アクセス コントロール ルールの概要
アクセス コントロール ポリシー内では、アクセス コントロール ルールによって複数の管理対象デバイスでネットワーク トラフィックを処理するきめ細かい制御方法が提供されます。
 (注) |
アクセス制御ルールがネットワークトラフィックを評価する前に、セキュリティ インテリジェンスのフィルタ処理、暗号解読、ユーザーの識別、および一部の復号と前処理が行われます。 |
システムは、指定した順にアクセス コントロール ルールをトラフィックと照合します。ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。
また、各ルールにはアクションがあり、これによって一致するトラフィックをモニター、信頼、ブロック、または許可するかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
次のシナリオでは、インラインの侵入防御展開環境で、アクセス コントロール ルールによってトラフィックを評価できる方法を要約しています。
このシナリオでは、トラフィックは次のように評価されます。
-
ルール 1:モニタはトラフィックを最初に評価します。モニタールールはネットワークトラフィックを追跡してログに記録します。システムはトラフィックと追加ルールの照合を継続して、許可するか拒否するかを決定します(ただし、重要な例外と注意事項をアクセス コントロール ルールのモニター アクションで確認してください)。
-
ルール 2:信頼はトラフィックを 2 番目に評価します。一致するトラフィックは追加のインスペクションなしで宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。一致しないトラフィックは、引き続き次のルールと照合されます。
-
ルール 3:ブロックはトラフィックを 3 番目に評価します。一致するトラフィックは、追加のインスペクションなしでブロックされます。一致しないトラフィックは、引き続き最後のルールと照合されます。
-
ルール 4:許可は最後のルールです。このルールの場合、一致したトラフィックは許可されますが、トラフィック内の禁止ファイル、マルウェア、侵入、エクスプロイトは検出されてブロックされます。残りの禁止されていない悪意のないトラフィックは宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。ファイル インスペクションのみを実行する、または侵入インスペクションのみを実行する、もしくは両方とも実行しない許可ルールを設定できます。
-
デフォルト アクションは、いずれのルールにも一致しないすべてのトラフィックを処理します。このシナリオでは、デフォルト アクションは、悪意のないトラフィックの通過を許可する前に侵入防御を実行します。別の展開では、追加のインスペクションなしですべてのトラフィックを信頼またはブロックするデフォルト アクションを割り当てることもあります。(デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。)
アクセス コントロール ルールまたはデフォルト アクションによって許可したトラフィックは、自動的にホスト、アプリケーション、およびユーザ データについてネットワーク検出ポリシーによるインスペクションの対象になります。検出は明示的には有効にしませんが、拡張したり無効にしたりすることができます。ただし、トラフィックを許可することで、検出データの収集が自動的に保証されるものではありません。システムは、ネットワーク検出ポリシーによって明示的にモニタされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。
暗号化されたトラフィックの通過が暗号解読設定で許可される場合、または暗号解読が設定されていない場合は、そのトラフィックがアクセスコントロールルールによって処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。またデフォルトでは、暗号化ペイロードの侵入およびファイル検査を、システムは無効化します。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。
アクセス コントロール ルールの管理
アクセス コントロール ポリシー エディタの [ルール(Rules)] タブでは、現在のポリシー内のアクセスコントロールルールの追加、編集、分類、検索、フィルタ処理、移動、有効化、無効化、削除、その他の管理が行えます。
アクセス コントロール ルールの適切な作成と順序付けは複雑なタスクですが、効果的な展開を構築するためには不可欠です。ポリシーを慎重に計画しないと、ルールが他のルールをプリエンプション処理したり、追加のライセンスが必要となったり、ルールに無効な設定が含まれる場合があります。システムが想定どおりにトラフィックを確実に処理できるように、アクセス コントロール ポリシー インターフェイスにはルールに対する強力な警告およびエラーのフィードバック システムがあります。
検索バーを使用して、アクセス コントロール ポリシー ルールのリストをフィルタ処理します。 [一致するルールのみを表示(Show Only Matching Rules)] オプションの選択を解除して、すべてのルールを表示できます。一致したルールが強調表示されます。
ポリシー エディタでは、各アクセス コントロール ルールに対してルールの名前、条件の概要、ルール アクションが表示され、さらにルールのインスペクション オプションや状態を示すアイコンが表示されます。各アイコンの意味は次のとおりです。
-
時間範囲オプション([時間範囲(time range)]
アイコン [時間範囲(time range)] アイコン) -
[侵入ポリシー(Intrusion policy)](
![[侵入ポリシー(Intrusion policy)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447495.jpg)
