Japanese LIVEcommunity | Palo Alto Networks

ネットワークエンジニアのためのSASE/Prisma Access解説

市場ではゼロトラストやSASEのニーズが高まってきています。クラウドサービスというのは「よく分からない」というご意見もよく聞きますし、特にネットワークエンジニアからすると、SASEはブラックボックスのように見えて、設計や運用に対する不安などがまだまだあるように思います。また、SASEというのは業界的な用語ですが、実装方法についてはベンダーに大きく依存しますので、理解がより難しくなっていると思います。そこで、私自身がもともとネットワークエンジニアですので、ネットワークエンジニアから見たSASE/Prisma Accessについて解説したいと思います。この記事を読んでいただければ、ネットワークエンジニア的な視点では、実はPrisma Accessの仕組みはそれほど難しくなく、設計や動作...

イントラネット/内部ネットからクラウドアクセスまで一貫した「ゼロトラスト」の実現

ネットワークのセキュリティ対策として「ゼロトラスト」という言葉が広く使われています。お客様からも「ゼロトラスト化したい」というご要望をいただくことが非常に増えています。しかし、「ゼロトラスト」はセキュリティモデルにおける概念であり、昨今のパブリッククラウドの利活用や働き方改革/DXの一環でのテレワークなどにより、内部リソースがインターネット上に存在するようになり、「守るべきもの」がインターネット上に存在するなどITインフラが複雑になり従来のセキュリティモデルである「境界面セキュリティ」では対応が厳しくなってきているので、「ゼロトラスト」は今後ネットワークインフラとセキュリティの検討においては非常に重要な概念であることは間違いありません。業界ではゼロトラストネットワークア...

SASE/PrismaAccessはVPN型のサービスなのか？

パロアルトネットワークス社では「ゼロトラスト」化をクラウドベースで行うソリューションとしてSASE/PrismaAccessを提供しています。PrismaAccessの基本的な利用/接続形態は大きくは以下の2通りです。 ■データセンターや拠点のIPsec接続(固定接続）国際標準規格に基づいたIPsecトンネルにてセキュアに拠点とPrismaAccessを接続します。もしくはZTNAコネクターにて特定のアプリケーションサーバーとの接続する接続の利用が可能です。 ■端末からのVPN接続（モバイルユーザ接続）端末にGlobalProtectのアプリケーションをインストールし、IPsecもしくはSSL-VPNにてPrismaAccessと接続します。もしくは明示的プロキシ(...

サポートケースの作成方法

Palo Alto Networks Knowledge Baseの以下の記事をご参照ください。 How to create a Technical Support Case from the Customer Support Portal （機械翻訳による日本語版: カスタマーサポートポータルからテクニカルサポートケースを作成する方法）

GIGAスクール：Youtubeのコンテンツ単位のアクセス制御とSSL復号に関しての考察

GIGAスクールのインフラ整備が推進されていますが、以前からの課題として、学習系にて、Youtube動画コンテンツの視聴に関して、最大の懸念点であるSSL復号処理に関しての参考情報をご説明いたします。【従来および現状の課題】 Youtubeにて学習コンテンツがあり、Youtube動画を視聴させたいというニーズが高い。しかし、一般的にYoutubeなどの動画サイトはアクセス禁止となっている。 Youtubeの通信はSSLで暗号化されており、視聴している動画コンテンツが把握できず、コンテンツ単位での視聴制御は不可能。 SSL復号を行うことで、視聴しているコンテンツIDが識別でき、アクセス制御可能となるが、Youtube動画トラフィック量が多いため、すべてのYoutubeトラフィック...

GlobalProtectの設計と脆弱性防御のプロファイル適応についての考察

パロアルトネットワークス次世代ファイアウォールにはGlobalProtectというVPN機能が利用可能です。WindowsおよびMacOSにてVPN接続の基本機能だけであれば追加ライセンスなく、標準機能として設定すればご利用いただけます。スマートデバイスからのVPN接続、DNSドメインベースのスプリットトンネル、HIP機能、IPv6などの基本機能以外を利用する場合にはGlobalProtectの追加ライセンスが必要です。詳細は下記のサイトをご覧ください。 https://docs.paloaltonetworks.com/globalprotect/10-1/globalprotect-admin/globalprotect-overview/about-globalprotect...

次世代ファイアウォールの最大同時セッション数についての考察

皆さんもよくご存じの通り市場で販売されている次世代ファイアウォール製品はほぼすべてがステートフルファイアウォールであり、TCP/UDPのセッションを識別し、内部でセッションテーブルが管理され、生成されたセッションの戻りパケットを自動的に通過させる仕組みで動作します。そのため、次世代ファイアウォールの製品選定するときに必ず確認すべきは「同時最大セッション数」です。同時最大セッション数とは、セッションテーブルの大きさであり、同時に処理できる最大セッション数であり、同時最大セッション数を超えると通信が不安定になったり、通信不可になることもあります。なので、最大同時セッション数は重要なのです。では、このセッションテーブルの管理はどのようにされているか皆さんご存じでしょうか？ TCPや...

