Citrix SD-WANエッジセキュリティ

はじめに

クラウドとSaaSの継続的な成長に伴い,企業は,エンドポイントの設置場所に関係なく,最適なインターネットアクセスを提供するためのソリューションを探しています。Citrix SD-WANは,WANまたはインターネットトラフィックのエッジでのイントラネットトラフィックの制御に優れています。ビジネス・ルールを適用して,4500年以上の定義済みエントリーのデータベースを使用してアプリケーションを識別します。

ただし,インターネットへの直接アクセスを提供するためには,イントラネットを保護するために,リモートオフィスのセキュリティを確保する必要があります。直接インターネットアクセスは,リモートネットワークとその次に企業ネットワーク全体を脅威にさらします。侵入トラフィックと出力トラフィックは,脆弱性から保護するために,フィルタリング,検査,スキャンする必要があります。

Citrix SD-WANにはネイティブオンボードICSA認定ファイアウォールがあります。クラウドプロキシ経由で主要なサードパーティ安全Web网关(SWG)ベンダーと統合します。Citrix SD-WANは,仮想ネットワーク機能(VNF)としてオンボードSWGもホストします。セキュリティパートナーには次のものが含まれます。

• 伊博人
• 检查
• パロ・アルト
• フォースポイント
• Zscaler

Citrixは,SD-WAN保護オプションの武器に,ネイティブの次世代ファイアウォール——エッジセキュリティ機能を搭載しました。Citrix SD-WANバージョン11.2高级版のリリースでは,フルスタックのセキュリティ機能と,次のようなアプリケーションパフォーマンス向上機能が組み合わされています。

• 侵入防止
• Webフィルタリング
• マルウェア対策

その結果,企業は,Citrixを使用することで,ネットワークのエッジからアプリケーションパフォーマンスを安全に向上させることができます。また,支店ネットワークをCitrix SD-WANアプライアンスで確実に統合できます。このアプライアンスは,トラフィックを検査して保護しながら,インターネットサービスへのステアリングを提供できます。企業は,Citrix CloudでホストされるOrchestratorサービスを使用して、単一のガラスプレーンからエッジセキュリティを管理および監視することもできます。

はじめに

Citrix SD-WANのお客様は,高度なエディションエッジセキュリティで迅速に起動して実行できます。

• Citrixオーケストレーター
• 11.2以上のソフトウェア
• 1100年AEアプライアンス
• アドバンスドエディション(AE)ライセンス
• ファイアウォールセキュリティプロファイル
• ファイアウォールポリシーのアクション

ネットワーク構成——ソフトウェアバージョン11.2.0.88および1100アプライアンス

基本設定——デバイスエディションAE

ファイアウォールセキュリティプロファイル

ファイアウォールプロファイルのアクション

侵入防止

侵入防止システム(IPS)は,既知の攻撃を特定,記録,ブロックすることにより,ネットワークに対する脅威のリスクを軽減します。攻撃のパターンは定期的に更新され,共通のデータベースに追加されます。Citrix SD-WANエッジ保護-侵入防止には,34000を超えるシグネチャ検出とヒューリスティックシグニチャがポートスキャンに含まれています。

Citrix SD-WANエッジセキュリティ侵入防止機能は,Suricataオープンソースのネットワーク脅威検出エンジンを搭載しています。Suricataは、オープン情報セキュリティ財団（OISF）が所有し、サポートしています。ファイアウォールを通過した後、広範なルールと強力な署名言語を使用して、ネットワークトラフィックを検査します。

ルールは,次のような攻撃を探します

• ボットまたは不良アクターが侵入を受けやすいオープンポートがないかどうかをテストするポートスキャン。
• 既知の“悪い”パブリックIPアドレスからのトラフィック
• 攻撃者が特定のプロトコルシーケンスを過度に送信したり,大量のフローを送信したりすることによって,ネットワーク帯域幅をオーバーランし,バッファを受信しようとするサービス拒否攻撃。

Citrix SD-WAN侵入防止には,重大度に基づいて,4つの優先順位カテゴリのいずれかにグループ分けされた事前定義されたルールが含まれています。

• 最重要
• 高速
• 中
• 低

カスタマイズ可能なルールには,論理ステートメントで識別するパターンを指定するフィールドが含まれます。一致すると,以下のアクションを実行できます。

• 推奨:シグニチャに定義された推奨アクションを実行します。
• 启用日志:ルール内のシグニチャのいずれかに一致するトラフィックを許可し,ログを記録します。
• 許可リスト——シグニチャの送信元ネットワークと宛先ネットワークが変更され,許可リスト変数によって定義されたネットワークを除外します。
• 禁用-シグニチャは無効になります。ロギングなしで宛先へのトラフィックが続行することを許可します。
• (使块):ルール内のシグニチャのいずれかに一致するトラフィックをドロップします。
• (推奨されている場合はブロックを有効にする]——ルールのアクションが[推奨]で,シグニチャの推奨アクションが[ログを有効にする]の場合は,ルール内のシグニチャのいずれかに一致するトラフィックを削除します。