) -
[ファイルポリシー(File policy)](
![[ファイルポリシー(File policy)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447496.jpg)
) -
[ロギング(Logging)](
![[ロギング(Logging)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447372.jpg)
) -
[警告(Warning)](
![[警告(Warning)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/446001-447000/446466.jpg)
) -
[エラー(Error)](
![[エラー(Error)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/446001-447000/446465.jpg)
) -
[ルールの競合(Rule Conflict)](
)
無効なルールはグレー表示され、ルール名の後に [無効(disabled)] というマークが付きます。
ルールを作成または編集するには、アクセス コントロール ルール エディタを使用します。
:次の操作を実行できます。
-
ルール名を設定し、エディタの上部でその配置を選択します。
-
エディターの上または下の行を選択して、別のルールの編集に切り替えます。
-
左側のリストを使用してルールアクションを選択し、侵入ポリシーと変数セット、ファイルポリシー、および時間範囲を適用し、ログオプションを設定します。
-
ルール名の隣にあるオプションを使用してルールアクションを選択し、侵入ポリシーと変数セット、ファイルポリシー、および時間範囲を適用し、ログオプションを設定します。
-
[ソース(Sources)] と [宛先とアプリケーション(Destinations and Applications)] 列を使用して、一致基準を追加します。[すべて(All)] リストからオプションを追加するか、別のタブに移動して、セキュリティゾーンやネットワークなど、必要なタイプのオプションをより簡単に見つけることができます。
-
エディタの下部でルールにコメントを追加します。
アクセス コントロール ルールのコンポーネント
一意の名前に加え、各アクセス コントロール ルールには次の基本コンポーネントがあります。
状態(State)
デフォルトでは、ルールは有効になっています。ルールを無効にすると、システムはそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。
位置(Position)
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。ポリシー継承を使用する場合、ルール 1 は再外部ポリシーの 1 番目のルールです。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。モニタ ルールを除き、トラフィックが一致する最初のルールがそのトラフィックを処理するルールになります。
また、ルールはセクションおよびカテゴリに属していることがあります。これは、単に整理のためであり、ルールの位置に影響しません。ルールの位置は、すべてのセクションとカテゴリにまたがって設定されます。
セクションおよびカテゴリ
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。アクセス コントロール ルールをさらに細かく整理するため、「必須(Mandatory)」セクション内と「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」セクションと「デフォルト(Default)」セクションの間にネストされます。
条件
条件は、ルールが処理する特定のトラフィックを指定します。条件には単純なものと複雑なものがあり、ライセンスによって用途が異なります。
トラフィックは、ルールで指定されたすべての条件を満たす必要があります。たとえば、アプリケーション条件で HTTP が指定されていて、HTTPS は指定されていない場合、URL カテゴリとレピュテーションの条件は、HTTPS トラフィックには適用されません。
適用時間
ルールを適用する日時を指定できます。
操作(Action)
ルールのアクションによって、一致したトラフィックの処理方法が決まります。一致したトラフィックをモニター、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。信頼できるトラフィック、ブロックされたトラフィック、または暗号化されたトラフィックに対しては、詳細な検査は実行されません。
インスペクション(Inspection)
詳細検査オプションは、悪意のあるトラフィックをどのように検査してブロックし、それ以外のものは許可するかを決定します。ルールを使用してトラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出たりする前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
ログ
ルールのロギング設定によって、システムが記録する処理済みトラフィックのレコードを管理します。1 つのルールに一致するトラフィックのレコードを 1 つ保持できます。一般的に、接続の開始時または終了時(あるいは、その両方)にセッションをログに記録できます。接続のログは、データベースの他に、システム ログ(Syslog)または SNMP トラップ サーバに記録できます。
説明
アクセス コントロール ルールで変更を保存するたびに、コメントを追加できます。
アクセス コントロール ルールの順序
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。
ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。モニタールールを除いて、トラフィックがルールに一致した後、システムは優先度の低い追加のルールに対してトラフィックの評価は続行しません。
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。さらに細かく整理するため、「必須(Mandatory)」セクション内や「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。カテゴリは、作成した後に移動することはできません。ただし、カテゴリを削除または名前変更したり、ルールをカテゴリ内またはカテゴリ間で移動したりすることはできます。システムはセクションとカテゴリに横断的にルール番号を割り当てます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」ルール セクションと「デフォルト(Default)」ルール セクションの間にネストされます。ルール 1 は、現在のポリシーではなく、最外部ポリシーの 1 番目のルールです。ルールの番号は、すべてのポリシー、セクション、カテゴリにまたがって割り当てられます。
アクセス コントロール ポリシーの変更を許可する定義済みユーザ ロールによって、ルールのカテゴリ内またはカテゴリ間でアクセス コントロール ルールを移動および変更することもできます。しかし、ユーザがルールを移動および変更することを制限するには、カスタム ロールを作成できます。アクセス コントロール ポリシーの変更権限が割り当てられているユーザは、制限なく、カスタム カテゴリにルールを追加することや、カテゴリ内のルールを変更することができます。
 注意 |
アクセス コントロール ルールを適切に設定しないと、ブロックする必要があるトラフィックを含め、予期しない結果が発生する可能性があります。一般的に、アプリケーション制御ルールは、たとえば IP アドレスに基づくルールよりも照合に時間がかかるため、アクセス コントロール リスト内の順位を低くする必要があります。 特定の条件 (ネットワークや IP アドレスなど) を使用するアクセス コントロール ルールは、一般的な条件 (アプリケーションなど) を使用するルールの前にオーダーする必要があります。オープン システム相互接続(OSI)モデルに精通している場合は、考え方として同様の順位付けを使用してください。レイヤ1、2、および 3 (物理、データリンク、およびネットワーク) の条件を持つルールは、アクセス コントロール ルールで最初に注文する必要があります。レイヤ5、6、および 7 (セッション、プレゼンテーション、およびアプリケーション) の条件は、アクセス コントロール ルールの後で順序付けする必要があります。OSI モデルの詳細については、こちらの Wikipedia の記事を参照してください。 |
 ヒント |
アクセス コントロール ルールの順序を適切に設定することで、ネットワーク トラフィック処理に必要なリソースを削減して、ルールのプリエンプションを回避できます。ユーザーが作成するルールはすべての組織と展開に固有のものですが、ユーザーのニーズに対処しながらもパフォーマンスを最適化できるルールを順序付けする際に従うべきいくつかの一般的なガイドラインがあります。 |
アクセス コントロール ルールのアクション
アクセス コントロール ルールには、システムが一致するトラフィックをどのように処理し、ロギングするのかを指定するアクションがあります。モニター、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。
アクセス コントロール ポリシーのデフォルトアクションは、モニター以外のアクションをもつどのアクセスコントロールルールの条件にも一致しないトラフィックを処理します。
アクセス コントロール ルールのモニター アクション
[Monitor] アクションは、トラフィックを許可または拒否するように設計されていません。むしろ、その主な目的は、一致するトラフィックが最終的にどのように処理されるかに関係なく、接続ロギングを強制することです。
接続がモニタールールに一致する場合、接続が一致する次の非モニタールールがトラフィック処理とそれ以降のインスペクションを決定する必要があります。さらに一致するルールがない場合、システムはデフォルトアクションを使用する必要があります。
ただし、例外があります。モニタールールにレイヤ 7 の条件(アプリケーション条件など)が含まれている場合、そのシステムでは早期パケットを通過させ、接続を確立(または SSL ハンドシェイクの完了)することができます。これは、接続が後続のルールによってブロックされる必要がある場合でも発生します。これらの早期パケットが後続のルールに対して評価されないためです。こうしたパケットが完全に検査されていない宛先に到達しないように、アクセス コントロール ポリシーの詳細設定で、このための侵入ポリシーを指定できます。トラフィック識別の前に通過するパケットのインスペクションを参照してください。システムはレイヤ 7 の識別を完了した後、残りのセッショントラフィックに適切なアクションを適用します。
注意 |
ベストプラクティスとして、広範に定義されたモニタールールのレイヤ 7 の条件をルールの優先順位内で高く設定しないようにすることで、不注意でトラフィックがネットワークに流入することを防ぎます。さらに、ローカルでバインドされているトラフィックがレイヤ 3 展開のモニタールールに一致する場合、そのトラフィックは検査をバイパスすることがあります。トラフィックのインスペクションを確実に実行するには、トラフィックをルーティングしている管理対象デバイスの詳細設定で [Inspect Local Router Traffic] を有効にします。 |
アクセス コントロール ルールの信頼アクション
