Palo Alto Networks Next-Generation Firewall連携

1 Palo Alto Networks Next-Generation Firewall連携とは?

ForescoutとPalo Alto Networks Next-Generation Firewall(以降NGFW)が連携することにより、
  • ネットワーク上に存在する脅威となりうる端末の検知、解析、制御の強化
  • ユーザー、ロールベースでのリアルタイム制御
  • エンドポイントのデバイス分類毎のダイナミックなセグメンテーションの実装
Forescoutで学習したエンドポイントのコンプライアンス状況、オペレーティングシステム、ロケーション、役割などの様々な情報をリアルタイムでチェックし、ダイナミックなアクセスコントロールを実装できます。

2 連携の方法

ForescoutはNGFW上のタグ情報を使用し、エンドポイントをdynamic Address Group(dag)に加えることで、エンドポイントのアクセス制御を行います。
他にもAPIを使い、Forescoutで検知したIPアドレスをUser-IDにマップしたり、HIPデータをNGFWへ送ることができます。

図1 ForescoutとNGFWアクセス制御フロー図

図1 ForescoutとNGFWアクセス制御フロー図

① Forescoutでエンドポイント情報を解析
② エンドポイントがポリシーに違反していた場合、ForescoutはNGFWに対してREST APIを実行し、対象のエンドポイントのIPアドレスとTag情報を紐づけることで、エンドポイントをアクセス制限用dagに所属させる
③ エンドポイントが所属したdagをアクセス制御対象としているSecurity Policyによってアクセス制御

3 連携の動作

設定)

Forescoutコンソール上のオプションから連携対象のNGFWの情報を設定します。(図2 NGFWの連携設定画面)

図2 NGFWの連携設定画面

図2 NGFWの連携設定画面

Forescoutにポリシーを追加します。この例ではパーソナルファイアウォールが有効になっていないエンドポイントをNGFWでアクセス制御していきます。(図3 ポリシー設定画面)

図3 ポリシー設定画面

図3 ポリシー設定画面

対象のエンドポイントをdagに所属させるためにエンドポイントと紐づけるTagを指定します。(図4 エンドポイント設定画面)

図4 エンドポイント設定画面

図4 エンドポイント設定画面

このTag情報によって紐づけられるdagの設定は以下となります。(図5 dynamic Address Group設定画面)

図5 dynamic Address Group設定画面

図5 dynamic Address Group設定画面

このdagに関連するポリシーの設定は以下となります。(dns、https等の通信が拒否される設定となっています)

図6 dynamic Address Groupポリシー設定画面

図6 dynamic Address Groupポリシー設定画面

動作)

パーソナルファイアウォールを無効にし、対象のアクセス制御を行うエンドポイント(192.168.0.15)のパーソナルファイアウォールを無効にしていきます。

図7 パーソナルファイアウォールによるアクセス制御結果画面

図7 パーソナルファイアウォールによるアクセス制御結果画面

パーソナルファイアウォールを無効にした結果、対象のエンドポイント(192.168.0.15)がForescoutコンソール上でNGFWのアクセス制御ポリシーにヒットしたことが確認できます。図8 NGFWのdagのアドレス一覧画面

図8 NGFWのdagのアドレス一覧画面

図8 NGFWのdagのアドレス一覧画面

NGFWのdagのアドレス一覧を確認した結果、対象のエンドポイントのIPアドレスが追加されていることが確認できます。(図9 dynamic Address Group結果画面)

図9 dynamic Address Group結果画面

図9 dynamic Address Group結果画面

対象のエンドポイントでブラウジングできなくなっていることが確認できます。(図10 アクセス制御結果画面)

図10 アクセス制御結果画面

図10 アクセス制御結果画面

4 まとめ

ForescoutとPalo Alto Networks Next-Generation Firewallの連携モジュールが用意されているため、簡単に連携を実装することができます。また、連携することでエンドポイントのコンプライアンス状況などを条件に、柔軟なアクセスコントロールを実現することができます。

Palo Alto Networks Next-Generation Firewall連携 まとめ

Palo Alto Networks Next-Generation Firewall連携

Forescout Platformに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第2営業部
    プラットフォーム営業課

    03-4405-7816

メールでのお問い合わせ
forescout-sales@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。