アクセス コントロール ルールの概要
アクセス コントロール ポリシー内では、アクセス コントロール ルールによって複数の管理対象デバイスでネットワーク トラフィックを処理するきめ細かい制御方法が提供されます。
(注) |
アクセス コントロール ルールがネットワーク トラフィックを評価する前に、プレフィルタ評価/8000 シリーズ高速パス、セキュリティ インテリジェンスのフィルタリング、SSL インスペクション、ユーザの識別、および一部の復号と前処理が発生します。 |
システムは、指定した順にアクセス コントロール ルールをトラフィックと照合します。ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。
また、各ルールにはアクションがあり、これによって一致するトラフィックをモニタ、信頼、ブロック、または許可するかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
次のシナリオでは、インラインの侵入防御展開環境で、アクセス コントロール ルールによってトラフィックを評価できる方法を要約しています。
このシナリオでは、トラフィックは次のように評価されます。
-
ルール 1:モニタはトラフィックを最初に評価します。モニタ ルールはネットワーク トラフィックを追跡してログに記録しますが、トラフィック フローには影響しません。システムは引き続きトラフィックを追加のルールと照合し、許可するか拒否するかを決定します。
-
ルール 2:信頼はトラフィックを 2 番目に評価します。一致するトラフィックは追加のインスペクションなしで宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。一致しないトラフィックは、引き続き次のルールと照合されます。
-
ルール 3:ブロックはトラフィックを 3 番目に評価します。一致するトラフィックは、追加のインスペクションなしでブロックされます。一致しないトラフィックは、引き続き最後のルールと照合されます。
-
ルール 4:許可は最後のルールです。このルールの場合、一致したトラフィックは許可されますが、トラフィック内の禁止ファイル、マルウェア、侵入、エクスプロイトは検出されてブロックされます。残りの禁止されていない悪意のないトラフィックは宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。ファイル インスペクションのみを実行する、または侵入インスペクションのみを実行する、もしくは両方とも実行しない許可ルールを設定できます。
-
デフォルト アクションは、いずれのルールにも一致しないすべてのトラフィックを処理します。このシナリオでは、デフォルト アクションは、悪意のないトラフィックの通過を許可する前に侵入防御を実行します。別の展開では、追加のインスペクションなしですべてのトラフィックを信頼またはブロックするデフォルト アクションを割り当てることもあります。(デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。)
アクセス コントロール ルールまたはデフォルト アクションによって許可したトラフィックは、自動的にホスト、アプリケーション、およびユーザ データについてネットワーク検出ポリシーによるインスペクションの対象になります。検出は明示的には有効にしませんが、拡張したり無効にしたりすることができます。ただし、トラフィックを許可することで、検出データの収集が自動的に保証されるものではありません。システムは、ネットワーク検出ポリシーによって明示的にモニタされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。
暗号化されたトラフィックの通過が SSL インスペクション設定で許可される場合、または SSL インスペクションが設定されていない場合は、そのトラフィックがアクセス コントロール ルールによって処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。またデフォルトでは、暗号化ペイロードの侵入およびファイル検査を、システムは無効化します。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。
アプリケーション制御に関する推奨事項
アプリケーションによるネットワークへのアクセスを次のように制御することをお勧めします。
-
安全性の低いネットワークからより安全なネットワークへのアプリケーションアクセスを許可またはブロックするには、アクセス コントロール ルールでポート(選択された宛先ポート) 条件を使用します。
たとえば、インターネット(安全性が低い)から内部ネットワーク(安全性が高い)への ICMP トラフィックを許可します。
-
ユーザグループによってアクセスされるアプリケーションを許可またはブロックするには、アクセス コントロール ルールでアプリケーション条件を使用します。
たとえば、契約業者グループのメンバーによる Facebook へのアクセスをブロックします。
(注) |
