この文章は、Catoのクラウドアクセスセキュリティブローカー (CASB) ソリューションの一部として、アプリケーション制御ポリシーのルールベースを設定する方法を説明します。 このルールベースは、ユーザーが事前に定義されたアプリケーションやシステムカテゴリへのアクセスや利用をどのように許可されているかを管理するのに役立ちます。
Catoにおけるアプリケーション制御ポリシーについての詳細は、What is the Unified CASB Solution? をご覧ください。
アプリケーション制御ポリシーは、クラウドアプリケーションに対するインターネットおよびWANファイアウォールの拡張機能です。 ファイアウォールポリシーで許可されているフローのみがインラインアプリケーション制御ポリシーによって検査されます。 アプリケーション制御ポリシーは、アプリカタログでアプリケーションタイプのアプリには適用されません。
注意
注: アプリケーション制御ルールでアプリケーション使用状況を管理するには、このアプリケーションがインターネットおよびWANファイアウォールで許可されていることを確認してください。
アプリケーション制御ポリシーは、アプリケーションとカテゴリのアクティビティと必要な基準を定義できる順序付けられたルールベースです。 各ルールは1つのアプリケーションまたは1つのカテゴリを定義します。 ルールがトラフィックに一致すると、それ以下の低優先度のルールはトラフィックに適用されません。
ルールベースの最終ルールは、暗黙的なANY ANY許可ルールです。そのため、接続がルールに一致しない場合、最終的な暗黙的なルールによって許可されます。
テナント制限ポリシーは、ユーザーがどのSaaSテナントにアクセスできるかを制限し、個人用または不正なアカウントへのアクセスを防ぎ、データ漏洩リスクを低減します。 Catoは2つの方法でこれらの制御を強制します:テナントアウェアネスは、アプリケーション制御内でテナント特定の許可またはブロックアクションを適用し、テナント制限ポリシーはHTTPヘッダーを挿入してアプリを正しいテナントに案内します。 これらの機能によって、ユーザーは自分の組織に承認されたテナントのみへのアクセスが確保されます。
詳細については、SaaSアプリへのテナント制限の管理 (テナント制限ポリシー) とSaaSアプリケーションテナントへのアクセス制限を参照してください。
アプリケーション制御ポリシーは、異なる管理者がポリシーを並行して編集することを可能にします。 各管理者はルールを編集して、独自のプライベートリビジョンに変更を保存し、その後アカウントポリシーに発行します(公開されたリビジョン)。 ポリシーの改訂管理の詳細は、ポリシーリビジョンの操作を参照してください。
アプリケーション制御構成ウィザードと一緒に作業する
アプリケーション制御構成ウィザードは、これらのチェックと洞察を使用してポリシーを自律的にレビューします。 チェックが失敗した場合は、個別のルールを編集せずにウィザードで直接ポリシーをレビューして更新できます。 これにより、ポリシー管理を簡素化しつつ、セキュリティを保つことができます。 詳細については、構成ウィザードの使用を参照してください。
- アプリケーションルールについては、ルールに一致するトラフィックを検査するためにTLSインスペクションを有効にする必要があります。
-
より詳細なアプリポリシーの結果として、インターネットファイアウォールポリシーに、QUICトラフィックをブロックするための高優先度のルールが2つ(ルールベースの最上部付近)あることを確認してください。 標準プロトコルのみを許可し、これらの項目を個別のルールでブロックする方が安全です:
- アプリケーション - GQuic
- サービス - QUIC
注意
注意: アプリケーション制御ポリシーを最初に有効化したとき、QUICおよびGQUICトラフィックをブロックするルールがインターネットファイアウォールルールベースの最上部に自動的に追加されます。 これはCatoのセキュリティベストプラクティスに準じています。
必要に応じて、アカウントの要件に基づいてこのルールを編集できます。
- アプリケーション制御ポリシーはCASBライセンスに含まれています。 CASBライセンスの購入についての詳細は、Catoの担当者にお問い合わせください。
アプリケーション制御ポリシーにルールを追加する際には、アプリケーションのアクセスと許可されたアクションを定義するために必要な各セクションを設定してください。
ポリシーを初めて実装する場合や、既存のポリシーに新しいアプリケーションを追加する場合は、新しいルールを監視アクションと共に実行することをお勧めします。 その後、イベントを確認して、このルールが許可されたトラフィックをブロックする可能性があるかどうかを確認してください。
