技術概要:Citrix Secure Internet Access
概要
リモートワークに対する需要の拡大とアプリケーションのクラウドへの移行により、企業はユーザーのインターネットアクセスを保護することが絶対必要です。また、ユーザーとデバイスは新しいネットワーク境界であるため、インターネットアクセスの保護はクラウドで行う必要があります。Citrix Secure Internet Access(CSIA)は、場所を問わずインターネットアクセスの安全性を確保するために、境界の防御から次のユーザーに焦点を移します。
リモートワークの需要により、アプライアンスベースのネットワークセキュリティ戦略は持続不可能になっています。予測される帯域幅消費の増加とバックホールされたモバイルトラフィックの組み合わせにより、オンプレミスのアプライアンスアーキテクチャの最大容量がすぐに飽和します。
クラウドアプリやサービスの利用の増加によるネットワーク境界の侵食は、このバックホールをさらに加速させます。その結果、エンドユーザーエクスペリエンスが低下し、レイテンシーが原因で生産性が低下します。
CSIAは、以下の機能により、あらゆる場所のすべてのユーザーに包括的なインターネットセキュリティを提供します。
- 完全なウェブとコンテンツのフィルタリング
- マルウェア対策
- 古いブラウザとオペレーティングシステム (OS) の保護
- SSL/TLS トラフィック管理
- クラウドアプリとソーシャルメディアコントロールのためのクラウドアクセスセキュリティブローカー(CASB)
- リアルタイムの高度なレポート
- あらゆるデバイスと場所に対応する柔軟なデータトラフィックリダイレクト
- Citrix Virtual Apps and Desktops およびSD-WANとの統合
CSIAは「ゼロトラスト」ロールベースのポリシーモデルを使用しています。ゼロトラストの中心的な目標の1つは、ユーザーの役割とIDに基づいてポリシーを割り当て、リソースへのアクセスを管理することです。この基本概念は、CSIAの政策エンジンに組み込まれています。
アーキテクチャ
CSIAは、世界中の100以上の拠点で動作するクラウドネイティブテクノロジーです。このアーキテクチャは、接続の配信メカニズムを提供するだけでなく、パフォーマンスとセキュリティを向上させるために他のソリューションに接続することもできます。たとえば、CSIAは他の脅威インテリジェンステクノロジーから署名を取得し、クラウドを通過するトラフィックと比較できます。
コンテナ化されたゲートウェイを使用することにより、データプレーンは顧客ごとに分離されます。トラフィックを復号化するための秘密鍵は、お客様に固有のものであり、他者と共有されることはありません。データを処理または保存するすべての作業単位は、コンポーネントを管理する必要のないお客様専用です。作業単位は水平方向に伸縮自在に拡大縮小できます。
CSIAを使用すると、管理者はクラウド管理ポータル内で直接クラウドゾーンを明示的に定義できます。これらのゾーンにより、特定のリージョン内のユーザーがリージョン内で保護され、特定のリージョン内で生成されたイベントがリージョン内に留まるようにログに記録されます。この機能は、データを国境内に収めることを要求する GDPR などの規制にとって重要です。さらに、クラウドゾーンを使用して、場所に応じてユーザーがクラウドに接続する方法を定義できます。たとえば、ユーザーがオフィスからオフィスに移動すると、これらの管理者定義のゾーンにより、各オフィスに適用されるローカルプリンターやサーバーを動的にバイパスできます。
リダイレクトフロー
従来、リモートユーザーからのインターネットアプリケーショントラフィックは、コンプライアンス、マルウェア防御、およびデータ損失保護のためのネットワークセキュリティを提供するために、低速で過負荷のVPNを介して送信されます。これにより、接続が遅くなったり、ネットワークがダウンしたりして、ユーザーが安全かつ効果的に作業できなくなることがよくあります。さらに、ゼロトラストアーキテクチャのテナントに対して、アクセスは通常、特定のアプリケーションではなくネットワークに提供されます。その結果、特に少数のリソースへの対象を絞ったアクセスのみを必要とするユーザーにとって、過剰な権限が発生します。
CSIAは、低速で過負荷のVPN接続の必要性を排除し、トラフィックをユーザーから必要なクラウドリソースまたはアプリケーションに直接送信します。また、CSIAは、ユーザーが特定のリソースとアプリケーションにのみアクセスできるようにすることで、データ損失のリスクを軽減し、ネットワークをさらにセグメント化します。
CSIAが解決するもう1つの課題は、エンドユーザーが内部境界の外に移動するときにストリームベースの侵入防御を適用することです。彼らは、組織の管理外のネットワークから職場へと場所を移動します。CSIAのコンテナ化されたアーキテクチャにより、ユーザーがローミングする場所に関係なく、フローベースのIPをユーザーに適用できます。ネットワークには、組織が所有するネットワークと所有していないネットワークが含まれます。CSIA のアーキテクチャでは、ローカル IP アドレスと同じ方法で使用できる専用 IP アドレスをすべてのお客様が受け取ることができます。
CSIAは、インラインアプライアンスを必要とせずにネットワークセキュリティ機能を実行するために、ネットワークデータをクラウドにルーティングします。これは、プロキシ設定、エンドポイントエージェント/コネクタ、GRE トンネル、または IPsec トンネルを使用して実行できます。
CSIA は、物理的なネットワーク境界に出入りするユーザを追跡するため、場所に関係なくユーザ専用の IP アドレスを提供します。この機能は、ゲートウェイが保護する接続を介してのみユーザーがビジネスアプリケーションにアクセスすることを要求する場合に適用できます。オフィスの外や個人のデバイスで作業しているときでも。送信元IPアドレスは、ログインの要件として送信元IPアドレスを使用することにより、管理ポータルなどのリソースへのアクセスを制限するために使用できます。
Cloud Connectorは最も一般的な展開方法であり、デバイスを管理している組織で最も頻繁に使用されます。Cloud Connectorは、エンドポイントでの登録、認証、および証明書管理に関するCSIA構成を支援するエージェントです。
インストールは、次のようなさまざまな方法でリモートでプッシュできます。
- GPO、MDM、SCCM導入によるWindows
- MDM デプロイメント経由の macOS/iOS
- Google 管理コンソール経由の Chromebook のデプロイ
- Android VPNネットワークまたは常時接続VPNとのネイティブ統合によるAndroid
- Red Hat Fedora と Ubuntu をサポートする Linux
- Windows ターミナルサーバー
クラウドコネクタは、CSIAに接続するユーザーを支援します。コネクタは、モバイルおよびクラウドファーストのアプローチを採用して、ユーザーがオフィスにいるか外出先にいるかにかかわらず、ユーザーのデバイスをクラウドセキュリティに接続します。ポリシーがユーザーのどこにいても従うため、データセンターを介してトラフィックをバックホールする必要はありません。デバイスをCSIAに直接リンクし、どこからでも安全なアクセスを提供し、以下を実現します。
- トラフィックを CSIA サービスに誘導するようにネットワークを設定する
- SSLインターセプトを可能にするためにユーザーに代わって証明書を管理する
- ユーザーIDとグループメンバーシップを動的に提供する
- デバイス上のすべてのデータを、すべてのポートに透過的にリダイレクト
デバイスに非標準の OS が搭載されている場合は、プロキシ PAC ファイルを自動的に生成して、エージェントレスデータリダイレクトを設定できます。
プロキシ PACファイルは、ユーザーの場所 (ソース IP) に基づいてトラフィックをリダイレクトするエージェントレスデータリダイレクトに使用されます。PACファイルは、ユーザーを最も近いゲートウェイに自動的に接続するジオロケーションをサポートし、GDPRゾーニングをサポートします。ユーザーごとに動的に生成されます。プロキシ PAC は、負荷分散、水平スケーリング、および SAML による認証をサポートします。
IPsec/GREは、エッジルーターとファイアウォールを使用してトンネルを作成し、各ロケーションのすべてのトラフィックを CSIA にリダイレクトします。トンネルは、トラフィックをゲートウェイにルーティングする単一の CSIA DNS 宛先を指します。GRE または IPsec のどちらを使用するかは、既存のエッジルーター/ファイアウォールがサポートしているものによって異なります。認証はコネクタと SAML を介して行われます。
SD-WANと CSIA は、IPsec および GRE トンネリングとともに使用できます。Citrix SD-WANは、アプリケーション知識を使用してCSIAと統合し、インターネット、クラウド、またはSaaSトラフィックをCSIAにインテリジェントに誘導します。
DNSは、エンドユーザーがCloud Connector、プロキシPAC、またはSD-WANを使用しない状況で使用されます。CSIA は DNS レコードにカテゴリとポリシーを適用し、オンプレミス DNS サービスから DNS を転送します。各支店のネットワークは DNS トラフィックを CSIA にリダイレクトし、固有のセキュリティポリシーを受け取ります。ポリシーとレポートログはどちらも場所ごとに基づいています。
認証
CSIA は、ローカルユーザー ID、Microsoft Active Directory (AD)、または別のタイプのモダン IdP (Azure AD など) を使用できます。従来の AD を使用する場合、CSIA のセキュリティグループは AD のセキュリティグループと一致する必要があります。CSIAは、エージェントベースのCloud Connector展開を使用しているときに、デバイス上のグループメンバーシップを定期的に確認します。ユーザーがADの複数のセキュリティグループに属している場合、どのポリシーを制定するかについて優先順位を設定できます。優先順位の高い番号は、低い番号よりも優先されます。