アクセス コントロール ルールを適切に設定しないと、ブロックする必要があるトラフィックを含め、予期しない結果が発生する可能性があります。一般的に、アプリケーション制御ルールは、たとえば IP アドレスに基づくルールよりも照合に時間がかかるため、アクセス コントロール リスト内の順位を低くする必要があります。 特定の条件 (ネットワークや IP アドレスなど) を使用するアクセス コントロール ルールは、一般的な条件 (アプリケーションなど) を使用するルールの前にオーダーする必要があります。オープン システム相互接続(OSI)モデルに精通している場合は、考え方として同様の順位付けを使用してください。レイヤ1、2、および 3 (物理、データリンク、およびネットワーク) の条件を持つルールは、アクセス コントロール ルールで最初に注文する必要があります。レイヤ5、6、および 7 (セッション、プレゼンテーション、およびアプリケーション) の条件は、アクセス コントロール ルールの後で順序付けする必要があります。OSI モデルの詳細については、こちらの Wikipedia の記事を参照してください。 |
次の表に、アクセス コントロール ルールを設定する方法の例を示します。
コントロールの種類 |
操作 |
ゾーン、ネットワーク、VLAN タグ |
Users |
アプリケーション |
ポート |
URL |
SGT/ISE 属性 |
インスペクション、ロギング、コメント |
---|---|---|---|---|---|---|---|---|
アプリケーションがポート(SSH など)を使用する場合の、安全性の低いネットワークから安全性の高いネットワークへのアプリケーション |
お客様の選択(この例では [許可(Allow)]) |
任意(Any) |
任意(Any) |
設定しない |
使用可能なポート:SSH [選択した宛先ポート(Selected Destination Port)] に追加 |
任意(Any) |
ISE/ISE-PIC でのみ使用。 |
任意(Any) |
アプリケーションがポートを使用していない場合 (ICMP など)、安全性の低いネットワークへのアプリケーション |
お客様の選択(この例では [許可(Allow)]) |
任意(Any) |
任意(Any) |
設定しない |
選択された宛先ポート プロトコル:ICMP タイプ:Any |
設定しない |
ISE/ISE-PIC でのみ使用。 |
任意(Any) |
ユーザ グループによるアプリケーション アクセス |
お客様の選択(この例では [ブロック(Block)]) |
お客様の選択 |
ユーザ グループ(この例では契約業者グループ)を選択。 |
アプリケーションの名前(この例では [Facebook])を選択。 |
設定しない |
設定しない |
ISE/ISE-PIC でのみ使用。 |
お客様の選択 |
アクセス コントロール ルールの管理
アクセス コントロール ポリシー エディタの [ルール(Rules)] タブでは、編集中のポリシーのアクセス コントロール ルールの追加、編集、分類、検索、移動、有効化、無効化、削除、その他の管理が行えます。
ポリシー エディタでは、各アクセス コントロール ルールに対してルールの名前、条件の概要、ルール アクションが表示され、さらにルールのインスペクション オプションや状態を示すアイコンが表示されます。各アイコンの意味は次のとおりです。
-
侵入ポリシー オプション()
-
ファイル ポリシー オプション()
-
セーフ サーチ オプション()
-
YouTube EDU オプション()
-
ロギング オプション()
-
発信元クライアント オプション()
-
コメント()
-
警告()
-
エラー()
-
重要な情報()
無効なルールはグレー表示され、ルール名の下に [(無効)((disabled))]
というマークが付きます。
ルールを作成または編集するには、アクセス コントロール ルール エディタを使用します。次の操作を実行できます。
-
エディタの上部で、ルールの名前、状態、位置、アクションなどの基本的なプロパティを設定します。
-
エディタの左下にあるタブを使用して、条件を追加します。
-
インスペクションおよびロギングのオプションを設定し、さらにルールにコメントを追加するには、右下にあるタブを使用します。便宜上、どのタブを表示しているかに関係なく、エディタにはルールのインスペクションおよびロギングのオプションがリストされます。
(注) |
アクセス コントロール ルールの適切な作成と順序付けは複雑なタスクですが、効果的な展開を構築するためには不可欠です。ポリシーを慎重に計画しないと、ルールが他のルールをプリエンプション処理したり、追加のライセンスが必要となったり、ルールに無効な設定が含まれる場合があります。システムが想定どおりにトラフィックを確実に処理できるように、アクセス コントロール ポリシー インターフェイスにはルールに対する強力な警告およびエラーのフィードバック システムがあります。 |
アクセス コントロール ルールのコンポーネント
一意の名前に加え、各アクセス コントロール ルールには次の基本コンポーネントがあります。
状態(State)
デフォルトでは、ルールは有効になっています。ルールを無効にすると、システムはそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。
