以下は 2024 年 8 月 28 日に開催した 運用フェーズにおける Umbrella の基本と How-to ガイド の Q&A セッションでいただいた質問とその回答となります。多数のご質問誠にありがとうございました。なお、当日の資料や録画は以下より確認可能です。
プレゼンテーション資料 ウェビナー録画 イベント概要
質問 1 DNS レイヤでの保護について、URL からの名前解決を介在しない、IP を直接叩く通信の保護については、SWG を利用すれば保護できる、という私の認識で合っておりますでしょうか。
CDFW、SWG で通信制御可能になります。
質問 2 SWG の保護対象について、HTTP/HTTPS 以外のプロトコルの通信に対する保護は有効ではないのでしょうか。
SWG の保護対象について、HTTP/HTTPS のみです。HTTP/HTTPS 以外のプロトコルで、名前解決が必要な DNS 通信が発生する場合にはその DNS 通信を対象とすることで、保護は有効です。
質問 3 上記質問 1.2. の意図は、出口対策として Umbrella の提案/利用を検討している場合に、マルウェア等の通信が必ずしも URL 経由、HTTP 経由に限られないのではないか、という懸念を感じているものです。
CDFW を使用することで、HTTP/HTTPS 以外の通信も制御可能になります。
質問 4 SWG を使用すればより細かい制御が可能とのことですが、VPN と併用する場合は DNS Security一択になりますでしょうか?
こちらは「VPNと併用」 = 「拠点と Umbrella 間で IPsec VPN を確立して、端末のトラフィックを Umbrella に転送」している前提として回答いたします。ご質問の意図と違ってしまう場合は何卒ご容赦ください。
「拠点と Umbrella 間で IPsec VPN を確立して、端末のトラフィックを Umbrella に転送」している場合でもDNS Policy、CDFW、SWG の全てが利用できます。Umbrella と IPsec VPN と接続する場合は、SIG Advantage のご契約ですと、DNS → CDFW → SWG → DLPという順でチェックされ、保護されます。
質問 5 DNS ポリシーで、通信リクエストのロギング範囲を「すべて、セキュリティイベントのみ、しない」から選択できますが、アプリケーション検出はこのロギング範囲の設定の影響を受けますでしょうか。(ロギングしない場合、アプリケーション検出ができなくなることがありますでしょうか?)
Umbrella はユーザがアクセスしているクラウド アプリケーションは DNS と SWG ログから検出します。DNS ポリシーで、通信リクエストのロギング範囲を「ログしない」場合、DNS ログからクラウドアプリケーションの検出できなくなり、SWG ログから検出しかできなくなります。
質問 6 Web ドライブ等の制御ができておらず、従業員が利用している場合、どのようなファイルをどの SaaS に保存したかどうか Umbrella で確認可能でしょうか。
Umbrella と Active Directory やEntra ID と連携させることで、Umbrella の Activity Search の通信ログに送信元端末を使用しているユーザ情報を表示可能です。この連携機能により、いつ、誰が、どの URL にアクセスして、どの SaaS へアップロードしたかを確認可能になります。
質問 7 今ご紹介頂いている CASB の機能はどのエディションで利用可能ですか?SIG Essentials では「Option」との記載になっています。
本日ご紹介しました CASB のアプリケーション検出機能は全てのライセンスで使用可能になります。DNS Security License はドメイン別に、SIG Lisence では URL 別に識別可能です。アプリケーション制御の一部や、クラウドストレージに保存されたデータにマルウェアが含まれているかの検査する機能はライセンスによって差分があります。
Cisco Umbrella パッケージ比較
質問 8 クラウド型 FW の機能を使用する場合は、オンプレで使用している FW と同等の機能を備えていますか?
CDFW は、オンプレのFWと同等な機能は備えておりません。CDFW は、HTTP/HTTPS 以外のトラフィックを制御する事が可能になります。一般的な FW と同様に、送信先/送信元 IP アドレス、プロトコル番号、送信先/送信元ポート番号を条件にした通信制御に加え、特定のアプリケーションを条件にした通信制御が可能です。また、IPS 機能や特定の時間のみ FW をルールを有効にする Rule Schedule 機能をサポートしています。
質問 9 IOS の場合、SWG は無効の認識ですが、対応予定はありますか?
申し訳ありません。現在、IOS では DNS トラフィックの保護のみサポートしており、Webトラフィックを SWG に転送して検査することは未サポートになります。また、直近での対応予定もありません。
質問 10 クラウド型 FW の機能を使用する場合は、FW 専用機器と同等の機能を備えていますか?FW のクラウド化も検討しているので、Umbllera でまかなえるのか、専用で導入したほうがいいのかを確認したいです。
質問 8 の回答をご参照ください。
質問 11 Splunk 連携で、DNS、Proxy 両方を取得する場合、2 回登録するのでしょうか。
DNS、Proxy の二つを取得する場合には、保存されている S3 のフォルダが分かれているため、2 回登録(別の Name で 2 つ登録)する必要があります。
質問 12 Umbrella Roaming Security Module(RSM)がインストールされているクライアント PC において、サービス起動後からローカル DNS を書き換える動作をするのか。実施しないのであれば、ローカル DNS と RSM で処理されるパケットをどのように判断しているのか。
書き換えるというより、Umbrella 向けの DNS サーバの設定が優先され、Umbrella にトラフィックが転送されます。また、Backoff と呼ばれる機能を使用することで、端末が拠点内に存在する場合、Umbrella 向けのトラフィック転送を自動的に無効化することが可能になります。
質問 13 SWG では、welknown なポート以外を使っている http, https でも保護可能ですか?
宛先ポートが 80/443 のポート以外の場合には、CDFW を使用することで、HTTP/HTTPS 以外の通信も制御可能になります。
質問 14 以下についてご教示いただけますでしょうか。可能であれば記載されているドキュメント URL も合わせてご教示いただけますと幸いです。①アクティビティ制御可能なアプリ数②テナント制御可能なアプリ数③リスク評価可能なアプリ数
① アクティビティ制御可能なアプリ数
App Discovery では、30,000 を超える検出可能なアプリを可視化できます。そのうち約 3,000 以上のアプリはブロックによって制御可能です。DNS またはフル Web プロキシ ポリシーを通じてブロックできるアプリ一覧は下記 URLとなります。リストは定期的に更新されているため、下記記載の一覧より制御数は増えているかと思います。
End of Life for Umbrella Roaming Client FAQ
② テナント制御可能なアプリ数
Microsoft 365、Google G Suite、Slack、Dropbox の 4 つが対応しております。
③ リスク評価可能なアプリ数
こちらは検出したアプリケーションすべてに対応しています。① での回答内容の記載のとおり、30,000 を超えるアプリに対応しています。
公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。