現在の Active Directory セキュリティグループを CSIA セキュリティグループに関連付けるには、両方に同じ名前を使用します。CSIA セキュリティグループには、特定のユーザが複数のグループに属している場合に優先度番号を割り当てることができます。CSIA は、優先順位の高い番号を持つグループにユーザを配置します。グループエイリアスを割り当てて、複数の Active Directory グループを 1 つの CSIA セキュリティグループに関連付けることができます。
CSIAは、Cloud Connector アイデンティティ、SAML、またはActive Directory プラグインを使用して4種類の認証を使用できます。
クラウドコネクタ:Cloud Connectorは、CSIAに送信されるセッションキーを介して認証を透過的に処理します。Cloud Connectorは、デバイス上のユーザーIDを使用します。したがって、インターネットにアクセスする場合は追加の認証は必要ありません。ユーザーがインターネットを閲覧すると、CSIA 内のセキュリティグループマッピングに基づいてポリシーが適用されます。CSIA のセキュリティグループは、既存のグループや OU と一致させることができます。CSIAは、Cloud Connectorがそのグループ情報を抽出してCSIAサービスに送信するときに、ユーザーがどのローカルグループに属しているかを認識します。CSIAはその情報を使用して暗号化されたセッションキーを作成し、それがデバイスに返送されます。すべてのウェブリクエストは、リクエストに追加されたセッションキーを取得し、ポリシーマッチングに使用されます。
クラウドアイデンティティ:Cloud Connectorは、ユーザーグループをクラウドIDプロバイダー (IdP) と同期できます。現在、CSIA は Google、Azure、および Okta をサポートしています。構成はプロバイダーごとに異なりますが、通常は更新間隔、クライアント ID、シークレット、およびドメインの指定で構成されます。
SAML: SAML認証は,ブラウザベースにすることも,コネクタを介して関連付けることもできます。SAMLでは、認証を SAML ID プロバイダーに渡すことができます。これにより、CSIA がService Provider として機能します。SAML認証はプロキシデータリダイレクトと組み合わせる必要があり、Okta、ADFS、およびその他のSAMLプロバイダーをサポートします。
AD プラグイン:ドメインコントローラ全体にインストールして、ドメイン内のログオンサービスを提供できるサーバー側エージェント。組織単位、セキュリティグループ、およびマシンは DC から収集され、ポリシー割り当てのために CSIA に送り返されます。
エイリアスをセキュリティグループに追加して、1 つの大きな CSIA グループの下に複数のユーザーグループを取り込むことができます。複数のグループに分類されるユーザーがいる場合、優先順位が重要です。グループの優先度が高いほど、ポリシーの適用が優先されます。3 つの異なるポリシーエンジンがあります。パケットが CSIA を通過するとき、パケットに適用されるポリシーの決定は次の順序で行われます。
- ステップ 1-IP サブネット:パケットは、パケットの送信元 IP アドレスに基づいて、ネットワーク設定で構成されたローカルサブネットと照合されます。一致するものが見つかった場合、ポリシーグループは先に進む前に保存されます。
- ステップ 2-デバイス:ソース IP は、静的および動的コンピューターの一覧と比較されます。一致が見つかると、ステップ 1 のポリシーグループがここで見つかったポリシーグループに置き換えられます。
- ステップ3-ユーザーポリシー:ユーザーがデバイスにログインしていて、デバイスに関連付けられていることが判明した場合、そのユーザーに関連付けられているグループは、ステップ2のグループよりも優先されます。
セキュリティ機能
コンテナ化されたゲートウェイは、クラウド内のデータをスキャンし、Webフィルタリングを実行し、マルウェアを防ぎ、データがユーザーやインターネットとの間でやり取りされるときにデータ損失を検出して防止します。
SSL/TLS 復号化
インターネット上のほとんどではないにしても多くのサイトやサービスは、ユーザーとの通信を暗号化しています。SSL/TLSは、そのために使用される最も一般的なプロトコルです。このため、SSL/TLS トラフィックを検査する機能は、効果的なインターネットセキュリティにとって不可欠です。そうしないと、組織のトラフィックのほとんどはセキュリティで保護されなくなります。マルウェアや内部の悪意のある攻撃者は、ゲートウェイには見えない企業データを盗み出す可能性があります。
重要ではあるがプロセス集約型のタスクとして、SSL/TLS復号化は、コンテンツとクラウドアプリの使用状況に対する完全なSSL/TLS可視性を達成しようとする従来のセキュリティアプライアンスに簡単に負担をかける可能性があります。CSIAは、必要に応じて拡張および縮小するスケーラブルなクラウドアーキテクチャを備えています。各顧客のリソースは完全にコンテナ化されています。CSIAは、各組織の復号化キーを他の組織から隔離しています。
