Comments
Description
Transcript
App-ID
App-ID App-ID とは、 1,200 種類以上のアプ リケーションを識別する特許申請中 のトラフィック分類技術です。ポー ト、プロトコル、検知回避技術、ま たは(SSL たは( もしくは SSH による) 暗号化の有無に関わらず識別できま す。 ネットワーク上のアプリケーションが持 つビジネス上の価値およびリスクの理解 を促進 安全なアプリケーションの使用を許可す るポリシーを策定し、施行 App-ID では、4 では、 種類の識別技術を使用し、ネットワーク上を行き交うアプ リケーションを、ポート、プロトコル、検知回避技術、または SSL 暗号化 の有無に関わらず正確に特定します。アプリケーションの識別は、App-ID が 最初に行うタスクです。これにより管理者は、アプリケーションについて多 最初に行うタスクです。これにより管理者は、アプリケーションについて多 くの情報を取得 くの情報を取得し、アプリケーションの使用を柔軟に許可できます。 取得し、アプリケーションの使用を柔軟に許可できます。 業務用と私用のアプリケーションの中には、正当なトラフィックに偽装したり、ポート ホッピング技術を使用したり、または暗号化(SSL もしくは SSH)によりファイア ウォールをすり抜けたりして、検出を回避するものがあります。Palo Alto Networks 次 世代型ファイアウォールの基本要素である App-ID は、それらのアプリケーションを 可視化して制御します。 かつては、ポリシーで認められていないアプリケーションや業務上必要のないアプリケ ーションは、まとめて禁止されるかブロックされていました。しかし今日のビジネス環 境では、このようなアプリケーションの多くが業務上有用であるため、まとめて禁止し たりブロックしたりできるほど対応は簡単ではありません。 App-ID を利用すると、ネットワーク上のアプリケーションを把握して、その機能、動 作特性、および関連リスクを明らかにすることができます。さらに User-ID と組み合 わせると、IP アドレスだけではなくユーザーの ID にも基づくためアプリケーション の使用者が正確にわかります。管理者は、これらの情報に基づき、ポジティブセキュリ ティモデルのルールを使用して、既知の悪質なアプリケーションをブロックできます。 許可されたアプリケーションについては、使用可能にした後、検査して制御できます。 ファイアウォールによるアプリケーショ ンの可視性と制御を取り戻す ファイアウォールトラフィック分類:ポートではなくアプリケーションで ファイアウォールトラフィック分類:ポートではなくアプリケーションで識別 イアウォールトラフィック分類:ポートではなくアプリケーションで識別 アプリケーションシグネチャ:まずシグネチャを使用して固有のアプリケー アプリケーションシグネチャ: 今日のほとんどのファイアウォールの基礎であるステートフルインスペクショ ション特性や関連するトランザクション特性を探し、プロトコルやポートに ンは、アプリケーションをポートおよび送信元 / 宛先 IP アドレスで制御でき 関わらずアプリケーションを正確に識別します。また、アプリケーションが る時代に作成されました。ステートフルインスペクションのポリシーでは、ポ デフォルトポートを使用しているか、または非デフォルトポートを使用して ートベースの分類と制御が最優先される要素であり、それに厳密に従うように いるか(RDP が標準の 3389 番ポートではなく 80 番で使用されている場 基礎部分にハードコードされているため、ポートベースの分類と制御を無効に 合など)も判断します。識別されたアプリケーションが、セキュリティポリ できません。つまり、ほとんどのファイアウォールでは、今日の多くのアプリ シーによって許可されると、さらにトラフィックの分析が行われ、アプリケ ケーションを識別できず、ほとんど制御できません。ファイアウォールヘルパ ーションの詳細な識別と脅威のスキャンが実施されます。 ーと呼ばれる補助的な機能に備わる「事後」トラフィック分類でさえも、ファ SSL と SSH の復号化:SSL 暗号化の使用が App-ID で判断され、復号化 の復号化: イアウォールのポートベース分類を補正することはできません。 ポリシーが有効になっている場合、トラフィックが復号化され、必要に応じ Palo Alto Networks は、アプリケーションが進化してファイアウォールを簡単 て他の識別メカニズムで識別が続けられます。ポリシーが有効になっていな にすり抜けることができるようになっている事実を認識し、ポートやプロトコ い場合は SSL 復号化は行われません。識別されたアプリケーションがポリ ルのような単一要素に頼らない新しいファイアウォールトラフィック分類方法 シーの許可するものであれば、脅威防御プロファイルを適用後に宛先まで送 である App-ID を開発しました。App-ID は複数のメカニズムを使用して、何 信されます。