この記事は、Catoのシングルパスクラウドエンジンアーキテクチャ(SPACE)に基づくPoPでのセキュリティエンジンのパケットフローを説明します。
CatoのSPACEアーキテクチャは、単一のサービスでトラフィックフローを検査および処理します。 このサービスには、複数のネットワークおよびセキュリティエンジンが含まれており、トラフィックフローを同時に分析および処理できます。 このアーキテクチャは、サービスの連鎖で複数のポイントソリューションを組み合わせる制限を回避します。 フローに対する単一パスは、レイテンシーを最小限に抑え、ネットワーク全体の性能を向上させます。 各PoPは、すべてのCatoのSPACEサービスとエンジンを使用して、これらのネットワークおよびセキュリティの決定を実行できます。
セキュリティとネットワークのエンジンには、トラフィックフローに関するデータへの完全なアクセスがあり、共有されたコンテキストで互いにデータを評価し共有します。 エンジンは並行して動作するため、あるエンジンが他のエンジンよりもトラフィックを優先評価することはありません。 エンジンは各PoPに配置されており、異なる物理的な場所にあるエンジンからの情報を待たずにデータを共有できます。
例えば、ファイアウォールルールがmacOSデバイスをブロックする場合、ファイアウォールエンジンは最初のパケットからこのデータを取得できず、より多くのデータを待つことになります。 別のエンジンがデバイスをmacOSとして識別すると、ファイアウォールはルールのアクションに従ってフローをブロックします。
このセクションでは、パケットフローの異なるフェーズに適用されるPoP内のネットワークおよびセキュリティサービスとエンジンを一覧表示します。
-
Catoポリシーとエンジン
-
ファイアウォール - インターネットおよびWANファイアウォール用のファイアウォールポリシー
-
ネットワーク - ルーティングおよびQoS優先順位のためのネットワーク規則ポリシー
-
IPS/SAM - 侵入防御システム (IPS) の保護と疑わしい活動のモニタリング(SAM)
-
アプリ制御 - アプリケーション制御ポリシーのためのアプリ識別
-
アプリ制御gen2 - アクセスに基づいたアプリのルール:許可またはブロック
-
アプリ制御gen3 - 理想的な動作に基づいたアプリのルール:アップロード、ダウンロードなど
-
-
TLSi - HTTPSおよび暗号化されたトラフィックのためのTLSインスペクション
-
DLP - データ損失保護(DLP)ポリシーのためのコンテンツ検査
-
AM/NGAM - アンチマルウェアおよび次世代アンチマルウェアによる添付ファイルのマルウェアスキャン
-
-
トラフィックフローのデータとプロトコル
-
アプリの識別 - セキュリティまたはネットワークポリシーのための特定アプリケーションの識別に使用される様々な基準
-
OS - デバイスのオペレーティングシステム (OS)、例えばデバイスポスチャまたはクライアント接続ポリシー
-
クライアントクラス - このネットワークフローを作成したオペレーティングシステムで実行されるクライアントアプリケーションの種類(例:Chrome)
-
URLF - CatoカテゴリのウェブサイトURLに基づいてURLフィルタリング
-
ファイルタイプ - CASBとDLPのために、アップロードまたはダウンロード方向のファイル添付
-
これは、次のアイテムを含む典型的なHTTPプロトコルの例です:
-
タイムライン - トラフィックフローの異なるフェーズ
-
利用可能な項目 - 特定のタイムラインフェーズで利用可能なデータ
-
Catoエンジン - フローを分析し、適切なアクション(ブロックまたは許可)を取ることができるSPACEエンジン
-
トラフィックフローデータ - 各フェーズごとに、トラフィックフローを評価するために使用されるデータ
以下に詳細のリストが表示されます、サンプルTCPフローの詳細。
これは、Slackアプリケーションを含む規則のトラフィックフローの例であり、各ステージで利用可能な情報を示しています。
-
最初のパケット - TCP
送信元 - 10.10.2.107 送信元ポート - 55477 宛先IP - 3.68.124.168 宛先ポート - 443 プロトコル - TCP DNSレスポンス - 3.68.124.168 - slack.com (オプションのレスポンス)
これは、このサンプルの最初のパケットに基づいて入手可能なトラフィックフロー情報です:
-
5タプル - トラフィックがSlackアプリケーションに接続しているかは識別できない
-
DNSレスポンス - 過去のフローに基づき、この宛先IPのドメイン名がslack.comであることをエンジンは既に知っています
-
ASN - 宛先IPに基づいて、セキュリティエンジンがASNを識別できます
-
アプリケーションの識別には以下が含まれます:tcp
エンジンはSlackアプリの識別を完了する前に、TLSハンドシェイクからの追加情報を待ちます。
-
-
tls_handshake
"TLSヘッダー" "sni_host": "slack.com" "事前定義された検査バイパスの理由": "なし" "ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"
これは、このサンプルのtls_handshakeに基づいて入手可能なトラフィックフロー情報です:
-
TLSヘッダーとサーバーポート443 - TLSプロトコルに一致
-
SNIはslack.com - CatoのSlackアプリ識別に一致
SNIもURLFに送信され、カテゴリ「ビジネス情報」、「コンピュータとテクノロジー」、「ソーシャル」に一致
-
クライアントクラスはJA3 - TLSフィンガープリンティングに基づいてクライアントをブラウザとして分類します
-
TLSインスペクション または バイパス アクション - クライアント クラス および アプリケーション 識別に基づく
-
アプリケーション 識別には次が含まれます: tcp、tls、slack
-
-
HTTPプロトコル
"url" : "upload.slack.com: "ホスト名" : "slack.com" "コンテント・タイプ" : "application/pdf" "コンテント・ディスポジション" : フォームデータ; 名前="file"; ファイル名="sample-data.pdf" "コンテンツ・レングス" : "52765"
このサンプルフローでは、HTTPプロトコルデータに基づいて以下の情報が利用可能です:
-
アプリケーション 識別には次が含まれます: tcp、tls、http、slack
-
TLSインスペクションはフローを復号して、Slackサーバーのホスト名がslack.comであることを確認します
-
HTTPヘッダー - HTTPプロトコル に一致します
これは、HTTP_hostがSNIに一致し、アプリケーション識別に変更がない一般的な例です
-
URL - アップロードプレフィックスはより細かい粒度を提供し、アプリケーション制御ポリシーのアップロードアクションに一致することができます
-
コンテント・タイプ、コンテント・ディスポジション、コンテンツレングス - ファイル名、サイズおよび種類に関する情報を提供します
-
アプリケーション制御ポリシー アクション:
-
コーポレートSlackテナントのみを使用するポリシーを施行します
-
ファイルの種類に基づくファイル制御
マルウェア対策 および 次世代アンチマルウェア は ダウンロード 方向で ファイル をスキャン します。
-
-
-
HTTPボディ
"HTTPボディ ペイロード" : "ファイル 自体"
たとえば、DLP ポリシーは、Slackメッセージにクレジットカード データが使用されないように強制します。
-
アプリケーション 識別は Slack アプリケーション のために完了されます。 これは ソーシャル カテゴリ に属するトラフィックとして識別されます。
-
ファイルコンテンツが準備完了すると、これらのエンジンがファイルコンテンツを分析します:
-
DLPエンジンはデータ制御ポリシーに基づいてコンテンツをスキャンします
-
アンチマルウェアおよび次世代アンチマルウェアはダウンロード方向でファイルをスキャンします
-
-
このセクションでは、トラフィック フローを分析してアクションを実行するCato セキュリティ ポリシーと エンジンについて説明します。
WAN ファイアウォール、インターネット ファイアウォール、および ネットワーク ルールの ポリシー は、通常、最初の パケット で トラフィック フロー を評価できます。 たとえば、5-タプル データ に基づく ルールです。 ただし、Azure や Slack などの 特定の アプリケーション に一致する ルールの場合、エンジン が フロー を評価するためには、トラフィック フロー からの追加データ が必要です。 これは、エンジンがフローを評価する段階が、特定ルールの設定に依存することを意味します。
ファイアウォールルールの種類に関する詳細は、インターネットとWANファイアウォールポリシー–ベストプラクティスを参照してください。