SSL/TLSの復号化がなければ、レポートと分析は制限されます。たとえば、設定を有効にせずにインターネットを検索する場合、CSIAは検索サイトではレポートできますが、検索クエリで使用されているキーワードについてはレポートできません。SSL/TLS 復号化は、基本的な HTTP アクセスのブロック、許可、または監視には必要ありません。SSL/TLS 復号化を有効にすると、CSIA は HTTPS トラフィックを検査して、よりきめ細かなアクションと可視性を提供できます。
CSIAのSSL/TLS復号化は、「中間者」セキュリティ手順を実装することによって機能します。SSL/TLSの復号化は、透過的に実行することも、プロキシ接続を介して実行することもできます。唯一の要件は、SSL/TLS証明書がクラウド接続デバイスに展開されることです。CSIA はルート認証局として機能します。正規サイトへのSSL/TLS要求を傍受して要求し、受信したデータに独自のCA証明書で署名し、データをクライアントに送信します。
クライアントのセキュリティ警告を回避するために、接続されたデバイスには CSIA からの証明書が必要です。証明書は、Cloud Connectorのインストール中に配布できます。検証するために、サイトに移動すると、信頼された証明書はサイトではなく CSIA によって発行されたものと見なされます。SSL/TLS 証明書は、インストーラーを介してプッシュダウンするか、手動でインストールするか、一般的な方法でルート CA にプッシュできます。
すべての宛先を復号化する注:SSL 復号化を初めて設定するときは、選択的な SSL 復号化から始めることをお勧めします。すべての Web サイトが SSL 復号化を受け入れるわけではないためです。
SSL 復号化は、ユーザーがインターネット上で移動するすべての宛先に対して有効にできます。一方、SSL 復号化を受け入れない Web サイトの場合、バイパスは特定の宛先のみを選択的に復号化するように設定できます。以下は、設定可能なさまざまなタイプのバイパスです。
- サイトにとって望ましくない場合はすべてのサブドメインを含むドメイン
- 注:ドメインのバイパスには、そのサブドメインもすべて含まれます
- カテゴリに望ましくない場合はWebカテゴリ
- 特定のユーザー/グループにとって望ましくない場合はグループ
- 望ましくない場合はIPアドレスと範囲
マルウェア対策
CSIAは、マルウェア防御のためにさまざまなセキュリティ層を使用しています。マルウェア防御には以下が含まれます。
- 上位のシグネチャデータベースからのマルウェアの識別と緩和
- 独自のマルウェアレジストリ
- データベースの即時更新によるリアルタイムの脅威情報
管理者は、高度なコンテンツ分析とサンドボックス機能を利用したレピュテーションベースの防御とマルウェア保護の両方を有効にできます。ストリーミングマルウェアレピュテーションは、ユーザがアクセスしている URL をシグニチャデータベースに対して処理します。高度なマルウェア分析防御は、動作分析のためにユーザーがダウンロードしたファイルを自動預けます。
マルウェアルールをコンテンツに適用すると、ルールはリストの上から下に向かってチェックされます。一致が見つかると、そのルールが選択され、それ以上のルールは考慮されません。優先度の高いルールがリストの一番上に表示されます。ルールは簡単に上下に移動して、優先順位が適切な順序に設定されていることを確認できます。Webサイトには、URL、HTTPヘッダー、サイトコンテンツなど、リクエストのさまざまな側面を分析することにより、1~100のリスクスコアが与えられます。そのスコアに基づいて、ページは「低リスク」、「中リスク」、「高リスク」のしきい値に応じてブロックまたは許可されます。許可またはブロックのリスク要求アクションは、リスクしきい値ごとに個別に設定できます。ほとんどの構成では、デフォルト設定がパフォーマンスとセキュリティの最適なバランスを提供します。
- ポリモーフィックな脅威に対する高度なマルウェア検出と防止
- すべてのポートとプロトコルにわたるコマンドアンドコントロールコールバック監視
- シグネチャとシグネチャのないマルウェアの防止と侵害検出
- インシデント対応センター
- 侵入検知と防止
- 行動マルウェアサンドボックス化
- ストリーミングマルウェアとレピュテーション防御-CSIAと複数の業界をリードする脅威インテリジェンス企業の組み合わせからの情報を使用して、悪意のあるホストとIPアドレスをブロックします
- 高度なマルウェア分析防御-アーカイブを含むファイルを検査します。マルウェアルールは、ファイルがAVエンジンによって悪意があると判断された場合に実行されるアクションを決定します
侵入防御システム(IPS)を使用すると、「移動中のデータ」とも呼ばれるパケットストリーム内の悪意のある脅威からネットワークを保護できます。ファイルやアーカイブなどのアイテムに対するマルウェア防御設定は、「保存中のデータ」を処理します。IPS ポリシーエンジンは CSIA で動作します。IPS では、処理されてログに記録される脅威の種類を選択できます。これらの設定に対する変更は、ノードクラスタ全体で自動的に同期されます。ほとんどの構成では、次のオプションの両方が有効になっています。