SSH についても同様の手法が使用され、トラフィックを SSH よりもまずアプリケーションを識別します。そして、識別されたアプリケーシ でトンネリングするためにポートフォワーディングが使用されているかどう ョンを基にファイアウォールポリシーに照らし合わせます。App-ID は高い拡 かが判断されます。このようにトンネリングされたトラフィックは 張性を備えており、アプリケーションが常に変化を続けているという状況に対 ssh-tunnel に分類されるため、セキュリティポリシーで制御することができ 応するため、アプリケーションの進化に応じてアプリケーションシグネチャを ます。 App-ID に追加したり、または更新したりできます。 アプリケーションプロトコルのデコード:既知のプロトコルについては、デ アプリケーションプロトコルのデコード: App-ID のトラフィック分類テクノロジー コーダが使用され、コンテキストベースのシグネチャが追加で適用されます。 Palo Alto Networks 次世代型ファイアウォールが最初に行うタスクは、 これにより、プロトコル内でトンネリングされている可能性がある他のアプ App-ID を使用してネットワーク上のアプリケーションを識別することです。 リケーション(HTTP 経由で使用される Yahoo! インスタントメッセンジャ App-ID は、 4 種の技術を使用し、 ポート、 プロトコル、 暗号化 (SSL や SSH) 、 ーなど)を検出します。デコーダにより、トラフィックがプロトコルの仕様 または検知回避技術に関わらず、アプリケーションを識別します。アプリケー と一致していることが確認されます。また、VoIP や FTP のようなアプリケ ションの識別に使用される識別メカニズムの数および順番は、アプリケーショ ーションのための NAT トラバーサルやピンホールファイアウォール機能が ンによって異なります。一般的なフローは次のとおりです。 サポートされます。人気の高いアプリケーションについては、アプリケーシ ョン内の個別機能(webex-file-sharing など)も識別します。さらに、アプ リケーションの識別だけではなく、重要なデータや脅威を検出するためのス キャンを行うべきファイルなどのコンテンツも識別します。 App-ID のトラフィック分類 PAGE 2 ヒューリスティック解析:アプリケーションの中には、高度なシグネチャや ヒューリスティック解析: 意味しています。つまり、Unknown トラフィックは、単純にブロックされた プロトコル解析でも検出できない回避性能を持つものがあります。このよう り、または厳しく制御されたりする可能性があります。このような表面上の可 な場合、独自の暗号化を施したアプリケーション(P2P や VoIP アプリケー 視化または制御ではなく、Unknown トラフィックでもファイアウォールを通 ションなど)を特定するためのヒューリスティック解析や行動解析を行う必 過できるようにするには、IPS に基づいた方法を使用します。 要があります。ヒューリスティック解析は、それ以外の方法では検出を免れ App-ID の動作:WebEx の識別の場合 の動作: てしまうアプリケーションを可視化するために、ここで紹介した他の App-ID テクノロジーと併せて必要に応じて使用されます。実際に使用され ユーザーが WebEx セッションを開始すると、SSL 通信で初期接続が行われ ます。デバイスでは、App-ID を使用してトラフィックをチェックし、シグネ るヒューリスティック解析は、アプリケーションごとに異なり、パケット長、 チャにより SSL が使用されていることがわかります。次に、復号化エンジン セッションレート、パケット送信元などに基づくチェックが行われます。 とプロトコルデコーダが起動し SSL を復号化します。すると HTTP トラフ Palo Alto Networks 次世代型ファイアウォールの基本要素である App-ID に ィックであることがわかります。デコーダに HTTP ストリームが渡されると、 よって、ネットワーク上のアプリケーションの可視性と制御を取り戻すことが コンテキストシグネチャが適用され、使用しているアプリケーションが できます。 WebEx であることがわかります。その後 ACC に WebEx が表示され、セキ ュリティポリシーで制御されます。 App-ID:カスタムアプリケーションと :カスタムアプリケーションと Unknown アプリケーションの処理 Palo Alto Networks は、毎週平均 5 個の新しいアプリケーションを App-ID エンドユーザーが WebEx のデスクトップ共有機能を起動すると、WebEx は に追加しますが、それでも Unknown アプリケーションのトラフィックが検出 モード変更を開始し、会議アプリケーションからリモートアクセスアプリケー される場合があります。Unknown トラフィックには、App-ID に追加されて ションにセッションが変更されます。この場合、WebEx の特性が変更され、 いない商用アプリケーションと組織内で作成されたカスタムアプリケーション アプリケーションシグネチャがこの変化を検出します。