パロアルトネットワークスの次世代ファイアウォールでは、SSL/TLSおよびSSH暗号化トラフィックを検査して制御することができます。弊社の復号機能を使用すれば、暗号化トラフィック内に潜んでいる脅威を食い止めることができ、また、機密内容の組織外への流出も防止できます。
復号するトラフィックは(組織または法令の要件に基づいて)お客様が制御でき、ユーザーへの通知やオプトアウト オプションもあります。復号されたトラフィックのコピーをDLPまたはフォレンジック/コンプライアンス システムに「ミラーリング」することもできます。ファイアウォールでは、特定の暗号スイートやプロトコル バージョンなどの強力な暗号化オプションの使用を強制することができます。
復号の制御
復号は、URLカテゴリ、接続元、接続先、ユーザー、ユーザー グループおよびポートに基づいて選択的に制御(有効化または無効化)できます。制御は、ファイアウォールの復号ポリシーで設定されます。復号使用許可ポリシーと一致する接続では、ユーザーが「オプトアウト」できるオプションがあります(ユーザーがオプトアウトすると、そのセッションは終了します)。
復号ポリシー(復号する接続を指定)の他に、復号プロファイルを割り当てて、ポリシーによって制御されるセッションのさまざまなオプションを制御できます。たとえば、特定の暗号化スイートの使用や、暗号化プロトコル バージョンが必要になる場合があります。
復号トラフィックの制御
SSL/TLSトラフィックが選択的に復号されると、通常のApp-ID™やセキュリティ ポリシー(脅威防御、WildFire™への転送、URLフィルタリング、ファイル ブロッキング プロファイルなど)が適用されます。このトラフィックは、ファイアウォールを出るときに再暗号化されます(サーバーまたはクライアントのいずれかに向かいます)。
復号されたSSHトラフィックはコンテンツや脅威の検査を受けませんが、設定されているセキュリティ ポリシーに応じて、SSHトンネリング(ポート フォワーディング)を検出してブロックできます。
復号ポート ミラーリング
復号されたトラフィックのコピーは、設定済みのファイアウォール インターフェイスに「ミラーリング」できます*。これは、サードパーティDLPまたはフォレンジック/コンプライアンス システムを統合する際に便利です。復号ファイアウォール トラフィックすべてをミラーリングするオプション、またはすべてのセキュリティ ポリシー適用後にファイアウォールによって転送されたトラフィックのみをミラーリングするオプションを使用できます。
この機能は、すべての次世代ファイアウォールで使用できます。
*復号ポート ミラーリングは、PA-7000シリーズ、PA-5000シリーズ、およびPA-3000シリーズでのみ使用できます。
詳細な分析・アーカイブ化のためのSSLトラフィックのオフロード
攻撃証拠の保全や履歴保持の目的や、情報漏洩・流出防止(DLP)機能のために、データ全体のキャプチャが必要な場合、 ポートミラーリング機能を使ってNetWitnessやSoleraなどサードパーティのソリューションにSSLトラフィックのコピーを渡し、 さらにきめ細かい分析アーカイブ化を実行できます。PA-5000シリーズとPA-3000シリーズでのみサポート
SSHトラフィックの識別と制御
パロアルトのエンタープライズ向けセキュリティ プラットフォームでは、SSHでトンネリングされたトラフィックに対してポリシーベースの識別・制御を実行できます。SSH内でポート フォワーディングやX11フォワーディングをSSHトンネルとして検知する際にはMITM方式が用いられます。また、リモートマシンへの通常のシェルやscpおよびsftpによるアクセスはSSHとしてレポートされます。デフォルトでは、SSH制御は無効に設定されています。