- リアルタイム侵入、マルウェア、ウイルス対策を有効にする:パケットまたはストリームベースの脅威の検査と防止を有効にします
- プライベートサブネットを除外する: ローカルからローカルのトラフィックを無視する場合に有効にします。
IPS が脅威を検出すると、脅威ルールによって実行されるアクションが決定されます。脅威ルールでは、 監視、ブロック、無効の 3 つのアクションのいずれかが実行されます。
Web フィルタリング
Webカテゴリは,セキュリティグループマッピングに基づいてWebアクセスとトラフィックをフィルタリングするための迅速で便利な方法です。ドメインに応じて、ドメインに基づいて 1 つまたは複数のカテゴリが関連付けられます。Web カテゴリ設定は、特定のグループのベースラインアクセスを設定します。許可/禁止リストとポリシー層は、より細分化するように構成できます。個々のカテゴリごとに、いくつかのアクションオプションから選択できます。アクションは Web カテゴリに適用でき、互いに独立しています。CSIA の Web ポリシーは、ユーザのセキュリティグループの関連付けに基づいて適用されます。CSIA の Web セキュリティポリシーのほとんどは、セキュリティグループに選択的に適用することも、複数のグループに適用することもできます。
- ドメインは、サイトのコンテンツに基づいて分類されます
- 各カテゴリには、他のカテゴリとは独立して構成された独自のアクションセットがあります。
- 複数のカテゴリが割り当てられているドメインには、ユーザーが遭遇するアクションを決定するカテゴリの優先順位が適用されます。
- Web カテゴリに割り当てることができる主なアクションは、[許可]、[ブロック]、[ステルス]、[ソフトオーバーライド] の 4 つです。
- SSL 復号化が有効/無効
- ドメインが複数のカテゴリに関連付けられている場合、そのドメインに適用されるアクションは、カテゴリに関連付けられている優先順位番号によって決まります。優先度の値が高いカテゴリが優先されます。
- ソフトオーバーライド-カテゴリのブロックページをユーザーに提示しますが、ユーザーはソフトオーバーライドコマンドを選択できます
- ユーザーは翌日までURLにアクセスできます
- ソフトオーバーライドが表示されたブロックページは、Reporting & Analytics にソフトブロックとして表示されます。
ウェブサイトをブロックまたは許可する
Web サイトの閲覧は、ブロックリストを使用してブロックできます。ブロックリストは、ネットワークリソースへのアクセスを選択的に制限するために使用できます。許可リストは、Web カテゴリポリシーによってブロックされている URL へのアクセスを許可します。許可リストは、特定のリソースへのアクセスを許可するために使用できます。
ブロックリストを構成するさまざまな方法は次のとおりです。
- URL 照合:URL は、ドメイン、サブドメイン、IP アドレス、IP 範囲、およびポートを使用して照合できます。
- ワイルドカード:ワイルドカードエントリをブロックリストで使用するには、パスの末尾のスラッシュを省略します (例:「mywebsite-parent-domain.com」)
- 明示的:これらはワイルドカードではないエントリです。パスの末尾にスラッシュを追加することで作成できます。「mywebsite-parent-domain.com/」
- 正規表現:正規表現は複雑なパターンに一致させるために使用できます
カスタムブロックページ
ブロックされたコンテンツにアクセスしようとするユーザーのために、カスタムブロックページを作成できます。さらに、ブロックページは、スリープモード中にインテントにアクセスしようとするユーザーにも適用できます。カスタムブロックページには、以下のアクションが関連付けられています。
- リダイレクト:特定のURLにユーザーを送る
- サイレントドロップ:応答せずにアクセスを防ぎます
- ユーザーのログインを許可する:ゲートウェイで作成されたアカウントにログインしてブロックページをバイパスします
キーワード
キーワードフィルタリングは、URL を調べて特定の単語を見つけるのに使用できます。
- Web Gateway は、検索されたキーワードに関連する動作に応じて、ユーザーのアクティビティを許可またはブロックするアクションを実行できます。
- CSIAには、事前に定義されたアダルトおよびハイリスクのキーワードリストが含まれており、必要に応じてカスタマイズできます。
- 管理者は、グループごとに定義済みリストを有効にすることを選択できます。
データ損失防止
データ損失防止 (DLP) モジュールは、転送中のデータに潜在的な損失や機密情報がないか検査する高度な分析エンジンです。これには、個人識別情報 (PII)、ストライプデータを含むクレジットカード情報、およびその他のコンテンツの組み込み検出が含まれます。さらに、カスタムパターンを定義して、CRM またはデータベースシステムからのデータなどのコンテンツを検出できます。
