アプリケーションの可視化と制御とは

アプリケーションの可視化と制御とは

アプリケーションの可視化と制御機能により、アプリケーションレベルの脅威から重要な高速ネットワークを保護します。これらの脅威には既存のものと新しいものの両方があり、ネットワークに侵入して増殖する可能性があります。

アプリケーションの可視化と制御が対処する問題

Webベースのアプリケーションは、セキュリティのダイナミクスを変えました。これまでは、特定のアプリケーションが特定のプロトコルとポートに関連付けられていたため、ポリシーはホストレベルで比較的簡単に適用できましたが、現在では、以下に示すように、ほぼすべてのトラフィックが仮想的にHTTPベース(ポート 80/443)になっています。

Webアプリケーションには、ファイアウォールを経由して、従業員、請負業者、パートナー、サービスプロバイダがどこからでもアクセスできるため、アクセスコントロールに課題が生じています。インスタントメッセージング、ピアツーピアのファイル共有、Webメール、ソーシャルネットワーキング、IP音声/映像コラボレーションなどのアプリケーションは、通信ポートとプロトコルを変更したり、その他の一般的なサービス(HTTPやHTTPSなど)内をトンネリングしたりすることで、セキュリティメカニズムを回避します。このため、組織はネットワーク上でアプリケーションとトラフィックを制御して、攻撃から資産を保護し、帯域幅を管理する必要があります。

アプリケーションの可視化と制御が可能にすること

効果的なセキュリティソリューションがあれば、ネットワークを通過するアプリケーションを管理者が可視化して制御できます。アプリケーションの可視化と制御は、次のような目的で必要です。

  • ポート、プロトコル、暗号化解除およびその他の回避技術に関わらず、アプリケーションを識別し、許可、ブロック、制限します。
  • デバイスまたはIPアドレスに関わらず、特定のユーザー、ユーザーのグループ、マシン単位でアプリケーションを詳細に制御し、ユーザーを識別します。これにより、企業はネットワークへの出入りを許可するトラフィックのタイプを制御できます。
  • インバウンドおよびアウトバウンドのSSL暗号化解除機能をサポートし、暗号化されたネットワークストリーム内の脅威やマルウェアを識別して防御します。
  • 侵入防御システム(IPS)を組み込み、非標準ポート上のアプリケーションに適切な攻撃オブジェクトを適用します。

アプリケーションの可視化と制御の仕組み

アプリケーション識別(App ID)分類エンジンとアプリケーションシグネチャパターンマッチングエンジンは、レイヤー7で動作し、ペイロードの実際のコンテンツを検出して、アプリケーションを識別します。App IDは、アプリケーションが識別されるまで、ネットワーク上のトラフィック、およびアプリケーション識別エンジンを通過するフローのすべてのパケットに対して、トラフィックのネットワークディープパケットインスペクション(DPI)を実行します。IPアドレス、ホスト名、ポート範囲などのアプリケーションの検出結果は、アプリケーションシステムキャッシュ(ASC)に保存されるため、以降の識別が迅速化します。

ジュニパーネットワークスの実装

SRXシリーズ対応のアプリケーション認識型セキュリティサービスであるJuniper Networks AppSecureスイートは、トラフィックフローを分類し、ネットワークセキュリティの可視化、適用、制御、保護を実現します。AppSecureは、最先端の分類エンジンを使用し、回避技術を使用して識別を回避することで知られるアプリケーションでも、ポートやプロトコルに関係なく、アプリケーションを正確に識別します。これにより、ネットワーク トラフィックを制御し、正確な情報に基づきポリシーを設定、適用し、ビジネス ニーズに対応するために必要なパフォーマンスと拡張性を実現する環境を提供します。