Comments
Description
Transcript
次世代ファイアウォールの機能概要 - Palo Alto Networks
PA L O A LT O N E T W O R K S : 次 世 代 フ ァ イ ア ウ ォ ー ル 次世代ファイアウォールの機能概要 ビジネスとテクノロジの発展により、従来のファイアウォールでは防御しきれな くなっています。ユーザは、オフィスだけではなく、自宅、ホテル、コーヒーショッ プなど、どんな場所からでも仕事ができることを期待するようになり、従来の イントラネットとインターネットの境界という概念が時代遅れになっています。 さらに、動的なポート変更、SSL や SSH による暗号化、80 番ポートの使用、 ハイポートの使用などによって、アプリケーションは従来のポートベースのファ イアウォールを容易にバイパスできるようになりました。 可視化と制御能力を再構築するためには、ローカル ユーザとリモート ユーザに対する別々のセキュリ ティが必要とされていました。イントラネット内のホストを保護するために、複数の単機能セキュリティ 製品か、複数機能を一つの筐体に入れた「ファイアウォールの補完製品」を導入し、持ち運び用のパソ コンには全く別のエンドポイント用のセキュリティを導入していました。このようなアプローチでは、 正確で完全なトラフィック識別が行われず、管理が煩雑です。また複数のスキャン プロセスによって遅 延が発生するばかりか、ポリシーが一貫性を欠き可視化と制御能力の問題の解決にはなりません。可視 化と制御能力を再構築するには、完全に新しいアプローチが必要です。必要なのは、ローカルとリモー トの両方ですべてのユーザとアプリケーションのセキュリティ ポリシーを一体化する次世代ファイア ウォールです。 次世代ファイアウォールには、次の機能が含まれます。 • ポートだけでなくアプリケーションも識別 : プロトコル、暗号化 (SSL または SSH)、セキュリティ回 避手法などにかかわらず、すべてのポートでアプリケーションの種類を正確に識別します。アプリケー ション識別情報は、すべてのセキュリティ ポリシーの基準になります。 • IP アドレスだけでなくユーザも識別 : ユーザがどこにいようと、エンタープライズ ディレクトリの ユーザ情報やグループ情報を、可視化、ポリシー作成、レポート作成、およびフォレンジック調査に 利用します。 • コンテンツをリアルタイムで検査 : 発信元に関係なく、アプリケーション トラフィックに埋め込まれ た脆弱性攻撃や悪意のあるソフトウェアからネットワークを守ります。 • ポリシー管理を簡素化 : ポリシーに統合され、まとめられた使いやすいグラフィカル ツールを使用し て、アプリケーションを安全に利用できるようにします。 • リモートユーザにもセキュリティ ポリシーを適用 : 社内ユーザや在宅勤務ユーザによらず、すべての ユーザを、物理的境界から論理的境界まで一貫したセキュリティで保護します。 • マルチギガビットのスループット : 専用のハードウェアとソフトウェア アーキテクチャーにより、 すべてのサービスを使用した状態でも低遅延のマルチギガビット パフォーマンスを実現します。 パロアルトネットワークスの次世代ファイアウォールは、App-ID、User-ID、および Content-ID の 3 つ の独自の識別技術で、ポート、IP アドレスやパケットだけでなく、アプリケーション、ユーザ、および コンテンツについて、かつてない可視化と制御を実現します。これらの識別技術は、すべてのパロアル トネットワークス エンタープライズ ファイアウォールに搭載されており、Web 2.0 の導入および完全な 可視性と制御機能の管理を可能にし、デバイスを統合することにより総所有コストを大幅に削減します。 P A L O A L T O N E T W O R K S : 次 世 代 ファイアウォー ル App-ID: アプリケーション、すべてのポートを常時識別 正確なトラフィック識別はファイアウォールの中核になり、 セキュリティ ポリシーの基盤になります。従来のファイア ウォールではトラフィックをポートとプロトコルで識別し ました。これは、1 か所においてネットワーク境界を守るの に十分なメカニズムでした。現在では、動的なポート変更、 SSL や SSH による暗号化、80 番ポートの使用、ハイポート の使用などによって、アプリケーションは従来のポートベー スのファイアウォールを容易にバイパスでるようになりまし た。