Citrix SD-WAN Orchestrator

Edgeセキュリティ

Citrix SD-WAN エッジセキュリティ機能により、Citrix SD-WAN ブランチアプライアンスでの高度なセキュリティが可能になります。SD-WANとともに、さまざまなセキュリティ機能のための単一の管理およびレポートペインを提供することにより、インターネット脅威から支店ネットワークを保護するための情報セキュリティ管理を簡素化します。ルーティング、SD-WAN、セキュリティ機能を単一のアプライアンスに統合することにより、複数の支店ソリューションが不要になり、ネットワークの複雑さとコストを削減できます。

Edgeセキュリティスタックには、次のセキュリティ機能が含まれています。

  • ウェブフィルタリング
  • マルウェア対策
  • 侵入防止

Edgeセキュリティ機能は、Citrix SD-WAN Advanced Editionアプライアンスで使用できます。エディションの詳細については、「 Citrix SD-WAN プラットフォームエディション」 および「 Citrix SD-WANプラットフォームソフトウェアのサポート」を参照してください。サポートされるアプライアンスの詳細については、 Citrix SD-WAN のデータシートを参照してください

Citrix SD-WAN Advanced Editionは、Citrix SD-WAN 1100アプライアンスでサポートされています。Citrix SD-WAN 210 Standard Edition(SE)および 210 SE LTE アプライアンスは、高度なセキュリティアドオンライセンスによる高度なエッジセキュリティ機能をサポートするようになりました。

エッジセキュリティ機能は計算に敏感であるため、次世代のファイアウォールソリューションを導入していないブランチサイトでのみAdvanced Editionアプライアンスを使用することをお勧めします。

エッジセキュリティ機能を使用してブランチサイトを構成するときに、Advanced Edition ** をサポートするデバイスモデルが選択され、** Device Editionが AE であることを確認します。サイトの追加と構成の詳細については、「 基本設定」を参照してください

サイト構成の基本設定

Citrix SD-WAN Orchestrator では、Edgeセキュリティ機能のセキュリティプロファイルを定義し、これらのセキュリティプロファイルをファイアウォールポリシーに関連付けることができます。ファイアウォールポリシーは、高度なセキュリティ機能を指定するセキュリティプロファイルパラメータを受け入れるように拡張されています。

セキュリティプロファイルを作成し、Edgeセキュリティ機能を構成できるのは、SD-WAN Orchestrator だけです。

セキュリティプロファイル

セキュリティプロファイルは、ファイアウォールポリシーによって定義される特定のトラフィックセグメントに適用される特定のEdgeセキュリティオプションのセットです。意図は、セキュリティ上の脅威からトラフィックを保護することです。たとえば、ネットワークのセグメントごとに異なるレベルのセキュリティとアクセス権を持つセキュリティプロファイルを定義できます。各セキュリティプロファイルに対して、Web フィルタリング、マルウェア対策、および侵入防止の設定を有効にして構成できます。

その後、セキュリティプロファイルがファイアウォールポリシーに関連付けられ、検査されるトラフィックの基準が設定されます。たとえば、組織では、従業員サブネットとゲストファイアウォールゾーンに対して異なるセキュリティプロファイルを作成できます。その後、従業員トラフィックとゲストトラフィックに一致する適切なファイアウォールポリシーにセキュリティプロファイルを割り当てることができます。

セキュリティプロファイルを作成するには、ネットワークレベルで [ 構成] > [セキュリティ]> [ **セキュリティプロファイル** ] に移動し、[ 新しいセキュリティプロファイル] をクリックします

セキュリティプロファイル

セキュリティプロファイルの名前と説明を入力します。必要に応じて、Web フィルタリング、マルウェア対策、および侵入防止の設定を有効にして構成します。

セキュリティプロファイル

ウェブフィルタリング

Webフィルタリングを使用すると、約320億のURLと7億5000万のドメインを含む分類データベースを使用して、ネットワークユーザーがアクセスするウェブサイトをフィルタリングできます。不適切なサイト、スパイウェア、フィッシング、ファーミング、Web サイトのリダイレクト、およびその他のインターネットの脅威への暴露を防ぐことができます。また、インターネットポリシーを適用し、ソーシャルメディアへのアクセス、ピアツーピアコミュニケーション、ギャンブル、および企業のポリシーによって頻繁に許可されていない他のサイトへのアクセスを防止することができます。Web フィルタは、ネットワーク上のインターネットトラフィックを監視し、Web アクティビティを記録し、不適切なコンテンツにフラグを付けたり、ブロックしたりすることによってフィルタリングします。

Web サイトにアクセスして Web フィルタリングを有効にすると、URL は分類のためにクラウドデータベースに送信されます。

有効な DNS サーバを設定し、SD-WAN 管理インターフェイスを介して HTTPS インターネットアクセスを有効にします。これにより、Web フィルタリングが機能するように、クラウドデータベースにアクセスできるようになります。