この例では、PoPエンジンがIPアドレスとポートを利用したシンプルなネットワークルールとAzureアプリケーションの複雑なファイアウォールルールに対して、それぞれ異なる方法でトラフィックフローを評価する方法を示しています。 ネットワークエンジンは最初のパケットに基づいてフローを評価できますが、ファイアウォールエンジンが分析を完了するためにPoPは追加データを待ちます。
サンプルネットワークルール
以下のネットワークルールは、送信元がIP範囲で、ポート範囲8000 - 8010を持つトラフィックに適用され、ロンドンPoPの拠点を経由して送信されます。
ネットワーク機器エンジンは5-タプルに基づいてトラフィックフローのルーティング決定を評価できます。
サンプルWANファイアウォールルール
以下のWANファイアウォールルールは、上記のネットワークルールのIP範囲と同じ送信元であり、RnDユーザグループのメンバーであるユーザーのトラフィックを許可します。 さらに、このルールはHTTP(S)、TLS、FTP、TFTPサービスのためのAzureアプリケーションに適用されます。
ファイアウォールエンジンは最初のパケットでトラフィックを評価できません。ユーザーのアイデンティティ、Azureアプリケーション、フローのサービスを確認する必要があるためです。 エンジンが評価を完了し、フローがすべての基準を満たした後、エンジンはフローを許可します。 PoPも最初のパケットに基づいてルーティング決定を適用します。
URLフィルタリングサービスは、ウェブサイトのURLを分析し、既知または疑わしい悪意または不適切なウェブサイトのデータベースと比較して機能します。 このサービスは、成人向けコンテンツ、ギャンブル、ソーシャルネットワーキング、ストリーミングメディアなどのカテゴリを決定するためにウェブサイト自体のコンテンツも分析する場合があります。
カテゴリについて詳しくは、カテゴリの操作を参照してください。
TLSインスペクションエンジンは、パケットフローのtls_handshakeフェーズで関与します。 フローを検査するかどうかの決定は不可逆であり、2段階で行われます:
-
ステージ1 - クライアント_ハロー パケットの1番目のペイロードは、TLSインスペクションエンジンがこのトラフィックフローを検査するかどうかについての初期の表示を与えます。
-
ステージ2 - クライアント_ハローは完全に解析され、TLSインスペクションポリシーのアクションが適用されます(フローを検査またはバイパス)。
HTTPSフローでは、ステージ1に基づいてパケットをブロックする決定がされる可能性があります。 ただし、エンジンは通信を続けてTLS接続を確立し、エンドユーザーに適切なファイアウォールまたはIPSブロックページを提示します。
IPSエンジンはトラフィックフローの存続期間中、動作を続けます。 利用可能な特定のアイテムをさまざまな段階で検査し、IPS保護に一致するコンテンツに対処します。 IPSは虫眼鏡のように機能し、常にトラフィックからの更新を待ち受け、フローに見られた情報をエンジンに継続的に提供します。
以下の例は、フローの異なる段階で利用可能なさまざまな情報を示しています:
-
フローのプロトコルはHTTPです
-
ペイロードに基づいて、TLSがあります
-
TLS 1.3暗号スイートTLS_AES_256_GCM_SHA384を使用するクライアント_ハローがあります。
異なるIPS保護は、上記のアイテムのいずれかに一致し、その段階でトラフィックフローに対してアクションを取ることができます。
DNSプロテクションはIPSエンジンの一部であり、リクエストとレスポンスのためにDNSフローで動作します(たとえば、TCPやUDPなどのトランスポートには接続されていない)。
DNSリクエスト中に、ドメイン名が分析され、ドメインの評判と静的フィードの評価が行われます。 その後、DNSレスポンス中に、解決されたIPとコンテンツが潜在的な悪意のあるコンテンツとして分析されます。 一致するコンテンツに対してDNSプロテクションポリシーが適用されます(トラフィックフローをブロックまたは許可)。
アプリ制御エンジンはトラフィックを検査し、アプリケーション制御ポリシーのアクションを適用し、新しいHTTPトランザクションごと(リクエストとレスポンス)で評価されます。
第2世代アプリには、アプリケーションの識別を完了するためにTLSとHTTPプロキシが必要です。
セキュリティとコンプライアンスの要件を含むルールの場合:
-
他のネットワークおよびセキュリティエンジンからのコンテキストデータに基づいて、アプリ制御エンジンはtls_inspectionフェーズ中にこれらの要件を評価できます