App-IDTM は、デバイスがトラフィック ストリームを検 出すると同時に複数の識別メカニズムを適用し、ネットワー クを通過するアプリケーションを正確に識別することによ り、従来のファイアウォールの問題であるトラフィック可視 化の限界を解決します。 管理者が設定した従来のポートベースのポリシーに対して IPS シグネチャを適用する後付けの手法とは異なり、App-ID は、自動的に最大 4 つのトラフィック識別メカニズムを使用 してアプリケーションを正確に識別します。アプリケーショ ンを識別するために固有のシグネチャを適用する必要はな く、App-ID は、適切な識別メカニズムを使用してトラフィッ クを常に識別し、すべてのトラフィックについて、多くの場 合、機能レベルまで、すべてのポートで、一貫して正確にア プリケーションを識別します。 プロトコルの検出と符号化 プロトコル デコード シグネチャ ヒューリスティック 一連のメカニズムでアプリケーションが識別されると、ポリ シー チェックにおいてアプリケーションの処理方法、ブロッ ク、許可、または安全な使用 ( スキャン、埋め込まれた脅威 のブロック、不正なファイル転送やデータ パターンの検査、 QoS を使用したトラフィック シェーピング )、を決めます。 User-ID: ユーザおよびグループによるアプリケーションの使用 従来、セキュリティ ポリシーは IP アドレスに基づいて適用 されていましたが、ユーザやコンピューターの使用がますま す多様化すると、IP アドレスだけではユーザ アクティビティ を監視および管理するメカニズムとして不十分になりました。 User-ID は、パロアルトネットワークスの次世代ファイア ウォールと Active Directory、eDirectory、Open LDAP、Citrix、 ページ 2 Microsoft Terminal Server、XenWorks などの市販のさまざま なエンタープライズ ディレクトリをシームレスに統合しま す。XML API と Captive Portal はそれぞれのメカニズムに対 応し、ユーザ情報を企業のセキュリティ ポリシーに組み入れ ることができます。ネットワークベースの User-ID エージェ ントは、ドメイン コントローラーと通信し、特定の時間に使 用する IP アドレスにユーザ情報をマッピングします。 10.0.0.227 10.0.0.211 ログインの 監視 10.0.0.232 10.0.0.220 10.0.0.239 10.0.0.242 10.0.0.245 10.0.0.209 エンド 10.0.0.217 10.0.0.232ステーション 10.0.0.221 ポーリング 役割の検出 Paul I、 エンジニアリング部門 User-ID Captive Portal Nancy I 財務グループ User-ID により提供されるユーザ情報とグループ情報は、ACC ( アプリケーション コマンド センター )、ポリシー エディタ、 ログ作成機能とレポート機能を含むパロアルトネットワーク スの次世代ファイアウォール機能セットで使用できます。 Content-ID: 許可されたトラフィックの保護 今日、社員は必要なアプリケーションを仕事と私用の両方 を組み合わせた目的に同時に使用しており、アタッカーは この自由な使い方を最大限に利用して目的を達成します。 Content-ID と App-ID を併用すると、ネットワーク資産を保 護する二面解決策になります。 App-ID は、ネットワーク上のアプリケーションを識別し制 御して、特定のアプリケーションを利用できるようにします。 次に、Content-ID を使用すると、攻撃をブロックし不正なファ イルと機密データの転送を制限するポリシーをアプリケー ションに適用できるようになります。Content-ID の制御機能 は包括的な URL データベースにも対応し、Web の利用を制 御します。 データ クレジットカード番号 社会保障番号 ファイル 脅威 脆弱性攻撃 ウイルス スパイウェア Content-ID URL Web フィルタ P A L O A L T O N E T W O R K S : 次 世 代 ファイアウォー ル Content-ID は、ストリーム ベースのスキャン エンジンと統 合シグネチャを使用して、脆弱性攻撃、ウイルス、スパイウェ ア、ワームなどの広範な攻撃を検出しブロックします。スト リーム ベースのスキャンでは、最初のパケットがスキャンさ れると同時に脅威防御が開始ます。