Catoのネットワークアプリケーションの分類方法を説明

この記事は、Catoがアプリケーションを分類する方法と、その解析に使われるセキュリティエンジンのトラフィック情報を説明します。

アプリケーション分類の概要

アプリケーション認識は、ネットワークセキュリティとトラフィックモニタリングに必要です。 これは、ネットワーク上で動作するアプリケーションの可視性およびアプリケーション制御を提供します。 Cato Networksのディープパケットインスペクション(DPI)エンジンは、アプリケーションレベルでネットワークトラフィックを検査し、アプリケーションレイヤに基づいてトラフィック制御を提供します。

Catoは、Cato管理アプリケーション内の異なるポリシーで使用されるカテゴリにアプリケーションを分類します。 例として、帯域管理とネットワークルールセクションでのトラフィック管理と制御があります。 また、ファイアウォールルールセクションでのセキュリティ制御を許可します。 さらに、イベントディスカバリウィンドウでアプリケーション名を特定するのに役立ち、可視性とモニタリングの能力が向上します。

機械学習技術を使用したCatoのアプリケーション分類についての詳細は、Catoが自動アプリケーション識別のための画期的な方法を開発を参照してください。

アプリケーショントラフィックの分類

カトのDPIエンジンは、カトのセキュリティチームのトラフィック解析と外部ソースからのフィードに基づいてアプリケーションを分類します

以下のセクションでは説明します

  • トラフィックの検査

  • SaaSアプリケーションベンダーのフィードの使用

トラフィックの検査

CatoのDPIエンジンは、Cato Cloudの各PoPで実行され、トラフィック内容を検査します。 分類のためにパケットフローメタデータとデータペイロードを使用します。

フローメタデータ分析の説明

DPIエンジンは、アプリケーションフローに含まれるさまざまな種類のデータを検査し、それをアプリケーションに分類し、それぞれのアプリケーションをカテゴリに割り当てます。 フローメタデータ分析のために次の関連アイテムを使用します。

宛先IPアドレスとネットワークポートの使用

DPIエンジンは、トラフィックを分類するために宛先IPアドレスとポート番号を使用します。 トラフィックがよく知られたポートを使用する場合、アプリケーショントラフィックを容易にカテゴリに分類します。

ドメインパターン一致

Catoは、ドメイン名にパターンマッチング技術を使用してアプリケーションを分類します。 DPIエンジンは、豊富なワイルドカードと論理式を使用して、一致するパターンを検索しアプリケーションを識別します。 ドメイン名に一致するパターンを見つけると、アプリケーションを適切なカテゴリに分類します。 次の例は、ワイルドカードand論理式パターンマッチング技術を示しています:

  1. ワイルドカード: *.google.com. このワイルドカードに一致するドメイン名のトラフィックは、Googleアプリケーションとして分類されます。

  2. 論理式: "google.com" または "googleadservices.com". この式に一致するドメイン名のトラフィックは、Google AdWordsアプリケーションとして分類されます。

宛先IPアドレスがIP範囲のメンバー

Catoは、トラフィックの宛先IPアドレスがアプリケーションに割り当てられた特定のIP範囲に属しているかどうかを確認します。 その後、このアプリケーショントラフィックをカテゴリに分類します。 宛先IPアドレスがASN、CIDR、サブネット、またはIP-セットの一部である場合、エンジンはこの情報に基づいて分類します。 アプリケーションを正しく分類するために、Catoは定期的にIPアドレスとASNリストを更新します。

例として、宛先IPアドレスがこれらのAmazon IP範囲のサブネットに属する場合: 52.23.61.0/24 または 54.244.46.0/24、CatoはトラフィックをAmazonアプリケーションとして分類します。

別の例として、宛先IPアドレスが自律システム(AS)に属している場合: AS == 62041(Telegram ASN)、CatoはそれをTelegramアプリケーションとして分類します。

トラフィックデータペイロードの分析

パケットペイロードには、DPIエンジンがアプリケーションを分類するのに役立つ情報が含まれています。 Catoがアプリケーション分類に使用するペイロードデータのいくつかの例を示します:

  • HTTPプロトコルトラフィックの場合、CatoはUser-Agent HTTPヘッダー内のデータを使用します

  • TLSトラフィックの場合、CatoはTLS属性を使用します

CatoのNGFWは、HTTP、SSH、TLSなど、ほとんどのサービスを識別するためにペイロードを使用します。 サービスおよびプロトコルの署名を、それらのRFCに基づいて識別します。 例えば、Catoは「ssh-1」または「SSH-1」のようなパターンを使用してSSHアプリケーションを識別します。

SaaSアプリケーションベンダーフィードの使用

一部のSaaSベンダーは、アプリケーションのためのIPアドレス範囲と共にフィードとWebコンテンツを公開します。 Catoは、特定のアプリケーションIP範囲(例:Office365、Googleアプリケーションなど)、およびASNデータベースを更新するために、これらのベンダーを定期的に監視するインテリジェンスシステムを使用しています。 これらのフィードとWebコンテンツは、Cato Cloudを動的に更新し、アプリケーションを分類するのに役立ちます。 プロバイダーがアプリケーションのプロパティを変更および更新した場合、Catoも定義を変更して常に正しいデータを使用します。 次の例は、O365アプリケーションのフィードソースを示しています:Office365 URLとIPアドレス範囲

アプリケーション分類プロセスの紹介

このセクションでは、新しいアプリケーション分類プロセスを紹介します。

新しいアプリケーションを追加

Cato Networksはいつ新しいアプリケーションを追加しますか? 以下のアイテムは、Catoが新しいアプリケーションを追加する時期を説明しています:

  1. 顧客のリクエストに応じて - Catoのセキュリティチームは、顧客からのリクエストに基づいて簡単にアプリケーションを追加できます。 Catoに新しいアプリケーションを追加してほしい場合は、Cato Networksサポートチームに連絡してください。

  2. 未分類のトラフィックをトラッキングする - Catoのセキュリティチームは、アプリケーションの挙動を分析する機械学習クラスタリングモデルを使用して未分類のトラフィックを定期的に追跡し、その後さらなる分析のためにマークされます。

Catoのセキュリティチーム

Cato Networksには、あなたのデータを保護するためにネットワークトラフィックを常に分析する専任のセキュリティチームがいます。 セキュリティチームには、未分類のアプリケーションや正しく分類されていないアプリケーションを特定するためにトラフィックを監視するセキュリティエキスパートとアナリストが含まれています。 チームはトラフィックを24/7使用中のインテリジェンスおよびモニタリングシステムを使用して監視します

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント