Catoファイアウォールとは

概要

Catoの次世代ファイアウォール (NGFW) は、WAN、インターネット、およびLANトラフィックにわたる一貫した検査と施行を、各トラフィックタイプに合わせた複数のポリシーで提供します。 これにより、ネットワーク境界ごとに正確なコントロールを適用し、統一された施行の利益を得ることができます。

CatoのグローバルPoPは、FWaaSの施行ポイントとして機能し、セキュリティスタックがネットワークエッジでWANおよびインターネットトラフィックを検査し、保護します。

すべてのファイアウォールポリシーは、アカウント用のデータと分析に入力される共有トラフィックコンテキストで運用されます。 これらのポリシーは、Cato管理アプリケーション (CMA) 内で構成および監視され、ポリシー管理を簡素化し、WAN、インターネット、およびLANトラフィックにわたる施行データの詳細な分析を可能にします。

ソケットLANファイアウォールは、サイトの背後でのイーストウエストトラフィックに対応します。 ソケットアプライアンスで直接VLAN間およびホスト間通信を検査することで、未承認の横方向移動を防ぎ、マイクロセグメンテーションを施行し、サードパーティ製のLANファイアウォールハードウェアを必要としません。 これにより、CMAの集中管理ポリシーを維持しながら、ローカルトラフィックにNGFWの保護を拡張します。

CMAファイアウォールポリシー

Catoは、CMA内で3つの異なるファイアウォールポリシーを提供しており、異なるトラフィックタイプとセキュリティ要件に合わせています。 単一の一般化されたルールベースの代わりに、それぞれのポリシーはインターネットトラフィック、WANトラフィック、または内部LANセグメンテーションに最適化されています。 この分離により、明確さが向上し、ポリシーの複雑性が低減され、セキュリティコントロールが検査中のトラフィックのコンテキストに適合していることを保証します。

  • WANファイアウォール: WAN上でのサイト間およびユーザーとサイト間トラフィックに対するゼロトラスト施行を提供します。 CMAでは、管理者が明示的な許可ルールを定義し、Catoバックボーン上で許可されたアプリケーション、サービス、およびアイデンティティのみが通信できることを保証します。

  • インターネットファイアウォール: アウトバウンドインターネットトラフィックに対する詳細なコントロールを施行します。 管理者は、アプリケーション、ユーザーID、および宛先ドメインまたはカテゴリに基づいてトラフィックを一致させるルールをCMAで定義します。 URLフィルタリングやアプリケーション認識といった機能が、正確なルール施行をサポートするためにトラフィックの可視性を深めます。

  • 次世代LANファイアウォール: VLANとホスト間のレイヤー7イーストウエストトラフィックの検査を提供します。 LANファイアウォールは、CMAで定義されたセグメンテーションおよびマイクロセグメンテーションポリシーを施行します。サードパーティアプライアンスを必要としません。

トラフィックタイプ

説明

トラフィックの処理方法

ポリシー設定

インターネット

外部のインターネット宛のトラフィック

PoPは、サイトまたはリモートユーザーからのトラフィックを受信し、インターネットファイアウォールポリシーを適用します。

インターネットファイアウォール

WAN

サイトやリモートZTNAユーザーから他のCato Cloud宛てのトラフィック

PoPは、サイトまたはリモートユーザーからのトラフィックを受信し、WANファイアウォールポリシーを適用します。

WANファイアウォール

LAN

同じソケットの背後にあるホスト間のトラフィック (例えば、VLAN) - フローの送信元および宛先IPアドレスの両方が同じソケットサイトに属します。

ソケットがLANファイアウォールポリシーを適用します

トラフィックはローカルにとどまり、PoPには送信されません

LAN ファイアウォール

WANおよびインターネットFWのゼロタッチデプロイ

Catoは、現場での設置、手動設定、ハードウェア保守を必要とせずに、WANおよびインターネットファイアウォールポリシーを施行します。 すべてのポリシーの作成と配布はCMAで中央管理され、CatoのグローバルPoP全体に自動的に適用されます。 このアプローチにより、新しいサイトやユーザーのオンボーディングが加速し、管理の手間を最小限に抑えつつ、一貫した施行を維持できます。

  • CMAにおける中央集約されたポリシー定義と、すべてのPoPsへの自動配布

  • WANおよびインターネットファイアウォール全体にリアルタイムで変更を適用するグローバルポリシー伝播

  • パッチ、アップグレード、ハードウェア交換などのアプライアンスライフサイクルタスクなし

分析と統合

CMAのファイアウォール解析は、トラフィックの挙動、ルールのパフォーマンス、ポリシーの効果に関する深い可視性を提供します。 管理者は、データを監視し、ファイアウォールイベントを閲覧し、ルールの使用状況を追跡し、セキュリティスタック全体での活動を相関させることができます。 これらのインサイトは、ポリシーの検証、問題のトラブルシューティング、監査またはコンプライアンスの取り組みをサポートします。

能力には以下が含まれます:

