トラフィック分類

正確なトラフィック分類はあらゆるファイアウォールの中枢となる機能であり、セキュリティ ポリシーの基盤となるものです。従来のファイアウォールはトラフィックをポートやプロトコルごとに分類しますが、これはある時点では境界をセキュリティ保護する上で十分なメカニズムでした。現在のアプリケーションは、ポートを飛び越えたり、SSLとSSHを使用したり、ポート80に接続したり、標準でないポートを利用したりするなどして、ポート ベースのファイアウォールをいとも簡単に回避することが可能です。パロアルトネットワークスが誇る特許出願中のトラフィック分類メカニズム、App-ID™は、ネットワーク上に流れるアプリケーションの正確な身元をデバイスが即座に特定できる複数の分類メカニズムをトラフィック ストリームに適用することで、従来のファイアウォールの課題であったトラフィック分類における制約に対処します。

スタート IP/ポートをチェック ポリシー チェック アプリケーション シグネチャをチェック 復号化 (SSLまたはSSH) ポリシー チェック 既知のプロトコルに対するデコーダ デコード シグネチャをチェック ポリシー チェック 識別されたトラフィック (デコーディングなし) 未知のプロトコルに対するデコーダ ヒューリスティックを適用 ポリシー チェック レポート&ポリシー適用

ポートではなくアプリケーションに基づいてトラフィックを分類

App-IDは、複数の分類メカニズムを用いて、ネットワーク上に流れるアプリケーションの正確な身元を特定します。その特定メカニズムは次のようにして適用されます。

  • まずIPアドレスとポートに基づいてトラフィックを分類します。
  • 次に、許可されたトラフィックにシグネチャを適用し、ユニークなアプリケーション プロパティおよび関係するトランザクション特性に基づいてアプリケーションを識別します。
  • 暗号化 (SSLまたはSSH) が用いられ、また暗号解読ポリシーが用意されていることがApp-IDによって判明した場合、アプリケーションは暗号解読され、アプリケーション シグネチャが再び暗号解読フローで適用されます。
  • 続いて、既知のプロトコルに対するデコーダを用いてコンテキスト ベースのシグネチャを適用し、プロトコルの内部をトンネリングする恐れのある他のアプリケーション (HTTPを使用したYahoo!インスタント メッセンジャーなど) を検出します。
  • 特に回避的なアプリケーションや、先進のシグネチャやプロトコル分析でも特定できないアプリケーションに対しては、ヒューリスティック分析や行動分析を行ってアプリケーションの身元を特定することが可能です。

多層的なメカニズムによってアプリケーションが識別されると、それらをブロックするのか、あるいは許可して脅威をスキャンするのか、不正なファイル転送やデータ パターンがないか検査するのか、QoSを用いてシェーピングするのかなどについて、ポリシー チェックを通じてアプリケーションと関連機能の対応方法が決定されます。

全ポートにわたって常に有効で、最初に実行されるアクション

トラフィックがファイアウォールに到着すると、App-IDによるトラフィックの分類が常に最初に実行されます。つまり、すべてのApp-IDがデフォルトで常に有効になっています。ネットワーク上にあると思われるアプリケーションを探すために一連のシグネチャを有効にする必要はありません。App-IDはトラフィックのサブセット (たとえばHTTP) だけでなく、常に全ポートにわたるすべてのトラフィックの分類を実行します。すべてのApp-IDが、ビジネス アプリケーション、コンシューマ アプリケーション、ネットワーク プロトコル、中間に位置するすべてなど、デバイスを通過しているすべてのトラフィックを検査します。App-IDは、アプリケーションの状態を間断なく監視して、途中でアプリケーションに変化がないかどうかを判別します。これにより、ACCの管理者への最新情報の提供、適切なポリシーの適用、およびそれに応じた情報のログ記録が行われます。すべてのファイアウォールと同様に、パロアルトネットワークス次世代ファイアウォールはポジティブ コントロールを用いてデフォルトですべてのトラフィックを拒否してから、ポリシーに合致するアプリケーションのみを許可します。それ以外のアプリケーションはすべてブロックされます。

すべての分類メカニズム、すべてのアプリケーション バージョン、すべてのOS

App-IDはサービス レイヤで動作し、クライアントとサーバ間でアプリケーションがどのように作用しているかを監視します。つまり、App-IDにとっては機能が新しいかどうかは関係なく、クライアントやサーバのオペレーティングシステムが何であるかは問われません。そのため、BitTorrent用の単一のApp-IDは、他の製品内で動作するこのアプリケーションを制御するために有効にする必要のある多数のBitTorrent OSおよびクライアントのシグネチャにおおよそ等しくなっていきます。

カスタムおよび内部アプリケーションの完全な可視性と制御

社内で開発されたアプリケーションやカスタム アプリケーションについても、アプリケーション オーバーライドかカスタムApp-IDのいずれかを用いて管理することができます。アプリケーション オーバーライドはトラフィック ストリームの名前を内部アプリケーションの名前に効果的に変更します。もう1つのメカニズムとして、HTTP、HTTPs、FTP、IMAP、SMTP、RTSP、Telnet、および未知のTCP/UDPトラフィック用のコンテキスト ベース シグネチャに基づくカスタマイズ可能なApp-IDを使用することも可能です。組織はこれらいずれかのメカニズムを用いることで、SharePoint、Salesforce.com、FaceBookに適用されている内部またはカスタム アプリケーションに対するものと同一レベルの制御機能を獲得することができます。

pdf 詳細はこちら。