PaloAltoのアプリケーション識別の依存関係
PaloAlto ではアプリケーション識別を行うために、ある程度通信を泳がせ、その間に識別をします。
そのため、通常のファイアウォール/UTM と異なり、TCP コネクションを張った後に通信を切断する、ということもあり得ます。
例えば、facebook の識別を行う際にはまず TCP コネクションが確立しますが、その後に facebook かどうかの判定を行います。
このような場合、App「facebook-base」はApp「web-browsing(http)」に依存している、と呼びます。
PaloAltoの古いPAN-OSだと、セキュリティポリシーを書く際に facebook だけではダメで、facebook-base と web-browsing を両方記載する必要がありました。
しかしPAN-OS 5.0以降では、web-browsingのような一部の基本的なアプリケーションについては、依存関係があっても明示的に書かなくてもよくなりました。つまり、facebook-baseだけ指定すればよいのです。
これにより、セキュリティが格段に向上しました。なぜなら、facebookを識別出来たとしても、今まではfacebookだけを狙って拒否 or 許可、というのができなかったからです。(httpも道連れに拒否 or 許可設定となる)
依存関係自体は下記ページで確認できますが、このページには明示すべきか否かは書かれていません。
そこで、以下手順での確認が必要となります。
- PaloAltoにCLIでログインする
- # show predefined application <name-of-app>を打つ
- 「use-applications」と「implicit-use-applications」の項目を確認する
2 の<name-of-app>は facebook-base などのアプリケーション名を入れます。
3 について、「use-applications」は依存しているアプリ名、「implicit-use-applications」は依存しており、かつ明示せずともよいアプリ名を指しています。つまり、「use-applications」と「implicit-use-applications」が同じであれば明示的に書く必要はなく、「implicit-use-applications」の項目が無い場合は全て明示的に書く必要があります。
コメント