DLP モジュールは、クラウドの不正使用や機密データの損失に対する保護を提供します。これには、機密データが組織的に承認されたクラウドサービス内で保護および維持されることを保証するための、クラウドサービスの使用に対する保護が含まれます。 機密データの転送を検出、警告、停止するための詳細なファイルベースのデータ損失防止機能。高度な検出機能は、圧縮されたネストされたファイルを含む多数のファイルタイプを分析することにより、コンテンツ内の機密情報を検出して保護します。
クラウドアクセスセキュリティブローカー
Webセキュリティモジュールには、ソーシャルメディアとクラウドアプリケーションの広範な制御があります。Cloud Access Security Broker(CASB)アプリコントロールを使用すると、一般的なオンラインアプリケーションやソーシャルメディアへのアクセスを管理できます。Cloud App Controlsは、人気のあるソーシャルメディアやクラウドサービスでのアクティビティを制限するために使用できます。Cloud App Controls は、特定のセキュリティグループに適用して、投稿、いいね、フォローなどの項目を許可またはブロックできます。
- クラウドアプリコントロールは、Pinterest、Facebook、Twitter、LinkedIn、検索エンジン、YouTube、Google Apps などのソーシャルメディアサービスの使用を管理するために使用できます
- これらの各コントロールは、グループごとに調整できます。
- 特定のクラウドおよびSaaSサービスおよびソーシャルメディアサイトでは、SSL復号化を有効にする必要があります
検索エンジンコントロールを使用すると、さまざまな検索エンジンでセーフサーチを設定できます。これらの設定は、グローバルに適用することも、特定のグループに適用することもできます。Google、Yahoo、および Bing ウェブブラウザの検索エンジンがサポートされています。
ユーザーがさまざまなクラウドサービスにファイルをアップロードできないようにすることができます。Dropbox、Box、OneDrive、Google Drive、汎用ファイルのアップロードでは、ファイルのアップロードをブロックできます。YouTube マネージャーは、コンテンツの制限、コメントの非表示、許可リスト動画のライブラリの作成を行うことができます。YouTube マネージャー設定は、グローバルに適用することも、特定のセキュリティグループに適用することもできます。
YouTube マネージャーは、次のような他のアクションを実行できます。
- ホームページ:ユーザーを組織の YouTube チャンネルにリダイレクトできます。
- 帯域幅の保持:動画を強制的に標準画質で再生できます
- 許可する動画ライブラリ:YouTube の制限付き検索設定でブロックされている特定の動画へのアクセスを許可できます。
Microsoft CASBの統合により、認可されていないアプリのトラフィックポリシー制御とCASBレポートの可視性がすべてCSIA内で可能になります。「Microsoft Cloud App」プラットフォームとの統合により、きめ細かなトラフィックポリシー制御と、許可されていないアプリや CASB レポートを 1 つの画面でブロックするための割り当てが可能になります。リアルタイムのトラフィックログと統計は、API統合を介して「Microsoft Cloud App Security」プラットフォームに配信されます。CSIA と Microsoft の構成間の統合は、Microsoft サブスクリプション情報を CSIA に入力するだけで実現されます。
高度な Web セキュリティ
キーワードフィルタリングは、特定のキーワードのURLを検査し、ユーザーの検索やフレーズを制限するために使用されます。検査の結果に応じて、コンテンツを許可またはブロックできます。キーワードは手動で追加することも、CSIA内の事前定義リストから入手することもできます。ワイルドカードオプションは、ブロックされたキーワードに違反する可能性のある大きな単語の部分文字列である複数単語の検索/キーワードに対して有効にできます。ワイルドカードの例:キーワードは「base」です。「base」をワイルドカードで一致させると、検索語「base」と「baseball」の両方がブロックされます。
ポートブロッキングネットワークリソースへの接続は、UDPベースとTCPベースのプロトコルと方向(インバウンド、アウトバウンド、またはその両方)の特定のポートによって制限できます。さらに、Port Block スケジュールを適用して、1 日の特定の時間帯にのみアクセスを制限できます。 ポートブロッキング制御は、指定されたポートまたはポート範囲のインターネットトラフィックをブロックします。
- 指定されたポートを使用するトラフィックはすべて完全にブロックされます。
- ポートブロッキングコントロールをクリアするには、無効にするポート範囲の有効トグルを [いいえ] に切り替えます。
- 選択したグループのポート範囲を常にブロックするか、詳細スケジュールを使用してポートをブロックするかを選択できます。
ブラウザと OSネットワークリソースへの接続は、ブラウザと OS によって特定のバージョンに制限できます。ブラウザと OS の制限には、次のアクションを適用できます。
- 次をブロックする:特定のブラウザと OS バージョンのインターネットアクセスをブロックします
