PaloAlto

【PaloAlto】セキュリティポリシーにおけるアプリケーションとサービスの違い

当記事では、PaloAltoのポリシー設定で混乱しがちな「アプリケーション」と「サービス」の違いについて記載します。

若手エンジニア志望者を募集!支度金あり

機器情報

ハードウェア:PA-440
バージョン  :11.2.8

基本知識

PaloAlto Networks のファイアウォールでは、通信を制御するために「アプリケーション」と「サービス」を設定することができます。
この2つは似ているように見えますが、役割は少し異なります。

アプリケーションとは

App-ID※1 機能によって識別される通信の種類を指します。
※1 アプリケーション・シグネチャ、プロトコル・デコーディング、ヒューリスティクスなどの複数の技術を使ってアプリケーションを識別する機能です。

ポート番号に依存せず、通信の特徴やシグネチャを解析することで「どのアプリケーションの通信か」を特定します。

▼使用時のポイント
「業務アプリは許可」「不要なアプリはブロック」といった柔軟なポリシーを実現可能です。
例)業務で使用するMicrosoft Teamsは許可

サービスとは

ポート番号とプロトコルに基づいて通信を識別する仕組みです。
シンプルに「どのポートを通すか」を制御します。

▼使用時のポイント
アプリケーション + サービスを併用し、アプリ識別とポート制御を両方の条件で縛ることが可能です。
例)許可アプリケーションをYouTube、サービスをservice-https(tcp/443)に設定します。
→「TCP/443以外のポートからのYouTube通信は通さない」といった細かい制御が可能

設定方法

  • アプリケーション「DNS」の通信を許可する

GUI上から、[Policies]>[セキュリティ]>[追加]からポリシーを作成します。

アプリケーションの設定

サービスの設定

application-default [アプリケーション-デフォルト]:選択したアプリケーションが、
PaloAlto Networksによって定義されたデフォルトのポートでのみ許可または拒否されます。
※メーカ公式から許可ポリシーに使用することが推奨されています。

アプリケーション「DNS」はどのようなサービスが事前に定義されているのか
[オブジェクト]>[アプリケーション]から確認することが可能です。

標準ポート/セキュアなポートに記載されているポートが事前に定義されているポートです。
DNS通信が当該ポート以外で発生することは脅威である可能性があるため、
application-defaultを指定することで、その脅威を排除することが可能です。

参考までに
サービス設定項目ではドロップダウンリストからapplication-default以外にいずれかを選択することができます。

any[すべて]:選択したアプリケーションがすべてのプロトコルやポートで許可または拒否されます。
選択:[Objects]>[サービス]または[サービスグループ]で作成した設定を選択することで細かい制御が可能になります。

まとめ

PaloAltoのセキュリティポリシーにおいて、アプリケーションとサービスはそれぞれ異なる観点で通信を制御する仕組みです。

・アプリケーション:通信の中身を識別して制御

・サービス:ポート番号とプロトコルで制御

基本はアプリケーションベースでの制御が推奨されますが、サービスと併用することで「どのポートを通るか」まで制限することが可能です。
つまり、アプリ識別とポート制御を両方の条件で縛ることにより、より細かくセキュリティを強化することができます。

参考文献

https://pansetech.net/app-id/

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LSC v2.4.3 build 260106リリースノート前のページ

誤検知・誤遮断(False Positive/過検知) をどう表現するか─ 「製品として正しい」と「業務として正しい」のギャップ次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. Zabbixヒストリデータのレポート生成について
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

  2. PaloAlto

    【PaloAlto】ポリシーの各アクションを解説

    PaloAltoのファイアウォールでは、通信を制御するために「セキュリ…

  3. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

  4. NW機器

    ネットワーク機器への不正接続の検知(PaloAlto)

    ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを…

  5. PaloAlto

    PAN-OS 9系以降におけるURLフィルタリングプロファイルの設計変更の話

    当記事では、PAN-OS 9系以降からURL フィルタリングプロファイ…

若手エンジニア志望者を募集!
LogStare Collector 無償版
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. 実践記事

    DNSキャッシュポイズニングやってみた
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP