PAシリーズの機能
PAシリーズが搭載する先進の識別機能など、詳しくご紹介します。
- アプリケーション制御と可視化(App-ID)
- ユーザー識別(User-ID)
- リアルタイム脅威防御(Content-ID)
- 高性能UTM/IPS
- 未知のマルウェア検知(クラウドサンドボックス WildFire)
- モバイルデバイスをセキュアに利用(GlobalProtect)
- 振る舞い検知(ボットネット検知)
- PAシリーズ 全体の構造(SP3アーキテクチャ)
- 社内に侵入したマルウェアの感染拡大を防止
アプリケーション制御と可視化(App-ID)
アプリケーション識別機能(App-ID)とは
Palo Alto Networks PAシリーズが独自に使用する、3,197種類以上(2020年3月現在)のアプリケーションを識別する特許申請中のトラフィック分類技術です。ポート、プロトコル、SSL暗号化や検知回避行為の有無に関わらずアプリケーションを識別できます。
4種類のApp-IDトラフィック識別技術
- アプリケーションプロトコル検出とSSL復号:
使用されているアプリケーションプロトコル(httpsなど)を識別します。ここで、SSLで暗号化されたアプリケーションが特定された場合は、一旦PAシリーズの内部でトラフィックを復号(SSL復号)し解析を進めます。 - アプリケーションプロトコル解読:
プロトコルが通常のアプリケーション転送目的で使用されているか(ウェブブラウジングアプリケーションでのhttpsなど)、または本来のアプリケーションプロトコルを隠蔽するための見せかけプロトコルであるかを判断します。 - アプリケーションシグネチャ適用:
プロトコルやポートに関わらずアプリケーションを正確に識別するために、ユニークなアプリケーション特性や関連するトランザクション特性をもとに作成したシグネチャとマッチングを行い、どのアプリケーションを使用しているのかを識別します - 経験則解析:
ある特定の場合、シグネチャのマッチングを行っても検出できないアプリケーションが存在します。このような場合、独自の暗号化を施したアプリケーション(P2PやVoIPアプリケーションなど)を特定するために経験則解析、または行動解析を行います。
アプリケーションブラウザー
PAシリーズで識別できるアプリケーションを、どのように把握しポリシーに適応させるかは、管理者にとって重要な問題です。アプリケーションブラウザーは、アプリケーション情報を調べる際、またアプリケーションをポリシーへ移す際に利用されます。
アプリケーション最新情報
PAシリーズが識別可能なアプリケーションは増え続けています。アプリケーションの最新情報は、毎週更新されています。
ユーザー識別(User-ID)
User-IDとは
PAシリーズとMicrosoft社のActive Directoryサーバーをシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザー名およびユーザーグループのデータを使用できるようになる機能です。
Active Directory連携
PAシリーズに付属しているUser Identification Agent(ユーザー識別エージェント)を用いてActive Directoryのドメインコントローラーと通信を行い、ある特定の時点でユーザーが使用しているIPアドレスにそのユーザー情報をマッピングします。
リアルタイム脅威防御(Content-ID)
Content-IDとは
許可されたアプリケーショントラフィックの観察を実現します。ストリームベースのスキャンニング、脅威シグネチャの単一フォーマット、アプリケーション可視化の要素を持つ包括的なURLデータベースを用いて、認証されていないファイル転送を制限し、広義の脅威を検出およびブロックし、業務に関係のないウェブサーフィンを管理します。App-IDと連携して動作することで、コンテンツ検査プロセスをより効率的かつ正確にします。
- FlashMatchエンジン
このエンジンひとつでさまざまなマルウェアを検出し防御します。それぞれのセクションを跨ぐたびに発生していたオーバーヘッドがなく、これによりThreat Prevention機能使用時でも5Gbps(最大)という高性能を実現します。 - Threat Prevention機能