また、統合シグネチャに より、複数スキャン エンジン ソリューションに共通の冗長 プロセス (TCP の再構築、ポリシー検索、検査など ) が取り 除かれます。その結果、遅延が低減しパフォーマンスが向上 します。 安全なアプリケーションの使用 App-ID、User-ID、および Content-ID をシームレスに統合 することにより、許可や拒否等のアプリケーション使用ポリ シーを、多くの場合アプリケーションの各機能のレベルにま で適用できます。本社のユーザを保護するのと同じポリシー が、ユーザがどこにいようと、すべてのユーザに適用され、 企業の外側にいるユーザの論理的境界を確定します。 安全な使用を可能にするポリシーは、トラフィックがデバ イスに達すると同時に App-ID により決定されるアプリケー ション識別から始まります。アプリケーション識別情報は User-ID を使用して関連するユーザにマッピングされ、トラ フィック コンテンツは Content-ID により脅威、ファイル、 データ パターン、および Web アクティビティがスキャン されます。これらの結果は ACC に表示され、管理者はほぼ リアルタイムでネットワークの動作を知ることができます。 アプリケーションの可視性 アプリケーション アクティビ ティを正確でわかりやすい形式で 表示します。フィルタを追加およ び削除して、アプリケーション、 機能、およびユーザの詳細情報 を把握できます。 ページ 3 このとき、ポリシーエディタでは、ACC から収集されたア プリケーション、ユーザ、およびコンテンツに関する情報を 利用して、不要なアプリケーションをブロックする一方、他 のアプリケーションを安全な方法で許可して使用できるよう にします。最後に、アプリケーション、ユーザ、およびコン テンツを基準にした詳細な分析、レポート作成、またはフォ レンジックを再度実行できます。 Application Command Center: 知識は力 ACC は、ログ データベースを利用して、ネットワークを通 過するアプリケーション、利用しているユーザ名、およびセ キュリティに対する潜在的な影響のサマリをグラフィカルに 表示します。ACC は動的に更新され、App-ID が実行する継 続的なトラフィックの識別を利用します。アプリケーション がポートを変更した場合、App-ID は引き続きトラフィック を監視して、結果を App-ID に表示します。設定の変更、シ グネチャの使用または設定はありません。ACC に表示され る新規または見慣れないアプリケーションは、シングル ク リックですばやく調べて、アプリケーションの説明、主要な 機能、動作特性、およびユーザを表示できます。URL カテゴリ、 脅威、およびデータに関する追加のデータは、ネットワーク アクティビティの包括的なイメージを補完します。ACC を 使用して、管理者は、ネットワーク内外を通過するトラフィッ クの詳細情報をすばやく把握し、その情報を確かなセキュリ ティ ポリシーに反映できます。 P A L O A L T O N E T W O R K S : 次 世 代 ファイアウォー ル ポリシー作成 使い慣れたルック アンド フィールによって、アプ リケーション、ユーザ、 およびコンテンツを制御 するためのポリシーの迅 速な作成と導入を実現。 ポリシー エディタ : 安全な使用ポリシーに取得情報を反映 管理者は、ネットワークを通過するアプリケーション、利用 しているユーザ名、および潜在的なセキュリティ リスクの情 報に素早くアクセスできるため、アプリケーション、アプリ ケーション機能、およびポートベースの使用ポリシーを体系 的かつ管理された方法で導入できます。ポリシーは、オープ ン ( 許可 ) から、モデレート ( 特定のアプリケーションまた は機能を使用して、スキャン、トラフィック シェーピング、 スケジュールするなど )、クローズ ( 拒否 ) の範囲で対応しま す。例を以下に示します。 • MSN お よ び Google Talk の 使 用 を 許 可 す る 一 方 で、 それぞれのファイル転送機能の使用をブロックする。 • ユーザ情報やグループ情報を利用して、Saleforce.com の アクセスを販売およびマーケティング グループに割り 当てる。 • URL フィルタ ポリシーを導入することで、明らかに仕事 とは無関係なサイトへのアクセスをブロックし、不審な サイトを監視すると共に、カスタマイズされたブロック ページを使用して他のサイトへのアクセスを指導する。 • 財務グループへのアクセスを制限して Oracle データ ベース内のデータの保護、標準ポート間のトラフィック の強要、トラフィックにおけるアプリケーションの脆弱 性の検査を実行する。 • 標準ポート間の管理アプリケーションのセットを定義し て、IT グループのみがこれらのアプリケーションを使用 できるようにする。 • 企業ポリシーを定義および適用することで、特定の Web メールやインスタント メッセージングの使用を許可し、 その使用状況を検査する。 ページ 4 • SharePoint Admin の使用を SharePoint 管理チームのみに 許可し、SharePoint Docs へのアクセスを他のユーザす べてに許可する。 • QoS ポリシーを適用することで、帯域幅を大量に消費す るアプリケーションを許可する一方で、VoIP アプリケー ションに対する影響を制限する。 • テキスト形式またはファイル形式によるクレジット カー ド番号や社会保障番号などの機密情報の転送を識別する。 • 特定国からのすべてのトラフィックを拒否するか、P2P ファイル共有、検閲回避ツール、外部プロキシなどの不 正なアプリケーションをブロックする。 ユーザとグループに基づくアプリケーション管理を強固に統 合し、許可されたトラフィックでさまざまな脅威をスキャン できるようになると、企業は、導入するポリシー数と共に日 常的に発生する社員の追加、移動、および変更数を大幅に低 減できます。 P A L O A L T O N E T W O R K S : 次 世 代 ファイアウォー ル コンテンツと脅威の可視化 URL アクセス先、脅威、およびファ イル / データ転送アクティビティを 正確でわかりやすい形式で表示し ます。フィルタを追加および削除 して、個々の要素の詳細情報を把 握できます。 ポリシー エディタ : 使用するアプリケーションの保護 ア プ リ ケ ー シ ョ ン を 安 全 に 使 用 で き る よ う に な る と、 アプリケーションへのアクセスが許可され、Content-ID を使用した特定の脅威防御ポリシーとファイル、データ、 または Web トラフィック防止ポリシーを適用できます。 Content-ID に含まれている各要素は、アプリケーション またはアプリケーション機能ベースで設定することがで き、管理者は防御に専念できます。 • 侵入防止システム (IPS): 脆弱性保護機能は、侵入防止シ ステム (IPS) の豊富な機能を統合したものです。この機能 を使用すると、ネットワーク層とアプリケーション層の 既知および未知の脆弱性攻撃、バッファ オーバーフロー、 DoS 攻撃、およびポート スキャンを防ぐことができます。 • ネットワーク アンチウイルス : ストリーム ベースのア ンチウイルス保護機能は、圧縮ファイルまたは Web ト ラフィック ( 圧縮された HTTP/HTTPS) 内に隠れている PDF ウイルスや悪意のあるソフトウェアを含む、非常に 多くのさまざまな悪意のあるソフトウェアをブロックし ます。ポリシーベースの SSL 暗号解読を使用すると、企 業は、悪意のあるソフトウェアが SSL で暗号化されたア プリケーションを移動するのを防ぐことができます。 • URL フィルタ : 製品内に完全統合されたカスタマイズ可 能な URL フィルタ データベースには、76 のカテゴリと 2,000 万件もの URL を含んでおり、管理者はきめ細かい Web ブラウジング ポリシーを適用し、アプリケーション の可視化と制御ポリシーを補完し、さまざまな法規制、 生産性低下などのリスクから企業を守ることができます。 ページ 5 • ファイルとデータのフィルタ処理 : 管理者は、データの フィルタ処理機能を使用すると、ファイル転送とデータ 転送に関連したリスクを軽減するポリシーを適用できま す。ファイルの転送とダウンロードは、ファイルの内 部を調べることによって制御し ( ファイルの拡張子だけ を調べる手法とは異なります )、許可するかどうかを決 めることができます。実行ファイルの自動ダウンロード をブロックすることができるので、ネットワークに悪意 のあるソフトウェアが入り込むことを防ぐことができま す。最後に、データのフィルタ処理機能は、クレジッド カード番号や社会保障番号などの機密データ パターン を検出して制御できます。 トラフィックの監視 : 分析、レポート作成、およびフォレ ンジック セキュリティ ベスト プラクティスでは、管理者が前向き に継続して認識を深めて順応して法人資産を守ることとセ キュリティ問題に敏感に対応し調査、分析、レポートを行 うことをうまく両立させることが求められます。