ファイアウォールルールへのデバイス条件の追加

この記事では、セキュリティと保護を強化するためにWANおよびインターネットのファイアウォールルールベースにデバイス基準の条件を追加する方法について説明します。

概要

デバイスの設定にあるWANとインターネットのファイアウォールルールは、エンドユーザーの実際のデバイスやネットワーク上の他のデバイス（IoT/OTなど）の属性に基づき、条件付きアクセスを含むためにファイアウォールセキュリティポリシーのスコープを拡張する能力を提供します。あなたはネットワーク上のデバイスのアクセス要件を指定できます。例：

WANファイアウォール -
- ルールのソースを特定し、事前に定義されたポスチャに合致するデバイスまたは地理的に指定されたロケーションにのみ適用します。
- 特定のユーザーのみがアクセスできるよう、ビジネスにとって重要なOTデバイスへのアクセスを許可します。
インターネットファイアウォール -
- デバイス設定およびロケーションに基づいて、SaaSアプリケーションのアクセスを制限するルールを定義します。
- ネットワーク上のIPカメラのインターネットアクセスをブロックします。

デフォルトでは、デバイスの設定はすべてのトラフィックに自動的に一致するようにAny Anyに設定されているため、トラフィックに影響しません。

CatoのWANおよびインターネットファイアウォールの詳細については、Cato Firewallsにあるナレッジベースの記事をご覧ください。

前提条件

ルールのデバイス設定にデバイスプロファイルを追加する前に、デバイスプロファイルを作成して設定する必要があります。
クライアントOSとバージョンでサポートされているデバイスチェックを確認するには、デバイスポスチャプロファイルとデバイスチェックの作成を参照してください。
デバイスプロファイルを使用するルールは、Cato クライアントがデバイスにインストールされ、アイデンティティエージェントとして、リモートおよびソケットの背後で使用される場合にのみ適用されます。

さらに詳しくは、ユーザー認識のためのCatoアイデンティティ・エージェントの使用を参照してください。

注: ライセンス済みクライアントは自動的にアイデンティティエージェントとして使用されます。

デバイス設定の構成

これらは、ファイアウォールルールに追加できるデバイス設定です：

デバイス属性 - デバイスインベントリ検出エンジンによって識別されたデバイスの属性
プラットフォーム - デバイスのオペレーティングシステム (OS)。
国 - デバイスの物理的なロケーションに基づく接続のソース国 (IPアドレスの地理情報に従う)。
デバイスポスチャプロファイル - Access > Device Postureで設定されたデバイスプロファイル。
接続元 - デバイスの地理的位置。デバイスがサイドを介して、またはクライアント、ブラウザ拡張機能、エンタープライズブラウザを介してリモートで接続しているかに基づいてルールを設定できます（各リモート接続オプションを個別に選択可能）。
ユーザー属性：リスクレベルおよび信頼度レベル - デバイスにログインしたユーザーのリスクレベルと信頼度レベル。

ルールのために複数の条件を設定する場合、それらはかつ関係を持ちます。ルールはすべてのアイテムに定義された基準にトラフィックが一致する場合にのみ一致します。

条件（単一セル）内では、アイテムにはまたは関係があります。例えば、プラットフォームの条件としてWindowsとmacOSを持つルールは、すべてのWindowsまたはmacOSデバイスに一致します。

これは、デバイス条件のすべてに合致する必要があるルールの例です：Windowsデバイスであり、インドに所在し、デバイスポスチャプロファイル1の要件を満たす必要があります。

デバイス属性要件の追加

ネットワーク上でデバイスインベントリエンジンによって検出されたデバイスのためのルールを定義するためにデバイス属性条件を使用します。ファイアウォールルールでは、次の属性を使用できます：カテゴリ、種類、モデル、OS、メーカー、OSバージョン。

デバイス属性タイプを選択し、ドロップダウンリストから値を選択します。リストはネットワーク上で検出されたデバイスの値で自動的に入力されます。ルール内で複数のデバイス属性タイプを選択することができ、属性間にはかつ関係があります。例えば、OSをWindowsとして、メーカーをDellとして選択すると、条件はWindowsオペレーティングシステムを持つDellのデバイスにのみ適用されます。

ただし、1つのデバイス属性タイプ内で複数の値を選択すると、それらの間にはまたは関係があります。例えば、メーカーとしてDellとHPの値を選択した場合、条件はDellまたはHPデバイスに一致します。

デバイスインベントリページと機能には、別のデバイスインベントリライセンスが必要です。ライセンスの購入については、Cato担当者にお問い合わせください。

プラットフォーム要件の追加

ファイアウォールルールに対するプラットフォーム条件を使用すると、ルールに一致するデバイスのオペレーティングシステムを定義できます。例えば、特定のネットワークセグメントに対して、Windows、macOS、またはLinuxデバイスのみがアクセスを許可されます。

