統一ルールベースの使用例

ここでは、アクセスコントロールポリシーに定義できるルールの例を示す使用例をいくつか紹介します。

この例では、統一されたアクセスコントロールポリシーの例を示しています。アプリケーションとコンテンツを1つのOrdered Layerで制御します。

No.

名前

発信元

宛先

VPN

サービス&アプリケーション

内容

アクション

追跡

コンプライアンス全般 (1)

1

ブロックカテゴリ

Any

インターネット

Any

アノニマイザ

深刻なリスク

Any

ドロップ

ブロックメッセージ

ログ記録

危険な実行ファイルのブロック (2)

2

未分類のサイトやリスクの高いサイトからの実行ファイルのダウンロードをブロック

InternalZone

インターネット

Any

未分類

高リスク

トラフィックのダウンロード

実行ファイル

ドロップ

ログ記録

クレジットカード情報(3-4)

3

金融機関によるクレジットカード番号のアップロードを許可する。

ファイナンス(アクセスロール)

Webサーバ

Any

https

トラフィックのアップロード

PCI - クレジットカード番号

許可

ログ記録

4

会社のWebサーバから他のクレジットカードをブロック

Any

Webサーバ

Any

Any

任意の方向

PCI - クレジットカード番号

ドロップ

ログ記録

VPNで機密情報を知らせる (5)

5

VPNサイトからの機密データについてユーザへ通知

Any

Any

RemoteAccess

Any

任意の方向

給与調査レポート

通知

ログ記録

クリーンアップ (6)

6

クリーンアップルール

Any

Any

Any

Any

Any

許可

ログ記録

ルールについての説明:

ルール

説明

1

一般的なコンプライアンスセクション - 許容できないWebサイトやアプリケーションへのアクセスをブロックします。

2

危険な実行ファイルをブロックするセクション - 危険性の高い実行ファイルのダウンロードをブロックします。

3-4

クレジットカードデータセクション - クレジットカード番号のアップロードをファイナンス部門のみ許可し、HTTPS経由でのみ実行します。それ以外のクレジットカードはブロックします。

5

VPNセクションで機密データをブロックするセクション - 組織のVPN経由で接続したリモートユーザには、情報メッセージが表示されます。

6

クリーンアップ ルール - 先のルールのいずれかに一致しないすべてのトラフィックを許可します。

この使用例では、Webトラフィックを制御するアクセスコントロールポリシーの例を示しています。WebサーバのルールはInline Layerにあります。

いいえ

名前

発信元

宛先

サービス
アプリケーション

内容

アクション

追跡

1

本社WEBトラフィック - プロキシ経由

HQ

プロキシ

Webプロキシ

Any

確認

Webアクセスポリシー
アクセス・ノーティ...
1日1回
アプリごと...

ログ記録

2

インターネットへのプロキシを許可

プロキシ

インターネット

Web

Any

許可

なし

3

ローカル支社が直接インターネットにアクセスできるようにする

ローカル支社

インターネット

Web

Any

確認

Webアクセスポリシー
アクセス・ノーティ...
1日1回
アプリごと...

ログ記録

4

Webサーバ

InternalZone

Webサーバ

Web

Any

Webサーバの保護

N/A

4.1

未承認ブラウザの閲覧をブロック

Any

Any

ネゲート

Google Chrome
Internet Explorer 11
Firefox
Safari

Any

ドロップ

ログ記録

4.2

クレジットカードのアップロードをHTTPSでのみ行うことをユーザに通知

Any

Any

https

トラフィックのアップロード

PCI - クレジットカード番号

通知

アクセス・ノーティ...
1日1回
アプリごと...

ログ記録

4.3

クレジットカードのブロック

Any

Any

Any

任意の方向

PCI - クレジットカード番号

ドロップ

ブロックメッセージ

ログ記録

4.4

機密コンテンツのダウンロードをブロック

Any

Any

Any

トラフィックのダウンロード

HIPAA - 医療記録のヘッダ

ドロップ

ログ記録

4.5

クリーンアップルール

Any

Any

Any

Any

許可

なし

5

PayPalにクレジットカードを送信する際にユーザに確認

InternalZone

インターネット

PayPal

任意の方向

PCI - クレジットカード番号

確認

企業ポリシー
アクセス・ノーティ...
1日1回
アプリごと...