ACC と ポリシー エディタを使用すると、アプリケーション使用 ポリシーを積極的に適用できますが、豊富な監視ツールと レポート作成ツールは、パロアルトネットワークスの次世 代ファイアウォールを利用してアプリケーション、ユー ザ、およびコンテンツを分析しレポートするために必要な 手段を企業に提供します。 • App-Scope: App-scope は、ACC によって表示されるア プリケーションとコンテンツのリアルタイム ビューを 補完し、一定の期間のアプリケーション、トラフィック、 および脅威アクティビティを動的に、ユーザがカスタマ イズ可能な状態で表示します。 P A L O A L T O N E T W O R K S : 次 世 代 ファイアウォー ル • レポート作成機能 : 特定の要件に合わせて、あらかじめ 定義されたレポートをそのまま使用することも、カスタ マイズすることも、1 つのレポートにまとめることもで きます。レポートはすべて CSV 形式または PDF 形式で エクスポートでき、スケジュールを設定して電子メール で送信することもできます。 • ボトネットの動作の検出 : 未知のアプリケーション、 IRC トラフィック、悪意のあるソフトウェア サイト、 動的 DNS、および新しく作成されたドメインなどを元 に感染の疑いのあるホストをリスト化します。 • ログ作成機能 : リアルタイムのログ フィルタ処理によっ て、ネットワークを通過した各セッションの迅速なフォ レンジック調査が可能になります。ログ フィルタの結 果は、CSV ファイルにエクスポートするか、syslog サー バーに送信してアーカイブしたり、さらに分析したりす ることができます。 グローバルな保護では、物理的境界内部で実施されている 同じ次世代ファイアウォールベースのポリシーが、どこに いようとすべてのユーザに適用されます。社員は、在宅勤 務でも、通勤中でも、コーヒー ショップからログインす る場合でも、オフィスから仕事をしているときと同じ方法 で論理的境界で保護されます。 • セッション追跡ツール : 各セッションに関連付けられた トラフィック、脅威、URL、およびアプリケーション のすべてのログを集中的および相関的に表示して、フォ レンジック調査またはインシデント調査の時間を短縮し ます。 グローバルな保護は、すべてのユーザに対する一貫した ファイアウォールベースのセキュリティという大きな利点 を企業にもたらします。ファイアウォールとリモート ユー ザにそれぞれ別のポリシーを作成して管理することは不要 になります。結果として、セキュリティ インフラストラ クチャは合理化されセキュリティ ポリシーは一貫したも のになります。 海外出張ユーザ グローバルな保護 どんな場所にいようと、すべ てのユーザに一貫した安全な アプリケーション使用ポリ シーを実現します。 サテライト オフィス ユーザー グローバルな保護 : ポリシー制御をすべてのユーザに適用 ユーザが物理的境界の内部にいる場合は、次世代ファイア ウォールを使用したセキュリティ ポリシーの実施は単純 明快です。トラフィックをファイアウォールで識別し、使 用ポリシーを適用して、トラフィックの脅威をスキャンす ると、ネットワークは保護されます。しかし、現在のビジ ネスの急速な展開はアプリケーション、ユーザ、およびコ ンテンツを物理的境界から否応なく引き離し、リモート ユーザに対して一貫したセキュリティ ポリシーを実施す ることはほぼ不可能です。 本社ユーザー ホーム オフィス ユーザー Copyright ©2011, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、Palo Alto Networks ロゴ、PAN-OS、 パロアルトネットワークス App-ID、および Panorama は、Palo Alto Networks, Inc. の商標です。すべての仕様は予告なく変更される場合があ 合同会社 ります。Palo Alto Networks は、本書の記述の間違いまたは本書の情報の更新について責任を負いません。Palo Alto 〒 102-0094 千代田区 Networks は、本書を予告なく変更、修正、または改訂する権利を保有します。PAN-OS 4.0、2011 年 3 月。 紀尾井町 4 番 3 号 泉館紀尾井町ビル 5 階 電話番号 : 03-3511-4050 408.738.7700 お問い合わせ先 : www.paloaltonetworks.com