従来型のファイアウォールでは、IPアドレス・ポート番号で制御を行う為、日常業務で利用されるHTTP(ポート80番)やHTTPS(ポート443番)などを利用した、昨今の情報漏洩に繋がるアプリケーションでは筒抜けで通信できてしまう危険性があります。
Palo Altoでは、アプリケーション毎の識別・制御が可能である為、従来型のファイアウォールと異なり情報漏洩に繋がる(会社として認めていない)アプリケーションをブロックし、正常な通信のみを通過させることができます。
従来型のファイアウォールでは、情報漏洩に繋がるサイトへのアクセスを防ぎきることはできません。
公開プロキシサイト経由の場合、HTTPアクセスの為、従来型のファイアウォールではブロックできず、同様にVPNサーバ経由の場合、HTTPSアクセスは暗号化されている為、ファイアウォールを通り抜けてしまいます。
ネットワーク管理者が認識できない危険な通信が、日々発生している恐れがあります。
Palo Altoは、自動でアプリケーションの識別を行い、個々に行動を制御することが可能です。
アプリケーションの解析・絞り込み、またトンネリング目的で利用されている可能性のあるプロトコルの無効化を実施します。
SSL通信に関しては、復号化し解析を実施します。
ネットワーク管理者が日々の通信状況をアプリケーションレベルで認識・制御することが可能になります。
APP-IDという識別技術でアプリケーションを特定を行い、制御・可視化します。
1. アプリケーションプロトコルの検知/複合化
Application Protocol Detection / Decryption
アプリケーションプロトコル(HTTP等)を識別します。SSLで暗号化された通信が特定された場合はトラフィックを復号化し、App-IDの機能を使用して解析を進めます。
2. アプリケーションプロトコルの解析
Application Protocol Decoding
アプリケーションプロトコルの解析を行い、アプリケーションの絞込みを行います。
またトンネリング目的で使用されている可能性のあるプロトコルを無効化します。
3. アプリケーションシグネチャマッチング
Application Signature
プロトコルやポートに関わらずアプリケーションを正確に識別するために、アプリケーションの特性や通信特性を予め登録したシグネチャのDBとマッチングを行い、アプリケーションを識別します。
4. 経験則解析
Heuristics
独自の暗号化を施したアプリケーション等、シグネチャでは特定できないアプリケーションを特定するために経験則解析、または行動解析を行います。
ポート/プロトコル/SSL暗号化に関らず、アプリケーション識別が可能
効果:
1.帯域を確保 ⇒ 業務効率を高める
2.不要なアプリケーション利用を抑制し、情報漏洩リスクを軽減
User-IDという識別技術でユーザーの特定を行います。
Active Directoryとの連携機能により、IPアドレスだけではない、通信ユーザーの特定を行えます。
ユーザーをグループで括り、部門単位でのポリシーを適用することも可能です。
- 既存のActive Directoryインフラ環境を活用
ユーザーを単に固定IPアドレスだけで定義することは非現実的 - 単なるIPではなくADユーザー名で、ユーザー毎のアプリケーション利用状況や脅威の影響を把握
- ユーザーまたはADグループ単位でポリシーを管理・適用
- セキュリティのインシデント調査、個別のレポート生成も可能
- ドメインに含まれていない場合、Web認証(Captive Portal機能)を利用可能
効果:
各部門で必要なアプリケーションを、セキュリティレベルを維持したまま利用が可能
専用のWEB-GUIから簡単にポリシー設定をおこなうことが可能です。
また、ログデータも様々なアウトプットで表示可能になっており、GUI上で追跡・分析が行えます。
容易なポリシー設定
- 890以上のアプリケーションを、名前/カテゴリ/リスク等から検索可能
- アプリケーションカテゴリ単位でのポリシー制御も可能
例えば…(使用例)
- リスクの高いメディア系アプリ(P2P/動画等)を全てブロック
- Gmailは使用可で、それ以外のWebメールはブロック
画像をクリックすると、拡大画像をご覧頂けます。
ネットワーク管理者は・・・
「セキュリティ対策は実施済み」
「大きなセキュリティリスクは少ない」
「これ以上の対策は運用上問題」
ネットワーク管理者の想定外の
多くのアプリケーションが利用
されていることが発覚!
アプリケーションは可視化と
制御ができないと
セキュリティが保てない!!
画像をクリックすると、拡大画像をご覧頂けます。
効果:
ネットワーク管理者が想定した許可アプリ通信を実現
全てのアプリケーション通信の可視化を実現
従来型のファイアウォールの良いところも踏襲しております。
Threat Prevention (≒ UTM機能)を利用することにより、UTMで有している脆弱性防御(IPS/IDS)、アンチウィルス、アンチスパイウェア、DLPなどのサービスも提供できます。
Threat Prevention (≒ UTM機能)
| 脆弱性防御(IDS/IPS) | ネットワーク層およびアプリケーション層において脆弱性を利用した攻撃をブロック。 |
|---|---|
| アンチウィルス | コンピュータウィルスについて『外から内』『内から外』両方向への感染をブロック。 |
| アンチスパイウェア | スパイウェアのダウンロードを防御。 またPhoneHomeと呼ばれる感染した端末から外部への通信もブロック。 |
| ファイル転送制御 | アプリケーションを利用したファイル転送を制御。 送信/受信の制御をアプリケーション単位で設定可能。 |
| データフィルタリング(DLP) | クレジット番号・電話番号など特定の文字列パターンを含むデータの送信をブロック。 |
URLフィルタリング (Bright Cloud)
76カテゴリー、2,000万個のURLをDBに登録
機能使用時は、ローカルデータベースを利用するため、高速処理が可能
SSL復号化機能により、httpsアプリケーションにも対応
効果:
FireWall1.0のメリット(UTM機能)をそのまま踏襲し、オールインワンでのセキュリティーを実現
従来型のファイアウォールの欠点を改善しております。
レスポンス不足による通信ストレス、オーバーヘッドを改善し高スループット製品を実現します。
UTM 機能
不安定なUTM
従来型のUTMは、本来別々だった機能を寄せ集めたものです。
エンジンが複数あり、それぞれにオーバーヘッドが発生し、非常に不安定になってしまいます。
その結果、ネットワークのレスポンスにも大きな問題が発生してしまいます。
Threat Prevention機能
高速なThreat Prevention
Palo AltoシリーズのThreat Prevention機能は、UTMと異なり単一のエンジンで設計されています。
加えて最大16CPUと10Gbpsのバックボーンを持つことにより、様々な機能を利用しても高スループットを維持することが可能です。
※ Webフィルタリングのみ「Bright Cloud」社製エンジンを利用。
その他はすべてPAN社製の独自エンジンを利用。
効果:
UTM独特のパフォーマンスの問題点を解決