目次
Contents
はじめに
前回はCatoCloudのライセンス形態や導入の流れについてご説明いたしましたが、今回はCatoCloudのセキュリティ機能についてご説明できればと思います。
CatoCloudには下記のような様々なセキュリティ機能を備えています。(一部オプション契約あり)
・Internet Firewall
・WAN Firewall
・TLS Inspection
・IPS
・DNS Protection
・RBI(Remote Browser Isolation)
・Anti-Malware
・Content Restriction
・Next Generation Anti-Malware
・CASB(Cloud Access Security Broker)
・DLP(Data Loss Prevention)
・SaaS Security API
今回は、主にファイアウォールに関する各セキュリティ機能について詳しくご説明させていただきます。
前回記事はこちら:SASEとCatoCloud
Internet Firewall
図:CatoCloudのInternet Firewall 画面
CatoCloudのインターネットファイアウォール機能は、WANとインターネット間のトラフィックを検査し、ファイアウォールの設定に基づいてトラフィックを許可あるいはブロックすることが可能です。
なお、インターネットファイアウォール機能は、ブラックリストによるアプローチを使用しています。
※通信を拒否するリスト(ブラックリスト)を作成し、そのリストにマッチする通信はブロックし、それ以外のマッチしない通信は許可するという方式
順序付けされたブラックリストのルールを順番に検査し、ルールに一致するかどうかを確認し、ルールに一致した場合はブロックしますがどのルールにも一致しなかった場合はその通信は許可されます。
インターネットファイアウォールにはユーザー認識機能を備えた完全なレイヤー 7 機能も含まれており、特定のアプリケーション用のルールを作成できます。
たとえば、インターネット ファイアウォールを使用して次のようなことができます。
・Facebook や LinkedIn などの特定の Web サイトをブロックする
・銃、アルコール、ギャンブルなどの不適切な Web サイトのカテゴリをブロックする
・IT 部門のみがリモート管理アプリケーション (SaaS および IaaS) を使用できるようにする
またCatoCloudのセキュリティエンジンは、送信元が構成されたエンティティ (拠点、ネットワーク範囲、デバイス、ユーザーなど) の範囲外にある通信を暗黙的にドロップします。
これにより、スプーフィング攻撃(なりすまし)をブロックすることができます。
Internet Firewallを一言で言うと、各拠点やモバイル機器からCatoCloudを経由してのインターネットアクセスについてチェックする機能となります。
WAN Firewall
図:CatoCloudのWAN Firewall 画面
CatoCloudのWANファイアウォールは、ワイド エリア ネットワーク (WAN) 内のアクセスを制御します。WAN ファイアウォール ルールベースを構成して、
安全なアクセス コントロール ポリシーを作成し、ネットワークを保護します。
WANファイアウォールはホワイトリストアプローチを使用しています。(上述の Internet Firewall とは真逆)
※通信を許可するリスト(ホワイトリスト)を作成し、そのリストにマッチする通信は許可し、マッチしない通信はブロックするという方式
WANファイアウォールは順序付けされたルールベースを使用しており、通信を順番に検査しルールに一致するかどうかを確認します。
通信がルールに一致しない場合ブロックされます。通信がルールに一致した場合は、一致したルールのアクションが適用されてそれ以降のルールの検査を行いません。
WAN ファイアウォールには、ユーザー認識機能を備えた完全なレイヤー 7 機能も含まれており、特定のアプリケーション用のルールを作成できます。
また、Internet Firewall機能と同様に、CatoCloudのセキュリティエンジンは、送信元が構成されたエンティティ (拠点、ネットワーク範囲、デバイス、ユーザーなど) の範囲外にある通信を暗黙的にドロップします。これにより、スプーフィング攻撃(なりすまし)をブロックすることができます。
Internet FirewallはCatoCloudを経由してのインターネットアクセスについてチェックする機能でしたが、WAN FirewallはCatoCloud経由での拠点間通信についてチェックする機能となります。
TLS Inspection
図:CatoCloudのTLS Inspection 画面
TLSインスペクション(SSLインスペクションとも言います)は、セキュリティ機器などの機能の一つで、WebサーバとWebクライアントの間で行われるSSL/TLSによる暗号化を解除し、通信内容に不審な点が無いか確かめることです。
ChromeやEdgeなどのWebブラウザでWebサイトを閲覧する際に使用される通信プロトコルとしてHTTPやHTTPSなどがありますが、コンテンツをそのまま平文で通信しているHTTPに対し、HTTPSは通信が暗号化されています。通信が暗号化されているため、第三者に情報が漏洩してしまうリスクや、改ざんされてしまう危険性が少ないことが特徴です。そのため、GoogleはHTTPSを推奨しており、HTTPS化されているサイトを優先的に検索結果に表示するように仕様を変更しています。
ただ残念ながら、マルウェアや脅威はHTTP サイトと同様に HTTPS サイトにも潜伏する可能性があります。なぜならHTTPS サイトでは暗号化されたトラフィック内の脅威をスキャンできないため、
ウイルス対策エンジンや IPS エンジンの効果が低下します。
★従来のHTTPS通信
★CatoのTLSインスペクションを使用する場合
TLSインスペクションが有効になっている場合、Cato Cloud は Web ブラウザと Web サーバーの間の中間者として機能します。
1.クライアントまたはサーバーから受信した TLS トラフィックを復号化します。
2.マルウェア対策エンジンと IPS エンジンを使用して、復号化されたトラフィックをスキャンします。
3.トラフィックを再度暗号化します。
4.暗号化されたパケットを宛先に送信します。
TLS インスペクションとマルウェア対策および IPS を組み合わせて、暗号化された悪意のある脅威と暗号化されていない悪意のある脅威の両方からネットワークを保護します。
TLS インスペクションを使用せずに脅威保護を使用している場合、ネットワークは暗号化されたソースからの攻撃に対して脆弱になります。したがって、マルウェア対策または IPS を使用している場合は、
TLS インスペクションを有効にすることをお勧めしています。
最後に
今回はCatoCloudについて主にファイアウォールに関するセキュリティのお話をさせていただきましたが、いかがでしたでしょうか。
ファイアウォール以外にも様々なセキュリティ機能がありますので、次回以降に取り上げたいと思います。
なお、弊社ではCatoCloudの導入・運用保守の支援を行っておりますので、ご興味を持たれた方は、ぜひお問合せください。
記事 : D.K