その後、分類結果は SD-WAN アプライアンスにキャッシュされ、今後の要求の処理速度を向上させます。その結果は、読み込み時間を増やすことなく、ウェブサイトにフラグを付けたり、ブロックしたり、許可したりするために使用されます。ルールを追加して、未分類または誤って分類されたサイトをブロックまたはバイパスしたり、例外を構成したりできます。また、特定のユーザ IP またはサブネットの Web フィルタリングをバイパスすることもできます。

ブロック/フラグカテゴリ

さまざまなカテゴリのウェブサイトにフラグを付けたり、ブロックしたりできます。Web フィルタリングは、URL を 6 つのカテゴリグループ (IT リソース、その他、プライバシー、生産性、セキュリティ、機密性) に分類します。これらのグループにはそれぞれ異なる URL カテゴリがあります。ブロックオプションを選択すると、暗黙的にウェブサイトにもフラグが付けられます。ブロックされているカテゴリの Web サイトにアクセスしようとすると、違反のフラグが付けられ、その Web サイトはブロックされます。フラグが設定されたカテゴリでは Web サイトにアクセスできますが、イベントには違反のフラグが付けられます。セキュリティログまたはレポートで詳細を表示できます

ブロック/フラグカテゴリ

サイトをブロック/フラグする

[カテゴリ] セクションの設定で許可されている特定のサイトをブロックまたはフラグするルールを追加できます。また、未分類または誤分類されたサイトをブロック/フラグ付けすることもできます。ドメイン名を入力し、[ ブロック]または [ フラグ] を選択します。[ ブロック/フラグサイト ] リストの URL の決定は、サイトカテゴリに基づく決定よりも優先されます。

  • 完全修飾ドメイン名 (FQDN) のみを追加できます (例: somedomain.com)。URLパスを追加することはできません。例- somedomain.com/パス/ファイルへの/ファイル
  • ブロック/フラグサイトに追加されたドメインには、そのサブドメインも含まれます。たとえば、domain.comを追加すると、 subdomain1.domain.comsubdomain2.domain.comsubdomainlevel2.subdomainlevel1.domain.comがブロック/フラグ付けされます。

URLをブロック/フラグ付けする

サイトをバイパスする

ブロックされたカテゴリ内の特定のサイトを許可するルールを追加できます。[ **サイトのバイパス] リストに追加されたドメインは、カテゴリまたは個々の URL によってブロックされている場合でも、許可されます。ドメイン名を入力し、説明を入力します。URL を許可するには、[ **アクティブ] を選択します。

  • 完全修飾ドメイン名 (FQDN) のみを追加できます (例: somedomain.com)。URLパスを追加することはできません。例- somedomain.com/パス/ファイルへの/ファイル
  • バイパスサイトに追加されたドメインには、そのサブドメインも含まれます。たとえば、domain.comを追加すると、 subdomain1.domain.comsubdomain2.domain.comsubdomainlevel2.subdomainlevel1.domain.comがバイパスされます。

サイトのバイパス

クライアント IP をバイパスする

特定の IP アドレスまたはサブネットの Web フィルタリングをバイパスするルールを追加できます。IP アドレスまたはサブネット CIDR 表記と、わかりやすい説明を指定できます。Web フィルターでは、ブロックされたカテゴリまたはサイトに関係なく、トラフィックはブロックされません。これらの IP** アドレスからのトラフィックを許可するには、[ **Active] を選択します。

DHCP IP は変更できるため、この機能はスタティック IP またはサブネットを持つクライアントに対してのみ使用してください。

クライアント IP をバイパスする

詳細オプション

サーバー名表示 (SNI) による HTTPS トラフィックの処理

SNI は、トランスポート層セキュリティ (TLS) プロトコルの拡張機能です。このプロトコルによって、クライアントは、セキュリティで保護された接続ハンドシェイクプロセスの開始時にユーザーが接続しようとしている Web サイトの名前を示します。

これにより、サーバは適切な証明書を提供するだけでなく、エンドツーエンド通信が暗号化されている場合でも、SD-WANアプライアンスがターゲット Web サイトを識別し、その URL カテゴリを決定できます。このオプションが有効の場合、HTTPS データストリーム内の SNI を使用して HTTPS トラフィックが分類されます(存在する場合)。

[SNI による HTTPS トラフィックを処理する ] オプションは、デフォルトで有効になっています。

ブロックオプション

  • QUIC (UDP ポート 443): ファイアウォールは、通常、ウェブフィルタリングモジュールで処理できない QUIC プロトコルに使用されるUDPポート 443 の発信通信をブロックします。QUIC をブロックすると、ブラウザが TCP ベースの HTTP (S) 通信にフォールバックします。

