のデバイスと デバイスと集中管理 インタフェースに インタフェースに一貫性がなく 一貫性がなく、 がなく、それらの連携 それらの連携が 連携が複雑なため 複雑なため、 なため、ファイアウ ォールを ォールを管理し 管理し制御する 制御するプロセス するプロセスは プロセスは煩雑です 煩雑です。 です。この結果 この結果、 結果、管理作業と 管理作業と関連 費用が 費用が増大します 増大します。 します。 Panorama を使用すると、複数の Palo Alto Networks 次世代型ファイアウォール の集中的な可視性と管理が実現します。Panorama で制御されたファイアウォール を通過するアプリケーション、ユーザー、およびコンテンツを、管理者は中央の場 所から把握できます。そして個別のファイアウォールレベルまたはそれらをまとめ た全体レベルでネットワーク上に何が存在するかという情報を得ると、安全なアプ リケーションの使用を許可するポリシーにそれらを反映することができます。その 結果、保護と制御を最大限に実施しながら、管理者の作業負担は最小限に抑えられ ます。また、時間の経過とともに集約されたデータまたはオンデマンドで提供され た比較的最近のデータに対して、分析、レポート、およびフォレンジックを実行で きます。 Palo Alto Networks は管理の方針にこだわりがあり、Panorama、デバイスのユー ザーインタフェース、またはコマンドラインインタフェース(CLI)のどの管理メカ ニズムが使用されているとしても一貫性を保つことを重視しています。Panorama および各デバイスの管理インタフェースは、同一のウェブベースの見た目と操作感 を備えており、操作に慣れる時間を短縮したり、または目の前の作業の実施が遅れ るのを最小限にとどめたりします。管理の一貫性は、Palo Alto Networks が備える 大きな利点の 1 つです。競合製品では、集中管理機能をデバイスや CLI メカニズ ムの欠点を補うために使用する傾向があります。 PAGE 2 Panorama の管理アーキテクチャ 管理アーキテクチャ オブジェクトは、事前ルールと事後ルールだけではなくローカルで Panorama の配置環境は、中央の Panorama サーバー、ブラウザベ 管理されるルール内でも使用できます。ポリシーとオブジェクトへ ースのインタフェース、および管理される Palo Alto Networks ファ のローカル管理制御と集中化された管理制御を組み合わせること イアウォールのネットワークから構成されます。 Panorama でローカ により、全体レベルでは一貫性のあるセキュリティを実現しながら ル制御モデルの集中監視を使用して、Palo Alto Networks ファイア ローカルレベルでは柔軟性を保つことを助けます。 ウォールの管理を広範囲に適用できます。集中監視は、デバイスグル アクセスドメイン: アクセスドメイン:アクセスドメインとは、管理者が管理できる物 ープ、共有ポリシー、共有オブジェクト、アクセスドメイン、および 理的または仮想的なファイアウォールの集合体です。アクセスドメ ロールベースの管理を使用して実現します。 インは、デバイスグループまたは個別のデバイスのいずれかで構成 デバイスグループ: デバイスグループ:デバイスグループとは、複数のファイアウォー ルをより小さく管理しやすいグループに整理する方法です。デバイ できます。アクセスドメイン内でロールベースの管理を使用して、 管理者が使用できる機能を制御することができます。 スグループでは、仮想システムを、物理的なファイアウォールと同 ロールベースの ロールベースの管理: 管理:管理インタフェースへのアクセスレベルが従 じレベルの個別のデバイスとして扱うことができます。デバイスグ 業員によって異なる環境では、ロールベースの管理により、ウェブ ループは、地理的(ヨーロッパ、北アメリカなど) 、機能的(ファ インタフェースの各機能を有効、読み取り専用、または無効(ビュ イアウォール、IPS など) 、または配置的(境界、データセンター ーに表示されない状態)にできます。ロールベースの管理は市場で など)に分けることができます。 最も細かく設定できる管理方法で、これにより、個々のユーザーは、 共有ポリシー 共有ポリシーと ポリシーと共有オブジェクト 共有オブジェクト: オブジェクト:管理者は、デバイスグループレ ベルで共有ポリシーを作成できます。共有ポリシーとは、デバイス 業務に関係するタスクへの適切なアクセス権を付与されます。すべ ての管理作業はログに記録されます。ログには、作業の発生時間、 レベルで最初に実行されるルールセット(事前ルール)および最後 管理者、 使用した管理インタフェース (Web UI、CLI、Panorama) 、 に実行されるルールセット(事後ルール)です。