アクセス コントロール ルールの概要
アクセス コントロール ポリシー内では、アクセス コントロール ルールによって複数の管理対象デバイスでネットワーク トラフィックを処理するきめ細かい制御方法が提供されます。
 (注) |
アクセス コントロール ルールがネットワーク トラフィックを評価する前に、プレフィルタ評価/8000 シリーズ高速パス、セキュリティ インテリジェンスのフィルタリング、SSL インスペクション、ユーザの識別、および一部の復号と前処理が発生します。 |
システムは、指定した順にアクセス コントロール ルールをトラフィックと照合します。ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。
また、各ルールにはアクションがあり、これによって一致するトラフィックをモニタ、信頼、ブロック、または許可するかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
次のシナリオでは、インラインの侵入防御展開環境で、アクセス コントロール ルールによってトラフィックを評価できる方法を要約しています。
このシナリオでは、トラフィックは次のように評価されます。
-
ルール 1:モニタはトラフィックを最初に評価します。モニタルールはネットワークトラフィックを追跡してログに記録します。システムはトラフィックと追加ルールの照合を継続して、許可するか拒否するかを決定します(ただし、重要な例外と注意事項をアクセス コントロール ルールのモニタ アクションで確認してください)。
-
ルール 2:信頼はトラフィックを 2 番目に評価します。一致するトラフィックは追加のインスペクションなしで宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。一致しなかったトラフィックは、次のルールへと進められます。
-
ルール 3:ブロックはトラフィックを 3 番目に評価します。一致したトラフィックは、それ以上のインスペクションは行わずに、ブロックされます。一致しないトラフィックは、引き続き最後のルールと照合されます。
-
ルール 4:許可は最後のルールです。このルールの場合、一致するトラフィックは許可されますが、そのトラフィック内の禁止されたファイル、マルウェア、侵入およびエクスプロイトは検出されてブロックされます。残りの禁止されていない悪意のないトラフィックは宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。ファイル インスペクションのみを実行する、または侵入インスペクションのみを実行する、もしくは両方とも実行しない許可ルールを設定できます。
-
デフォルト アクションはルールのいずれにも一致しないすべてのトラフィックを処理します。このシナリオでは、デフォルト アクションは、悪意のないトラフィックの通過を許可する前に侵入防御を実行します。別の展開では、追加のインスペクションなしですべてのトラフィックを信頼またはブロックするデフォルト アクションが存在する場合があります。(デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません)。
アクセス コントロール ルールまたはデフォルト アクションによって許可したトラフィックは、自動的にホスト、アプリケーション、およびユーザ データについてネットワーク検出ポリシーによるインスペクションの対象になります。明示的に検出を有効にしなくても、それを拡張または無効にできます。ただし、トラフィックを許可すると、検出データの収集は自動的に保証されません。システムは、ネットワーク検出ポリシーによって明示的にモニタされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。
暗号化されたトラフィックの通過が SSL インスペクション設定で許可される場合、または SSL インスペクションが設定されていない場合は、そのトラフィックがアクセス コントロール ルールによって処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。また、デフォルトでは、システムは暗号化されたペイロードの侵入およびファイルのインスペクションを無効にしていますこれにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。
アプリケーション制御に関する推奨事項
アプリケーションによるネットワークへのアクセスを次のように制御することをお勧めします。
-
安全性の低いネットワークからより安全なネットワークへのアプリケーション アクセスを許可またはブロックするには、アクセス コントロール ルールで [ポート(Port)]([選択した宛先ポート(Selected Destination Port)])条件を使用します。
たとえば、インターネット(安全性が低い)から内部ネットワーク(安全性が高い)への ICMP トラフィックを許可します。
-
ユーザ グループによるアプリケーションへのアクセスを許可またはブロックするには、アクセス コントロール ルールで [アプリケーション(Application)] 条件を使用します。
たとえば、契約業者グループのメンバーによる Facebook へのアクセスをブロックします。
 注意 |
