GoogleアプリケーションのApp-ID変更点について

Printer Friendly Page

質問

※この記事は以下の記事の日本語訳です。
App-ID changes to Google apps
https://live.paloaltonetworks.com/t5/Management-Articles/App-ID-changes-to-Google-apps/ta-p/66890

 

 

2015年12月1日、Palo Alto Networks ファイアーウォールはGoogleアプリケーションを有効化するための簡素化、ポリシー設定のスリム化を考慮して、google-baseという名前の新しいApp-IDを追加しました。以下のFAQにて、既存ファイアーウォールの設定に対するインパクト、変更について、基本的な質疑応答を掲示します。もし追加の質問がございましたら、Discussion forumをご利用ください。

 

 

良くある御質問

 

質問: なぜPalo Alto Networksはこの変更を実施したのですか?

 

回答: 今日、Googleアプリケーションを有効化するためにはお客様にその他の依存するアプリケーション(ssl, web-browsing)を許可設定していただく必要がございました。この変更によって、明示的に依存するアプリケーションを許可するする必要なくなりました。新しいApp-ID、google-baseを許可することにより、Googleアプリケーションの基本サービスをご利用することができます。

 

 

質問: この変更によりどのような影響がありますか?

 

回答: 新しい変更の優位性を得るために、Googleアプリケーションを許可するために設定している、ssl, web-browsingの代わりに、google-baseをポリシーのApplication欄で許可する必要があります。サンプルの設定は以下をご参照ください。Google Calendar, Gmail, YouTubeとGoogle Mapsが許可され、その次の新しく設定されたポリシーで、google-baseをApplication欄で許可されています。

 Firewall Policy for Secure Google Apps

  

App-ID for Secure Google Apps

 

質問: どのようにしてGoogleアプリケーション継続動作することができますか?

 

回答: Palo Alto Networksは、2015年11月の第1週目にgoogle-baseをアプリケーションカタログに追加しました。これにより我々のお客様に、事前変更を実施することが可能となります。

 

この仮のApp-IDは、既存のファイアーウォールポリシーや、App-ID既存ルールに影響を及ぼすものではございません。 サンプルの移行ポリシーは以下です。

 App-ID Rules for Secure Google Apps

Palo Alto Networksが、仮のgoogle-baseを正式なものに更新するのは、2015年12月の第1週目です。

 

Palo Alto Networksの変更タイムラインはいかのようになります。

 

  • 2015年10月20日 - Palo Alto Networksが次期Googleアプリケーションのファイアーウォールによる処理の変更点についてアナウンスいたします。
  • 2015年11月の第2週目– Palo Alto Networks は仮のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。これにより、ファイアーウォールの事前設定が可能となります。
  • 2015年12月の第1週目– Palo Alto Networks は正式のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。このアップデートにより、google-baseがApp-IDとして稼働します。以前ご使用になられていた、依存アプリケーションのssl, web-browsingを取り除くことができます。これより、いずれのGoogleアプリケーションにおいても依存アプリケーションはgoogle-baseとなります。

 

質問: いつこの変更が、アプリケーションと脅威のアップデートによって提供されますか?

 

回答: Palo Alto Networks は正式のgoogle-baseであるApp-IDを2015年12月の第1週目で配布するコンテンツアップデートで提供します。

 

質問: もしファイアーウォールのポリシー上にgoogle-base を追加せず、"ssl" "web-browsing" のままにしてたらどうなりますか?

 

回答: ファイアーウォールのポリシー上にgoogle-base を追加しなかった場合、Googleアプリケーションが正常に動作しなくなりますので、2015年12月の第1週目で配布されるコンテンツ アップデートで、google-base を許可する必要があります。

 

質問: PAN-OSどのバージョンがこの変更の影響を受けますか?

 

回答: 全てのPAN-OS softwareサポートバージョンで、2015年12月の第1週目で配布されるコンテンツアップデートを実施すると影響を受けます。

 

質問: 'google-base'が必要なアプリケーションのリストはありますか?

 

回答: 'google-base' が必要なアプリケーションのリストは、こちらのリンクをご参照ください。: List of applications that require 'google-base'

 

質問:  'google-base' App-IDを識別するためにSSL復号化を有効化する必要がありますか?

 

回答: いいえ、SSL復号化'google-base' App-ID を識別するために必要ではありません。しかしながら、SSL上で動作するGoogleアプリケーション(例えば、gmail)を復号化するためには必要です。

 

質問: 'google-base' App-IDをポリシーで許可すると、他のGoogleアプリケーション(youtube-basegmail-baseなど)も許可されますか?

 

回答: いいえ、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)は個別にポリシー上で許可する必要がございます。

 

Palo Alto Networks 社は、お客様のファイアーウォール上のポリシーをご確認いただき、仮の'google-base' App-ID 設定を2015年12月1日以前に設定していただくことを強く推奨いたします。

 

その他質問に関して

もしその他に、この記事に書かれている変更点についてご質問がありましたら、Discussion forumにご質問を掲示していただくようお願いします。

回答