そして ACC に の主に 2 種類あります。 WebEx のデスクトップ共有機能が表示されます。管理者は、セキュリティポ Unknown 商用アプリケーション:ユーザーは、ACC とログビューアを使 商用アプリケーション: リシーを使用して、WebEx 内のアプリケーション機能の使用を通常の WebEx の使用とは分けて制御できます。 用して、このアプリケーションが商用で使用されているかどうかを簡単に判 断できます。さらに、Palo Alto Networks ファイアウォールのパケットキャ アプリケーション ID:ポリシー制御の中心 :ポリシー制御の中心 プチャ機能でトラフィックを記録し、シグネチャ開発のためにそのデータを ネットワーク上のトラフィックをより深く理解するためには、まずアプリケー Palo Alto Networks に提供できます。新しいシグネチャが開発されると、ユ ションを識別します。次に、多くの情報を得た状態でアプリケーションの対処 ーザーの協力により検証され、毎週のアップデートですべてのユーザーのデ 方法を決定するために、アプリケーションの機能、使用ポート、前提技術、お ータベースに追加されます。 よび動作特性を把握します。使用状況を完全に把握すると、許可または拒否だ けに留まらない様々な対応を行うことができる細かいポリシーを適用できるよ 組織内のカスタムアプリケーション: とログビューアにより組織内の 組織内のカスタムアプリケーション:ACC 内のカスタムアプリケーション: うになります。対応の例には以下があります。 カスタムアプリケーションであることが判断されると、管理者はいくつかの 許可または拒否 方法で対応できます。第一に、アプリケーションオーバーライドを適用して アプリケーションに名前をつけることができます。他には、公開されたプロ 許可して、攻撃やウイルスなどの脅威をスキャン トコルデコーダを使用して、アプリケーションのカスタム App-ID を開発で スケジュール、ユーザー、またはグループに基づいて許可 きます。公開されたプロトコルデコーダには、FTP、HTTP、HTTPs(SSL) 、 復号化して検査 IMAP、SMTP、RTSP、Telnet、unknown-TCP、unknown-UDP、ファイ QoS でトラフィックシェーピングを適用 ルボディ(html/pdf/flv/swf/riff/mov/)などがあります。開発したカスタム ポリシーベースの転送を適用 App-ID で識別されたトラフィックは、通常分類されたトラフィックと同じ アプリケーションの特定機能のみ許可 ように処理されます。つまり、ポリシーで許可し、脅威を検査し、QoS など で制御することが可能です。カスタム App-ID は、デバイス上の個別のデー 上記のさまざまな組み合わせ タベースで管理されるため、毎週の App-ID アップデートの影響は受けませ App-ID は、Palo Alto Networks 次世代型ファイアウォールの基本要素です。 ん。 この App-ID によって、ネットワークセキュリティインフラストラクチャにお いて最も重要なセキュリティ要素であるファイアウォールに、ネットワーク上 重要なポイントとして、Palo Alto Networks 次世代型ファイアウォールはポジ を通過するアプリケーションの可視性と制御を取り戻すことができます。 ティブセキュリティモデルを使用します。これは、ポリシーで明示的に許可さ れるアプリケーション以外のすべてのトラフィックは拒否されるということを PAGE3 3 アプリケーション内の 機能レベルの制御 App-ID を使用すると、 アプリケーション内の 個別機能を制御できる ほど柔軟な制御が可能 になります。 アプリケーション内の機能レベルの制御 アプリケーション内の機能レベルの制御 アプリケーショングループ:アプリケーショングループでは、複数のアプリ アプリケーショングループ: 多くのユーザーにとって、アプリケーション使用を安全に許可するということ ケーションを静的にリスト化します。これを使用して、特定のユーザーにの は、アプリケーション内の単一の機能は許可してその他の機能はブロックする み使用を許可してその他のユーザーにはブロックすることができます。たと ことにより適切なセキュリティポリシーバランスを取ることを意味します。具 えば、RDP、Telnet、および SSH のようなリモート管理用のアプリケーシ 体的には以下の例があります。 ョンを使用する場合に利用できます。これらのアプリケーションは、一般的 SharePoint Docs は許可するが、SharePoint Admin の使用はブロック Facebook の閲覧のみを効果的に許可するために、 Facebook 自体は許可 するが、Facebook のメール、チャット、投稿、およびアプリ機能はブ ロック にサポート部門や IT 担当者によって使用されますが、それ以外の一般従業 員が自宅のネットワークにアクセスするために使用することもあります。ア プリケーショングループを作成して、User-ID で IT 部門とサポート部門に 割り当て、そのグループをポリシーにひもづけることができます。新しく従 MSN 自体は有効にするが、MSN のファイル転送機能を無効にし、フ ァイルブロッキング機能を使用して特定のファイル形式だけ送受信を許 可 業員が入ってきた場合は、ディレクトリグループに追加するだけでポリシー App-ID では、アプリケーションとアプリケーションがサポートする機能から 動的なフィルタ:これは、フィルタリング基準を組み合わせて作成されたア 動的なフィルタ: 成る階層モデルを使用することにより、どのアプリケーションを許可して、そ プリケーションセットです。基準には、カテゴリ、サブカテゴリ、動作特性、 のアプリケーション内のどの機能をブロックまたは制御するかを簡単に選択で 前提技術、およびリスク要素があります。作成したフィルタには、トラフィ きます。上記の画像は、SharePoint アプリケーションとその内部の個別機能を ックをブロックするポリシーか、または許可してスキャンするポリシーを適 示します。 用できます。毎週のコンテンツアップデートでフィルタリング基準を満たす が適用されます。ポリシー自体を更新する必要はありません。 新しい App-ID が追加されると、フィルタはデバイスのアップデート後すぐ 複数アプリケーションの制御:動的なフィルタとグループ に自動的に更新されます。その結果、ポリシー管理に関する管理者の作業負 アプリケーションを個別に制御するのとは反対に、まとめて制御したい場合が 担を減らすことができます。フィルタオプションは次の通りです。 多くあります。このニーズに対応するには、アプリケーショングループと動的 なフィルタの 2 つのメカニズムを利用できます。 カテゴリおよびサブカテゴリ 業務:認証サービス、データベース、ERP、一般管理、オフィス向け 業務: プログラム、ソフトウェア更新、ストレージ / バックアップ インターネット一般:ファイル共有、インターネットユーティリティ インターネット一般: (ウェブブラウジング、ツールバーなど) PAGE 4 Applipedia Palo Alto Networks Application and Threat Research Center では、最 新のアプリケーションの研 究と分析を確認できます。 コラボレーション: コラボレーション:電子メール、インスタントメッセージン ョン: グ、ネット会議、ソーシャルネットワーキング、ソーシャル ビジネス、VoIP / ビデオ、ウェブポスティング アプリケーション前提技術 クライアントサーバーベース メディア:音声ストリーミング、ゲーム、写真 / 動画 メディア: ブラウザベース ネットワーキング:暗号化トンネル、インフラ、IP プロト ネットワーキング: コル、プロキシ、リモートアクセス、ルーティング ピアツーピアベース ネットワークプロトコル アプリケーション特性 アプリケーションリストの拡充 あるネットワークから別のネットワークにファイルを転送で きるアプリケーション App-ID で検出されるアプリケーションのリストは、急速に拡充され ており、ユーザー、パートナー、および市場トレンドの情報に基づい マルウェアの拡散に利用されるアプリケーション 通常の使用で定常的に 1 Mbps 以上の帯域を消費するアプ リケーション ポートやプロトコルを本来の目的以外で使用し、検出を回避 するアプリケーション て毎週 3 ~ 5 個のアプリケーションが追加されます。識別されない アプリケーションをネットワーク上で見つけた場合は、トラフィック をキャプチャし、シグネチャの開発のために Palo Alto Networks に 情報をお送りいただけます。新しいシグネチャが開発および試験され 広く導入されているアプリケーション ると、毎週のコンテンツ更新時にリストに追加されます。 既知の脆弱性があるアプリケーション 不正な目的で使用されたり、意図しない範囲にまでデータを 公開することが容易に可能なアプリケーション 他のアプリケーションのトンネリングを行うアプリケーショ ン Palo Alto Networks 232 E. Java Drive Sunnyvale, CA. 94089 Sales 866.320.4788 408.738.7700 www.paloaltonetworks.com Copyright ©2011, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、Palo Alto Networks ロゴ、PAN-OS、App-ID、および Panorama は、Palo Alto Networks, Inc. の商標です。 すべての仕様は予告なく変更される場合があります。Palo Alto Networks は、本書の記述間違いの 責任または本書の情報更新の義務を負いません。Palo Alto Networks は、本書を予告なく変更、修 正、または改訂する権利を保有します。PAN-OS 4.0。2011 年3 月。