位置
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。ポリシー継承を使用する場合、ルール 1 は再外部ポリシーの 1 番目のルールです。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。モニタ ルールを除き、トラフィックが一致する最初のルールがそのトラフィックを処理するルールになります。
また、ルールはセクションおよびカテゴリに属していることがあります。これは、単に整理のためであり、ルールの位置に影響しません。ルールの位置は、すべてのセクションとカテゴリにまたがって設定されます。
セクションおよびカテゴリ
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。アクセス コントロール ルールをさらに細かく整理するため、「必須(Mandatory)」セクション内と「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」セクションと「デフォルト(Default)」セクションの間にネストされます。
条件(Conditions)
条件は、ルールで処理する特定のトラフィックを指定します。条件には単純なものと複雑なものがあり、ライセンスによって用途が異なります。
操作(Action)
ルールのアクションによって、一致したトラフィックの処理方法が決まります。一致したトラフィックをモニタ、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。信頼できるトラフィック、ブロックされたトラフィック、または暗号化されたトラフィックに対しては、詳細な検査は実行されません。
インスペクション(Inspection)
詳細検査オプションは、悪意のあるトラフィックをどのように検査してブロックし、それ以外のものは許可するかを決定します。ルールを使用してトラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出たりする前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
ログ
ルールのロギング設定によって、システムが記録する処理済みトラフィックのレコードを管理します。1 つのルールに一致するトラフィックのレコードを 1 つ保持できます。一般的に、接続の開始時または終了時(あるいは、その両方)にセッションをログに記録できます。接続のログは、データベースの他に、システム ログ(Syslog)または SNMP トラップ サーバに記録できます。
説明
アクセス コントロール ルールで変更を保存するたびに、コメントを追加できます。
アクセス コントロール ルールの順序
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。
ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。モニタ ルール(トラフィックをログに記録するが、トラフィック フローには影響しないルール)を除き、いずれかのルールとトラフィックが一致した後、システムは優先順位の低い追加ルールに対してトラフィックの評価を継続しません。
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。さらに細かく整理するため、「必須(Mandatory)」セクション内や「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。カテゴリを作成した後は、そのカテゴリの削除と名前の変更に加え、カテゴリへのルールの挿入、ルールの削除、カテゴリ内またはカテゴリ間のルールの移動はできますが、カテゴリ自体の移動はできません。システムはセクションとカテゴリに横断的にルール番号を割り当てます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」ルール セクションと「デフォルト(Default)」ルール セクションの間にネストされます。ルール 1 は、現在のポリシーではなく、最外部ポリシーの 1 番目のルールです。ルールの番号は、すべてのポリシー、セクション、カテゴリにまたがって割り当てられます。
アクセス コントロール ポリシーの変更を許可する定義済みユーザ ロールによって、ルールのカテゴリ内またはカテゴリ間でアクセス コントロール ルールを移動および変更することもできます。しかし、ユーザがルールを移動および変更することを制限するには、カスタム ロールを作成できます。アクセス コントロール ポリシーの変更権限が割り当てられているユーザは、制限なく、カスタム カテゴリにルールを追加することや、カテゴリ内のルールを変更することができます。
ヒント |
アクセス コントロール ルールの順序を適切に設定することで、ネットワーク トラフィック処理に必要なリソースを削減して、ルールのプリエンプションを回避できます。ユーザが作成するルールはすべての組織と展開に固有のものですが、ユーザのニーズに対処しながらもパフォーマンスを最適化できるルールを順序付けする際に従うべきいくつかの一般的なガイドラインがあります。 |