コンプライアンス ホワイトリストの概要
コンプライアンス ホワイトリスト(ホワイトリストと省略されることもある)は、どのオペレーティング システム、アプリケーション(Web とクライアント)、およびプロトコルがネットワーク上のホストで許可されるかを指定する一連の条件です。システムはホストがホワイトリストに違反するとイベントを生成します。
コンプライアンス ホワイトリストには 2 つの主要な構成要素があります。
-
ターゲットは、ホワイトリスト評価の対象として選択するホストです。サブネット、VLAN、およびホスト属性で制約して、全部または一部のモニタ対象ホストを評価できます。マルチドメイン展開では、ドメインと、ドメイン内またはドメインをまたいだサブネットを対象にすることができます。
-
ホスト プロファイルは、ターゲットのコンプライアンス基準を指定します。グローバル ホスト プロファイルはオペレーティング システムに依存しません。1 つのホワイトリスト固有として、またはホワイト リスト間で共有される、オペレーティング システム固有のホスト プロファイルを設定することもできます。
Cisco Talos Security Intelligence and Research Group(Talos)は、推奨設定が指定されたデフォルトのホワイトリストを提供しています。カスタム ホワイトリストを作成することも可能です。単純なカスタム ホワイトリストでは、特定のオペレーティング システムを実行するホストのみを許可できます。より複雑なホワイトリストでは、すべてのオペレーティング システムを許可するとともに、特定のポートで特定のアプリケーション プロトコルを実行する際にホストが使用する必要のあるオペレーティング システムを指定できます。
(注) |
システムは、ホストをエクスポートされた NetFlow レコードからネットワーク マップに追加できますが、これらのホストに使用できる情報は限られます(NetFlow データと管理対象デバイス データの違い を参照)。この制限は、コンプライアンス ホワイトリストの作成方法に影響する場合があります。 |
コンプライアンス ホワイトリストの実装
ホワイトリストを実装するには、アクティブな相関ポリシーにホワイトリストを追加します。システムはターゲットを評価し、対応する属性を各ホストに割り当てます。
-
準拠(Compliant):ホストはホワイトリストに違反していません。
-
非準拠(Non-Compliant):ホストはホワイトリストに違反しています。
-
評価されていない(Not Evaluated):ホストがホワイトリストのターゲットではないか、現在評価中であるか、またはシステムに十分な情報がないためホストが準拠しているかどうかを判断できません。
(注) |
ホスト属性を削除するには、対応するホワイトリストを削除します。1 つのホワイトリストを非アクティブ化、削除、または相関ポリシーから削除しても、各ホストのホスト属性は削除されず、属性の値が変更されることもありません。 |
最初の評価後、モニタ対象ホストがアクティブなホワイトリストに違反するたびにホワイトリスト イベントが生成されます。また、ホワイトリスト違反が記録されます。
ワークフロー、ダッシュボード、およびネットワーク マップを使用して、システム全体のコンプライアンス アクティビティをモニタし、個々のホストがホワイトリストにいつどのように違反したのかを判断できます。修復およびアラートでホワイトリスト違反に自動的に応答することもできます。
例:Web サーバへの HTTP の制限
セキュリティ ポリシーは、Web サーバのみが HTTP を実行できることを指定しています。HTTP を実行しているホストを特定するために Web ファーム以外のネットワーク全体を評価するホワイトリストを作成します。
ネットワーク マップとダッシュボードを使用して、ネットワークのコンプライアンスの概要を一目で把握できます。数秒で、ポリシーに違反して HTTP を実行している組織内のホストを正確に特定して適切に対処できます。
その後で、相関機能を使用して、Web ファーム内に存在しないホストが HTTP の実行を開始するたびに警告するようにシステムを設定できます。
コンプライアンス ホワイトリストのターゲット ネットワーク
ターゲット ネットワークは、ホワイトリスト コンプライアンス評価の対象となるホストを指定します。ホワイトリストには、複数のターゲット ネットワークを含めることができ、いずれかのターゲットの基準を満たすホストが評価されます。
最初は、ターゲット ネットワークは IP アドレスまたはアドレス範囲で制約されています。マルチドメイン展開では、初期の制約にドメインも含まれます。
システム提供のデフォルトのホワイトリストでは、すべての監視対象ホスト 0.0.0.0/0 および ::/0 がターゲット設定されています。マルチドメイン展開では、デフォルトのホワイトリストはグローバル ドメインに制約されています(グローバル ドメインでのみ使用可能です)。
ホストがホワイトリストに対して有効ではなくなるようにターゲット ネットワークまたはホストを変更すると、ホストはホワイトリストで評価されなくなり、準拠と非準拠のいずれとしてもみなされなくなります。
ターゲット ネットワークの調査と改善
ホワイトリストにターゲット ネットワークを追加すると、システムにより、準拠ホストの特徴を確認できるようにネットワーク マップを調査するよう求められます。調査により、ターゲットは、調査済みのホストを表すホワイトリストに追加されます。