アクセス コントロール ルールを適切に設定しないと、ブロックされるべきトラフィックが許可されるなど、予期しない結果が発生する可能性があります。一般的に、アプリケーション制御ルールは、たとえば IP アドレスに基づくルールよりも照合に時間がかかるため、アクセス コントロール リスト内の順位を低くする必要があります。 特定の条件(ネットワークや IP アドレスなど)を使用するアクセス コントロール ルールは、一般的な条件(アプリケーションなど)を使用するルールの前に順位付けする必要があります。オープン システム相互接続(OSI)モデルに精通している場合は、考え方として同様の順位付けを使用してください。レイヤ 1、2、および 3(物理、データリンク、およびネットワーク)の条件を持つルールは、アクセス コントロール ルールの最初に順位付けする必要があります。レイヤ 5、6、および 7(セッション、プレゼンテーション、およびアプリケーション)の条件は、アクセス コントロール ルールの後ろのほうに順序付けする必要があります。OSI モデルの詳細については、こちらの Wikipedia の記事を参照してください。 |
次の表に、アクセス コントロール ルールを設定する方法の例を示します。
|
コントロールの種類 |
操作 |
ゾーン、ネットワーク、VLAN タグ |
Users |
アプリケーション |
ポート |
URL |
SGT/ISE 属性 |
インスペクション、ロギング、コメント |
|---|---|---|---|---|---|---|---|---|
|
アプリケーションがポート(SSH など)を使用する場合の、安全性の高いネットワークから安全性の低いネットワークへのアプリケーション |
お客様の選択(この例では [許可(Allow)]) |
外部インターフェイスを使用する宛先ゾーンまたはネットワーク |
任意(Any) |
設定しない |
使用可能なポート:SSH [選択した宛先ポート(Selected Destination Port)] に追加 |
任意(Any) |
ISE/ISE-PIC でのみ使用。 |
任意(Any) |
|
アプリケーションがポートを使用していない場合の(ICMP など)、安全性の高いネットワークから安全性の低いネットワークへのアプリケーション |
お客様の選択(この例では [許可(Allow)]) |
外部インターフェイスを使用する宛先ゾーンまたはネットワーク |
任意(Any) |
設定しない |
選択された宛先ポート プロトコル:ICMP タイプ:Any |
設定しない |
ISE/ISE-PIC でのみ使用。 |
任意(Any) |
|
ユーザ グループによるアプリケーション アクセス |
お客様の選択(この例では [ブロック(Block)]) |
お客様の選択 |
ユーザ グループ(この例では契約業者グループ)を選択。 |
アプリケーションの名前(この例では [Facebook])を選択。 |
設定しない |
設定しない |
ISE/ISE-PIC でのみ使用。 |
お客様の選択 |
アクセス コントロール ルールの管理
アクセス コントロール ポリシー エディタの [Rules] タブでは、現在のポリシー内のアクセスコントロールルールの追加、編集、分類、検索、移動、有効化、無効化、削除、その他の管理が行えます。
ポリシー エディタでは、各アクセス コントロール ルールに対してルールの名前、条件の概要、ルール アクションが表示され、さらにルールのインスペクション オプションや状態を示すアイコンが表示されます。各アイコンの意味は次のとおりです。
-
侵入ポリシー オプション(
)
-
ファイル ポリシー オプション(
)
-
セーフ サーチ オプション(
)
-
YouTube EDU オプション(
)
-
ロギング オプション(
)
-
発信元クライアント オプション(
)
-
コメント(
)
-
警告(
)
-
エラー(
)
-
重要な情報(
)
無効なルールはグレー表示され、ルール名の下に [(無効)((disabled))] というマークが付きます。
ルールを作成または編集するには、アクセス コントロール ルール エディタを使用します。次の操作を実行できます。
-
エディタの上部で、ルールの名前、状態、位置、アクションなどの基本的なプロパティを設定します。
-
エディタの左下にあるタブを使用して、条件を追加します。
-
インスペクションおよびロギングのオプションを設定し、さらにルールにコメントを追加するには、右下にあるタブを使用します。便宜上、どのタブを表示しているかに関係なく、エディタにはルールのインスペクションおよびロギングのオプションがリストされます。
(注) |
アクセス コントロール ルールの適切な作成と順序付けは複雑なタスクですが、効果的な展開を構築するためには必須なものです。慎重なポリシーの設計を怠ると、他のルールをプリエンプション処理したり、追加ライセンスが必要となったり、無効な設定を含んだルールになる可能性があります。システムが想定どおりにトラフィックを確実に処理できるように、アクセス コントロール ポリシー インターフェイスにはルールに対する強力な警告およびエラーのフィードバック システムがあります。 |
アクセス コントロール ルールのコンポーネント
一意の名前に加え、各アクセス コントロール ルールには次の基本コンポーネントがあります。
状態
デフォルトでは、ルールが有効状態になります。ルールを無効にすると、システムはそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。
位置
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。ポリシー継承を使用する場合、ルール 1 は再外部ポリシーの 1 番目のルールです。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。モニタ ルールを除き、トラフィックが一致する最初のルールがそのトラフィックを処理するルールになります。