国要件の追加

国条件を使用すると、デバイスのIPジオロケーションに基づいてルールに一致するトラフィックのソースを定義できます。例として、支社のサイトへのアクセスを制限し、オフィスがある国にあるデバイスのみが接続を許可されます。

デバイスプロファイル要件の追加

プロファイル条件を使用すると、デバイスプロファイルの要件を満たすデバイスにのみルールを一致させることができます。この条件は、デバイスポスチャ機能に基づいており、デバイスがポスチャ要件を満たしているかどうかを確認します。たとえば、最新のアンチマルウェアソフトウェアバージョンを持っているデバイスのみがポスチャ要件を満たします。

デバイスプロファイルは現時点ではすべてのクライアントバージョンでサポートされていません。詳細はデバイスポスチャプロファイルとデバイスチェックの作成をご覧ください。

サポートされていないCatoクライアントを使った作業

ファイアウォールは、クライアントがサポートされているクライアントのデバイスチェックに一致するかどうかをのみ判断できます。各デバイスチェックについて、その他の要件ファイアウォールルール（ソース、アプリ/カテゴリなど）に一致する未対応のクライアントの動作を定義できます：

デバイスチェックをスキップし、未対応のクライアントにファイアウォールアクションを適用します
デバイスチェックを適用し、クライアントがファイアウォールルールと一致しない場合、アクションは適用されません

次の表は、接続がファイアウォールルールの他のすべての設定に一致する場合の未対応のクライアントの動作を説明します。動作は、デバイスチェックで非対応のSDPクライアントバージョン用にこのチェックをスキップオプションが有効になっているかクリアされているか（無効化されているか）によって異なります。

未対応のクライアント	ファイアウォールルールアクション	クライアント動作
スキップ確認 (有効化中)	ブロック	サポートされていないクライアントはデバイスチェックを自動的にスキップし、ブロックされます（接続できません）
スキップ確認 (有効化中)	許可	サポートされていないクライアントはデバイスチェックを自動的にスキップし、許可されます（接続できます）
確認を適用 (無効)	ブロック	サポートされていないクライアントはデバイスチェックに失敗し、ファイアウォールはこのルールをスキップします（接続に対してブロックアクションは適用されません）
確認を適用 (無効)	許可	サポートされていないクライアントはデバイスチェックに失敗し、ファイアウォールはこのルールをスキップします（接続に対して許可アクションは適用されません）

デバイスの出元要件の追加

接続元条件を使用して、ルールに一致するデバイスの地理的位置を定義できます。例として、サイトの背後の機密情報へのアクセスを許可しますが、リモート作業中は許可しません。

ユーザー属性要件の追加

ユーザー属性 条件により、ユーザーのリスクスコアまたは信頼度に基づいて基準を定義できます。例えば、ユーザーの信頼度が高い場合にのみSalesForceへのアクセスを許可します。

信頼度属性を使用すると、機密リソースにアクセスする際により高いレベルの認証（ステップアップ認証）が必要な要件を強制できます。アクセスをブロックする場合、ユーザーにブロックされた理由とアクセス権を取得するために必要な手順を知らせるカスタムテンプレートを適用することができます。

ルールでデバイスの条件を設定する

新しいまたは既存のファイアウォールルールにデバイス基準設定を構成できます。

ファイアウォールルールに対してデバイス条件を設定するには：

ナビゲーションペインのセキュリティセクションで、インターネットファイアウォールまたはWANファイアウォールを選択します。
新規をクリックして新しいルールを作成するか、基準列の編集アイコンをクリックして既存ルールを編集します。
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
適用をクリックします。

基準条件がルールに対して設定されました。

デバイス条件を用いたファイアウォールルールのサンプル

これは、すべてのSDPユーザーが次のデバイス条件すべてに一致する場合にトラフィックを両方向に許可するWANファイアウォールルールの例です。Windows OSデバイスを使用中、物理的に韓国に位置し、テストポリシーデバイスプロファイルの要件に一致する。

この例は、ソーシャルカテゴリをブロックするルールの例外であるインターネットファイアウォールルールの例です。例外として、次のデバイス条件に一致するトラフィックを許可します：WindowsまたはmacOSデバイスを使用中で、物理的にアメリカ合衆国に位置している。

ユーザー属性を用いたファイアウォールルールのサンプル

これは、信頼度が低いすべてのユーザーに対してセールスフォースへのトラフィックをブロックするインターネットファイアウォールルールの例です。

ユーザーがブロックされた場合、SalesForceにアクセスするための手順を知らせる専用のブロックページが表示されます。

ファイアウォールデバイス条件を実装するためのベストプラクティス

Add Device Posture Profiles to rules with the allow action
デバイスが接続できるようにデバイスプロファイルを最低要件で定義します（これらの要件を満たさないデバイスはブロックされます）