事前ルールと事後 実行したコマンドまたはアクションが表示されます。 ルールは、管理されるファイアウォール上で表示できますが、編集 デバイスグループ、アクセスドメイン、およびロールベースの管理を は Panorama 内でのみ可能です。ローカルデバイスルール(事前 組み合わせて、すべての管理機能(全体レベルおよびローカルレベル ルールと事後ルールの間にあるルール)は、ローカルの管理者、ま の可視化ツール、ポリシー作成、レポート、およびログ)への適切な たはローカルファイアウォールに切り替えた Panorama の管理者 アクセス権を付与できます。 のいずれかが編集できます。 共有オブジェクトは、管理者のみが作成と管理を実行できるという 点において、共有ポリシーとほぼ同じ動作をします。ただし、共有 Panorama の 管理アーキテクチャ 管理アーキテクチャ Panorama により、デバイス グループ、アクセスドメイン、 および共有ルール / ポリシー で、集中化された管理とロー カル管理のバランスを取るこ とができます。 PAGE 2 Application Command Center Panorama 内の ACC により、 アプリケーショントラフィック の全体的なビューまたはローカ ルビューが提供されます。これ は、その時点のアクティビティ についてより詳細に把握できる 調査機能を備えます。 Application Command Center: :知識は 知識は力 アプリケーションまたは機能の使用を許可してスキャンや制御、スケ Panorama 内の ACC を使用して、管理下にあるすべての Palo Alto ジュールなどを実施) 、クローズ(拒否)といった対応ができます。 Networks デバイスを通過するアプリケーション、URL、脅威、およ ユーザーとグループに基づきアプリケーションを制御することと、許 びデータ(ファイルやパターン)をグラフィカルなビューで見ること 可されたトラフィックに対して多種の脅威を検出するためのスキャ ができます。ACC は、すべてのデバイスからデータを動的に取得し ンを実施することを密接に統合することにより、多ければ毎日発生す て、ネットワーク上のアプリケーション、その利用者、およびそれが る従業員の追加、移動、および変更の数にあわせて展開しているポリ 引き起こす可能性がある潜在的な脅威に関して最新のビューを管理 シーの数を大幅に削減できます。 者に提供します。新しいまたは通常見られないアプリケーションが 安全にアプリケーションの使用を許可することとは、アプリケーショ ACC で見られた場合、 シングルクリックで、そのアプリケーション、 ンへのアクセスを許可した後、特定の脅威防御を実施し、ファイル、 主要機能、動作特性、および利用者の説明を表示し迅速に調査できま データ、またはウェブトラフィックのブロックポリシーを適用するこ す。 とを意味します。Panorama は、管理者が中央の場所からすべてのル 管理者は、フィルタを適用して、個々のユーザーの動作、脅威、およ ールベース(セキュリティ、NAT、QoS、ポリシーベースの転送、複 び関連トラフィックパターンをより深く把握することにより、個別の 合化、アプリケーションオーバーライド、Captive Portal、および DoS ファイアウォールまたはファイアウォールネットワーク全体のいず 防御)を管理できるようにすることにより、ファイアウォールで構成 れかについてアプリケーションを調査できます。URL カテゴリ、脅 するネットワーク全体に安全なアプリケーションの使用許可を促進 威、およびデータに関してさらにデータを取得することで、ネットワ します。 ークアクティビティの実態を完全かつ包括的につかむことができま トラフィック全体 トラフィック全体の 全体の監視: 監視:分析、 分析、レポート、 レポート、フォレンジック す。ACC で詳細なデータを見られることで、管理者は、より多くの 各デバイスで利用できるストレージを活用すると、詳細なログの収集 情報を得た状態でポリシーを決定したり、または潜在的なセキュリテ をローカルで実施して、ログ転送は、長期保持要件の順守に重点的に ィ脅威に迅速に対応したりできます。 使用できます。Panorama は、ローカルデバイスの管理レベルで利用 全体的な 全体的なポリシー制御 ポリシー制御: 制御:アプリケーションの アプリケーションの安全な 安全な使用許可 できる強力な監視およびレポートツールを活用します。管理者がログ Panorama により、管理者は、ネットワークアクティビティの全体的 問い合わせを実行してレポートを生成すると、Panorama は、管理下 な状況を把握して適切な方法で対応できるようになります。事前ルー にあるすべてのデバイスまたは必要に応じて個別の各デバイスから ルと事後ルールでは、一貫性のあるポリシーを適用して、社内や規制 最近のデータを動的に取得します。