アプリケーション制御ルールには次のセクションがあります:
- 一般 - ルールに割り当てる名前とセベリティ ルールを有効化または無効化することもできます。
- アプリケーション - このルールに一致する定義済みアプリケーション、カテゴリ、カスタムアプリケーション、または承認済みアプリ サポートされているアプリのみが定義済みアプリケーションのリストに表示されます。
-
アクティビティ - アプリケーションの動作を定義するアイテムを1つ以上定義し、アイテム間にANDまたはORの関係があるかどうかを確認します。
ルールに対してすべてのアクティビティを一致させるために任意の詳細アクティビティを選択できますが、許可とモニタのみ利用可能です。
アクティビティ項目が設定されておらず空の場合、ルールは一致します。
-
アプリケーションに対してアクションが適用される一致するアクティビティを選択してください。詳細は、What is the Cato DLP Service?を参照してください。
注意
注: アプリケーションルールの場合、ルールに一致するトラフィックを検査するにはTLSインスペクションを有効にする必要があります。
-
カテゴリに応じて、アクションが適用される活動または基準を選択します。
注意
注: 定義済みアクティビティを持つカテゴリルールの場合、ルールに一致するトラフィックを検査するにはTLSインスペクションを有効にする必要があります。
-
- アクセス方法 - ホストやデバイスでユーザーエージェントに必要な要件で、アカウントに接続可能なもの。
-
ソース - このルールのトラフィックのソース。
- ソースを国に設定して、その国からのトラフィックを強制するルールをIPジオロケーションに基づいて作成できます。
- ルールの他のソース項目に関する情報は、ルールオブジェクトのリファレンスを参照してください
-
デバイスポスチャー - アクションがデバイスに適用されるためにデバイスが満たす必要があるデバイスプロファイルを選択します。
例として、許可アクションを伴うルールがあり、デバイスはそのルールのデバイスプロファイルを満たす必要があります。そうでない場合、トラフィックはブロックされます。 セキュリティルールでデバイスポプロファイルを使用する詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。
- 時間 - ルールがアクティブになる期間を定義します。
-
アクション - ルールに一致するトラフィックに指定されたアクションを適用します。 オプションは次の通りです:
- 許可: アクションは許可され、イベントは作成されません
- モニタ: アクションは許可され、イベントが作成されます
- ブロック: アクションはブロックされます
- イベントと電子メール通知のトラッキングオプションを定義します。
新しいアプリケーション制御ルールを作成し、組織のアプリケーション制御ポリシーを実行するためにルールの設定を構成します。
時間オプションは、ルールが有効である時間範囲を定義します。 ルールのカスタムオプションを構成するか、アカウントに定義されたデフォルトの就業時間を選択できます。
新しいアプリケーション制御ルールを作成するには:
- ナビゲーションメニューから、セキュリティ > アプリ & データ インラインを選択します。
- 新規をクリックし、アプリ制御ルールを選択します。 アプリ制御ルールパネルが開きます。
-
一般セクションを展開し、これらの設定を構成します:
- ルールの名前を入力します。
- スライダーを使用してルールを有効化または無効化します(緑は有効、灰色は無効)。
-
セベリティを選択します。
セベリティはこのルールのイベントと監視分析で使用されます。
- アプリケーションセクションを展開し、このルールに一致するトラフィックのアプリまたはカテゴリを選択します。
-
アクティビティまたは基準セクションを展開し、これらの設定を構成します:
- アクティビティ追加または基準追加をクリックし、ルールのアイテムを選択します。
- 必要に応じて、
をクリックして、このアイテムの設定を構成します。
-
アクティビティまたは基準セクションに複数のアイテムがある場合、満たすドロップダウンメニューで、アイテム間の関係を定義します:
- すべて (OR) - アイテムのいずれかがトラフィックに一致する場合、ルールが適用されます
- すべて (AND) - アイテムのすべてがトラフィックに一致する場合、ルールが適用されます
-
アクセス方法セクションを展開し、ユーザーエージェント要件を定義します。
複数のアイテムがある場合、それらの間にはAND関係があります。