- 次のみ許可する:特定のブラウザと OS バージョンのインターネットアクセスを許可します
- ユーザーの移動:特定の期間、ユーザーを別のセキュリティグループに移動する (制限に違反した場合)
コンテンツと MIME タイプ多目的インターネットメール拡張(MIME) タイプは、ドキュメントの性質と形式を示す標準化された方法です。
MIMEタイプは、ブラウザがWebサーバーから復元したファイルの処理方法を理解するのに役立ちます。ブラウザは、そのコンテンツタイプを MIME タイプに一致させます。閲覧時にアクセスできるコンテンツの種類を制御できます。
MIMEタイプの一般的な構造は、[type]/[subtype] の形式のタイプとサブタイプで構成されます。例としては、画像/JPEG、画像/GIF、画像/MPEG などがあります。
ファイル拡張子を制限して、ユーザーが特定の拡張子を持つファイルをダウンロードできないようにすることができます。
- ファイル名拡張子制御は、特定のファイル名拡張子がネットワークにダウンロードされないようにブロックします。
- 各拡張子は最大15文字です
- ブロックリストから拡張機能を削除するには、拡張機能の横にあるチェックボックスをオンにします。
たとえば、拡張子が「.exe」のファイルは、ユーザーが実行すると害を及ぼす可能性があるため、ダウンロードが制限される可能性があります。
ドメイン拡張ドメイン拡張コントロールを使用すると、特定のドメイン拡張へのアクセスをグループ単位でブロックまたは許可できます。次の方法で各グループのドメイン拡張子リストを管理します。
- リスト内のドメイン拡張子をブロックする
- [ブロックする] または [ドメイン拡張子のみを許可する] で、リスト内の拡張機能のみを許可する
- 各拡張子は最大15文字です
たとえば、末尾が「.com」と「.net」のドメインのみを許可するように選択できます。これらの拡張子で終わらないドメインはすべてブロックされます。ユーザーが特定のトップレベルドメインを参照できないように制限を設けることができます。
注:トップレベルドメイン制限を設定しても、ユーザが IP アドレスによる総当たりブラウジングを妨げることはありません。
ポリシー層は、Web セキュリティポリシーをより高度に制御します。許可リスト、 禁止リスト、Web カテゴリフィルター、SSL 復号化、およびその他の設定は、事前に構成されたさまざまな基準に基づいて適用できます。この基準には以下が含まれますが、これらに限定されません。
- ユーザー名
- セキュリティグループ
- IP 範囲
- GeoIP
ポリシー層には、すべてまたはいずれかの条件条件がトリガーされた場合にのみポリシーが適用される、ダイナミックリンクの概念が含まれています。さらに、ポリシー層は、インターネットスリープモードと同様に、高度なスケジュールで設定できます。 特定の種類のネットワークアクティビティに応じてアクションをトリガーするプロキシルール。
- プロキシルールは、マッチパターンに関連付けることによって作成されます。
- マッチパターンとルールは互いに独立して定義されます
- この論理的な分離により、さまざまな組み合わせで相互に関連付けられるようになり、論理的な可能性が最大化されます
- ルールによって指定されたマッチパターンの状態が「true」と評価されると、ルールがトリガーされます。
- アクションには、ドメインのリダイレクト、プロキシ認証のバイパスまたは強制、さらにはHTTPリクエストヘッダーの変更が含まれます
フロー
CSIAを使用すると、インラインアプライアンスを必要とせずに、ネットワークデータをクラウドにルーティングしてネットワークセキュリティ機能を実行できます。次の図は、最初から最後までのプロセスフローの詳細を示しています。
- ユーザーがリンクを選択するか、ローカル Web ブラウザに URL を入力します
- CSIA エージェントは、ユーザと Active Directory グループのメンバシップを識別します
- CSIA は、ドメインまたは URL が PAC スクリプトまたはエージェントでバイパスされるかどうかを分析します。その場合、リクエストはクラウドセキュリティからバイパスされます。
- CSIA は、要求が IPS によってブロックされるかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、ユーザ名とポリシーグループをリクエストにタグ付けします。
- CSIA は、要求が復号化されるかどうかを分析します。その場合、要求は復号化され、証明書がトラフィックフローに追加されます。
- CSIA は、要求がプロキシブロックルールと一致するかどうかを分析します。「いいえ」の場合は、CASB の規則に進みます。「はい」の場合、要求は許可リストと禁止リストに対してチェックされます。より重みの大きい禁止リストルールが存在する場合、その要求はブロックされます。そうでない場合、要求は許可されます。
- CSIA は、要求が CASB ブロックルールと一致するかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、宛先が許可リストのエントリと一致するかどうかを分析します。