[信頼(Trust)] アクションは、ディープ インスペクションやネットワーク検出をせずにトラフィックを通過させます。信頼処理されたトラフィックも、ID 条件およびレート制限の対象です。
(注) |
|
アクセス コントロール ルールのブロック アクション
ブロック アクションおよびリセットしてブロック アクションはトラフィックを拒否し、いかなる追加のインスペクションも行われません。
[HTTP 応答(HTTP response)] ページに一致する Web 要求を除き、リセット ルールを持つブロックが接続をリセットします。これは、システムが Web 要求をブロックするときに表示されるように設定した応答ページは、接続がすぐにリセットされた場合は表示できないためです。
詳細については、HTTP 応答ページの設定を参照してください。
アクセス コントロール ルール インタラクティブ ブロック アクション
[インタラクティブブロック(Interactive Block)] と [リセット付きインタラクティブブロック(Interactive Block with reset)] アクションにより、Web ユーザーは目的の宛先に進む選択肢が与えられます。
![ユーザーがインタラクティブ ブロック ルール アクションまたはリセット付きインタラクティブ ブロック ルール アクションによるトラフィックのブロックをバイパスした場合は、アクションが [許可(Allow)] であるかのようにインスペクションが発生し、ブロックをバイパスしなかった場合は、ファイル ポリシー、侵入ポリシー、またはネットワーク検出ポリシーを使用して、ブロックされたトラフィックを検査できないことを示す図。](/c/dam/en/us/td/i/300001-400000/370001-380000/372001-373000/372194.tif/_jcr_content/renditions/372194.jpg)
ユーザーがブロックをバイパスしている場合、ルールは許可ルールを模倣します。したがって、インタラクティブ ブロック ルールをファイル ポリシーと侵入ポリシーに関連付けることができるため、一致するトラフィックもネットワーク検出の対象となります。
ユーザーがブロックをバイパスしない(できない)場合は、ルールはブロック ルールを模倣します。一致するトラフィックは、追加のインスペクションなしで拒否されます。
インタラクティブ ブロックを有効にした場合は、ブロックされているすべての接続をリセットできません。これは、接続がすぐにリセットされた場合は応答ページを表示できないためです。[リセットしてインタラクティブ ブロック(Interactive Block with reset)] アクションを(非インタラクティブに)Web 以外のすべてのトラフィックをリセットしてブロックしても、Web 要求についてはインタラクティブ ブロックは有効になっています。
詳細については、HTTP 応答ページの設定を参照してください。
アクセス コントロール ルールの許可アクション
[許可(Allow)] アクションは、一致するトラフィックを通過させます。ただし、引き続き ID 条件およびレート制限の対象となります。
任意で、ディープ インスペクションを行い、トラフィックが接続先に到達する前に暗号化されていないトラフィックや復号されたトラフィックを検査、ブロックすることも可能です。
-
侵入ポリシーでは、侵入検知と防御設定に応じてネットワーク トラフィックを分析し、設定内容に応じて違反パケットをドロップすることが可能です。
-
ファイル ポリシーでは、ファイルの制御ができます。ファイル制御により、ユーザーが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出およびブロックすることができます。
-
ネットワークベースの高度なマルウェア保護(AMP)もファイル ポリシーを使用して実行できます。マルウェア防御 はファイルのマルウェアを調べ、検出したマルウェアを設定に応じてブロックします。
下の図は、許可ルールの条件(またはユーザーによりバイパスされるインタラクティブ ブロック ルール)を満たすトラフィックに対して実行されるインスペクションの種類を示しています。侵入インスペクションの前にファイル インスペクションが行われることに注意してください。そこでブロックされたファイルに対しては、侵入関連のエクスプロイトについては検査されません。
シンプルにするために、この図では、侵入ポリシーとファイル ポリシーの両方がアクセス コントロール ルールに関連付けられている状態(またはどちらも関連付けられていない状態)のトラフィック フローを示しています。ただし、どちらか 1 つだけを設定することも可能です。ファイル ポリシーがない場合、トラフィック フローは侵入ポリシーが決定します。侵入ポリシーがない場合、トラフィック フローはファイル ポリシーが決定します。
トラフィックが侵入ポリシーとファイル ポリシーのどちらかによって検査またはドロップされるかどうかに関わらず、システムはネットワーク検出を使ってトラフィックを検査できます。ただし、トラフィックを許可しても、ディスカバリ検査が自動的に保証されるわけではありません。システムは、ネットワーク検出ポリシーによって明示的にモニターされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。
![[表示(View)] ボタン](/c/dam/en/us/td/i/400001-500000/450001-460000/452001-453000/452013.jpg)
)![[インポートセクション(Import Section)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447494.jpg)
)
)
![アクションに [ブロック(Block)] を選択](/c/dam/en/us/td/i/400001-500000/470001-480000/476001-477000/476760.jpg)
フィードバック