技術概要:SD-WAN エッジセキュリティ
はじめに
クラウドと SaaS の継続的な成長に伴い、企業は、エンドポイントの設置場所に関係なく、最適なインターネットアクセスを提供するためのソリューションを探しています。Citrix SD-WAN は、WANまたはインターネットトラフィックのエッジでのイントラネットトラフィックの制御に優れています。ビジネス・ルールを適用して、4,500以上の定義済みエントリーのデータベースを使用してアプリケーションを識別します。
ただし、インターネットへの直接アクセスを提供するためには、イントラネットを保護するために、リモートオフィスのセキュリティを確保する必要があります。直接インターネットアクセスは、リモートネットワークとその次に企業ネットワーク全体を脅威にさらします。侵入トラフィックと出力トラフィックは、脆弱性から保護するために、フィルタリング、検査、スキャンする必要があります。
Citrix SD-WANには、ネイティブのオンボードICSA認定ファイアウォールがあります。クラウドプロキシを介して、主要なサードパーティのSecure Web Gateway (SWG)ベンダーと統合します。Citrix SD-WANは、仮想ネットワーク機能(VNF)としてオンボード SWG もホストします。セキュリティパートナーには次のものが含まれます。
Citrix は、SD-WAN保護オプションの武器に、ネイティブの次世代ファイアウォール-エッジセキュリティ機能を搭載しました。Citrix SD-WAN バージョン11.2 Advanced Editionのリリースでは、フルスタックのセキュリティ機能と、次のようなアプリケーションパフォーマンス向上機能が組み合わされています。
その結果,企業は,Citrixを使用することで,ネットワークのエッジからアプリケーションパフォーマンスを安全に向上させることができます。また、支店ネットワークを Citrix SD-WAN アプライアンスで確実に統合できます。このアプライアンスは、トラフィックを検査して保護しながら、インターネットサービスへのステアリングを提供できます。企業は、Citrix CloudでホストされるOrchestratorサービスを使用して、単一のガラスプレーンからエッジセキュリティを管理および監視することもできます。
はじめに
Citrix SD-WAN のお客様は、高度なエディションエッジセキュリティで迅速に起動して実行できます。
- Citrix オーケストレーター
- 11.2 以上のソフトウェア
- 1100 AEアプライアンス
- アドバンスドエディション (AE) ライセンス
- ファイアウォールセキュリティプロファイル
- ファイアウォールポリシーのアクション
ネットワーク構成 — ソフトウェアバージョン 11.2.0.88 および 1100 アプライアンス
基本設定 — デバイスエディションAE
ファイアウォールセキュリティプロファイル
ファイアウォールプロファイルのアクション
侵入防止
侵入防止システム (IPS) は、既知の攻撃を特定、記録、ブロックすることにより、ネットワークに対する脅威のリスクを軽減します。 攻撃のパターンは定期的に更新され、共通のデータベースに追加されます。Citrix SD-WAN エッジ保護 — 侵入防止には、34,000を超えるシグネチャ検出とヒューリスティックシグニチャがポートスキャンに含まれています。
Citrix SD-WAN エッジセキュリティ侵入防御機能は、Suricataオープンソースのネットワーク脅威検出エンジンによって強化されています。Suricataは、オープン情報セキュリティ財団(OISF)が所有し、サポートしています。ファイアウォールを通過した後、広範なルールと強力な署名言語を使用して、ネットワークトラフィックを検査します。
ルールは,次のような攻撃を探します
- ボットまたは不良アクターが侵入を受けやすいオープンポートがないかどうかをテストするポートスキャン。
- 既知の「悪い」パブリック IP アドレスからのトラフィック
- 攻撃者が特定のプロトコルシーケンスを過度に送信したり、大量のフローを送信したりすることによって、ネットワーク帯域幅をオーバーランし、バッファを受信しようとするサービス拒否攻撃。
Citrix SD-WAN 侵入防止には、重大度に基づいて、4つの優先順位カテゴリのいずれかにグループ分けされた事前定義されたルールが含まれています。
- 重大
- High
- Medium
- 低
カスタマイズ可能なルールには、論理ステートメントで識別するパターンを指定するフィールドが含まれます。一致すると、以下のアクションを実行できます。
- 推奨:シグニチャに定義された推奨アクションを実行します。
- Enable Log:ルール内のシグニチャのいずれかに一致するトラフィックを許可し、ログを記録します。
- 許可リスト-シグニチャの送信元ネットワークと宛先ネットワークが変更され、許可リスト変数によって定義されたネットワークを除外します。
- Disable-シグニチャは無効になります。ロギングなしで宛先へのトラフィックが続行することを許可します。
- [Enable Block]:ルール内のシグニチャのいずれかに一致するトラフィックをドロップします。
- [推奨されている場合はブロックを有効にする]-ルールのアクションが [推奨] で、シグニチャの推奨アクションが [ログを有効にする] の場合は、ルール内のシグニチャのいずれかに一致するトラフィックを削除します。
侵入防止イベントについてレポートすることで、可視性を維持できます。
詳細については、「Citrix SD-WAN エッジセキュリティ — 侵入防御」を参照してください。
Web フィルタリング
