WAN Firewall
こんにちは。
株式会社フーバーブレイン SE の香取です。
SASE の良いところはネットワークとネットワークセキュリティが一体となっていることです。
様々なソリューションやサービスを組み合わせても同じことは実現できますが、どうしても学習・運用のコストは増えてしまいます。
Cato Cloud には境界型防御(WAN / Internet Fierwall)からネットワークセキュリティ(IPS, NGAM, SWG)、そしてゼロトラスト環境の構築に欠かせない SDP(Software Defined Perimeter)など、多くのセキュリティ機能が搭載されています。
ひとつのプラットフォーム、一貫した操作性で多くの機能をもつ SASE をぜひご体験ください。
Cato Cloud についてのお問合せ、PoC のご依頼などはこちらまで。
WAN Firewall
セキュリティ機能のひとつとして、今回は WAN Firewall を取り上げます。
ファイアウォールと言うと、一般的なイメージは「IP アドレスと TCP/UDP のポート番号によるアクセス制御」だと思います。
Cato Cloud の場合は「アプリケーション」や「ユーザー」といった、SASE を構成する様々な要素をアクセス制御に利用できます。統合サービスである利点です。
検証環境の構築
前回 Photon OS + Docker の環境を構築しました。
この環境を利用して Rocket.Chat を動かしてみたいと思います。
docker-compose.yml を編集して、Cato Socket 配下の VLAN でコンテナ群を起動しています。この検証環境の構築方法に関しては、下記のスライドを参照してください。
SD-WAN を経由して Rocket.Chat が使える様になりました。現時点では WAN 内の誰もがこのチャット(ログイン画面)にアクセスできます。
もし、これが「開発部のチャットで、重要な情報が飛び交う場」だとしたら ID / パスワードの制限だけでは不安ですね。また、アプリケーションの利用を許可されたメンバーであっても、DB などへのアクセスは制限する必要があります。
Cato Cloud のネットワークアクセス制御
管理ポータルを見ると、ネットワークアクセス制御に関する複数の設定箇所があります。
基本的には(1)の Network Rules で、対象へのアクセスを許可する設定が行えます。また、QoS や出口 PoP、TCP アクセラレーション等、多くの設定項目があります。
(2),(3) の WAN / Internet Firewall は、もっとシンプルに「アクセス許可・拒否に特化した機能」となっています。
これらの関係はどうなっているのでしょうか。今回使用する WAN Firewall について調べてみます(初期設定ではオフの WAN Firewall をオンにしています)。
WAN Firewall の方が Network Rules よりも強い(優先される)ことが分かります。よって、今回は下記の方針で行きたいと思います。
A1. カスタムアプリケーションを登録する
Configuration / Applications
スライドを参照すると、今回設定したアプリケーションを構成する IP アドレスはこの様になっています。
利用者には (1)だけを許可します。
恐らく私はファイアウォール・ルールを設定するにあたり「許可したい IP アドレスやポートは何だっけ?」となり、運用時には「この IP アドレスは何だっけ?」となってしまいそうな…。
10.10.30.201:3000 では無く「Rocket.Chat(開発部)」なら、毎度こんな事にはなりません。転ばぬ先の杖として、カスタムアプリケーションを登録しておきます。
B1. 許可対象のグループを作成する
Configuration / Groups
「誰が、対象のアプリケーションにアクセスできるのか」を定義します。アクセス元 IP アドレスは「誰」を特定するには不向きです。より対象を特定しやすいユーザーやグループを使用します。
ここでは CatoTester01 というユーザーをグループ「開発部」のメンバーにしています。
C1. アクセス許可を追加する
Security / WAN Firewall
許可設定です。「ADD RULE」をクリックして、新しいファイアウォール・ルールを追加します。
From, To など設定項目には様々な要素を使用できます。
それでは許可ルールを追加しましょう。
From, To の間の矢印をクリックして、双方向にしておきます。一方通行のままだと、サーバからクライアントポートへのアクセスが拒否されてしまうためです。
また、Track の設定も行います。Event はイベントログへの記録、Alert は管理者へのアラートメール送信です。Event をオンにしておくと、ルールが使用された場合にログが記録されます。
C2. 暗黙のルールを明示する
Security / WAN Firewall
先ほどイベントログを記録する設定をしました。ただし、許可ルールに対する設定なので「正常にアクセスできた場合に、イベントログに記録される」という仕様です。
ファイアウォールですから「拒否されたログ」の方が見たいです。そんな時には暗黙のルールを明示するという方法があります。
WAN Firewall のルールは上から順に評価され、どのルールにもマッチしない場合は最終行(全拒否:暗黙のため行としては存在しない)によって拒否されます。
暗黙だから設定できないのであり、最終行に手動で全拒否ルールを追加してしまえば良いのです。そして Track の Event をオンにしておけば拒否されたログを取得することができます。
テスト
それでは Rocket.Chat にアクセスしてみます。
アクセスを拒否された CatoTester02 のブラウザには明確に「Website Blocked」と表示されています。このページは色やロゴなど、多少カスタマイズできます(Configuration / Redirect Page Customization)。
CatoTester01(グループ「開発部」のメンバー)
CatoTester02(異なるグループのメンバー)
ログの確認
Analytics / Event Discovery
「Select Preset」のプルダウンから WAN Firewall を選択してフィルタします。許可されたアクセスだけでなく、Block となったものもログに記録されています。
WAN Firewall の設定完了です!
これからも Cato Cloud の多彩な機能を実際の利用に近い形で紹介して行きます。よろしくお願いいたします。
この記事が気に入ったらサポートをしてみませんか?