すべてのデバイスに関する最新の 上の要件を確実に順守することを促進できます。一方、ローカルデバ 情報を得ることにより、管理者は、事前対策として継続的に情報を把 イスルールでは、セキュリティと柔軟性を維持できます。管理者は、 握し状況にあわせた対応で企業資産を保護すること、ならびに事後対 アプリケーション、アプリケーション機能、およびポートの使用許可 策としてセキュリティインシデントの調査、分析、および報告をする ポリシーを簡単に展開でき、オープン(許可) 、モデレート(特定の ことのバランスを適切に保つことができます。 PAGE 3 ログビューア: ログビューア:Panorama の管理者は、動的なログフィルタリング を使用して、個別のデバイスまたはデバイス全体のいずれかについ されているかに関わらず、すべてのユーザーアクティビティが集約 されたものです。 て、ログアクティビティを簡単に閲覧できます。動的なログフィル ログストレージと ログストレージとアーカイブ: アーカイブ:バックアップまたは長期保持の要件 タリングは、セルの値をクリックするか、エクスプレッションビル を満たすために、Panorama は NFS を使用して無制限の量のロ ダーでソート基準を定義するか、またはそれらを組み合わせること グデータを保存できます。これにより、Panorama を Palo Alto により有効にできます。ログ結果は保存して将来の問い合わせに備 Networks ファイアウォールのログ収集リポジトリとして使用で えたり、またはエクスポートして将来の解析に使用したりすること きます。また、syslog 転送もサポートされており、長期間保存して ができます。 さらに詳しく分析するための第三者サービスを簡単に使用できま カスタムレポート: カスタムレポート:定義済みレポートは、要件に応じて、そのまま す。 使用したり、カスタマイズしたり、または 1 つのレポートにまと 導入の 導入の柔軟性 めたりできます。すべてのレポートは CSV または PDF 形式でエ Panorama を VMware 上で仮想的なアプライアンスとして導入す クスポートできます。さらにスケジュールを組んでエクスポートを ることで、様々な OS およびハードウェアに柔軟に導入できます。 実行しメールで送信できます。 Panorama のインストールと管理は、 ウェブインタフェースとコマン ユーザーアクティビティレポート: ユーザーアクティビティレポート:Panorama から、各ユーザーの ドラインインタフェースの両方で実行できます。 ユーザーアクティビティレポート(UAR)を生成できます。レポー トには、指定時間内にユーザーが使用したアプリケーション、アク セスした URL のカテゴリ、アクセスしたウェブサイト、アクセス した全 URL が含まれます。Panorama から UAR を生成すると きに使用されるデータは、ユーザーがどのファイアウォールで保護 Panorama 仕様 仕様 サポートされるデバイス数 最大 1,000 管理者認証 ローカルデータベース、RADIUS ログストレージ容量 VMware Virtual Disk: 2TB maximum、NFS: 2TB+ コマンドラインインタフェース SSHv2、Telnet、またはコンソール ウェブインタフェース HTTPS、HTTP デバイス通信 SSLv2 最小システム 最小システム要件 システム要件 最小サーバーハードウェア要件 80 GB ハードドライブ、2 GHz CPU、2 GB RAM サポートされるプラットフォーム VMware 上に仮想アプライアンスとして導入 サポートされる VMware VMware ESX 3.5 以降、VMware Server 1.0.5 以降 サポートされるブラウザ IE 7、IE 8、Firefox 3.0、Firefox 3.5 Palo Alto Networks 232 E. Java Drive Sunnyvale, CA. 94089 Sales 866.207.0077 www.paloaltonetworks.com Copyright © 2011, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、Palo Alto Networks ロゴ、 PAN-OS、App-ID、および Panorama は、Palo Alto Networks, Inc. の商標です。すべての仕様は予告なく変更 される場合があります。Palo Alto Networks は、本書の記述間違いの責任または本書の情報更新の義務を負いま せん。Palo Alto Networks は、本書を予告なく変更、修正、または改訂する権利を保有します。PAN-OS 4.0。 2011 年3 月。