本記事には、最大限の保護を提供するためのセキュリティポリシーと設定のベストプラクティスが含まれています。

セキュリティのベストプラクティス

以下は、サイバー脅威とマルウェアに対して最高の防御を提供するための推奨されるベストプラクティスです。 以下の推奨事項に基づいて、アカウントのセキュリティポリシーと設定を見直すことを強くお勧めします。 

1. セキュリティポリシーを実際のビジネスポリシーに制限する：
   1. WANとインターネットファイアウォールのルールを見直し、それらができるだけ特定のものであることを確認してください。
      • ルール内のすべての設定を、実際の送信元、宛先、アプリケーション、サービスなどのアイテムに置き換えてください。
   2. 共通のセキュリティリスクを含むCatoの定義済みシステムカテゴリをブロックしてください。これには、アノニミザー、ボットネット、不正行為、コンプロマイズ、犯罪行為、カルト、ギャンブル、ハッキング、キーロガー、マルウェア、ヌード、P2P、パークドドメイン、フィッシング、ポルノ、疑わしい、スパム、センスのない、武器、性教育、スパイウェア、暴力、憎悪が含まれます。
      • ヒント - セキュリティリスクのアイテムをすべて含む新しいカスタムカテゴリを作成し、ファイアウォールルールに追加することができます。

        

   3. カテゴリー未分類をブロックしてください。このカテゴリーには潜在的なセキュリティリスクとなるドメインやウェブサイトが含まれている可能性があります。
   4. 詳細については、インターネットとWANファイアウォールポリシーのベストプラクティスを参照してください。
      (セキュリティ > インターネットファイアウォールとセキュリティ > WANファイアウォール)
2. インバウンドトラフィックに対するリモートポートフォワーディング (RPF) 設定とローカルポートフォワーディング設定を最適化する：
   1. 可能な限り、トラフィック送信元がすべて (0.0.0.0) を使用するRPFルールを避けてください。 代わりに、ルールに対して特定のIP範囲を設定してください。
      • 詳細については、リモートポートフォワーディングによるインバウンドトラフィックの制御を参照してください。
        (セキュリティ > リモートポートフォワーディング)
   2. ローカルポートフォワーディングルールでサイトを設定することを避けてください。 代わりに、RPFルールに置き換えてください。
      (ネットワーク > サイト > (サイト名) > ローカルポートフォワーディング)
3. サイトに対するネットワークセグメンテーションを導入してください。
   1. 特にランサムウェアに対して、追加のセキュリティを提供します。
   2. 詳細情報については、「ネットワークセグメンテーション - ベストプラクティス」を参照してください。
4. 侵入防止システム地理的制限ルールを使用して、ビジネス取引がなく、悪意のあるトラフィックの既知のソースである国からの受信および発信トラフィックをブロックします。
   1. 侵入防止システムの地理的制限ルールは、アカウントのすべてのトラフィックに影響を及ぼすことに注意してください。
   2. 詳細情報については、「(新規) 侵入防止システム ポリシーの設定」を参照してください。
      (セキュリティ > 侵入防止システム > 地理的制限)
5. TLSインスペクションにより、Catoのセキュリティサービスが暗号化されたインターネット トラフィックを検査することができます。
   1. 詳細なTLSインスペクション ポリシーを使用して、特定のトラフィックタイプだけを検査します。
   2. TLSインスペクションで動作しないアプリケーションと宛先を除外します。
   3. 詳細情報については、「TLSインスペクションのベストプラクティス」を参照してください。
      (セキュリティ > TLSインスペクション)
6. カスタムアプリケーションの設定を調整し、カスタムアプリケーションのルールに適用されるすべてのアイテムを定義します。
   1. 例を挙げると、ポートの定義だけでなく、定義済みの宛先IP、ドメイン、ポートを使用してカスタムアプリケーションを設定します。
   2. 詳細情報については、「(新規) カスタム アプリケーションの使用」を参照してください。
      (リソース > カスタムアプリケーション)