質問
※この記事は以下の記事の日本語訳です。
App-ID changes to Google apps
https://live.paloaltonetworks.com/t5/Management-Articles/App-ID-changes-to-Google-apps/ta-p/66890
2015年12月1日、Palo Alto Networks ファイアーウォールはGoogleアプリケーションを有効化するための簡素化、ポリシー設定のスリム化を考慮して、google-baseという名前の新しいApp-IDを追加しました。以下のFAQにて、既存ファイアーウォールの設定に対するインパクト、変更について、基本的な質疑応答を掲示します。もし追加の質問がございましたら、Discussion forumをご利用ください。
良くある御質問
質問: なぜPalo Alto Networksはこの変更を実施したのですか?
回答: 今日、Googleアプリケーションを有効化するためにはお客様にその他の依存するアプリケーション(ssl, web-browsing)を許可設定していただく必要がございました。この変更によって、明示的に依存するアプリケーションを許可するする必要なくなりました。新しいApp-ID、google-baseを許可することにより、Googleアプリケーションの基本サービスをご利用することができます。
質問: この変更によりどのような影響がありますか?
回答: 新しい変更の優位性を得るために、Googleアプリケーションを許可するために設定している、ssl, web-browsingの代わりに、google-baseをポリシーのApplication欄で許可する必要があります。サンプルの設定は以下をご参照ください。Google Calendar, Gmail, YouTubeとGoogle Mapsが許可され、その次の新しく設定されたポリシーで、google-baseをApplication欄で許可されています。
質問: どのようにしてGoogleアプリケーション継続動作することができますか?
回答: Palo Alto Networksは、2015年11月の第1週目にgoogle-baseをアプリケーションカタログに追加しました。これにより我々のお客様に、事前変更を実施することが可能となります。
この仮のApp-IDは、既存のファイアーウォールポリシーや、App-ID既存ルールに影響を及ぼすものではございません。 サンプルの移行ポリシーは以下です。
Palo Alto Networksが、仮のgoogle-baseを正式なものに更新するのは、2015年12月の第1週目です。
Palo Alto Networksの変更タイムラインはいかのようになります。
- 2015年10月20日 - Palo Alto Networksが次期Googleアプリケーションのファイアーウォールによる処理の変更点についてアナウンスいたします。
- 2015年11月の第2週目– Palo Alto Networks は仮のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。これにより、ファイアーウォールの事前設定が可能となります。
- 2015年12月の第1週目– Palo Alto Networks は正式のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。このアップデートにより、google-baseがApp-IDとして稼働します。以前ご使用になられていた、依存アプリケーションのssl, web-browsingを取り除くことができます。これより、いずれのGoogleアプリケーションにおいても依存アプリケーションはgoogle-baseとなります。
質問: いつこの変更が、アプリケーションと脅威のアップデートによって提供されますか?
回答: Palo Alto Networks は正式のgoogle-baseであるApp-IDを2015年12月の第1週目で配布するコンテンツアップデートで提供します。
質問: もしファイアーウォールのポリシー上にgoogle-base を追加せず、"ssl"、 "web-browsing" のままにしてたらどうなりますか?
回答: ファイアーウォールのポリシー上にgoogle-base を追加しなかった場合、Googleアプリケーションが正常に動作しなくなりますので、2015年12月の第1週目で配布されるコンテンツ アップデートで、google-base を許可する必要があります。
質問: PAN-OSどのバージョンがこの変更の影響を受けますか?
回答: 全てのPAN-OS softwareサポートバージョンで、2015年12月の第1週目で配布されるコンテンツアップデートを実施すると影響を受けます。
質問: 'google-base'が必要なアプリケーションのリストはありますか?
回答: 'google-base' が必要なアプリケーションのリストは、こちらのリンクをご参照ください。: List of applications that require 'google-base'
質問: 'google-base' App-IDを識別するためにSSL復号化を有効化する必要がありますか?
回答: いいえ、SSL復号化'google-base' App-ID を識別するために必要ではありません。しかしながら、SSL上で動作するGoogleアプリケーション(例えば、gmail)を復号化するためには必要です。
質問: 'google-base' App-IDをポリシーで許可すると、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)も許可されますか?
回答: いいえ、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)は個別にポリシー上で許可する必要がございます。
Palo Alto Networks 社は、お客様のファイアーウォール上のポリシーをご確認いただき、仮の'google-base' App-ID 設定を2015年12月1日以前に設定していただくことを強く推奨いたします。
その他質問に関して
もしその他に、この記事に書かれている変更点についてご質問がありましたら、Discussion forumにご質問を掲示していただくようお願いします。
回答