ガバメントクラウドの利用を検討されている地方公共団体の方へ

ガバメントクラウドとセキュリティについて ●デジタル庁により推進されている政府共通のクラウドサービス環境である「ガバメントクラウド」を活用し、地方公共団体で現在オンプレミス環境で稼働しているマイナンバー系のシステムをガバメントクラウドに「アップ」が推進されています。ガバメントクラウドの活用により、最新のクラウド技術を活用し、世の中の状況の変化に応じて情報システムを柔軟に変更でき、インフラコストの削減も期待されています。 ●ガバメントクラウドは、Amazon Web Service(AWS)、Google Cloud、Microsoft AzureおよびOracle Cloud Infrastructureの4つのパブリッククラウドサービスを利用することが決定しています。 ●パブリックク...

この場所について

Prisma SASE (Access/SD-WAN)の設定、構築ガイドを掲載の予定です。

この場所について

Cortex Data LakeのPost-Salesの製品、サービスに関するお知らせを掲載の予定です。

テレワーク環境での端末セキュリティ対策で考えるべきこと

テレワーク環境のためにVPNやSWG、SASEやIAPなどのソリューションの検討が増加しています。これらの多くの検討ポイントは、CASB機能と内部アクセスであることが多いですが、テレワーク環境＝自宅などでのインターネット環境に端末を接続してネットワークを利用しますので、そもそもCASBだけではなく、端末をマルウェア感染や不正アクセスを受けない状態を維持することが重要です。もしテレワーク環境で端末に潜伏型マルウェアが感染した場合、VPN経由での内部への不正アクセスや、その端末を社内や内部ネットワークに接続することで、ラテラルムーブメント(横感染)して、内部にもマルウェア感染が拡大してしまいます。従いまして、組織が支給している業務用端末をテレワークで利用する場合、とにかく不要なネ...

RDPサーバーへのBruteForce攻撃の検知および防御の方法について

インターネットからのリモートアクセス環境において、VPN接続後にRDPを利用して画面転送にて内部アクセスを許可させる方法が一般的です。この方式により外部からVPN経由でも直接内部ネットワークへはアクセスできなくすることで内部ネットワークへの不正アクセスやマルウェア攻撃を困難にすることが可能です。しかし、昨今のランサムウェアの攻撃でRDPサーバーへのブルートフォース攻撃も増加しています。VPN接続後のRDP接続であり、比較的安易なパスワードの利用や、パスワードを使いまわしてしまうことで、ブルートフォース攻撃でRDP接続に成功してしまう土壌があります。一旦、RDP接続に成功されると、その後容易に内部ネットワークへの不正アクセスができてしまいます。従いまして、RDPのブルートフォース攻撃の...

通信やファイルが検査できないことの危険性と対処方法について

ネットワークセキュリティ対策としての「ゼロトラスト」に対して理解が広がってきておりますが、具体的な実装方法についても理解はまだまだ十分であるとは言い難い状況です。ゼロトラストを実現するために次世代FWやSASE/PrismaAccessの導入を検討していただいているお客様も多いですが、技術的な理解に基づいて、適切な設定やポリシーを適応しないと、十分なネットワークセキュリティ対策ができているとは言えない状態になります。具体的な検査できない危険性とは何を意味しているのかについて以下に説明します。 SSL通信今やインターネットの通信の９割以上がSSLによる暗号化通信です。暗号化された通信はそのままでは通信内容の検査が行えず、マルウェアファイルのダウンロードや機密情報のアップロードを...

【教育委員会様向け】校務系システムのネットワークにはPrisma Accessが最適

2022年3月に教育情報セキュリティポリシーに関するガイドラインが改定され、「ネットワーク分離による対策」だけではなく「アクセス制御による対策」が追記されました。この改定により、セキュリティレベルを下げず、現場の利便性を高める校務システムの導入が可能となったといえると思います。また、文部科学省としても将来的にも「アクセス制御による対策」への移行を推奨しているようです。改定前の教育情報セキュリティポリシーに関するガイドラインでは、当初は教員が利用するネットワークは「校務系」と「校務外部接続系」のネットワーク分離することを求めており、そのため、端末も物理もしくは仮想での校務専用端末が必要でした。物理の校務専用端末の場合、職員室のみで利用可能とする教育委員会様も少なくないようです。職...

AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法

PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。このAutoTag機能を利用することで、各端末(IPアドレス）単位でインターネット利用時間を制限する方法です。具体的には以下のような制御を行うことが可能です。利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。もしくは、利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しかし、その後、1時間経過すると再度インターネットが1時間利用可能となる。このような制御のニーズとしては、例えば、学校や公衆ネットワークなどでのインターネットの利用時間を制限したり、連続で...