- CSIAは、宛先がブロックリストのエントリと一致するかどうかを分析します。
- CSIA は、宛先がマルウェアブロックルールと一致するかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、要求が DLP ブロックルールと一致するかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、宛先が YouTube マネージャールールのエントリと一致するかどうかを分析します。その場合、要求はブロックされます。
- CSIAは、宛先がブロックされたWebカテゴリと一致するかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、宛先の IP アドレスが GEO IP ルールによってブロックされるかどうかを分析します。その場合、要求はブロックされます。
- CSIA は、要求が残りの Web セキュリティポリシーと一致するかどうかを分析します。その場合、要求はブロックされます。そうでない場合、要求は許可されます。
- 相は,要求が同期された微软MCAS回線署名と一致するかどうかを分析します。「いいえ」の場合、リクエストはクラウドセキュリティによって許可されます。 「はい」の場合、要求は MCAS ブロックポリシーに照らしてチェックされ、結果に基づいて許可またはブロックされます。
Citrix SD-WAN +SIA統合の使用例
Citrix SD-WANと相の統合は,企業内のブランチユーザーの混合プロファイルに柔軟性と選択肢を提供します。企業は通常、Citrix SD-WANが存在する支店に管理対象デバイスと管理対象外デバイスが混在しています。統合により、CSIA Cloud Connectorにより、SD-WANは、インターネットサービス(負荷分散あり)を使用して、管理対象デバイスのトラフィックをCSIAクラウドに安全に分割できます。BYODやゲストユーザーなどの管理対象外のデバイスは、Citrix SD-WANとCSIA間のIPsecトンネルをトンネルエンドポイントとして使用して保護されます。
クラウドアプリや SaaS アプリにアクセスするユーザーを保護する方法はいくつかあります。この方法は、ユーザーが支店または自宅のSD-WANアプライアンスの背後に座っている場合、またはユーザーが完全にモバイルであるかどうかのユースケースを対象としています。
企業のオフィスに座っているユーザーの場合、SD-WAN は最も近い CSIA のプレゼンスポイントへの安全な接続を自動的に作成します。トラフィックは GRE または IPsec トンネルを介してトンネリングされます。冗長性は、トンネルレベルと、プライマリおよびセカンダリの Point of Presence への複数のリンクを介して実現されます。
ユーザーが会社の境界を離れると、デバイスにインストールされているCloud ConnectorがトラフィックをCSIAクラウドにリダイレクトします。コネクタは、ユーザーを認証し、SSL 復号化のための適切な証明書をインストールする目的でも機能します。
構成情報については、次のPoCガイドをお読みください。CSIAおよびSD-WAN PoCガイド
Citrix Virtual Apps and Desktops との統合
Citrix Virtual Apps and Desktops の展開は、CSIAと統合できます。Citrix Workspace 内からアクセスする場合、ユーザーは統合されたエクスペリエンスを提供し、合理化されたインターフェイスを介してビジネスに関連するすべてのアプリケーションとデスクトップにアクセスできます。
CSIAのクラウドコネクタは、マルチユーザーモードで構成できます。管理者は、Citrix Virtual Apps and Desktopsなどのマルチユーザーシステム上のさまざまなユーザーに異なるポリシーを適用できます。ユーザーは 1 人のユーザーとして見られるのではなく、個人として表示され、ログに記録されます。
ユーザーはシングルサインオンでCitrix Workspace にサインインします。内部に入ると、ユーザーは SaaS アプリや Chrome などのブラウザを含む、公開されているすべてのアプリとデスクトップにアクセスできます。セキュアプライベートアクセスは、内部アプリケーションへのセキュアでアイデンティティを認識し、ゼロトラストアクセスを提供します。CSIAは、公開アプリとデスクトップ内からインターネットおよびSaaSアプリへの安全なアクセスを提供します。
ここで、同じユーザーがCitrix Workspace からログオフし、ラップトップデバイスからブラウザを開くだけでSaaSアプリにアクセスすることを決定したとします。あるいは、ユーザーがラップトップデバイスのブラウザからビデオ共有サイトまたは個人ファイル共有サイトにアクセスすることを決定した可能性があります。ユーザーがインターネットやSaaSにアクセスしているすべてのインスタンスで、ユーザーはCitrix Workspace の外にいても、引き続きCSIAによって保護されます。
構成情報については、次のPoCガイドをお読みください。CSIAとCitrix Virtual Apps and Desktops のPoCガイド