サブネットまたは個別のホストを調査できます。マルチドメイン展開では、ドメイン全体を調査することも、ドメインをまたいで調査することもできます。先祖ドメインを調査すると、システムによってこのドメインの子孫が調査されます。
追加されたターゲットに加えて、調査では、調査で検出されたオペレーティング システムごとに 1 つのホスト プロファイルがホワイトリストに入力されます。デフォルトで、これらのホスト プロファイルは、システムが該当するオペレーティング システム上で検出したクライアント、アプリケーション プロトコル、Web アプリケーション、およびプロトコルのすべてを許可します。
ターゲット ネットワークを調査(または調査をスキップ)した後、対象を絞り込みます。IP アドレスを使用してホストを除外するか、ホスト属性または VLAN によりターゲット ネットワークを制約します。
コンプライアンス ホワイトリストを使用したドメインの対象化
マルチドメイン展開では、ドメインとターゲット ネットワークは密接にリンクされています。
-
リーフ ドメインの管理者は、自分のリーフ ドメイン内のホストを評価するホワイトリストを作成できます。
-
上位ドメインの管理者は、ドメインをまたいでホストを評価するホワイトリストを作成できます。同じホワイトリストで、ドメインの異なるさまざまなサブネットを対象にすることができます。
グローバル ドメインの管理者であり、展開全体の Web サーバに同じコンプライアンス基準を導入する必要があるというシナリオを考えてみます。コンプライアンス基準を定義するグローバル ドメインに 1 つのホワイトリストを作成できます。次に、各リーフ ドメイン内の Web サーバの IP スペース(または個別の IP アドレス)を指定するターゲット ネットワークを使用して、ホワイトリストを制約します。
(注) |
リーフ ドメインの IP アドレスと範囲を対象にすることに加えて、上位のドメインを使用してターゲット ネットワークを制約することもできます。より高いレベルのドメインのサブネットをターゲットにすると、各子孫リーフ ドメイン内の同じサブネットがターゲットになります。システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 |
コンプライアンス ホワイト リストのホスト プロファイル
コンプライアンス ホワイト リストにおいて、ホスト プロファイルは、ターゲット ホスト上で実行を許可するオペレーティング システム、クライアント、アプリケーション プロトコル、Web アプリケーション、およびプロトコルを指定します。コンプライアンス ホワイト リストで使用できるホスト プロファイルは 3 種類あります。3 種類のホスト プロファイルはそれぞれ、エディタ上での表示が異なります。
ホスト プロファイル タイプ |
表示 |
説明 |
---|---|---|
グローバル |
すべてのオペレーティング システム |
オペレーティング システムに関係なく、ターゲット ホスト上で実行が許可されている内容を指定します。 |
オペレーティング システム別 |
プレーン テキストで表示 |
特定のオペレーティング システムを使用するターゲット ホスト上で実行が許可されている内容を指定します。 |
共有 |
イタリックで表示 |
複数のホワイト リストで使用可能なオペレーティング システム条件を指定します。 |
オペレーティング システム固有のホスト プロファイル
コンプライアンス ホワイト リストでは、オペレーティング システム固有のホスト プロファイルで、ネットワーク上での実行を許可するオペレーティング システムだけでなく、それらのオペレーティング システム上での実行を許可するアプリケーション プロトコル、クライアント、Web アプリケーション、およびプロトコルも指定します。
たとえば、準拠ホストでは Microsoft Windows の特定のバージョンを実行することを要件にすることができます。別の例として、SSH の実行を Linux ホストのポート 22 で許可した上で、SSH クライアントのベンダーとバージョンをさらに制限することもできます。
ネットワーク上での実行を許可するオペレーティング システムごとに 1 つのホスト プロファイルを作成します。ネットワーク上でオペレーティング システムを禁止する場合は、そのオペレーティング システム用のホスト プロファイルを作成しないでください。たとえば、ネットワーク上のすべてのホストで Windows が実行されるようにするには、そのオペレーティング システム用のホスト プロファイルのみを含めるようにホワイト リストを設定します。
(注) |
未確認ホストは、確認されるまで、すべてのホワイト リストに準拠していると見なされます。ただし、不明ホストのホワイト リスト ホスト プロファイルを作成することはできます。未確認ホストとは、オペレーティング システムを識別するために十分な情報が収集されていないホストのことです。不明ホストとは、既知のフィンガープリントと一致しないオペレーティング システムを使用しているホストのことです。 |
共有ホスト プロファイル
コンプライアンス ホワイトリストでは、共有ホスト プロファイルが特定のオペレーティング システムに関連付けられますが、それぞれの共有ホスト プロファイルを複数のホワイトリスト内で使用できます。
たとえば、世界中にオフィスがあり、拠点ごとに別々のホワイトリストを使用する一方、Apple Mac OS X を実行しているすべてのホストに対しては常に同じプロファイルを使用するとします。その場合、該当するオペレーティング システム用の共有プロファイルを作成し、そのプロファイルをすべてのホワイトリストで使用するという方法があります。
