セキュアなアプリケーション使用許可

アプリケーションやユーザ、コンテンツへの可視性を高めることで、どのアプリケーションがネットワーク上を流れているのか、誰がそれを使用しているのか、潜在的なセキュリティ リスクは何なのかを容易に判断できるようになります。こうしたデータ ポイントで情報武装することにより、管理者は従来の許可または拒否のアプローチよりもきめ細かい多様な対応が可能なセキュアな使用許可ポリシーを適用することができます。

きめ細かいポリシーの適用による、プロテクションと使用許可の適切なバランス

App-IDはネットワーク上を流れているアプリケーション、それを使用しているユーザ、およびそれらの潜在的なセキュリティ リスクをグラフィカルに表示します。これによって管理者は、アプリケーション ベース、アプリケーション機能ベース、およびポート ベースの各使用許可ポリシーを体系的かつ制御下に置いた上で迅速に展開することができます。ポリシーには、オープン (許可) から中間 (特定のアプリケーションや機能を有効にしてから、スキャン、またはシェーピング、スケジュールなどを実行) を経て、クローズ (拒否) までの範囲があります。次のような例があります。

  • 許可または拒否
  • スケジュール、ユーザ、またはグループに基づいて許可
  • QoSによるトラフィック シェーピングを適用
  • インスタント メッセージ内のファイル転送など、特定のアプリケーション機能を許可
  • 許可するが、ウイルスをはじめとする脅威をスキャン
  • 暗号解読して検査
  • ポリシー ベースのフォワーディングを適用
  • 上記の任意の組み合わせ

アプリケーション、アプリケーション機能、ユーザ、グループ、地域といった次世代のポリシー基準を、送信元、宛先、IPアドレスなどの従来のポリシー基準と組み合わせることで、目下の要件に対して適切なポリシーを展開することが可能になります。

アプリケーションを選択してフィルタリングすることでポリシー制御リストを迅速に作成

アプリケーション ブラウザでは、カテゴリ、サブカテゴリ、ベース テクノロジ、動作特性 (ファイル転送機能、既知の脆弱性、検出回避能力、帯域消費の性質、マルウェア伝送/伝播) といった幅広い基準を用いて、セキュリティ ポリシーにダイナミック アプリケーション フィルタを追加することができます。追加されるアプリケーションの詳細情報として、アプリケーションの説明、一般的に使用されるポート、個々のアプリケーション特性に関するサマリなどがあります。アプリケーション ブラウザを用いることにより、管理者はアプリケーションをすみやかに調査して、その結果を即座にセキュリティ ポリシーに反映させることができます。

脅威および不正なファイル/データの転送を阻止

特定のアプリケーション セットに適用可能なきめ細かい制御と同じレベルの制御機能を脅威防御にまで拡大することができます。ターゲットを小さく絞ったアプローチを通じて、管理者は以下を適用できます。

  • 許可されたWebメール アプリケーションにアンチウイルスおよびアンチスパイウェア ポリシーを適用できます。
  • Oracleデータベース トラフィックにIPSポリシーを適用できます。
  • インスタント メッセージング内のファイル転送に対してデータ フィルタリング プロファイルを適用できます。

トラフィック シェーピングによってビジネス アプリケーションの帯域枯渇を確実に回避

セキュアなアプリケーション使用許可機能において、ストリーミング メディアなど、帯域を大量に消費するアプリケーションの利用を許可する場合があります。管理者は、業務に無関係なアプリケーションに起因したビジネスクリティカルなアプリケーションの帯域不足を確実に回避するQoSポリシーを用いて、適切にバランスを取ることができます。

  • 8つのトラフィック キュー全体に最大容量が保証された優先帯域幅を適用することができます。
  • 物理インタフェース、IPSec VPNトンネル、アプリケーション、ユーザ、送信元、宛先、その他多数に対してポリシーを適用できます。
  • Diffservマーキングもサポートされており、下流または上流のネットワーク機器でアプリケーション トラフィックを制御できます。

Webの利用に関する柔軟なポリシー ベース コントロール

App-IDによって可能となるアプリケーションの可視性と制御能力を補完する機能の1つに、URLカテゴリがあります。URLカテゴリは、ポリシーの合致基準として使用することができます。すべての動作を許可またはブロックのいずれかに制限するポリシーを作成するのではなく、URLカテゴリを合致基準として用いることで動作に基づく例外を設けることができ、柔軟性が増すだけでなく、よりきめの細かいポリシーの展開が可能になります。ポリシーにおけるURLカテゴリの使用例として次のようなものがあります。

  • Active Directory内で複数のグループに属している可能性のあるユーザを識別し、一般的なセキュリティ ポリシーに例外を設定 (たとえば、全ユーザに対してマルウェアやハッキング サイトへのアクセスを拒否する一方で、セキュリティ グループに属するユーザにはアクセスを許可)
  • ストリーミングメディア カテゴリへのアクセスは許可するものの、QoSを適用して帯域消費を制御
  • リスクが高いと判断されるURLカテゴリへのファイルのダウンロード/アップロードを防止 (たとえば、既知のサイトへのアクセスは許可するが、未知のサイトからの実行ファイルのアップロード/ダウンロードは阻止してマルウェアの拡散を制限)
  • SSL暗号解読ポリシーを適用。これにより、金融とショッピングのカテゴリへの暗号化アクセスは許可しつつ、他のすべてのカテゴリへのトラフィックに対しては暗号解読とインスペクションを実行

未知のトラフィックを体系的に識別、制御

どのようなネットワークにも少量の未知のトラフィックが流れています。通常、未知のトラフィックはカスタム開発された内部のアプリケーションですが、身元のわからない商用アプリケーションであったり、最悪の場合は脅威であったりすることもあります。未知のトラフィックは、その量にかかわらず、すべてのセキュリティ管理者にとって頭痛の種になっています。

パロアルトネットワークス次世代ファイアウォールのアプリケーション制御機能を活用すれば、管理者は未知のトラフィックを体系的に識別、調査、管理することができ、未知のトラフィックによるリスクの劇的な緩和につながります。

pdf 詳細はこちら。