Cato Management Application (CMA)の高度なグループとグループを使用すると、サイト、ホスト、サブネット、その他のエンティティのセットをポリシー設定で単一のオブジェクトとして管理できます。
オブジェクトのグループ化により、グループメンバーシップをポリシー適用から分離してスケールでの運用が可能になります。 このアプローチはポリシー管理を効率化し、ルールの定義と施行からオブジェクトのライフサイクルタスク(メンバーの追加や削除を含む)を分離し、管理責任を明確にします。 異なる管理者がグループメンバーシップとポリシーの使用を独立して管理できます
グループを作成する準備が整ったら、次の2つのタイプから選択できます。
-
高度なグループ
- API統合をサポート:mutation APIで作成と設定、 query API
- メンバーがサポートされているポリシーと互換性があることを動的に検証
- 透明で直感的なユーザーエクスペリエンスを提供し、各ポリシーコンテキストで有効な高度な設定グループを特定しやすくします
- 将来の拡張をサポートするために構築されており、Catoが異なるメンバータイプや新規オブジェクトで高度な設定グループを簡単に更新できるようにします
-
グループ - サポートされたまま既存のプロセスと設定を継続する以前のタイプ
- グループはカスタムDNSとDHCP設定のようなカスタマイズされたネットワークオプションを継続してサポートします
高度なグループはこれらのポリシーでサポートされています。
- インターネットファイアウォール
- WANファイアウォール
- Socket次世代LANファイアウォール
- ネットワークルール
追加のポリシーは将来的に高度なグループをサポートする予定です。 すべてのポリシーがグループをサポートします。
ルールの項目(例えばソース)は、グループと高度なグループの両方を含む、選択可能なすべてのグループを表示します。
- 高度なグループ - 互換性のある高度なグループのみがルールに追加可能です
-
グループ - すべてのグループがルールに追加可能です
グループには検証がなく、グループに非互換メンバーが含まれている場合、ルールの動作が不整合になる可能性があります。
すべてのメンバーがサポートされている場合のみ、高度なグループはポリシーと互換性があります。 そうでない場合、高度なグループは互換性がありません。 例えば、リンクヘルスルールポリシーはサイトのみをサポートしているため、サイトとホストを含むグループはそのルールには非互換です。
CMAまたはAPIはポリシーに基づいてメンバーを検証し、非準拠のメンバーを高度な設定グループに追加できないようにします。 同様に、高度なグループがポリシーに割り当てられる場合、すべてのポリシーに互換性のある新しいメンバーを追加できます。
IPレンジを使用すると、大規模なIPレンジのセットを複数のポリシーで定義して再利用することができ、手動設定の削減と一貫性の確保に役立ちます。 高度なグループはメンバータイプとしてIPレンジの追加をサポートし、次の機能を提供します。
- インターネットおよびWANファイアウォールポリシーで、グローバルIPレンジの大規模セットを高度なグループのメンバーとして管理します
- IPレンジオブジェクトに対して行った変更は、関連するすべてのルールに自動的に適用されます。
IPレンジの作成についての詳細情報は、ポリシーでのIPレンジの使用を参照してください。
グループを作成し、事前定義されたグループに加えてCMAにわたるグローバルオブジェクトとして活用することができます。
グループのメンバーであるCato管理画面のアイテムを定義します。 DNSおよびDHCPオプションに関連するグループの特別な設定も定義できます。
これらはグループのタイプです。
- 手動: 手動で定義するグループ。 グループメンバーには、サイト、ネットワーク、フローティング範囲、ホストなどのさまざまなネットワークエンティティを含めることができます。
-
システム: CMAで事前定義されたグループ。 これらは動的なグループで、新しいメンバーが追加されると自動的に更新されます。 たとえば、新しいサイトがアカウントに追加されると、「すべてのサイト」 システムグループは新しいサイトで自動的に更新されます。 このグループがセキュリティルールで使用されている場合、そのルールは新しいサイトにも適用されます。
システムグループには以下が含まれています:
- すべてのサイト: すべてのサイトを含むグループ
- すべてのフローティングレンジ: システムに定義されているすべてのフローティングレンジを含むグループ
グループとそのメンバーを定義できます。 システムグループの動作は次の通りです。
- Generalペインの定義はCMAによって定義され、変更することはできません。
- システムグループのMembersペインの定義はCMAによって定義され、変更することはできません。
グループを追加してそのメンバーを定義するには:
- ナビゲーションメニューで、リソース > グループをクリックします。
- 新規をクリックします。 作成パネルが開きます。
- グループの名前を入力し、適用をクリックします。 グループは画面に追加されます。
- そのグループをクリックします。 そのグループの一般画面が開きます。
- (オプション)説明を入力します。
- このグループのメンバーであるアイテムを追加します。
- ナビゲーションメニューで、メンバーをクリックします。 グループメンバーが表示されます。
-
メンバーを追加するドロップダウンメニューから、追加するメンバーの種類を選択します(例えば、サイト、ネットワークインターフェース、またはホスト)。
- ネットワークインターフェース - インタフェース上のすべてのトラフィック(すべてのネットワーク)
- インタフェースサブネット - VLAN、ルーテッド、またはダイレクトレンジ、またはセカンダリAWS vSocketネイティブレンジ
- グローバルレンジ - インタフェース上のネイティブレンジ
カトは、各グループに1種類のメンバーのみを含めることを推奨します。 例えば、すべてのネットワークインターフェースのグループです。
-
グループに含めるその種類のすべてのアイテムを選択します。
選択したメンバーがメンバーリストに追加されます。
-
保存をクリックします。
グループは保存され、CMAに追加されます。
高度なグループまたはグループを削除するには、そのグループを利用しているポリシーからまず削除する必要があります。 例えば、インターネットファイアウォールポリシーからグループを削除しないと、そのグループを削除できません。
Q: 高度なグループとグループのどちらを使用すべきですか?
A: 以下の場合、高度なグループを使用します。
- APIを介して管理する予定です
- これらのポリシーで使用したい: インターネットまたはWANファイアウォール
- カスタムDNSまたはDHCP設定を必要としません
- そうでない場合は、グループを使用すべきです
Q: コンテナと高度なグループをいつ使用すべきですか?
A: コンテナはIPや FQDNのような値をサポートするために設計されており、高度な設定グループはCMAオブジェクトをサポートします。 以下はガイドラインです。
- 高度なグループ - 説明、検索、CMAオブジェクトの個々のメンバー管理などのより強力な管理機能を提供します
- コンテナ - 数百万のアイテムに対応し、通常、脅威インテリジェンスやインターネットファイアウォールルールに適用できるカスタムIoC(侵入指標)リストに使用されます
Q: 高度なグループの計画は何ですか?
A: 高度なグループは、既存のグループと同等になるまで徐々により多くのメンバータイプをサポートし、新しいメンバータイプも追加されます。
0件のコメント
サインインしてコメントを残してください。