デフォルト ホワイトリストでは、組み込みホスト プロファイルと呼ばれる特殊なカテゴリの共有ホスト プロファイルが使用されます。これらのプロファイルは、組み込みのアプリケーション プロトコル、Web アプリケーション、プロトコル、クライアントを使用します。コンプライアンス ホワイトリスト エディタでは、システムはこれらのプロファイルを組み込みホスト プロファイル アイコン()で示します。
マルチドメイン展開では、現在のドメインで作成された共有ホスト プロファイルが表示されます。このプロファイルは編集できます。先祖ドメインで作成された共有ホスト プロファイルも表示されますが、これは編集できません。下位のドメインで作成された共有ホスト プロファイルを表示および編集するには、そのドメインに切り替えます。
(注) |
共有ホスト プロファイル(組み込みプロファイルを含む)を変更したり、組み込みアプリケーション プロトコル、プロトコル、クライアントを変更したりすると、そのプロファイルを使用するすべてのホワイトリストに変更が適用されます。これらの組み込み要素に意図しない変更を加えた場合、または削除した場合は、工場出荷時の初期状態にリセットすることで対処できます。 |
ホワイト リスト違反のトリガー
ホストのホワイト リスト コンプライアンスは、システムで次のことが発生すると変化する場合があります。
-
ホストのオペレーティング システムの変更を検出
-
ホストのオペレーティング システムまたはホスト上のアプリケーション プロトコルに関するアイデンティティの競合を検出
-
ホスト上でアクティブになっている新しい TCP サーバ ポート(SMTP または Web サーバによって使用されるポートなど)、または、ホスト上で実行中の新しい UDP サーバを検出
-
ホスト上で実行中の検出された TCP サーバまたは UDP サーバで、アップグレードのためのバージョン変更などの変更を検出
-
ホスト上で実行中の新しいクライアント アプリケーションまたは Web アプリケーションを検出
-
クライアント アプリケーションまたは Web アプリケーションを非アクティブを理由にそのデータベースからドロップ
-
ホストが新しいネットワークまたはトランスポート プロトコルと通信していることを検出
-
新しいジェイルブレイクされたモバイル デバイスを検出
-
ホスト上で TCP ポートまたは UDP ポートが閉じられたか、タイムアウトしたことを検出
さらに、ホスト入力機能またはホスト プロファイルを使用して次の操作を実行することによって、ホストのコンプライアンスの変化をトリガーできます。
-
ホストにクライアント、プロトコル、またはサーバを追加する
-
ホストからクライアント、プロトコル、またはサーバを削除する
-
ホストのオペレーティング システム定義を設定する
-
ホストが有効なターゲットでなくなるようにホストのホスト属性を変更する
(注) |
非常に多数のイベントが発生しないように、システムでは、その最初の評価に基づいて非準拠のホストにホワイト リスト イベントを生成せず、またユーザがアクティブなホワイト リストまたは共有ホスト プロファイルを変更した結果としてホストを非準拠にしません。ただし、違反は記録されます。すべての非準拠ターゲットに対してホワイト リスト イベントを生成する場合は、検出データを消去してください。ネットワーク アセットを再検出すると、ホワイト リスト イベントをトリガーすることがあります。 |
例:オペレーティング システムのコンプライアンス
ホワイト リストで Microsoft Windows ホストのみがネットワーク上で許可されるように指定されている場合、システムでは、Mac OS X を実行中のホストを検出するとホワイト リスト イベントを生成します。さらに、ホワイト リストに関連付けられているホスト属性が、そのホストに関して [準拠(Compliant)] から [非準拠(Non-Compliant)] に変更されます。
この例のホストが [準拠(Compliant)] に復帰するには、次のいずれかが行われる必要があります。
-
Mac OS X オペレーティング システムを許可するようにホワイト リストを編集する
-
ホストのオペレーティング システム定義を手動で Microsoft Windows に変更する
-
オペレーティング システムが変更されて Microsoft Windows に戻ったことをシステムが検出する
ホワイト リストで FTP の使用が許可されていない場合に、アプリケーション プロトコルのネットワーク マップ、またはイベント ビューから FTP を削除すると、FTP を実行中のホストは準拠になります。ただし、システムがこのアプリケーション プロトコルを再度検出すると、システムによってホワイト リスト イベントが生成され、そのホストは非準拠になります。
ホワイト リストでポート 21 で TCP FTP トラフィックだけを許可していた場合、システムでポート 21/TCP で不明なアクティビティを検出すると、ホワイト リストはトリガーを実行しません。ホワイト リストがトリガーを実行するのは、システムがトラフィックを FTP 以外のトラフィックとして識別するか、またはユーザがホスト入力機能を使用してトラフィックを非 FTP トラフィックとして指定した場合だけです。システムは、部分的な情報のみを使用して違反を記録することはありません。