ログ記録

6

クリーンアップルール

Any

Any

Any

Any

ドロップ

ログ記録

ルールについての説明:

ルール

説明

4

インラインレイヤーの親ルールです。Actionは、インラインレイヤーの名前です。パケットが親ルールにマッチした場合、インラインレイヤのルール4.1にマッチングが続きます。パケットが親ルールにマッチしない場合、ルール5でマッチングが続きます。

4.1
-4.4

パケットがルール4.1にマッチした場合、そのパケットに対してルールアクションが行われ、それ以降のルールマッチは行われません。ルール4.1でパケットがマッチしない場合、ルール4.2へ進みます。インラインレイヤの残りのルールも同じロジックです。

4.5

もしOrdered Layerのどの上位ルールもパケットにマッチしない場合、明示的なCleanup Ruleが適用される。Cleanupルールは、デフォルトの明示的ルールである。ルールは変更または削除することができます。各インラインレイヤーと順序レイヤーの最後のルールとして、明示的なクリーンアップルールを設定することをお勧めします。

この例では、組織からのデータのアップロードとダウンロードを制御するポリシーを示しています。

ルールベースの下に、いくつかのルールの説明があります。

いいえ

名前

発信元

宛先

サービス&アプリケーション

内容

アクション

追跡

規制遵守

1

実行ファイルのダウンロードをブロック

InternalZone

インターネット

Any

トラフィックのダウンロード

実行ファイル

ドロップ

ログ記録

2

ファイナンスのユーザによるクレジットカード番号のアップロードをHTTPSでのみ許可

ファイナンス(アクセスロール)

Webサーバ

https

トラフィックのアップロード

PCI - クレジットカード番号

許可

ログ記録

3

会社のWebサーバから他のクレジットカードをブロック

InternalZone

Webサーバ

Any

任意の方向

PCI - クレジットカード番号

ドロップ

ブロックメッセージ

ログ記録

個人を特定できる情報

4

米国社会保障局(SSA)により割り当てられた米国の社会保障番号(SSN)と一致する。

InternalZone

インターネット

Any

トラフィックのアップロード

米国の社会保障番号 - SSAによる

通知

アクセス通知...
1日1回
アプリごと...

ログ記録

5

機密医療情報のダウンロードをブロック

InternalZone

インターネット

Any

トラフィックのダウンロード

HIPAA - 医療記録ヘッダー

ドロップ

ブロックメッセージ

ログ記録

HR(人事)

6

給与調査報告書を含む文書のアップロード時にユーザに確認

InternalZone

インターネット

Any

トラフィックのアップロード

給与調査レポート

確認

企業ポリシー
1日1回
アプリごと...

ログ記録

知的財産

7

ソースコードを含むデータとのマッチング

InternalZone

インターネット

Any

任意の方向

ソースコード

ソースコードの制限

N/A

7.1

 

Any

Any

Any

トラフィックのダウンロード

ソースコード

許可

ログ記録

7.2

 

Any

Any

Any

トラフィックのアップロード

ソースコード

確認

企業ポリシー
1日1回
アプリごと...

ログ記録

7.3

クリーンアップ インライン レイヤー

Any

Any

Any

Any

ドロップ

ブロックメッセージ

ログ記録

ルールについての説明:

ルール

説明

1-3

規制遵守セクション - 実行可能ファイルやクレジットカードのアップロードとダウンロードを制御します。

Contentの方向を設定できます。ルール1ではDownload Traffic、ルール2ではUpload Traffic、ルール3ではAny Directionです。

ルール1は、ファイルタイプである実行ファイルを制御します。ファイルタイプのルールは、コンテンツタイプのルール(ルール2~7)よりもルールベースの上位にあります。これにより、コンテンツタイプよりもファイルタイプの方が早くマッチングされるため、ルールベースの効率が向上します。

4-5

個人識別情報セクション - 社会保障番号や医療記録のアップロードとダウンロードを制御します。

ルール4のルールアクションはInformです。社内ユーザが社会保障番号の入ったファイルをアップロードすると、ユーザにメッセージが表示されます。

6

人事セクション - 給与調査情報の社外への送信を制限します。

ルールアクションはAskです。機密性の高いコンテンツが検出された場合、ユーザはそのアップロードが組織のポリシーに準拠していることを確認する必要があります。

7

知的財産セクション - ソースコードが外部へ送られる際に制御するルールのグループ。

ルール7はインライン・レイヤーの親ルールである (オーダーレイヤーとインラインレイヤー)。Actionは、インラインレイヤーの名前です。

パケットがルール7.1にマッチした場合、マッチングは停止します。

ルール7.1でパケットがマッチしない場合、ルール7.2へ進みます。同様に、一致しない場合は次の7.3へ進みます。マッチングはインラインレイヤーの最後のルールで停止します。各インラインレイヤーの最後のルールとして、明示的なクリーンアップルールを設定することをお勧めします。

このユースケースは、インターネットの閲覧をモニタおよび制御する典型的なポリシーの URL フィルタリングおよびアプリケーション制御ルールの例を示しています。(Hits, VPNInstall On のカラムは表示されていません)。

No.

