パロアルトネットワークス装置の管理アクセスを保護する方法

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Secure the Management Access of your Palo Alto Networks Device
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Secure-the-Management-Access-of-your...

 

問題

管理インターフェイス、ネットワークを悪意から防御するために保護することはとても重要です。管理者がリモート管理するためにデータプレーンにて管理プロファイルを適応いただくかどうかに関わらず、我々はいかなる装置の管理インターフェイスをインターネットに公開しないことを、強く推奨しています。しかしながら、インターネットに公開する必要がある場合、以下のガイドラインに沿って、あなたの管理インターフェイス、ネットワークを保護してください。

 

解決方法

いくつかの動作環境では管理ネットワークがインターネットに接続する必要性は理解しています。キーポイントとしては、攻撃者に対して攻撃が難しいターゲットと認識させること、そしてファイアウォール/Panoramaを保護することです。以下の知見はあなたの管理インターフェイスを公開することを留めることができるでしょう。

  1. 管理インターフェイス専用ネットワーク(管理専用VLAN)でVPNを経由して接続する。
  2. 管理ネットワークIPにアクセスするために、サーバーを経由する、リモートデスクトップ接続を経由してのみファイアウォール/Panoramaに接続できる。
  3. 管理インターフェイスへの特定IPアドレスのみの接続許可、接続するプロトコルもSSH/HTTPSに限定する。
  4. 管理インターフェイスへのアクセスをファイアウォールのデータポート経由にして、ファイアウォールの検査を行う。

 

詳細

 

  1. 管理インターフェース専用ネットワーク(VLAN)
    この手法が提示している4つの中で最もセキュアです。VPNを経由して、企業、管理ネットワークに接続し、管理IPに接続しなければなりません。この手法は、外部公開を限定し、ファイアウォール管理ネットワークへのアクセスを、特定ユーザーもしくはネットワークに限定することができます。これはVPN接続による管理専用ネットワークへのアクセスを要求します。管理ネットワークへのアクセスをデータ ポート経由にし、パロアルト ネットワークス・ファイアウォールからVPNアクセスを提供させることもできます。以下のKBは、サイトtoサイトのVPNトネルの設定資料となります。併せてご参照ください。

    Set Up an IPsec tunnel

  2. サーバーを経由する
    サーバーを経由することによって、装置の管理インターフェイス アクセスを保護することができます。管理ポートへのアクセスはサーバーを経由してのみアクセスできます。

  3. 管理インターフェイスへの特定IPアドレスのみの接続許可
    管理インターフェイスへの特定IPアドレス、サービスのみの接続許可を設定することができます。MGT-Secure.png

    WebUI管理インターフェイス上で、Device > Setup > Interfaces > Managementと移動し、”Management”をクリックして編集してください。Addをクリックして、管理者がファイアウォールにアクセスできるIPアドレスを“Permitted IP addresses”に追加していきます。“Permitted IP addresses”が空白(デフォルト)の場合、全てのIPアドレスからアクセス可能となります。

     

    重要! 空白設定のままにしないでください、ファイアウォール管理者IPアドレスのみ設定し、非承認アクセスを防御してください


    “Network Connectivity Services”設定では、HTTPS、SSHなど、セキュアな接続のみ設定します。

  4. 管理ネットワーク接続は、データポート経由
    これは最初に紹介した手法のVPN接続がない場合に似ています。VPN接続設定ができない場合、少なくともファイアウォール検査を全てのマネージメント・インターフェース向けのトラフィックに実施します。マネージメントアクセスを制限するセキュリティポリシーを作り、攻撃者が管理ネットワークから侵入することを防ぐセキュリティプロファイルを追記します。さらにSSL復号化設定をし、暗号化通信を検査します。セキュリティプロファイルによるネットワーク保護については、以下の記事をご参照ください。

     Create Best Practice Security Profiles

 

追加情報

以下は、SSL復号化設定、テストに関する記事です。併せてご参照ください。