-
ソースセクションを展開し、このルールのトラフィック送信元のために1つまたは複数のオブジェクトを選択します (またはIPアドレスを入力できます)。
種類を選択します (例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
-
デバイスポスチャーセクションを展開し、ルールのために1つまたは複数のデバイスプロファイルを選択します。
ルールのために複数のデバイスプロファイルがある場合、それらの間にはOR関係があります。
-
(オプション)時間セクションを展開し、ルールが有効な期間を定義します。
ルールを常に有効にするには時間制限なしを選択します。
-
アクションセクションを展開し、これらの設定を構成します:
- このルールのアクションを選択します。 オプションには許可、ブロック、およびモニタがあります。
-
(オプション)トラッキングオプションを構成してイベントを生成し、通知を送信します。 最初の通知が送信された後、頻度がカウントを開始します。
通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
- 適用をクリックします。
値セットは、URLやメールアドレスなどのアイテムグループのために、アプリケーション制御ルールを管理するのに役立つユーザー定義カテゴリです。 例えば、次のことができます:
- フォルダのフルパスURLで定義された値セットを使用して、Dropboxルールを構成することで、特定のDropboxフォルダのグループへのアクセスを1つのルールで管理します
- ログインアクティビティを特定のユーザーのみ許可するために、メールアドレスのリストで定義された値セットで構成されたルールを作成します
アプリケーション制御ポリシーは順序付きのルールベースであり、ルールの例外を作成する必要がある場合は、新しいルールを作成してトラフィックを許可することができます。 新しいルールがブロックルールの前にあることを確認してください。
このセクションでは、条件とアクティビティを必要とするルールに使用可能な項目について説明します。
これらは、特定の条件を必要とするルールに対して設定可能な項目の説明です。 条件はセキュリティ、一般、コンプライアンスの3つのセクションに分かれています。
| 基準フィールド | 説明 |
|---|---|
| セキュリティ基準 | |
| 監査証跡 | アプリケーションは管理者の変更に対する監査証跡をサポートします |
| 暗号化プロトコル | Cato クラウドでの分析に基づき、アプリケーションの許可された TLS 暗号化プロトコルを定義します |
| 保存データ暗号化 | サービスのデータストレージは暗号化されています |
| HTTP セキュリティヘッダ | HTTP セキュリティヘッダをサポートします |
| 2要素認証 | 多要素認証をサポートします |
| RBAC | 管理者のためのRBAC(ルールベースアクセス制御)をサポートします |
| パスワードの記憶 | ユーザーがローカルブラウザでパスワードを記憶することを許可します |
| リスクスコア | Catoは各クラウドアプリに0(リスクなし)から10(非常に高いリスク)の間のリスクスコアを割り当て、アプリケーションが貴社のセキュリティポリシー要件を満たしているかどうか評価するのに役立ちます。クラウドアプリダッシュボードの使用を参照してください |
| SSO タイプ | シングルサインオン (SSO) をサポートします |
| TLS エンフォースメント | Cato クラウドでの分析に基づき、アプリケーションは TLS 暗号化されたトラフィックのみを許可します |
| 信頼できる証明書 | Cato クラウドでの分析に基づき、このアプリケーションは登録されたCAからの信頼できる証明書のみを使用します(自己署名や取り消し済みの証明書はありません) |
| 一般基準 | |
| 国コード | 会社の本社がおかれている国(登録国) |
| コンプライアンス基準 | |
| コンプライアンスオプション | 下記をご覧ください、サポートされているコンプライアンス要件。 |
これらは特定の活動を要求するルールのために設定できるフィールドの説明です。 表にはルールのための活動フィールドを含むアプリの例も示されています。
備考: アクティビティフィールドが空のままの場合、どのアクティビティでもルールに一致します。
| アクティビティ項目 | 説明 | 例アプリ |
|---|---|---|
| 添付を追加 | ファイルを電子メールに添付する | Gmail |
| チャット | アプリのチャット機能を使用する | |
| メッセージを削除する | アプリ内の会話からメッセージを削除する | Slack |