また、ルールはセクションおよびカテゴリに属していることがあります。これは、単に整理のためであり、ルールの位置に影響しません。ルールの位置は、すべてのセクションとカテゴリにまたがって設定されます。
セクションおよびカテゴリ
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。アクセス コントロール ルールをさらに細かく整理するため、「必須(Mandatory)」セクション内と「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」セクションと「デフォルト(Default)」セクションの間にネストされます。
条件
条件は、ルールで処理する特定のトラフィックを指定します。条件は単純または複雑にできます。条件の使用はライセンスによって異なります。
Action
ルールのアクションは、一致したトラフィックの処理方法を決定します。一致するトラフィックをモニタ、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。信頼できるトラフィック、ブロックされたトラフィック、または暗号化されたトラフィックに対しては、詳細な検査は実行されません。
インスペクション(Inspection)
詳細検査オプションは、悪意のあるトラフィックをどのように検査してブロックし、それ以外のものは許可するかを決定します。ルールを使用してトラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
ロギング
ルールのロギング設定は、システムが処理するトラフィックのレコードの維持を制御します。各ルールに一致したトラフィックのレコードを維持できます。一般的に、接続の開始時または終了時(あるいは、その両方)にセッションをログに記録できます。接続のログは、データベースの他に、システム ログ(Syslog)または SNMP トラップ サーバに記録できます。
説明
アクセス コントロール ルールで変更を保存するたびに、コメントを追加できます。
アクセス コントロール ルールの順序
アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。
ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。モニタルールを除いて、トラフィックがルールに一致した後、システムは優先度の低い追加のルールに対してトラフィックの評価は続行しません。
アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。さらに細かく整理するため、「必須(Mandatory)」セクション内や「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。カテゴリを作成した後は、そのカテゴリの削除と名前の変更に加え、カテゴリへのルールの挿入、ルールの削除、カテゴリ内またはカテゴリ間のルールの移動はできますが、カテゴリ自体の移動はできません。システムはセクションとカテゴリに横断的にルール番号を割り当てます。
ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」ルール セクションと「デフォルト(Default)」ルール セクションの間にネストされます。ルール 1 は、現在のポリシーではなく、最外部ポリシーの 1 番目のルールです。ルールの番号は、すべてのポリシー、セクション、カテゴリにまたがって割り当てられます。
アクセス コントロール ポリシーの変更を許可する定義済みユーザ ロールによって、ルールのカテゴリ内またはカテゴリ間でアクセス コントロール ルールを移動および変更することもできます。しかし、ユーザがルールを移動および変更することを制限するには、カスタム ロールを作成できます。アクセス コントロール ポリシーの変更権限が割り当てられているユーザは、制限なく、カスタム カテゴリにルールを追加することや、カテゴリ内のルールを変更することができます。
 ヒント |
アクセス コントロール ルールの順序を適切にすることで、ネットワーク トラフィックの処理に必要なリソースが減り、ルールのプリエンプションを回避できます。ユーザが作成するルールはすべての組織と展開に固有のものですが、ユーザのニーズに対処しながらもパフォーマンスを最適化できるルールを順序付けする際に従うべきいくつかの一般的なガイドラインがあります。 |
)をクリックします。
)がルールの横に表示される場合、ルールは先祖ポリシーに属しており、ルールを変更する権限がありません。
)またはファイルおよびマルウェア調査アイコン(
)をクリックして、ルールの [インスペクション(Inspection)]
)をクリックして、[ロギング(Logging)]
![ユーザがインタラクティブ ブロック ルール アクションまたはリセット付きインタラクティブ ブロック ルール アクションによるトラフィックのブロックをバイパスした場合は、アクションが [許可(Allow)] であるかのようにインスペクションが発生し、ブロックをバイパスしなかった場合は、ファイル ポリシー、侵入ポリシー、またはネットワーク検出ポリシーを使用して、ブロックされたトラフィックを検査できないことを示す図。](/c/dam/en/us/td/i/300001-400000/370001-380000/372001-373000/372194.tif/_jcr_content/renditions/372194.jpg)
フィードバック