ポリシー制御

安全なアプリケーション使用許可

パロアルトネットワークスではアプリケーション、ユーザー、およびコンテンツへの可視性を高めることで、どのアプリケーションがネットワーク上を流れているのか、誰がそれを使用しているのか、潜在的なセキュリティ リスクは何なのかを容易に判断できます。このデータで情報武装することにより、従来の「許可または拒否」のアプローチよりもきめ細かい多様な対応が可能な、安全な使用許可ポリシーを適用することができます。

 

可視性を高めることによって作業が簡単になる様子をこの動画で確認してください。

 

パロアルトネットワークスのセキュリティ プラットフォームの詳細を参照してください。

きめ細かいポリシーの適用による、プロテクションと使用許可の適切なバランス

App-IDは、ネットワーク上を流れているアプリケーションをグラフィカルに表示します。App-IDでは、アプリケーションを使用しているユーザーおよび潜在的なセキュリティ リスクを確認できます。この情報によって、アプリケーション ベース、アプリケーション機能ベース、およびポート ベースの使用許可ポリシーを体系的かつ管理された方法で迅速に導入できます。ポリシーには、オープン(許可)から中間(特定のアプリケーションや機能を有効にしてから、スキャン、またはシェーピング、スケジュールなどを実行)を経て、クローズ(拒否)までの範囲があります。次のような例があります。

 

  • 許可または拒否

  • スケジュール、ユーザー、またはグループに基づいて許可

  • QoSによるトラフィック シェーピングを適用

  • インスタント メッセージング内のファイル転送など、特定のアプリケーション機能を許可

  • 許可するが、ウイルスをはじめとする脅威をスキャン

  • 暗号解読して検査

  • ポリシー ベースの転送を適用

  • 上記の任意の組み合わせ


アプリケーション、アプリケーション機能、ユーザー、グループ、地域といった次世代のポリシー基準を、送信元、宛先、IPアドレスなどの従来のポリシー基準と組み合わせることで、適切なポリシーを導入することが可能になります。これらの動画で、適切なポリシーをどのように導入できるかを確認してください。

アプリケーションを選択してフィルタリングすることでポリシー制御リストを迅速に作成

パロアルトネットワークスのアプリケーション ブラウザを使用すると、以下のようなさまざまな基準を用いて、セキュリティ ポリシーに動的なアプリケーション フィルタを追加することができます。
 
  • カテゴリ
  • サブカテゴリ
  • 基盤となるテクノロジ
  • 動作特性(ファイル転送機能、既知の脆弱性、検出回避能力、帯域消費の性質、マルウェア伝送/伝播)


さらにアプリケーションの詳細情報として、アプリケーションの説明、一般的に使用されるポート、個々のアプリケーション特性に関するサマリーなどを表示することができます。アプリケーション ブラウザを用いることにより、アプリケーションを速やかに調査して、その結果を即座にセキュリティ ポリシーに反映させることができます。

脅威および不正なファイル/データの転送を阻止

特定のアプリケーション セットに適用可能なきめ細かい制御と同じレベルの制御機能を脅威防御にまでも拡大することができます。ターゲットを小さく絞ったアプローチを通じて、以下を適用できます。

 

  • 許可されたWebメール アプリケーションにアンチウイルスおよびアンチスパイウェア ポリシーを適用できます。
  • Oracleデータベース トラフィックにIPSポリシーを適用できます。
  • インスタント メッセージング内のファイル転送に対してデータ フィルタリング プロファイルを適用できます。

トラフィック シェーピングによってビジネス アプリケーションの帯域枯渇を確実に回避

安全なアプリケーション使用許可において、ストリーミング メディアなど、帯域を大量に消費するアプリケーションの利用を許可する場合があります。業務に無関係なアプリケーションに起因したビジネス クリティカルなアプリケーションの帯域不足を確実に回避するQoSポリシーを用いて、適切なバランスを取ることができます。

 

  • 8つのトラフィック キュー全体に、最大容量が保証された優先帯域幅を適用できます。
  • 物理インターフェイス、IPSec VPNトンネル、アプリケーション、ユーザー、送信元、宛先、その他多数に対してポリシーを適用できます。
  • Diffservマーキングがサポートされており、下流または上流のネットワーク デバイスでアプリケーション トラフィックを制御できます。

Webの利用に関する柔軟なポリシー ベース コントロール

App-IDによって可能になるアプリケーションの可視性と制御を補完するために、URLカテゴリをポリシーの合致基準として使用することができます。すべての動作を「許可またはブロック」のいずれかに制限するポリシーを作成するのではなく、URLカテゴリを合致基準として使用することにより、例外に基づいて動作を許可できるようになります。これにより、柔軟性が増し、よりきめ細かいポリシーの適用が可能となります。ポリシーにおけるURLカテゴリの使用例として次のようなものがあります。

 

  • Active Directory内で複数のグループに属している可能性のあるユーザーを識別し、一般的なセキュリティ ポリシーに例外を設定(たとえば、全ユーザーに対してマルウェアやハッキング サイトへのアクセスを拒否する一方で、セキュリティ グループに属するユーザーにはアクセスを許可)
  • ストリーミング メディア カテゴリへのアクセスは許可するものの、QoSを適用して帯域消費を制御
  • リスクが高いと判断されるURLカテゴリのファイルのダウンロード/アップロードを防止(たとえば、既知のサイトへのアクセスは許可するが、未知のサイトからの実行ファイルのアップロード/ダウンロードは阻止してマルウェアの拡散を制限)
  • SSL暗号解読ポリシーを適用。これにより、金融とショッピングのカテゴリへの暗号化アクセスは許可しつつ、他のすべてのカテゴリへのトラフィックに対しては暗号解読とインスペクションを実行

 

未知のトラフィックを体系的に識別、制御

どのようなネットワークにも少量の未知のトラフィックが流れています。通常、未知のトラフィックはカスタム開発された内部のアプリケーションですが、身元のわからない商用アプリケーションであったり、最悪の場合は脅威であったりすることもあります。未知のトラフィックは、その量にかかわらず、頭痛の種になっています。

 

パロアルトネットワークス次世代ファイアウォールのアプリケーション制御機能を活用すれば、ネットワーク上の未知のトラフィックを体系的に識別、調査、管理することができます。未知のトラフィックがもたらすリスクが劇的に緩和されます。このウェビナーで、未知のトラフィックがもたらす脅威が軽減される様子を確認してください。