名前

発信元

宛先

サービス&アプリケーション

アクション

追跡

時間

1

賠償責任サイト

Any

インターネット

ポテンシャル
負債(グループ)

ドロップ

ブロック・メッセージ

ログ記録

Any

2

ハイリスクのアプリケーション

Any

インターネット

高リスク

iTunes

アノニマイザー(カテゴリ)

ドロップ

ブロック・メッセージ

ログ記録

Any

3

IT部門のリモート管理を許可

IT(アクセスロール)

Any

Radmin

許可

ログ記録

ワーク
時間

4

人事部のFacebookを許可

HR(アクセスロール)

インターネット

Facebook

許可

Download_1Gbps

ログ記録

Any

5

これらのカテゴリをブロック

Any

インターネット

ストリーミングメディアプロトコル

ソーシャル ネットワーク

P2Pファイル共有

リモート管理

ドロップ

ブロック・メッセージ

ログ記録

Any

6

すべてのアプリケーションをログ記録

Any

インターネット

Any

許可

ログ記録

Any

ルールについての説明:

ルール

説明

1

Liability sites- カスタムPotential_liabilityグループのサイトとアプリケーションへのトラフィックをブロックします。UserCheckBlocked Messageはユーザに表示され、トラフィックがブロックされた理由を説明します。参照: ブロックサイト

シナリオ:責任問題を引き起こす可能性のあるカテゴリに関連するサイトをブロックしたい。これらのカテゴリのほとんどはアプリケーション・データベースに存在するが、カスタム定義されたサイトも含まれなければならない。どうすればいいですか?

カスタムグループを作成し、該当するすべてのカテゴリとサイトをそのグループに追加することでこれを行うことができます。セキュリティゲートウェイで Identity Awareness を有効にすると、URL フィルタリングと一緒に使用して、アクセスロールに適用するルールを作成できます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

  • 以下が既に作成されています。

    • 組織内のすべての識別されたユーザ(Identified_Users)を表すアクセス・ロール。

    • FreeMoviesというサイトのカスタムアプリケーション。

  • 組織内のすべての人に責任問題を引き起こす可能性のあるサイトをブロックしたい。

  • アプリケーションデータベースカテゴリと、以前に定義したFreeMoviesというカスタムサイトを含むカスタムグループを作成します。

カスタムグループを作成するには

  1. オブジェクトエクスプローラで、New > More > Custom Application/Site > Application/Site Groupをクリックします。

  2. グループに名前をつけます。例えば、Liability_Sites

  3. +をクリックして、グループメンバを追加します。

    • カスタムアプリケーションFreeMoviesを検索し、追加します。

    • Categories を選択し、ブロックしたいものを追加します(例:AnonymizerCritical RiskGambling)。

    • クリックClose

  4. クリックOK

これで、アクセス・コントロール・ルールベースでLiability_Sitesグループを使用できるようになります。

ルールベースに、次のようなルールを追加します。

SmartConsoleのSecurity Policiesビューで、Access Control Policyにアクセスします。

  • Source-Identified_Usersアクセス・ロール

  • Destination-Internet

  • Services & Applications- 賠償責任サイト

  • Action-Drop

    - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb Browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスの変更」を参照してください。

名前

発信元

宛先

サービス&アプリケーション

アクション

追跡

法的責任の発生する可能性のあるサイトをブロック

Identified_Users

インターネット

Liability_Sites

ドロップ

ログ記録

2

High risk applications- 高リスクカテゴリのサイトやアプリケーションへのトラフィックをブロックし、iTunesアプリケーションをブロックします。UserCheckBlock Messageはユーザに表示され、トラフィックがブロックされた理由を説明します。

3

Allow IT department Remote Admin-IT 部門ネットワーク内のコンピュータがRadminアプリケーションを使用できるようにします。Radmin を使用するトラフィックは勤務時間内にのみ許可されます (たとえば、8:00 から 18:30 に設定します)。

4

Allow Facebook for HR-HR ネットワーク内のコンピュータにフェイスブックの使用を許可する。フェイスブックからダウンロードされる総トラフィックは1Gbpsに制限され、アップロード制限はない。

5

Block these categories- 以下のカテゴリへのトラフィックをブロックします:ストリーミングメディアソーシャルネットワーキングP2Pファイル共有リモート管理。UserCheckBlocked Messageはユーザに表示され、トラフィックがブロックされた理由を説明します。

- リモート管理カテゴリは、Radmin アプリケーションを使用するトラフィックをブロックします。このルールをルール3の前に置くと、このルールはIT部門のRadminもブロックできる。

6

Log all applications- URLフィルタリングおよびアプリケーションコントロールのカテゴリのいずれかに一致するすべてのトラフィックをログに記録します。