| ダウンロード | クラウドストレージからファイルをダウンロードする | Google Drive |
| 編集 | アプリの権限を編集する | セールスフォース |
| エクスポート | アプリからデータまたは記録をエクスポートする | セールスフォース |
| フローのフルパスURL | 特定のパスに一致するアプリトラフィックのみが許可またはブロックされます。 例えば、dropbox.com/contact では、フローのフルパスURLに /contact が含まれている必要があります。 | Dropbox |
| ログイン | アカウントにログインする | |
| ログオフ | アカウントからログアウトする | |
| 投稿 | メッセージまたはコメントをソーシャルメディアアプリに投稿する | |
| レポートを保存 | アプリからホストまたはデバイスにレポートを保存する | セールスフォース |
| メールを送信 | 電子メールメッセージを送信する | Microsoft Outlook |
| メッセージ(ファイル)を送信 | ファイルを含むメッセージを送信する | Slack |
| メッセージ(テキスト)を送信 | テキストのみを含むメッセージを送信する | Slack |
| サインイン | アプリケーションにサインインする | Slack |
| サインアウト | アプリケーションからサインアウトする | Slack |
| アップロード | クラウドストレージにファイルをアップロードする | Box |
| ストリームを見る | ストリーミングビデオを見る | YouTube |
このセクションでは、アカウントにおいてアプリケーション制御ポリシーを実装するための推奨されるベストプラクティスを含めています。 指示があれば、ポリシーに新しいアプリケーションを追加することにもベストプラクティスが適用されます。
-
ポリシーを実装する際、またはBlockアクションで新しいアプリケーションを追加する際は:
- ルールに対してモニタアクションを使用します。
- ルールが生成するイベントを確認し、許可したいトラフィック(偽陽性トラフィック)のイベントがないことを確認してください。
-
偽陽性トラフィックがある場合は、これらの変更を行うことができます:
- 偽陽性トラフィックを除外するためにルールのスコープを修正します
- ブロックルールの前に新規許可ルールを作成し、新しいルールのスコープは偽陽性のトラフィックのみを対象とします
- このポリシーは、ブラウザベースのアプリケーションをサポートしています。 明示的に指定されない限り、ネイティブクライアントはサポートされていません。
- アプリケーション制御ポリシーは整列されたポリシーであり、最終的な暗黙のルールは『ANY ANY 承認』です。 関連するアプリケーショントラフィック、アクティビティ、および基準をブロックするためにポリシーにルールを追加します。
- アカウントにおけるアプリケーション制御イベントの最大数は1時間あたり250万イベントです。
このセクションには、組織におけるCASBポリシーを施行するためのアプリ制御ルールの例が含まれています。
以前の例では、Office365アプリとサービス用のOfficeプログラムとサービスカテゴリに対する2つのルールが示されています。
-
ルール1は、以下の設定でOffice365のコンプライアンス要件を満たすトラフィックを許可します:
- ソース - すべて。 すべてのトラフィックソースに適用されます。
- アプリケーション - Officeプログラムとサービス。 Office365のカテゴリに適用されます。
- 基準 - SOC2、信頼できる証明書、SSO かつAND関係。 すべてのコンプライアイテムに適合するトラフィックに適用されます。
- セベリティ - 中。 このルールに一致するトラフィックは、アナリティクスで 中 リスクとして分類されます。
- アクション - 許可。 コンプライアンス要件を満たすOffice365トラフィックは許可されます。
-
ルール2は、以下の設定でルール1と異なるすべてのOffice365トラフィックをブロックします:
- 基準 - なし。 ルール1が既に許可トラフィックに一致しているため、すべてのOffice365トラフィックに適用されます。
- アクション - ブロック。 ルール1が既にすべての適合トラフィックを許可したため、すべてのOffice365トラフィックをブロックします。
- トラッキング - イベント。 非適合のOffice365トラフィックすべてのイベントを生成します。
イベント画面は、アカウントのすべてのアプリケーション制御イベントを表示します。 これらのセキュリティイベントはサブタイプ、アプリケーションセキュリティです。