侵入検知/防御・アンチウイルス・アンチスパイウェアの機能です。 - URLフィルタリング
従業員のウェブサーフィンの監視と制御を容易にするのがURLフィルタリングデータベースです。70カテゴリーに渡る6000万個のURLが登録されています。 - ファイル転送コントロール
ペイロードの中を深く検査し、ファイルタイプを単に拡張子の識別だけではなく詳細に見分けることで、さまざまなタイプのファイルフローの抑制を可能にします。
高性能UTM/IPS
高性能なUTM/最大10Gbpsをサポート
- 従来型ファイアウォールのUTM機能の弱点
従来型ファイアウォールは、高速なファイアウォール処理に追加機能として、UTM機能(URLフィルタリング、IPS、アンチウイルスなど)を後付けしている製品が多く、各機能が独立して動作するため、非常に非効率で、性能の劣化につながっています。 - 次世代ファイアウォール「PAシリーズ」が高性能な理由
PAシリーズは、高速なシングルパス・アーキテクチャ「SP3」の採用により、一度の処理で複数のUTM機能を実行します。そのため、パケット解析の繰り返しが不要で、ハード負荷が軽減され、最小限の遅延でトラフィック処理を実現します。
「トラフィック増加」と「セキュリティ対策」を両立できるIPS
- 業界最高クラスの検知率
第三者調査機関(NSS Labs)による計測結果にて、他IPS装置を上回るセキュリティの高さが証明されました。 - 業界最高クラスの高い実効性能
実環境において、カタログ値に近い性能を提供することが可能です。独自エンジンの搭載により高性能を実現します。
未知のマルウェア検知(クラウドサンドボックス WildFire)
標的型サイバー攻撃では、一般的なウイルス対策ソフトウェアでは防ぐことができない未知のマルウェアが使用されることが増えており、対策が必要不可欠となっています。
PAシリーズは、サンドボックス環境であるWildFireで未知のマルウェア対策が可能です。PAシリーズを通過したファイルをサンドボックスへ送信し、自動分析を行います。
WildFireの特長
- 巧妙に進化し続けるマルウェアへの迅速な対応!
- プロトコルごとに複数の専用ツールは不要。WildFire1つでまとめて対策!
- ご要望に合わせて選べる2種類のWildFireをご用意!
モバイルデバイスをセキュアに利用(GlobalProtect)
GlobalProtectは、外出先でモバイル端末から社内のネットワークに、セキュアにVPNでリモートアクセスするための機能です。
モバイル端末から社内にPAシリーズ経由で接続し、アプリケーションの可視化/制御や、デバイスの検疫、マルウェア防御が行えます。
振る舞い検知(ボットネット検知)
振る舞いベースのメカニズムを用い、PAシリーズで取得した以下の各種ログをもとに、トラフィックタイプに応じた複数の判断基準による閾値チェックを行い、閾値を超えた通信を行ったホストを、ボットネットに感染した可能性があると判断します。
PAシリーズ 全体の構造(SP3アーキテクチャ)
プラットフォーム アーキテクチャとは
プラットフォームの大きな特長は、データ基盤と制御基盤が完全に切り離されていることです。それぞれの処理をそれぞれの基盤で行うことで、相手の影響を受けずに制御・処理を行うことができます。
制御基盤、FlashMatchエンジン、ネットワークプロセッサー、セキュリティプロセッサーなど、多くの処理技術がスループットを最大にするために使用されています。
- PAN-OS
ネットワーク機能・Threat Prevention機能、そして管理機能をApp-IDと完全に統合する、セキュリティに特化したオペレーションシステムがPAN-OSです。
社内に侵入したマルウェアの感染拡大を防止
標的型サイバー攻撃で使用されるマルウェアは、攻撃対象の企業に合わせて作られているため、一般的なウイルス対策ソフトウェアなどでは、感染を防ぐことは難しいのが現状です。
標的型サイバー攻撃から企業の重要情報を守るためには、「マルウェアに感染させない対策」に加えて、「感染時に被害を最小化する対策」が必要となります。
- PAシリーズについて見る