Palo Alto Networks Next-Generation Firewall連携
1 Palo Alto Networks Next-Generation Firewall連携とは?
ForescoutとPalo Alto Networks Next-Generation Firewall(以降NGFW)が連携することにより、- ネットワーク上に存在する脅威となりうる端末の検知、解析、制御の強化
- ユーザー、ロールベースでのリアルタイム制御
- エンドポイントのデバイス分類毎のダイナミックなセグメンテーションの実装
2 連携の方法
ForescoutはNGFW上のタグ情報を使用し、エンドポイントをdynamic Address Group(dag)に加えることで、エンドポイントのアクセス制御を行います。
他にもAPIを使い、Forescoutで検知したIPアドレスをUser-IDにマップしたり、HIPデータをNGFWへ送ることができます。
他にもAPIを使い、Forescoutで検知したIPアドレスをUser-IDにマップしたり、HIPデータをNGFWへ送ることができます。
図1 ForescoutとNGFWアクセス制御フロー図
① Forescoutでエンドポイント情報を解析
② エンドポイントがポリシーに違反していた場合、ForescoutはNGFWに対してREST APIを実行し、対象のエンドポイントのIPアドレスとTag情報を紐づけることで、エンドポイントをアクセス制限用dagに所属させる
③ エンドポイントが所属したdagをアクセス制御対象としているSecurity Policyによってアクセス制御
3 連携の動作
設定)
Forescoutコンソール上のオプションから連携対象のNGFWの情報を設定します。(図2 NGFWの連携設定画面)図2 NGFWの連携設定画面
Forescoutにポリシーを追加します。この例ではパーソナルファイアウォールが有効になっていないエンドポイントをNGFWでアクセス制御していきます。(図3 ポリシー設定画面)
図3 ポリシー設定画面
対象のエンドポイントをdagに所属させるためにエンドポイントと紐づけるTagを指定します。(図4 エンドポイント設定画面)
図4 エンドポイント設定画面
このTag情報によって紐づけられるdagの設定は以下となります。(図5 dynamic Address Group設定画面)
図5 dynamic Address Group設定画面
このdagに関連するポリシーの設定は以下となります。(dns、https等の通信が拒否される設定となっています)
図6 dynamic Address Groupポリシー設定画面
動作)
パーソナルファイアウォールを無効にし、対象のアクセス制御を行うエンドポイント(192.168.0.15)のパーソナルファイアウォールを無効にしていきます。図7 パーソナルファイアウォールによるアクセス制御結果画面
パーソナルファイアウォールを無効にした結果、対象のエンドポイント(192.168.0.15)がForescoutコンソール上でNGFWのアクセス制御ポリシーにヒットしたことが確認できます。図8 NGFWのdagのアドレス一覧画面
図8 NGFWのdagのアドレス一覧画面
NGFWのdagのアドレス一覧を確認した結果、対象のエンドポイントのIPアドレスが追加されていることが確認できます。(図9 dynamic Address Group結果画面)
図9 dynamic Address Group結果画面
対象のエンドポイントでブラウジングできなくなっていることが確認できます。(図10 アクセス制御結果画面)
図10 アクセス制御結果画面
4 まとめ
ForescoutとPalo Alto Networks Next-Generation Firewallの連携モジュールが用意されているため、簡単に連携を実装することができます。また、連携することでエンドポイントのコンプライアンス状況などを条件に、柔軟なアクセスコントロールを実現することができます。
イベント・セミナー
資料ダウンロード
Forescout Platformに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第2営業部
プラットフォーム営業課03-4405-7816
- メールでのお問い合わせ
- forescout-sales@techmatrix.co.jp