企業のネットワーク境界

課題

ネットワークには、ポートベースのファイアウォールでは識別することも制御することもできないアプリケーションがあふれています。ファイル共有、ソーシャル ネットワーキング、個人の電子メール、ストリーミング メディアは、ポート ホッピングやSSL、非標準のポートを使用してファイアウォールを回避できるアプリケーションの一部にすぎません。従業員は、多くの場合は合法的にこのようなアプリケーションを使用して業務を行っています。こうしたアプリケーションを完全にブロックすれば収益に損害が生じる恐れがありますが、盲目的に許可してしまえばビジネス面でもセキュリティ面でもリスクを招きます。

ソリューション

パロアルトネットワークスの次世代ファイアウォールを使用すると、個人用のアプリケーションをすべてブロックするか、すべて許可するかの間で適切なバランスを取ることができます。アプリケーションの安全な使用を実現するにはまず、どのアプリケーションを誰が使用しているかを正確に把握しなければなりません。この情報に基づいて、「許可か拒否」のどちらか一方だった従来のアプローチを超える効果的なファイアウォール制御ポリシーを作成できます。こうしてソリューションの最終的なコンポーネントを作成することにより、ファイアウォールのパフォーマンスを低下させることなく、アプリケーションの安全な使用を実現することができます。

知は力なり: アプリケーション、ユーザ、コンテンツを識別

アプリケーションの安全な使用を実現するには体系的なアプローチが必要です。そのためにはまず、ネットワークを通過しているアプリケーション、それぞれのアプリケーションを使用しているユーザ、アプリケーションによって持ち込まれる恐れがある驚異の種類を把握しなければなりません。

  • App-IDがまず、使用されているポートや回避手法にかかわらず、使用されているアプリケーションを正確に特定します。

  • User-IDは、社内ディレクトリに格納されている情報に基づいて、アプリケーションの使用状況をIPアドレスだけでなく従業員のIDにも関連付けます。

  • Content-IDは、Webの利用の制御、脅威からの保護、ファイルやデータの不正な転送の制限を行います。

ネットワークを通過しているアプリケーションについて理解を深めたら、セキュリティ チームとビジネス グループは、個々のユーザに対する特定のアプリケーションのビジネス価値を判断することができます。次に、アプリケーションの使用を許可すると同時にネットワークを保護するポリシーを設定できます。

アプリケーションの安全な使用: ファイアウォールの制御を強化

ファイアウォールは、すべてのトラフィックが通過する唯一の場所です。そのため、アプリケーション、ユーザ、コンテンツを制御するには最適な場所です。セキュリティ チームは、パロアルトネットワークスのファイアウォールによって新たに提供されたネットワーク トラフィックに関する詳細な知識に基づいて、「許可か拒否」のどちらか一方にとどまらないアプリケーション使用ポリシーを迅速に導入することができます。たとえば、次のようなポリシーがあります。

  • 特定のユーザ グループに対してアプリケーションまたはアプリケーション機能の使用を許可する

  • 許可されたトラフィックをスキャンして、ウイルス、脆弱性の悪用、トロイの木馬、その他の形態のマルウェアなど、さまざまな脅威が潜んでいないかどうかを調べる

  • 特定のアプリケーション、ユーザ、またはグループにQoSを適用して、ビジネス アプリケーションに十分な帯域幅を確保する

  • すべてのP2Pファイル共有、外部プロキシ、および迂回アプリケーションをブロックする

これらは、パロアルトネットワークスの安全なアプリケーション使用ポリシー アプローチを活用する例の一部にすぎません。

専用のプラットフォーム: サービスを有効にした状態で予測可能なパフォーマンスを発揮

脅威をスキャンしながら、アプリケーションを識別して制御するプロセスには大量のコンピューティング リソースが必要なので、ほとんどのサーバベース プラットフォームはクラッシュしてしまう恐れがあります。パロアルトネットワークスでは、次の各機能に固有の専用の処理を独自に組み合わせて使用することで、このようなパフォーマンスの課題に対処します。

  • ネットワーク
  • セキュリティ
  • コンテンツ インスペクション
  • 管理


その結果が、セキュリティ サービスを有効にした状態で最大20 Gbpsの予測可能なパフォーマンスを発揮するプラットフォームです。