イベントページの使用についての詳細はこちらをご覧ください。
これらはアプリケーション制御に固有の項目です:
| 項目名 | 説明 |
|---|---|
| アプリ活動 | ブロックアクションを伴うイベントのために、ルールのアクティビティを表示します (上記を参照、アクティビティベースのルール) |
| アプリ活動カテゴリ | イベント内でのアプリ活動の一般カテゴリ。 アプリ活動カテゴリについてさらに詳しくは、以下を参照してください。アプリ活動カテゴリとタイプの理解。 |
| アプリ活動タイプ | アプリ活動のタイプ。 アプリ活動のタイプについて詳しくは、以下を参照してください。アプリ活動カテゴリとタイプの理解。 |
| アプリケーション | アプリケーションの名前 |
| アプリケーションリスク | このアプリケーションに対するCatoのリスクレベル |
| フルパスURL | トラフィックが接続しているURLのフルパス |
| 承認済みアプリ | 「True」は、このアプリケーションが承認済みアプリとして設定されていることを意味します |
これらはアプリケーションアクティビティカテゴリフィールドの可能な値と各カテゴリの説明です:
-
コンテンツ操作 - データ (通常はファイルまたはクリアテキスト) が含まれるアクティビティ:
- クライアントからSaaSアプリにアップロード
- SaaSアプリからクライアントにダウンロード
- SaaSアプリで編集
例: アップロード、ダウンロード、移動
- コンテンツ共有 - SaaSアプリにすでに存在するデータのアクセスが変更されるアクティビティ。 例:共有、匿名リンクを共有
- 通信とコラボレーション - SaaSアプリのユーザー間で情報が転送されるアクティビティ。 例:チャット、ビデオ、ボイス
- 検索と表示 - SaaSアプリ上のデータにアクセスする際に、データそのものやその権限が変更されないアクティビティ。 例:検索、ファイルアクセス
- 管理設定 - 例:ユーザー作成、隔離、権限の変更
- ログインと認証 - 例:ログイン、ログアウト、ログイン失敗
-
APIと統合 - 例:APIクエリ、
統合を追加 - 実行 - 例:フローを実行、レポート/ダッシュボードを実行
- 一般 - 他のカテゴリの定義に合致しないアクティビティ、またはカテゴリが未割り当てのアクティビティ
これらはアプリアクティビティ種類の可能性のある値および各種類に含まれるアクティビティです:
- ファイル共有 - アップロード、ダウンロード、削除、共有、編集、表示、作成
- ソース管理 - プル/クローン、プッシュ
- チャット - メッセージ送信、音声メッセージ送信、メッセージ受信、メッセージ削除、リアクション追加
- メール - メール送信
- ソーシャルネットワーク - 投稿、コメント
- 管理者アプリ - ログイン、サードパーティログイン、ログオフ、サードパーティを承認、アイテムの権限を変更
- IaaSプラットフォーム - アクセス
- ファイナンス - 編集、エクスポート、レポートを保存
- ストリーミングメディア - ストリームを見る
- ウェブ会議 - ビデオ通話
- ナレッジ共有 - 作成、編集、共有
- タスク管理 - タスクの作成、タスクの編集、タスクの削除、タスクステータスの変更、割り当て
- 検索エンジン - アクセストークンを検索
- AIツール - 会話
アプリケーション制御ルールによってアクティビティがブロックされた場合、どのアプリがブロックされたかとその理由を説明する通知をユーザーに表示するよう設定できます。 通知のコンテンツとブランディングをカスタマイズして、貴社の要件に合わせることができます。
以下は、Windowsデバイスに表示されるデフォルト通知の例です。
以下は、iOSデバイスに表示されるデフォルト通知の例です。
-
Supported from:
- Windowsクライアント v5.10 以上
- macOSクライアントv5.7以上
- iOSクライアント v5.4 以上
- ユーザーはリモートで接続済みである必要があります
- Windowsの通知を有効にする必要があります
アクティビティがアプリケーション制御ルールによってブロックされる場合、ユーザーがシステム通知を受け取るように有効にすることができます。
アクションがブロックされた理由をユーザーに説明するため、複数の通知テンプレートを作成しポリシールールに割り当てることができます。 これにより、特定の使用ケースに応じたコンテキスト通知を施行時に提供できます。 詳細については、ユーザー通知テンプレートの作成を参照してください。
0件のコメント
サインインしてコメントを残してください。