-
また、エンジンはこの情報をSNIから取得でき、アプリを評価するためにTLSまたは完全なアプリ識別(レイヤ7 DPI)が必須でない場合もあります
DLPエンジンはトラフィックフローの内容を検査し、アプリ制御エンジンの拡張機能です。 ポリシーがファイルタイプやファイルサイズを指定する場合、エンジンはこれらのファイル特徴のためにアプリメタデータとペイロードを検査する必要があります:
-
エンジンはファイルタイプを評価し、コンテンツ検査のためのサポートされているファイルリストと一致するかどうかを確認します。
-
次に、gen3アプリの識別が完了し、検査されたコンテンツとデータが保存されるフィールドの特定のコンテンツ署名を識別します。
-
コンテンツは検査され、定義済みのコンテンツプロファイルと一致するかどうかを確認されます。
アンチマルウェアエンジンと次世代アンチマルウェアエンジンは、インバウンドトラフィック(ファイルダウンロード)の添付ファイルを、既知または未知のマルウェアに対してスキャンします。 ファイルタイプはHTTPプロトコルの応答またはFTPトラフィックのリクエストに基づいています。
HTTPプロトコル、HTTPS、およびFTPのアプリケーションとサービスのみがスキャンされます。
-
エンジンはアプリケーションがアンチマルウェアポリシーのルールに一致するかどうかを確認します。
-
ファイルは次のファイルリストと照合されます:
-
Cato管理画面で設定された許可リスト - これらのファイルはダウンロードが許可されています。
-
Catoセキュリティチームによって管理されているブロックリスト - これらのファイルはブロックされます。
-
-
ファイルはアンチマルウェアエンジンと次世代アンチマルウェアエンジンによってスキャンされ、判定が返されます:悪意のある、疑わしい、良性。
-
アンチマルウェアポリシーの適切なアクションがファイルに適用されます。
URLフィルタリングはWANトラフィックに適用されますか?
いいえ、URLフィルタリングはインターネットトラフィックのみを対象としており、WAN上のアカウントトラフィックには適用されません。
ファイアウォールと侵入防止システム (IPS) のポリシーにおける地理的制限の設定にはどのような違いがありますか?
デバイス設定のWANとインターネットファイアウォールでは、細かいルールのためのソース国を定義できます。 しかし、宛先国に対する制御はありません。
地理的制限タブは、IPS ポリシーで送信元または送信先のいずれかの制限付きトラフィックを定義します。 しかし、IPSはアカウント全体のグローバルポリシーであり、特定のサイトまたはオブジェクトに対して地理的制限の設定を適用することはできません。
-
タイムライン - 1番目のパケット
-
利用可能な項目 - 5-タプル, ホスト名 (dname)
-
カトエンジン - ファイアウォール, ネットワーク, 侵入防御システム (IPS)/SAM
-
トラフィックフローデータ - アプリケーション識別, クライアントクラス, OS
-
-
タイムライン - tls_handshake
-
利用可能な項目 - cipher_suite, ホスト名 (SNI)
-
カトエンジン - 侵入防御システム (IPS)/SAM, アプリ制御 gen2, TLSi, ファイアウォール, ネットワーク
-
トラフィックフローデータ - アプリケーション識別, クライアントクラス, URLF
-
-
タイムライン - HTTP_headers
-
利用可能な項目 - ヘッダー, URL, ホスト名 (ホストヘッダー)
-
カトエンジン - アプリ制御 gen3, IPS/SAM
-
トラフィックフローデータ - ファイルタイプ (アップロード), OS
-
-
タイムライン - HTTP_body
-
利用可能な項目 - HTTP_request, HTTP_body
-
カトエンジン - アプリ制御 gen3, データ漏洩防止, 侵入防御システム (IPS)/SAM
-
トラフィックフローデータ - ファイルタイプ (アップロード), アプリケーション識別
-
-
タイムライン - HTTP_response
-
利用可能な項目 - HTTP_response_headers, HTTP_response_body
-
カトエンジン - AM/NGAM, アプリ制御 gen3, データ漏洩防止, 侵入防御システム (IPS)/SAM
-
トラフィックフローデータ - ファイルタイプ (ダウンロード), アプリケーション識別
-
0件のコメント
サインインしてコメントを残してください。