クラウドアクセスセキュリティブローカー(CASB)

クラウドアクセスセキュリティブローカー(CASB)は、企業ユーザーとクラウドサービスプロバイダの間に位置する重要なセキュリティチェックポイントとして機能します。その主な役割は、セキュリティポリシーを適用して、クラウドアプリケーションへのアクセスを保護および制御することです。

CASBは、SRXシリーズファイアウォール上の新しいレイヤー7サービスで、インラインのアプリケーションアクティビティ制御を提供します。CASBのポリシーエンジンにより、アクセス条件を絞り込むことができます。組織内で使用する一連のクラウドアプリケーションのファイルへのアクセス、ダウンロード、およびアップロードのルールを指定できます。

• 利点
• CASB ポリシーの設定例
• 検証オプション

ファイアウォールでCASBを使用するには、CASBポリシーを設定し、セキュリティポリシーでCASBポリシールールを適用する必要があります。

CASB機能を設定する手順:

1. CASBポリシーを設定します。

   1. CASBポリシールールに、次のいずれかの一致条件を設定します。

      • Dropbox、Google Docs、OneDriveなどのアプリケーション、またはファイル共有、チャット、電子メールなどのアプリケーショングループ。

      • ログイン、ダウンロード、アップロードなどのアクティビティ。ただし、すべてのアプリケーションがすべてのアクティビティをサポートしているわけではありません。アプリケーションを構成するときは、その特定のアプリケーションでサポートされているアクティビティのみを選択してください。アプリケーションとそれに関連するアクティビティー間のマッピングの包括的なビューについては、表 1 を参照してください。

        表 1: アプリケーションとアクティビティのマッピング

        サポートされているアプリケーション	支援活動
        箱	ログイン、アップロード、ダウンロード、共有
        Dropbox	ログイン、アップロード、ダウンロード、共有
        Google ドキュメント	ログイン、アップロード、ダウンロード、共有
        Salesforce	ログイン、アップロード、ダウンロード、共有
        OneDrive	ログイン、アップロード、ダウンロード、共有
        SharePoint	ログイン、アップロード、ダウンロード、共有
        スラック	ログイン、チャット、オーディオ/ビデオ、ファイル転送
        Gmailの	ログイン、読み取り、作成、送信、添付ファイルのアップロード、添付ファイルのダウンロード

        share-activityオプションのactivity-parametersを設定できます。このオプションのステートメントを設定することで、トラフィックをより細かく制御することができます。

   2. CASBのアプリケーションインスタンスを作成します。CASBの場合、企業と企業以外のSaaSアプリケーションインスタンスを区別するために、管理者はinstanceパラメーターを使用してアクセスポリシーを構成する必要があります。インスタンスを識別するために、CASBではインスタンスID、ドメイン、およびタイプ(オプション)を必要とします。 表 2 に、アプリケーション・インスタンスの設定オプションを示します。

      表2: アプリケーション・インスタンス設定

      設定	ガイドライン
      名前	(必須)アプリケーションインスタンス名。たとえば、「 dropbox123 」のように入力します。
      アプリケーションインスタンスID	(必須)アプリケーション インスタンス ID。SaaSサービスにアクセスするための一意のURLを指します 各アプリケーションは、独自のインスタンス ID を持つことができます。次の URL の例では、アプリケーションの SaaS URL から取得されたインスタンス ID として共通文字列 acmecorp07 を使用します。 ボックスURL - acmecorp07.app.box.com OneDrive または SharePoint の URL - acmecorp07ms-my.sharepoint.com Salesforce URL — acmecorp07.my.salesforce.com および acmecorp07.lightning.force.com Slack — Slack URL は acmecorp-zoy8730.slack.com で、インスタンス ID は acmecorp-zoy8730 です。 以下のアプリケーションには汎用 URL があり、インスタンス ID は適用されません。 Dropbox—dropbox.com Google ドキュメント - docs.google.com Gmail—mail.google.com
      ドメイン	(必須)ドメインアドレスを入力します。これは、電子メールドメインを指します。 たとえば、acmecorp07.com は組織ドメインです。Box、Dropbox、Google Docs、Salesforce、Gmail、Slackは、すべてのユーザーに同じドメインを使用します。 OneDrive と SharePoint のドメイン値は acmecorp07ms.onmicrosoft.com。
      種類	(オプション)次のいずれかの値を入力して、タイプをアプリケーションインスタンスにマップします。 仕事 個人的 手記： Dropbox の値のタイプを設定する必要があります。その他のアプリケーションの場合、この設定はオプションです。
      タグ	(オプション)次のいずれかの値を入力して、タグ付けをアプリケーションインスタンスにマッピングします。 [制裁対象(Sanctioned)]:組織によって認可されたアプリケーションインスタンス。 [Unsanctioned]:組織によって認可されていないアプリケーションインスタンス。

   3. ポリシー アクションを定義します。各ポリシーには、すべての一致条件が成功した場合にシステムが実行する一連のアクション(許可/拒否およびログアクション)があります。

2. 既定のルールを構成します。デフォルトルールは、他のルールのいずれも一致しない場合、またはポリシーに他のルールがない場合に一致します。デフォルトルールの設定は必須です。

3. 許可されたトラフィックのアプリケーションサービスとしてセキュリティポリシーのCASBポリシーを適用します。

CASBルールについては、以下の点に注意してください。

• CASBルールを順番に配置して、アプリケーションまたはアクティビティの特定の一致基準を処理します。

• 統合ポリシー構成用のデフォルトCASBポリシーを設定します。このデフォルト・ポリシーは、動的アプリケーション一致が発生するまでセッションに適用されます。セキュリティポリシーに最終的に一致するアプリケーションが利用可能になると、対応するCASBポリシーが適用されます。最終的なファイアウォールポリシーでCASBポリシーが明示的に設定されていない場合、CASBサービスはセッションを停止します。

• SRX300、SRX320、SRX325、SRX340、SRX550M、SRX1500には、最大64個のCASBポリシーを設定できます。SRX4000ラインおよびSRX5000ラインファイアウォールには、最大256のポリシーを設定できます。

CASBポリシーでは、以下のアクティビティも実行できます。

• ログ アクティビティ。

• ルールの順序を変更します。

• デフォルトポリシーを設定します。

  デフォルトのポリシーは、統合ポリシーに必要です。デフォルトポリシーが設定されていない場合、コミット中にエラーメッセージが表示されます。