侵入防止イベントについてレポートすることで,可視性を維持できます。

詳細については,Citrix SD-WANエッジセキュリティ-侵入防止を参照してください。

Webフィルタリング

Webフィルタリングは,既知の“安全でないドメイン”の背後にあるサイト上のリンクをクリックして,マルウェアやウイルス,ランサムウェア,またはその他の脅威でエンドポイントに感染する疑いのないユーザーによるリスクを軽減します。また,コンプライアンスルールまたはエンタープライズ許容使用ポリシーに違反するサイトへのアクセスからユーザーを保護することもできます。

Citrix SD-WANは,ウェブルートのBrightCloud機械学習ベースのWeb分類とWebレピュテーションエンジンを使用して,ドメイン名をフィルタリングします。320年これは億以上のURLと億5000万のドメインが含まれています。ユーザーがサイトにアクセスすると,分類のためにURLが送信されます。次回URLが要求されたときにルックアップを迅速化するために,一時的なローカルキャッシュが維持されます。

Webフィルタリングが有効になり,環境設定はセキュリティプロファイル内で構成されます。

既存のカテゴリは,ウェブサイトへのアクセスを”ブロック”するか,または”フラグ”(ログ)アクセスを選択することができます。または,特定のサイトがドメイン名またはIPアドレスによって”バイパス”されることがあります。

Webフィルタリングイベントをレポートすることで,可視性を維持できます。

詳細については,Citrix SD-WANエッジセキュリティ——ウェブフィルタリングを参照してください。

マルウェア対策

マルウェア対策は,ランサムウェアやウイルスからユーザーを保護します。これは、HTTPダウンロードによって配信された,またはSMTP配信された電子メールから開かれたファイルから保護します。Bitdefenderによって供給され,電子メールまたはHTTPダウンロードを通じて,ユーザー宛てのファイルをアセンブルおよびスキャンします。マルウェア対策は、ファイルの配信をブロックしたり、その存在を記録したり、特定されたリスクに関する通知を送信したりできます。

Citrix SD-WANマルウェア対策は,4ステップのプロセスを実行してファイルを評価します。41個のファイルタイプの拡張子と10種類のMIMEをスキャンして,電子メールコンテンツを検索できます。ファイルが以下のいずれかのテストに失敗した場合,そのファイルはマルウェアとみなされ,ダウンロードはブロックされます。

1. 脅威インテリジェンスデータベースで,フィンガープリントに基づいてファイルメタデータに関する情報を照会します。
2. クラウド検索の実行中は,Bitdefenderの署名データベースを使用したローカルスキャンがサーバー上で実行されます。
3. ヒューリスティックスキャンを実行して,実行可能ファイル内の疑わしいパターンを探します。
4. 最後に,エミュレータのコードを評価し,悪意のあるアクティビティを探します。

マルウェア対策は,拡張子を選択することで,特定のファイルタイプに対して有効または無効にすることができます。

また,特定のMIMEタイプをスキャンから除外することもできます。

マルウェア対策イベントをレポートすることで,可視性を維持できます。

詳細については,Citrix SD-WANエッジセキュリティ——マルウェア対策を参照してください。

差別化

11.2高级版に付属するエッジセキュリティにより,Citrixは現在,オンプレミスのアプライアンスで侵入検出,Webフィルタリング,マルウェア対策をネイティブに提供する数少ないSD-WANベンダーの1つです。エッジセキュリティにより,Citrix SD-WANは企業にとって次のような大きな価値を提供します。

• ユーザーエクスペリエンスの最大化とネットワーク帯域幅の最小化——企業は,コンプライアンス要件を満たし,インターネットの危険から保護するために,WAN経由でインターネットトラフィックをバックホールする必要がなくなります。エンドポイントを保護しながら,最寄りのビジネスSaaSサイトにフローを誘導できるようになりました。
• エンタープライズ・ペリメータの保護——直接インターネットアクセスにより,アプリケーションのパフォーマンスが向上する一方で,支店や企業ネットワークがリスクにさらされます。エッジセキュリティは,リモートオフィスのインターネットアクセスポイントで脆弱性から保護することで,このリスクを軽減します。
• ブランチオフィスの統合——企業は,リモートオフィスのユーティリティクローゼットで管理およびホストする必要がある機器をシンプル化できます。次の機器機能はすべて,Citrix SD-WAN 1100 AEアプライアンスで置き換えることができます。
  • スタンドアロールーター
  • SWGアプライアンスとファイアウォール
  • DHCPおよびDNSサーバ
  • 湾最適化アプライアンス
• 窓口の一元化——お客様は,ネットワーク転送またはネットワークセキュリティについてCitrixにお問い合わせください。接触点が1つあることで,複雑な問題が発生した場合に,指先を指し示すことが回避されます。企業はCitrix服务と連携して運用をサポートすることができます。
• 監視と管理のシンプル化——Citrix云ホスト协调器サービスにより,エンタープライズ管理者は,Citrix SD-WANエッジセキュリティ実装のオンボード,構成,監視を容易に使用できるダッシュボードを使用できます。

結果

企業は,Citrix SD-WANエッジセキュリティを使用して,エッジ出力ポイントでイントラネットを保護しながら,優れたインターネットサービスのユーザーエクスペリエンスを提供できます。11.2アドバンスドエディションでは1100年* * SD-WAN AEアプライアンスで侵入防止、Webフィルタリング,マルウェア対策が提供されます* *。ユーザーエンドポイントはブランチオフィスで保護され,管理者はCitrix云でホストされる协调器サービスを通じてネットワークを一元的に管理および監視します。