アプリケーション制御と 可視化(App-ID)
アプリケーション識別機能 (App-ID)とは
アプリケーション識別機能(App-ID)とは、Palo Alto Networks 次世代ファイアウォールが独自に使用する、4,000種類以上(2024年3月現在)のアプリケーションを識別する特許取得済みのトラフィック分類技術です。ポート、プロトコル、SSL暗号化や検知回避行為の有無に関わらずアプリケーションを識別できます。
企業ネットワークには、業務用、私用問わず検出を回避できるアプリケーションが多数存在しています。その中には、自身を正当なトラフィックのように偽装していたり、ポート番号を動的に変更したり、SSL暗号化されたトンネルを介してファイアウォールをすり抜けたりするものもあります。こういったアプリケーションの例には、P2P、インスタントメッセンジャー、RSS、Webメールなどがあります。これらはすべて前述のような回避方法を利用していますが、これらの多くはデータ損失、プライバシー、生産性、脅威を誘引する可能性が十分にあります。
ネットワーク上を行き交うアプリケーションを正確に特定するために、App-IDでは下記4種類のトラフィック識別技術を使用します。
4種類のApp-IDトラフィック識別技術
アプリケーション制御と可視化は次の4つの処理で実施されます。
-
1.アプリケーションプロトコル検出とSSL復号:
使用されているアプリケーションプロトコル(httpsなど)を識別します。
ここで、SSLで暗号化されたアプリケーションが特定された場合は、一旦Palo Alto Networks 次世代ファイアウォールの内部でトラフィックを復号(SSL復号)し解析を進めます。
その後、プロトコルを再暗号化してトラフィックの送受信を続行します。 -
2.アプリケーションプロトコル解読:
アプリケーションプロトコル解読の目的は2つあり、1つ目にアプリケーションの種類を大幅に絞ること、2つ目にトンネリング目的で使用されている可能性のあるプロトコルを無効化することがあります。App-IDのプロトコル解読機能は、プロトコルが通常のアプリケーション転送目的で使用されているか(ウェブブラウジングアプリケーションでのhttpsなど)、または本来のアプリケーションプロトコルを隠蔽するための見せかけプロトコルであるかを判断します(httpsトラフィックの中にYahoo! Instant Messengerが存在する場合など)。
-
3.アプリケーションシグネチャ適用:
プロトコルやポートに関わらずアプリケーションを正確に識別するために、ユニークなアプリケーション特性や関連するトランザクション特性をもとに作成したシグネチャとマッチングを行い、どのアプリケーションを使用しているのかを識別します。
-
4.経験則解析:
ある特定の場合、シグネチャのマッチングを行っても検出できないアプリケーションが存在します。このような場合、独自の暗号化を施したアプリケーション(P2PやVoIPアプリケーションなど)を特定するために経験則解析、または行動解析を行います。経験則解析は、それ以外の方法では検出を免れてしまうアプリケーションを可視化するために、前述したほかのApp-IDテクノロジーとあわせて必要に応じて使用されます。
アプリケーション ブラウザーとは
Palo Alto Networks 次世代ファイアウォールで識別できるアプリケーションを、どのように把握しポリシーに適応させるかは、管理者にとって重要な問題です。アプリケーションブラウザーは、アプリケーション情報を調べる際、またアプリケーションをポリシーへ移す際に利用されます。
アプリケーション名を直接クリックすると、アプリケーションの説明や、使用するポート番号、ファイル転送の可否、帯域を占有する可能性などの情報を取得することができます。アプリケーションにつけられたリスクレベルは、当てはまる項目が多いほど、リスクが高く付けられます。これらの情報をもとに、脅威となるアプリケーションの制御を決定することが重要です
Palo Alto Networks 次世代ファイアウォールで識別可能なアプリケーションの種類は、Palo Alto Networks社のウェブサイトでも確認することができます。
アプリケーションを効率よくポリシーに移すため、Palo Alto Networks 次世代ファイアウォールではフィルタ機能が実装されています。
例えばアプリケーション一覧にカテゴリー/サブカテゴリー/テクノロジ/リスク/特性でフィルタをかけることで、アプリケーションを絞りこむことができます。この例では「ファイル共有ソフトウェア」と「P2P技術」でフィルタをかけています。フィルタで絞り込まれたアプリケーションをひとつずつポリシーに移すこともできますが、フィルタ結果をそのままに移すことも可能です。
アプリケーション最新情報
下のボタンを押していただくと、Palo Alto Networks社の専用ページへ移動し、識別可能なアプリケーションの最新情報がご確認いただけます。