GlobalProtectの設計と脆弱性防御のプロファイル適応についての考察

　パロアルトネットワークス次世代ファイアウォールにはGlobalProtectというVPN機能が利用可能です。WindowsおよびMacOSにてVPN接続の基本機能だけであれば追加ライセンスなく、標準機能として設定すればご利用いただけます。

スマートデバイスからのVPN接続、DNSドメインベースのスプリットトンネル、HIP機能、IPv6などの基本機能以外を利用する場合にはGlobalProtectの追加ライセンスが必要です。詳細は下記のサイトをご覧ください。

https://docs.paloaltonetworks.com/globalprotect/10-1/globalprotect-admin/globalprotect-overview/abou...

　このGlobalProtectの導入するための設計方法とセキュリティプロファイルの適応に関しての注意点があります。

VPN機能は一般的にインターネットから利用するケースがほとんどであり、固定グローバルIPアドレスをPAシリーズのインターフェースに設定し、そのインターフェースにGlobalProtectのポータルやゲートウェイの設定を行われています。しかし、この設定を行った場合、以下の懸念点があります。

■懸念点：固定のグローバルIPおよびゾーン（ここではuntrustとします） をインターネットが接続されているインターフェースに設定しますが、このインターフェースに設定した固定グローバルIPアドレスを利用してGlobalProtectのポータルやゲートウェイ設定を行っている場合、インターネットからこれらの固定グローバルIPアドレスへの通信はuntrustからuntrustへのゾーン内の通信となり、明示的な許可ルールを設定しなくとも、事前定義済みのintrazone-defaultのルールにヒットし許可されます。従いまして、このようなGlobalProtectの設計/設定を行った場合、GlobalProtectでVPN接続させるための明示的な許可ルールの設定は不要です。(VPN接続後の通信を許可するルールは別途必要ですが）

　しかし、このintrazone-defaultの事前定義済みルールにヒットした通信に対してはセキュリティプロファイルの適応ができないため、脅威防御ライセンスがあっても脆弱性防御の対象通信とすることができません。
　従いまして、GlobalProtectのポータルやゲートウェイに関連する脆弱性が発見された場合、PAシリーズでは自身の脆弱性攻撃を検知し防御するためにシグネチャを配信することで、自身の防御機能にて防御する措置が取られることが多いですが、intrazone-defaultで許可されている通信はプロファイルが適応されず防御対象となっていないため、シグネチャを更新したとしても防御できません。

これらを考慮しGlobalProtectの設計/設定を以下のいずれかにするようにする必要があります。

1. GlobalProtectポータルやゲートウェイに対して明示的なuntrustからuntrustへの通信の許可ルールを追加し、そこにセキュリティプロファイルを適応する
   ただし、この方法の懸念点としては不要な脅威ログやトラフィックログが出力される可能性があります。
   
   
2. GlobalProtectポータルやゲートウェイ用のloopbackインターフェースを追加し、そのloopbackインターフェースに対してゾーンを割り当て、インターネットのゾーンからloopbackのゾーンに対する許可ルールの追加し、その許可ルールにセキュリティプロファイルを適応する
   （※グローバルIPアドレスが1つしかない場合、loopbackインターフェースにプライベートIPアドレスを設定し、宛先NAT機能で外部からVPN接続に対して許可が必要なpanos-globalprotectやipsec-esp-udpなどのアプリケーションを許可することで、防御可能です。

　尚、VPN装置はインターネットからのアクセスを許可せざるを得ないですが、そのため脆弱性がアナウンスされた場合には早急な対処が必要となります。しかし、SASE/Prisma AccessのクラウドサービスでのVPN機能に関しては、クラウド側でこれらの脆弱性防御の措置も行いますので、お客様やパートナー様の方で対処する必要にはならないケースがほとんどですので、運用負担は軽減できます。

　今後のためにも、今からGlobalProtectの実装方法や認証方法を見直してみてはいかがでしょうか？