CatoクラウドのFWaaSとSWGについて

本記事の内容は、以下のCato Networks社の記事を元に日本語へ意訳、再構成したものとなります。

CatoクラウドのFWaaS、およびSWGは、標準サービス内に含まれます。セキュリティオプション（追加費用）は不要です。

それでは、CatoクラウドのFWaaSとSWGについて解説します。

Cato FWaaSについて
Cato SWGについて
まとめ

Cato FWaaSについて

Firewall-as-a-Service（FWaaS）は、ファイアウォールやその他のネットワークセキュリティ機能をクラウドサービスとして提供する新しく画期的な方法です。レガシーな物理ファイアウォールや仮想ファイアウォールの制約や複雑さを解消し、ネットワークセキュリティをあらゆる場所で一貫して利用できるようにします。

死角のない完全なトラフィック検査

Catoクラウドは、クラウドProxyやSSE（Security Service Edge）と異なり、インターネット（南北）だけでなくWAN（東西）を含むすべての送信元からすべての宛先へのネットワークトラフィックを検査します。これには、HTTP（S）トラフィックだけに限らず、すべてのポートとプロトコルのトラフィックが含まれます。
Catoは、企業が本社・拠点とデータセンターの両方のファイアウォールアプライアンスを廃止し、CatoクラウドのFWaaSに置き換えるのを支援します。Catoは、従来のファイアウォール機能をすべてネットワーク（プロキシではなく）アーキテクチャで、クラウドからマルチギガスループットで提供できるため、ファイアウォールの廃止が可能です。
Cato FWaaSを使用することで、企業はコンフィギュレーションのギャップや盲点を回避し、データ侵害のリスクを低減することができます。

スケーラブルなファイアウォールルールセット管理

Cato FWaaSは、ルールセット内の順序に基づいてルールを処理し、最初のヒットで停止します。ルールセットが多数のルールで溢れるのを避けるため、各ルールに特定の例外設定をすることもできます。Catoは、管理者がルールをセクションにグループ分けすることで、読みやすくし、サードパーティの監査人が効率的にレビューできるようにします。
Catoは、ルールで使用できる豊富なオブジェクトセット（ユーザーID、組織単位、デバイス、ホスト、アプリケーション、プロトコル、ロケーション、ネットワーク、VLAN、その他多数）と、複数のオブジェクトタイプを組み合わせることができる論理グループで管理する機能を提供します。
※ファイアウォールアプライアンスと異なり、ルールやオブジェクトに制限（上限）はありません。

詳細な分析とレポートのための完全なログとモニタリング

Cato FWaaSのすべてのルールとアクションは、イベントを記録し、Catoクラウドのプラットフォームに保存するよう設定できます。
電子メール通知は、定義された期間中に繰り返される選択されたイベントについて、定義された緊急度で警告するように設定することができます。
イベントのモニタリングと分析は、専用のダッシュボードや、使いやすい検索とフィルタリングを提供するイベントモニタリングインタフェースを通じて利用できます。
監査証跡は、追跡、監視、監査のためにすべての管理者の活動を記録します。

あらゆるニーズに対応する無制限の処理・検査能力

CatoクラウドのFWaaSは、クラウドネイティブなソフトウェアアーキテクチャを採用したクラウドサービスです。また、自律的かつ弾力的なスケーリングとセルフヒーリングにより、高いパフォーマンスとサービスの回復力を保証します。
Catoは、管理者がパフォーマンスや可用性を心配することなく、TLSインスペクションを含むすべての機能を有効にし、任意のタイプと数のオブジェクト、グループ、ルールを使用できるようにします。
Catoのクラウドネイティブ・ソフトウェア・アーキテクチャは、CPU負荷、パケットドロップ、デバイス障害によるレイテンシーの増加の懸念を排除します。同様に、計算能力不足によるアプライアンスの中途交換のリスクも回避できます。

リスク低減のマイクロセグメンテーション、アクセス制御、ゼロトラスト

マイクロセグメンテーションは、機密性の高いリソースへのアクセスを制限するために簡単に設定することができます。グループ、ネットワーク、VLAN、およびホストやユーザーなどの個々のオブジェクトに基づいてポリシーを設定し、ビジネス要件を満たすきめ細かなアクセスを管理できます。ゼロトラストのために、Catoは、管理者がユーザーのアイデンティティだけでなく、地理的な位置、接続方法、セキュリティ姿勢などを考慮したアイデンティティ間、アイデンティティからアプリ、アプリ間のアクセスポリシーを設定することができます。

DPIベースのアプリケーションとユーザーの認識（識別）

CatoクラウドのFWaaSには、すべてのポートとプロトコルにまたがる何千ものアプリケーションに対する認識が組み込まれており、カスタムアプリケーションを定義する機能もあります。Deep Packet Inspection（DPI）エンジンは、ペイロードを解読することなく、最初のパケットと同時にアプリケーションやサービスを識別します。
Catoは、ユーザとそのユーザが所属する組織単位のアイデンティティを考慮したポリシーの設定と実施を可能にします。ユーザディレクトリと同期し、Catoクライアントのアイデンティティエージェントを使用することで、ユーザアイデンティティがすべてのネットワークフローに関連付けられます。
※Catoクライアントは、アイデンティティエージェントとして機能します。

Cato SWGについて

Cato SWG（Secure Web Gateway）は、インターネットの脅威から保護するための追加レイヤーを提供することで、セキュリティを強化し、Webサイトのコンテンツとリスク分類に基づいて、Webサイトアクセスの企業基準を実施します。

80以上の組み込みカテゴリと事前定義されたセキュリティポリシーによる即時保護

CatoクラウドのSWGは、インターネットセキュリティのベストプラクティスに沿った、すぐに使えるポリシーを提供します。一度有効化されたポリシーは、即座に企業全体に適用されます。また、Cato SWGには、80以上のカテゴリに分類されたWebサイトが含まれており、管理者は、機密性の高いコンテンツや不適切なコンテンツへのアクセスを管理する企業のコンプライアンス要件を容易に遵守できます。必要に応じて、ユーザーID、場所、デバイスなどの詳細な属性を使用してポリシーを絞り込むことができます。また、各ポリシーに対して、管理者は許可、ブロック（Block）、プロンプト（Prompt）などの必要なアクションを選択できます。

フィッシングおよびマルウェア配信サイトからの防御

悪意のあるドメイン、危険なドメイン、フィッシングドメイン、およびパークドメイン（ドメインのみが存在）カテゴリーをブロックすることで、ユーザーがWeb上の脅威にさらされる可能性を低減します。Catoは、常に変化するドメインランドスケープ全体で悪意のあるドメインの最新のブラックリストを維持し、最適なセキュリティ態勢を確保します。悪意のあるサイトへのアクセス試行は、記録、さらなる分析、セキュリティトレーニングの優先順位付け、常習犯の識別のためにログに記録することができます。

検索エンジンによるポリシー迂回の防止

検索エンジンでは、ユーザーが検索エンジンのドメインから離れることなく、画像を閲覧したり、動画コンテンツをプレビューしたりできるため、組織のコンプライアンス・ポリシーを回避できることがよくあります。CatoクラウドのSWGは、管理者が一般的な検索エンジンのセーフサーチとYouTubeのコンテンツ制限を実施することを可能にし、ユーザによるポリシーの回避を防ぎます。この機能は数回クリックするだけで有効化でき、最小限の労力ですべてのユーザーとロケーションの保護を強化できます。

カスタマイズ可能な通知でエンドユーザーエクスペリエンスを最適化

CatoクラウドのSWGは、Webサイトへのアクセスが妨げられたり、遅延したりした場合に、ユーザーに明確な通知を行い、例外を要求したり、エラーを報告したりすることができます。管理者は、Catoのブロック（Block）とプロンプト（Prompt）ページを自由うにカスタマイズして、企業ブランドロゴや、情報システム部の連絡先、再カテゴライズ要求のプロセスなど、ユーザーに提供される特定の通知テキストを組み込むことができます。
※ブラウザにセットされている言語での自動切換え表示も可能です。

SWGイベントのログとレポートによる総合的な可視性

すべてのイベントデータは自動的に保持され、Catoのデータレイクに正規化され、SIEM（Security Information and Event Management）のような機能を備えた組み込みのイベントエンジンを使用してクエリできます。管理者は、一般的なユースケースをカバーする様々な定義済みクエリから選択するか、必要なフィルタを選択してカスタムクエリを迅速に構築できます。PDFレポートも生成でき、監査や経営陣の可視化を目的としたドキュメントを簡単に作成できます。