Web フィルタリングは、既知の「安全でないドメイン」の背後にあるサイト上のリンクをクリックして、マルウェアやウイルス、ランサムウェア、またはその他の脅威でエンドポイントに感染する疑いのないユーザーによるリスクを軽減します。また、コンプライアンスルールまたはエンタープライズ許容使用ポリシーに違反するサイトへのアクセスからユーザーを保護することもできます。
Citrix SD-WAN は、Webroot の BrightCloud機械学習ベースのウェブ分類および Web レピュテーションエンジンを利用して、ドメイン名をフィルタリングします。これは、320億以上のURLと7億5000万のドメインが含まれています。ユーザーがサイトにアクセスすると、分類のために URL が送信されます。次回 URL が要求されたときにルックアップを迅速化するために、一時的なローカルキャッシュが維持されます。
Web フィルタリングが有効になり、環境設定はセキュリティプロファイル内で構成されます。
既存のカテゴリは、ウェブサイトへのアクセスを「ブロック」するか、または「フラグ」(ログ)アクセスを選択することができます。または、特定のサイトがドメイン名または IP アドレスによって「バイパス」されることがあります。
Web フィルタリングイベントをレポートすることで、可視性を維持できます。
詳細については、「Citrix SD-WAN エッジセキュリティ — Web フィルタリング」を参照してください。
マルウェア対策
マルウェア対策は、ランサムウェアやウイルスからユーザーを保護します。これは、HTTPダウンロードによって配信された、またはSMTP配信された電子メールから開かれたファイルから保護します。Bitdefenderを搭載し、電子メールまたはHTTPダウンロードを通じてユーザー宛てのファイルをアセンブルしてスキャンします。マルウェア対策は、ファイルの配信をブロックしたり、その存在を記録したり、特定されたリスクに関する通知を送信したりできます。
Citrix SD-WAN マルウェア対策は、4ステップのプロセスを実行してファイルを評価します。41個のファイルタイプの拡張子と10種類のMIMEをスキャンして、電子メールコンテンツを検索できます。ファイルが以下のいずれかのテストに失敗した場合、そのファイルはマルウェアとみなされ、ダウンロードはブロックされます。
- 脅威インテリジェンスデータベースで、フィンガープリントに基づいてファイルメタデータに関する情報を照会します。
- クラウド検索の実行中は、Bitdefender の署名データベースを使用したローカルスキャンがサーバー上で実行されます。
- ヒューリスティックスキャンを実行して、実行可能ファイル内の疑わしいパターンを探します。
- 最後に、エミュレータのコードを評価し、悪意のあるアクティビティを探します。
マルウェア対策は、拡張子を選択することで、特定のファイルタイプに対して有効または無効にすることができます。
また、特定の MIME タイプをスキャンから除外することもできます。
マルウェア対策イベントをレポートすることで、可視性を維持できます。
詳細については、「Citrix SD-WAN エッジセキュリティ — マルウェア対策」を参照してください。
差別化
11.2 Advanced Editionに付属するエッジセキュリティにより、Citrixは現在、オンプレミスのアプライアンスで侵入検出、Webフィルタリング、マルウェア対策をネイティブに提供する数少ないSD-WANベンダーの1つです。エッジセキュリティにより、Citrix SD-WAN は企業にとって次のような大きな価値を提供します。
- ユーザーエクスペリエンスの最大化とネットワーク帯域幅の最小化— 企業は、コンプライアンス要件を満たし、インターネットの危険から保護するために、WAN 経由でインターネットトラフィックをバックホールする必要がなくなります。エンドポイントを保護しながら、最寄りのビジネス SaaS サイトにフローを誘導できるようになりました。
- エンタープライズ・ペリメータの保護— 直接インターネットアクセスにより、アプリケーションのパフォーマンスが向上する一方で、支店や企業ネットワークがリスクにさらされます。エッジセキュリティは、リモートオフィスのインターネットアクセスポイントで脆弱性から保護することで、このリスクを軽減します。
- ブランチオフィスの統合— 企業は、リモートオフィスのユーティリティクローゼットで管理およびホストする必要がある機器をシンプル化できます。次の機器機能はすべて、Citrix SD-WAN 1100 AEアプライアンスで置き換えることができます。
- スタンドアロールーター
- SWG アプライアンスとファイアウォール
- DHCP および DNS サーバ
- WAN 最適化アプライアンス
- 窓口の一元化— お客様は、ネットワーク転送またはネットワークセキュリティについてCitrixにお問い合わせください。接触点が 1 つあることで、複雑な問題が発生した場合に、指先を指し示すことが回避されます。企業は、Citrix Servicesと連携して運用をサポートすることができます。
- 監視と管理のシンプル化- Citrix CloudホストOrchestratorサービスにより、エンタープライズ管理者は、Citrix SD-WAN エッジセキュリティ実装のオンボード、構成、監視を容易に使用できるダッシュボードを使用できます。
概要
企業は、Citrix SD-WAN エッジセキュリティを使用して、エッジ出力ポイントでイントラネットを保護しながら、優れたインターネットサービスのユーザーエクスペリエンスを提供できます。11.2アドバンスドエディションでは、 **SD-WAN 1100 AEアプライアンスで侵入防止、Webフィルタリング、マルウェア対策が提供されます**。ユーザーエンドポイントはブランチオフィスで保護され、管理者はCitrix CloudでホストされるOrchestratorサービスを通じてネットワークを一元的に管理および監視します。