  • 参照元がバイパスサイトと一致した場合に渡す: 外部コンテンツを含むページがバイパスURLを通じて許可されている場合、他のブロックポリシーに関係なく、外部コンテンツは渡されます。

    このオプションでは外部 Web サイトにアクセスできますが、セキュリティ上のリスクにさらされます。HTTP ヘッダーの referrer オプションは、ブラウザーのアドオンやプラグインによって上書きできます。Citrixは、このオプションを慎重に使用することをお勧めします。

  • ブロックページにリダイレクトせずにブロックされたHTTPSセッションの接続を閉じる:SD-WANアプライアンスは、URLがブロックされている場合にカスタムブロックページへのHTTPリダイレクトを発行します。ただし、HTTPS セッションでこのリダイレクトを実行することはできません。その結果、中間者(MITM)セッションが終了し、無効な証明書ブラウザの警告ページが表示されます。このオプションでは、ターゲットの Web サイトへの潜在的な攻撃に関する誤った警告を防ぐために、代わりに HTTPS セッションが終了します。

    このオプションは、デフォルトで有効になっています。

  • [ ブロック] のカスタム URL: Web フィルターによって Web サイトへのアクセスが拒否された場合に、ユーザーがリダイレクトされるように外部サーバーの場所を設定します。カスタム URL が設定されている場合、受信側のシステムがコンテンツをカスタマイズできるように、次のクエリ文字列変数が渡されます。

    • reason: ユーザーがアクセスを拒否された理由。これはカテゴリ名 Web ベース+電子メール、およびより長いカテゴリの説明です。たとえば、 サイトがカテゴリのためにブロックされた場合に備えて、サイト+オファー+ウェブ+ベース+電子メール+クライアント** スペース文字は「+」に置き換えられます)。それ以外の場合、「URLをブロックする」ためにブロックされた場合、それは空です。

    • appname: 拒否 (Web フィルタリング) を担当するアプリケーション。

    • appid: アプリケーション識別子、無視できる Web フィルタリングの内部識別子)。

    • host: エンドユーザーがアクセスを拒否された URL のドメイン名。

    • ClientAddress: アクセスを拒否されたエンドユーザの IP アドレス。

    • url: アクセスを拒否された要求された URL。

拒否を処理するために独自の Web ページを使用しない場合、組み込み拒否は、ルーティング不能な IP アドレスへのリダイレクトを発行します。

ブロックのカスタム URL

Citrix SD-WAN Orchestrator で詳細な Web フィルタリングレポートを表示できます。詳細については、「 レポート-Web フィルタリング」を参照してください。

侵入防止

侵入防止は、ネットワーク内の悪意のあるアクティビティを検出して防止します。34,000を超えるシグニチャ検出とポートスキャン用のヒューリスティックシグニチャのデータベースが含まれており、疑わしい要求のほとんどを効果的に監視およびブロックできます。** セキュリティプロファイルの定義中に侵入防止を有効または無効にすることを選択できますが、侵入防止ルールはすべてのセキュリティプロファイルで共通です。侵入防止ルールは、 [ 構成] > [ **セキュリティ] > [ **侵入防止 ]**から作成および管理できます。詳細については、「 侵入防止」を参照してください

侵入防止は、それぞれのファイアウォールポリシーによってキャプチャされたトラフィックを介して悪意のあるトラフィックのみを検出します。

ブロックのカスタム URL

Citrix SD-WAN Orchestrator で詳細な侵入防止レポートを表示できます。詳細については、「 レポート-侵入防止」を参照してください

マルウェア対策

Edgeセキュリティ Anti-Malware は、ウイルス、トロイの木馬、およびその他のマルウェアをスキャンして根絶します。マルウェア対策では、ネットワークの HTTP、FTP、および SMTP トラフィックをスキャンし、既知のシグネチャとファイルパターンのデータベースに対して感染を調べることができます。感染が検出されない場合、トラフィックは受信者に送信されます。感染が検出されると、マルウェア対策は感染したファイルを削除または隔離し、ユーザーに通知します。

マルウェア対策は Bitdefender のエンジンを使用して、署名データベース、疑わしいパターンのヒューリスティック、動的エミュレーター分析の組み合わせを使用して、ダウンロードしたファイルをスキャンします。これらのテストのいずれかが失敗すると、ダウンロードファイルはブロックされます。

スキャンせずにURLをバイパスする

定期的な更新に使用される信頼された内部サイトまたは外部サイトのマルウェア対策スキャンをバイパスし、トラフィックを生成し、安全であると見なすことができます。信頼済みサイトがスキャンなしで通過できるようにすることで、これらのサイトのスキャンに費やすリソースを削減できます。

