復号化

暗号化トラフィックの特定・制御

SSLとSSHの暗号化トラフィックを管理下に置き、望ましくない活動や危険なコンテンツの隠蔽に使われていないかどうか確認します。ポリシーベースの復号化とインスペクションにより、業務以外の目的にSSLやSSHが使われないようにするため、脅威や不正なデータ転送の拡大を阻止します。

暗号化トラフィックの制御については、こちらのビデオをご覧ください。

セキュリティ プラットフォームの詳細はこちらをご覧ください。.

インバウンドのSSLトラフィックの識別、制御、インスペクション

SSLトラフィック内にアプリケーションや脅威が潜むことのないように、(外部のクライアントから内部のサーバへの) インバウンドSSLトラフィックにポリシーベースの識別、復号化、インスペクションを適用できます。パロアルトネットワークスの次世代ファイアウォールには、復号化のためのサーバー証明書とプライベートキーがインストールされています。デフォルトでは、SSL復号化機能は無効に設定されています。

アウトバウンドSSLトラフィックの識別、制御、インスペクション.

SSLトラフィック内にアプリケーションや脅威が潜むことのないよう、(ユーザーからWebへの) アウトバウンドSSLトラフィックにポリシーベースの識別、復号化、インスペクションを適用できます。ユーザーのブラウザに端末証明書がインストールされている場合は、MITM(中間者) 方式が用いられます。デフォルトでは、SSL復号化機能は無効に設定されています。

詳細な分析・アーカイブ化のためのSSLトラフィックのオフロード

攻撃証拠の保全や履歴保持の目的や、情報漏洩・流出防止(DLP)機能のために、データ全体のキャプチャが必要な場合、 ポートミラーリング機能を使ってNetWitnessやSoleraなどサードパーティのソリューションにSSLトラフィックのコピーを渡し、 さらにきめ細かい分析アーカイブ化を実行できます。PA-5000シリーズとPA-3000シリーズでのみサポート 

SSL証明書の署名・管理プロセス

SSL転送プロキシ、SSLインバウンド インスペクション、マスターキー保管の各機能用の証明書の署名機能の管理には、専用のハードウェア セキュリティ モジュール(HSM)が利用できます。CAキーにFIPS 140-2のレベル3の防御 が求められる場合、通常、HSMのサポートが必要です。  

  • HSMのサポート: SafeNet Luna SAとThales Nshield Connect
  • サポート対象プラットフォーム: PA-5000シリーズ、PA-4000シリーズ、PA-3000シリーズ、VMシリーズ、M-100管理アプライアンス 

SSHトラフィックの識別と制御

パロアルトのエンタープライズ向けセキュリティ プラットフォームでは、SSHでトンネリングされたトラフィックに対してポリシーベースの識別・制御を実行できます。SSH内でポート フォワーディングやX11フォワーディングをSSHトンネルとして検知する際にはMITM方式が用いられます。また、リモートマシンへの通常のシェルやscpおよびsftpによるアクセスはSSHとしてレポートされます。デフォルトでは、SSH制御は無効に設定されています。