こんにちは、Catoクラウド担当SEの中川です!
ようやくBypassしたい通信先の指定にFQDNが使えるようになりましたので、その点を中心に設定方法を交えながらご紹介します。
Bypass機能ってそもそもなんだっけ?、という方は下記の記事をご参考いただければと思います。
【Catoクラウド】アプリケーション指定で通信をバイパスする – TechHarmony
はじめに
まず前提として、Catoではすべてのトラフィックを Cato Cloudに集約しセキュリティチェックすることが推奨されています。Bypass機能を利用するとセキュリティチェックが行われませんので、この点はご承知おきください。
ただその一方で、セキュリティレベルが担保されている特定の通信について、Socket から直接インターネットへブレイクアウトさせたいという要件も少なくありません。
これまでは、QoSで優先度を下げることで、他の通信に影響を与えないよう回避していただくことを推奨していました。
ただ回避策があったとはいえ、そもそもCatoを経由させずに帯域を一切使わせないようにしたいという要望が多くありました。
そのご要望をかなえる機能がようやく追加されたということです!
アップデート概要
今回のBypass機能強化について、大きく3つのポイントに分けてご説明します!
通信先指定がより柔軟に
これまでも特定の通信をBypassさせることは可能でしたが、かなり限定的でした。具体的にはIP アドレス指定 もしくは 以下のアプリケーションのみに限定されていました。
- Zoom
- Google Apps
- Microsoft SharePoint Online および OneDrive
- Microsoft Teams
- Microsoft Exchange (Outlook)
- Microsoft Defender
そのため例えばIPアドレスが公開されているSaaSサービスをBypassさせることは可能でしたが、IPアドレスの追加があったりするとCMA上でわざわざ登録する必要があり運用に負担がありました。
今回のアップデートでは、下画像のように選択肢が増え、FQDNのほか、Custom Applicationやサブネットでも指定可能になりました。
Applicationは従来の宛先に加えて、Windows Updateのほか、NetflixやAmazon Prime Videoなどの動画配信サービスも指定可能になっています。
また、プロトコルでの指定も可能になりました。Simple Serviceを選べば下記のいずれかで簡単に指定できるほか、Custom Serviceを選べばポート番号を記載する形で指定もできます。
管理が簡単に
設定箇所がこれまでSiteごとのConfigurationでしたが、 CMAのNetwork > Bypassに移動しています。
Siteごとに個別に設定運用する必要がなくなり、SiteをAnyと指定すれば一括で設定が適用できるようになり、また各Siteに設定値を見に行かなくても1ページで設定値が可視化できるようになったこともメリットと言えます。
イベントログが残るように
特にCatoのアップデート情報では言及されていませんが、従来のBypass機能ではイベントログは残せなかったところ、今回のアップデートでイベントログに記録されるようになりました。
Bypass機能を利用し始めたときに、きちんと想定通りBypassされているのか、反対に余計な通信もBypassされてしまっていないか確認するのに有用と思います。
下画像が実際のイベントログで、Sub-Type:Socket Bypass、Rule:Bypassのルール名で記録されることがわかりました。
具体的な設定方法を解説
それでは早速、具体的な設定方法を解説していきます。
最初に
先述の通り、設定箇所はNetwork > Bypassです。初めてBypass機能を利用される場合は、右上のBypass rules Enabledのトグルをオンにする必要があります。
拠点と送信元の指定(SiteとSource)
Firewallのルールなどと少し違うのは、Sourceとは別でSiteの設定があることです。
下画像の通り、Siteを指定したあと、SourceとしてIPアドレスレンジやVLAN IDなどで送信元を限定することができます。
今回はSiteのみ指定し、SourceはAnyとします。
送信先(Destination)
Destinationは先の通り、FQDNやCustom Application選べるようになりました。
Custom Applicationでは、複数のFQDNやIPアドレスをまとめてグルーピングしておき、各ルールの編集を行わなくともグループで追加すればすべてのルールに適用できる点が小さなメリットです。
今回のルールは、ApplicationでWindows Updateを選択します。
ポート選択とイベント記録(Actions)
Actionsでは、Socketのポート選択と、イベントに残すかが選択できます。
ポート選択では、もし特定のポートからトラフィックを強制的にブレイクアウトさせたい場合には、WANポートを指定できます。
例えばインターネット回線が複数あって、Bypassさせる通信は特定のインターネット回線を使わせるようにしたい、といった細かな要件がある場合に使用します。
※AutomaticのままにするとSocketで最適選択されます。
今回はAutomaticで、イベントログはオンにしました。
最終的には下画像のような見栄えになり、Firewallなどと同様Hit Count(イベント数)も見ることができます。
想定ユースケース
Catoのリリースノートでは、以下のようなユースケースが例示されていました。
- Windows Update
- クラウドバックアップ
- ゲスト Wi-Fi
Windows Updateのほか、既定のバックアップデータ保管先としてのクラウドサービスや、ゲストWi-Fiを拠点内で提供している場合に送信元指定して、Catoを経由させないといったこともBypassの利用シーンとして想定されています。
その他としては、Applicationで元々選択できたWeb会議系、今回追加された動画配信サイト系などのリアルタイムの通信性能が求められるような通信先があげられるかと思います。
※FirewallやCASBなどで、例えばTeamsやNetflixに通信制御をかけている場合は、Bypassしてしまうと制御が効かなくなりますので注意が必要です。
まとめ
今回のアップデートにより、Socket の Bypass 機能が大きく強化されました。
これまで特に要望の多かったWindows Updateについて、ようやく現実的な形でBypassできるようになった点は大きなポイントです。
また、テナント全体での一元管理やイベントログの記録に対応したことで、運用面でも扱いやすくなったと言えます。
一方で、Bypassされた通信にはセキュリティチェックが適用されないため、対象とする通信の選定には注意が必要です。
本機能の特性を理解したうえで、適切なユースケースに限定して活用していただければと思います。