URL を入力し、簡単な説明を入力し、URL をバイパス URL リストに追加します。

スキャンせずにURLをバイパスする

ファイルタイプでスキャン

マルウェア対策は、デフォルトでは HTTP トラフィックの 41 種類の拡張機能のスキャンをサポートしています。マルウェア対策スキャンには、署名、ヒューリスティック、エミュレーションによる詳細な分析が含まれ、コンピューティングに敏感なプロセスになります。マルウェア対策スキャンから特定のファイル名拡張子を除外するように選択できます。スキャンする必要のないファイルタイプをクリアします。

既定で選択されているファイルの種類は、マルウェア対策の有効性とシステムパフォーマンスのバランスをとります。より多くのファイルタイプを有効にすると、エッジセキュリティの処理負荷が増加し、システム全体の容量が損なわれます。

ファイルタイプでスキャン

MIMEタイプでスキャン

多目的インターネットメール拡張 (MIME) タイプは、インターネットファイルの内容を性質と形式に基づいて記述するインターネット標準です。ファイルの種類と同様に、マルウェア対策スキャンから特定の MIME の種類を除外するように選択できます。クリアすることで、特定の MIME タイプをスキャンから除外することができます。

既定で選択された MIME タイプは、マルウェア対策の有効性とシステム容量のバランスが取れるように選択されます。ファイルタイプを増やすと、Edgeセキュリティの処理負荷が増加し、システム全体の容量が損なわれます。

MIMEタイプでスキャン

その他のスキャンオプション

次のインターネットプロトコルで、マルウェア対策スキャンを有効または無効にすることができます。

  • HTTP スキャン: HTTP トラフィックでマルウェア対策スキャンを有効にします。

  • FTPスキャン: FTPダウンロード時にマルウェア対策スキャンを有効にします。

  • SMTPスキャン** SMTPメッセージの添付ファイルに対してマルウェア対策スキャンを有効にし、実行するアクションを選択します。

    • 感染の削除: 感染した添付ファイルが削除され、電子メールが受信者に配信されます。

    • Pass Message: 電子メールは、添付ファイルはそのままで、受信者に配信されます。

    [ 感染の削除] と [ メッセージを渡す ] アクションでは、電子メールの件名の先頭に “[VIRUS]」が付加されます。

    • メッセージをブロック: 電子メールはブロックされ、受信者に配信されません。

その他のスキャンオプション

Citrix SD-WAN Orchestrator で、マルウェア対策スキャンに関する詳細なレポートを表示できます。詳細については、「 レポート-マルウェア対策」を参照してください

Edgeセキュリティファイアウォールポリシー

Edgeセキュリティ機能は、ファイアウォールポリシーを使用してトリガーされます。一致タイプ IP プロトコルにファイアウォールポリシーを定義し、それをセキュリティプロファイルにマップできます。着信トラフィックがフィルタリング基準と一致すると、検査アクションがトリガーされ、選択したセキュリティプロファイルに従って設定されたセキュリティ機能が適用されます。

Citrix SD-WAN は、ファイアウォールポリシーを「最初の一致」方式で評価し、最初に一致するポリシーによってアクションが決定されます。ファイアウォールポリシーは、次の順序で構成する必要があります。

  1. 非検査アクションを使用した IP プロトコル、Office 365、および DNS アプリのファイアウォールポリシー
  2. Edgeセキュリティファイアウォールポリシー (検査アクションを含む IP プロトコルファイアウォールポリシー)
  3. アプリケーションファイアウォールポリシー

ファイアウォールポリシーを構成してエッジセキュリティを有効にするには、[ **構成] > [ **セキュリティ ] > [ ファイアウォールプロファイル ] に移動し、好みに基づいてプロファイルを追加します。[ 新しいルールの作成] をクリックします。[ 一致タイプ] を [ **IP プロトコル ]として選択し、フィルタリング基準を設定します。詳細については、「 ファイアウォールプロファイル」を参照してください。[ **検査 (IP プロトコル)] アクションを選択し、セキュリティプロファイルを選択します。

Edgeセキュリティファイアウォールポリシー

作成できるセキュリティプロファイルの数に制限はありませんが、サイトに割り当てることができる検査ファイアウォールポリシーは最大 32 個です。

制限事項

  • Advanced Edition(AE)にアップグレードされたCitrix SD-WAN Standard Edition(SE)アプライアンスのアプライアンスソフトウェアのダウンロードに時間がかかります。AE アプライアンスのEdgeセキュリティサブシステムは、SE アプライアンスのダウンロードサイズに影響を与えないように個別にバンドルされています。
  • Citrix SD-WAN エッジセキュリティWebフィルタリングでは、HTTPSサイトのサーバー名表示(SNI)のみをチェックして、トラフィックをブロック、フラグ付け、または許可するかどうかを決定できます。
  • Citrix SD-WAN エッジセキュリティ用の Orchestrator では、外部 Syslog サーバーのサポートを利用できません。

関連トピック

Edgeセキュリティ