この記事では、Cato クラウド内の異なるセキュリティ エンジンがトラフィック フロー内のフローのフルパスURLデータをどのように処理するかについて説明します。
インターネットファイアウォールポリシーに使用されるファイアウォールエンジンとアプリケーション制御ポリシーに使用されるアプリ制御エンジンでは、HTTPプロトコルリクエストが異なる方法で処理されます。 Cato プラットフォームには、トラフィック フローを同時に分析および処理する複数のセキュリティ エンジンが含まれており、特定のフローからフローのフルパスURLデータなどのデータがどのように抽出され、イベントにログ記録されるかを理解することは困難な場合があります。
Cato セキュリティ エンジンの詳細については、Cato SPACE アーキテクチャによるパケットフローの理解をご覧ください。
URLはトラフィック フロー内の各HTTPプロトコルリクエストで頻繁に変更される属性です。 ファイアウォールエンジンはセキュリティとパフォーマンスのバランスを取るように設計されており、フロー内のすべてのHTTPプロトコルリクエストを検査するわけではありません。 これは、インターネットファイアウォールイベントのフローのフルパスURLデータが誤解を招く可能性があることを意味します。 PoPはイベントを追加データで充実させる最善の努力を行い、インターネットファイアウォールイベントにフローのフルパスURLデータが含まれる可能性があります。
一方、アプリ制御エンジンはセッションごとにすべてのHTTPプロトコルリクエストを調べ、フローのフルパスURLデータをログに記録します。 CASBサービスを使用している顧客の場合、アプリ制御エンジンがそのデータを抽出したため、アプリセキュリティトラフィック イベントには関連するクラウドアプリ用のフローのフルパスURLデータが含まれます。
アプリ制御エンジンとファイアウォールエンジンの主な違いは、HTTPプロトコルリクエストの検査頻度です。
-
アプリ制御 エンジン:
-
アプリケーション制御ポリシー(CASB)の場合、トラフィックフローに対して毎HTTPプロトコルリクエストを検査
-
イベントのためのフローのフルパスURL項目をログに記録
-
-
ファイアウォール エンジン:
-
インターネットファイアウォールポリシーの場合、トラフィック フロー内の最初のHTTPプロトコルリクエストを検査
-
イベントのためのフローのフルパスURL項目のログ記録における一貫性のない動作
-
ベストプラクティス: イベントにフローのフルパスURLデータを一貫してログに記録したい場合、以下の設定で関連するトラフィックのイベントをログに記録するためにアプリケーション制御ポリシーを使用してください。
-
アプリケーション - 任意のクラウドアプリケーション
-
基準 - 任意の詳細アクティビティ
0件のコメント
記事コメントは受け付けていません。