App-Id: すべてのポートで全アプリケーションを識別

高精度のトラフィック分類はセキュリティポリシーの根幹をなすため、あらゆるファイアウォールで中核的な機能と位置づけられます。従来のファイアウォールはトラフィックをポートやプロトコルごとに分類していました。かつては、境界領域のセキュリティを保護するうえで、これでも十分な時代がありました。しかし、もうその手は通用しません。

いまだにポートベースのファイアウォールが使われている環境では、次の手法で簡単にアプリケーションが迂回できてしまいます。

  • ポートホッピング
  • SSLやSSHの利用
  • 80番ポートからの盗聴・盗撮
  • 非標準ポートの使用

つまり、ポートベースのファイアウォールはトラフィック分類に限界があり、今日のネットワークを保護し切れないのです。そこで当社では、App-ID™(特許申請中)を開発しました。これは、パロアルトネットワークス製ファイアウォールだけに搭載されたトラフィック分類システムです。App-ID™は、トラフィックストリームがファイアウォールに流れ込むと同時に複数の分類メカニズムを駆使してアプリケーションを正確に特定します。

 

file

ポートではなくアプリケーションに基づいてトラフィックを分類

App-IDでは、次のようにしてネットワーク上のアプリケーションを特定しています。

  • 最初に IPアドレスとポートに基づいてトラフィックを分類します。
  • 次に、許可されたトラフィックにシグネチャを適用し、アプリケーション固有のプロパティや関連するトランザクション特性に基づいて、アプリケーションを特定します。
  • アプリケーションが暗号化(SSLまたはSSH)されていて、所定の復号化ポリシーが用意されているとApp-IDが判断した場合、当該アプリケーションを復号化してから、再度アプリケーション シグネチャを適用します。
  • 続いて、既知のプロトコルに対するデコーダでコンテキストベースのシグネチャを適用し、プロトコル内部でトンネリングの恐れがあるアプリケーション (HTTPによるYahoo!インスタント メッセンジャーなど) を検出します。
  • 特に捕捉の難しいアプリケーション、高度なシグネチャやプロトコル分析でも特定できないアプリケーションは、ヒューリスティック分析や挙動解析でアプリケーションを特定することが可能です。

App-IDの一連のメカニズムでアプリケーションの特定を進める一方、ポリシーチェックによってアプリケーションや関連機能の扱いを決定します。具体的には、ブロックするか許可するか判定して脅威の有無をスキャン、不正なファイル転送やデータパターンを検査、もしくはQoSによるシェーピングの実行などを決定します。

常にトラフィックを分類—全ポートで最初に実行

トラフィックがファイアウォールに入ったときに最初に実行されるのが、App-IDによるトラフィックの分類です。デフォルト設定では、App-IDが常時有効になっています。つまり、App-IDがトラフィックの一部(HTTPなど)ではなく、全ポート対象にあらゆるトラフィックの分類を常時実行しているため、ネットワーク上にあるはずのアプリケーションを探すために一連のシグネチャを実行する必要はありません。

App-IDは、以下に挙げるアプリケーションを始め、あらゆるトラフィックを常に監視しています。

  • ビジネス アプリケーション
  • 個人向けアプリケーション
  • ネットワーク プロトコル
  • etc

App-IDは、アプリケーションの状態を常時監視し、途中でアプリケーションの変化がないかどうかを判別します。その後、ACCの管理者への最新情報の提供、適切なポリシーの適用、それに伴う情報のログ記録が実行されます。パロアルトネットワークスの次世代ファイアウォールは、あらゆるファイアウォールと同様に、ポジティブ コントロールを採用、デフォルトですべてのトラフィックを拒否したうえで、ポリシーに合致するアプリケーションのみを許可します。それ以外のアプリケーションはすべてブロックされます。

すべての分類メカニズム、すべてのアプリケーションのバージョン、すべてのOS

App-IDはサービスレイヤーで動作し、クライアントとサーバー間でのアプリケーションの動きを監視します。つまり、App-IDが新機能に影響を与えることは一切なく、クライアントやサーバーのOSと無関係に動作します。他社製品では、例えばBitTorrentはOSやクライアントごとにさまざまなバージョンが存在し、その数だけシグネチャを用意しなければ、BitTorrentを制御できませんでした。一方、パロアルトネットワークス製品では、App-IDが1つあれば、同じ効果を発揮できます。

未知のトラフィックの体系的な管理

どのネットワークにも未知のトラフィックが多少なりとも存在しています。未知のトラフィックは、社内開発のアプリケーションや、App-IDを持たない商用アプリケーションの可能性もありますが、それ以外の場合、脅威になる恐れがあります。App-IDでは未知のトラフィックももれなく分類されるため、トラフィックを分析したうえで、的確なポリシー判断を下せるようになります。トラフィックが社内開発アプリケーションの場合、カスタムのApp-IDを作成してアプリケーションを特定できます。App-IDのない商用アプリケーションのトラフィックの場合、PCAPを取得・送信することでApp-IDを作成できます。さらに、App-IDのボットネット挙動レポートとロギング ツールを使って、トラフィックが脅威かどうかを判断し、適切な対策を施すことができます。

参考資料

App-IDについて
App-IDは、正規トラフィックの偽装、ポートホッピング、暗号化によるファイアウォールすり抜けなどの手法で検知を逃れる業務関連アプリケーションや業務に無関係のアプリケーションを可視化・制御します。

アプリケーション可視化について
「知は力なり」と言われます。パロアルトネットワークスの可視化ツールや分析ツール、レポートツールでコンテキスト情報を入手することにより、ネットワークの動きを素早く把握し、ポリシーに基づいて適切な判断を下すことができます。現在の状況や条件比較によってインシデントを分析します。