  • イベントとレポート: 管理者は、CMAでルールを構成してトラフィックイベントを生成し、ルール活動、ポリシー施行、および異常への可視性をログに記録できます。

  • アプリ解析: ネットワーク全体のトラフィック傾向とアプリケーション使用状況を表示します。 セキュリティチームは、主要なアプリケーションを特定し、異常な挙動を監視し、観察されたトラフィックに基づいてポリシー決定を行います。

  • カスタム通知: ファイアウォールルールに対するリアルタイム通知を生成し、管理者定義の購読グループに配信するか、サードパーティシステムとウェブフックで統合できます。 また、通知はメール経由で配信され、セキュリティおよび運用チーム全体でのタイムリーな可視性を確保できます。

  • SIEM統合: ファイアウォールログとイベントデータをサードパーティのSIEMプラットフォームにエクスポートし、高度な分析、脅威の相関、コンプライアンス報告を行います。

関連する記事

ファイアウォールの機能

コア機能

Catoのコアプラットフォームライセンスには、WAN、インターネット、LANネットワーク全体で一貫してトラフィックを検査するファイアウォール機能が含まれています。 これらの機能はCatoのグローバルPoPから提供され、CMAで中央管理され、すべてのネットワークセグメントにわたる管理者に統一された制御を提供します。 プラットフォームはSASEの設計原則に従っています: クラウドネイティブのアーキテクチャ、アイデンティティベースのポリシー施行、エッジでのシングルパスセキュリティスタック。

能力には以下が含まれます:

  • アプリケーション認識: Cato PoPのレイヤー7検査を使用して、すべてのポートとプロトコルにわたってアプリケーションを識別します。

    • Catoは、AI/MLモデルを使用して、数千のお客様にわたる当社のクラウドトラフィックストリーム (650+ Gbps) から新しいアプリケーションインジケータを直接収集します。 当社の研究チームは、新しいアプリケーションを発見しCatoプラットフォームに統合する半自動プロセスの一環として、これらを割り当て、スコアリングします。

    • CMAのアプリカタログにより、何千ものアプリやサービスに関する最新情報に常にアクセスでき、リスクスコアやCASB活動といったCato固有のメタデータも含まれています。

  • ユーザー認識: ユーザーおよびグループIDに基づいてトラフィックを一致させるルールを可能にし、エンタープライズのIDプロバイダと統合します。

  • URLフィルタリング: ドメインおよびURLをカテゴリ分類し、目的地のコンテンツおよびリスクに基づいてアクセスを許可またはブロックします。

  • デバイスポスチャ: デバイスポスチャプロファイルに定義されたデバイスポスチャ属性を評価して条件付きアクセスをサポートします。

  • 自律ファイアウォールインサイト: AIベースの分析を使用して、未使用、過剰に許可された、または矛盾するルールを特定し、最適化提案を提供します。

  • ソケットLANファイアウォール: サイトレベルでVLAN間およびホスト間トラフィックを検査し、追加のLANアプライアンスなしでセグメンテーションとマイクロセグメンテーションを可能にします。

  • APIサポート: ファイアウォールポリシーの構成および監視のためのフルAPIアクセスを提供し、外部管理およびセキュリティシステムとの自動化および統合を可能にします。

関連する記事

追加機能

Catoは、さらなるトラフィックタイプおよびデバイスカテゴリにわたる検査と制御を拡張するライセンスサービスとして、追加のファイアウォール機能を提供します。 これらのサービスは、CMAおよびCato Cloudと統合し、脅威の保護と資産の可視性を強化します。

  • リモートブラウザー隔離 (RBI): クラウドでホストされているリモートブラウザから視覚的なWebコンテンツをストリーミングします。 Webコードは隔離されて実行され、ユーザーのデバイスには到達せず、フィッシング、マルウェア、悪意のあるスクリプトなどのブラウザベースの脅威から保護します。 高度な脅威防止ライセンスが必要です

    • インターネットファイアウォールルールのアクションとしてRBIを定義できます。

  • IoT/OTセキュリティ: デバイスインベントリエンジンを使用して、接続されたIoTおよびOTデバイスを検出、分類、および監視します。 Cato Cloudは、エージェントや特別なセットアップを必要とせずに、WAN向けおよびアウトバウンドトラフィックを分析してデバイスを受動的に識別します。 IoT/OTセキュリティライセンスが必要です

    • WANおよびインターネットファイアウォールルールの条件として、IoT デバイス属性を使用できます

関連する記事

関連するセキュリティサービス

Catoのセキュリティサービスは、次世代ファイアウォールの機能を、高度な脅威防止、SaaSの可視性、コンプライアンスのためのデータ保護で拡張します。

  • 侵入防止システム (IPS): シグネチャベースおよびヒューリスティック分析を通じて、エクスプロイトやネットワークベースの攻撃を検出しブロックします。 脅威防止ライセンスが必要です

  • CASBおよびDLP: SaaSアプリの可視性とポリシー施行、データ保護を追加して、データ漏洩を防止し、コンプライアンス要件を満たします。 CASBまたはDLPライセンスが必要です

関連する記事

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント