PaloAlto

次世代ファイアウォール Palo Altoの仕組み 〜NGFWとUTMの違い〜

2017.07.19

脅威対策に特化したUTM、見える化に特化したNGFW

まずPaloAltoにはNGFW(Next Generation FireWall)とUTMの2つの側面がありますが、前面に出しているのはNGFWのほうです。

UTMは主に攻撃からの防御に特化した機能群です。このUTMについてはこちらの記事をご参照下さい

一方、NGFWは見える化に特化した機能が多々あります。

NGFWのアプリケーション見える化

例えば、従来型ファイアウォールはアクセス制御にTCPやUDPのポート番号を使っていました。ですが管理者にとって本当に制御したいのはポート番号ではなく、アプリケーションです。

同じHTTP(s)を使っていても、youtubeやfacebook、Skype等、使うアプリケーションはブラウザとは限りません。『Skypeは使わせるけどfacebookは使わせたくない!』といったときも、NGFWなら比較的簡単にポリシー(アクセス制御ルール)を作れます。ポリシーでTCP/UDPのポート番号を指定するのではなく、アプリケーションを指定するのです。この機能を『アプリケーション識別』と呼びます。

NGFWのユーザ見える化

また、例えば、従来型ファイアウォールでは、アクセス制御に送信元IPを使っていました。ですが管理者が本当に制御したいのは、送信元IPではなく、ユーザそのものですし、管理者が本当に見たいログは『どの送信元IPからのアクセスがあったか』ではなく、『どのユーザがアクセスしたか』です。

NGFWではADやOpenLDAP等の外部DBを利用したユーザアカウントを使い、そのユーザ名をACL(アクセス制御)に使うことができますし、送信元IPだけでなくユーザ名をログに表示することができます。この機能を『ユーザ識別』と呼びます。

レポート機能

見える化の極めつけは、レポート機能です。『どのようなユーザが多く帯域を使っているか、どのようなアプリケーションが多く使われているか』といった情報や、『どの国からのアクセスが多いか、どのような攻撃が多いか』等の統計レポートPDFを、毎日、毎週等決められた頻度でメール送付することができます。

アプリケーション識別の仕組み

前述の通り、PaloAltoでは、従来のFWが行ってきたレイヤー4(TCP/UDPポート)までの制御に加え、レイヤー7の制御(アプリケーションの中身を見て、その内容で制御を決める)が可能です。

具体的には、アクセスリストの中に"サービス"というTCP/UDPポートを指定する項目の他に、"アプリケーション"というhttp等のアプリケーションを指定する項目もあり、これを組み合わせることができます。

例えば、、、

  • ポート番号を変えたhttp通信の制御(例えば、tcp:8080のhttp通信を許可しつつ、tcp:80のhttp通信を拒否、等)ができます。
  • 同一ポート番号のプロトコルを制御(例えば、tcp:80のhttpを許可しつつ、tcp:80のftpを止める、等)ができます。
  • 同じポート番号・プロトコルであってもある挙動は許可するがそれ以外の挙動を拒否する、といった高次元の識別が可能です。これに加え、従来では難しいとされていた、SSL/TLS通信についても、一部のアプリケーションは、その宛先や挙動を注意深く見ることで、通信の細かい挙動の制御ができます

最後のアプリケーション内の挙動制御についてですが、例えば、"facebook"というアプリケーションは、サブアプリケーションとして以下の種類に分解できます。

  • facebook-base
  • facebook code
  • facebook room
  • facebook posting
  • facebook chat
  • facebook mail (messages)
  • facebook apps
  • facebook Social Plugins
  • facebook file-sharing
  • facebook voice
  • facebook video

"facebook"というアプリケーション本体を指定すれば全てのfacebook通信を許可・拒否するといった設定も可能ですが、例えばfacebookの閲覧のみを許可したい場合はアプリケーションとして『"facebook-base"のみを許可する』といった設定をすれば実現可能なのです

ただし、このアプリケーション制御については、依存関係というのがあるので、この依存関係によって狙った通信を許可・拒否できるのかが決まっているので注意が必要です。

依存関係の詳細や確認方法はこのページを参考にして下さい

Palo Altoで他にどんなアプリケーション識別ができるかは、以下ページで確認することができます。上記のfacebook関連のサブアプリケーションも、下記サイトで"facebook"と検索すれば、それぞれがどのような挙動を制御するのかも確認することができます。

Application Research Center
Palo Alto Network's rich set of applicat...
applipedia.paloaltonetworks.com

ユーザ識別の仕組み

ADやLDAP, Radiusと様々な方法で連携してユーザを識別し、(送信元IPでは無く)ユーザ単位でアクセス制御が可能です(送信元IPと組み合わせることも可能)。また、アクセスログやセキュリティログ等のログ全般にも送信元IPだけでなくユーザを表示させることができます

連携方法として一番素直なのは、CaptivePortal機能で、特定アクセス先にはWeb画面でユーザ認証を求め、そのIDパスワード情報をADやOpenLDAP等で認証し、成功した場合は一定期間はそのIPからの通信を、認証したユーザの通信とみなします。

その他、ADへのログイン情報を取得するなども可能です。

コメント

タイトルとURLをコピーしました