購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3348
閲覧回数
6
いいね!
0
コメント

Umbrella: Web ポリシーのルールセットについて

tkitahar
Cisco Employee
Cisco Employee

‎2021-06-03 10:14 PM ‎2024-11-04 10:56 PM 更新

 

※2024 年 11 月 4 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella の SIG サブスクリプションを契約している場合、Web ポリシーを使った Web セキュリティ機能を利用することが可能です。Web ポリシーには、DNS ポリシーの「ポリシー」を拡張した「ルールセット」、およびその一部分である「ルール (別名ルールセットルール)」を用いて、どのようなブロックを行うかなどを定義します。本記事では Web ポリシーのルールセットについて説明します。

 

2. DNS ポリシーの「ポリシー」

 

まずは比較対象として、DNS ポリシーで使われているポリシーを簡単に説明します。ポリシーでは、何を守るか (アイデンティティ) およびどう守るか (セキュリティ設定やコンテンツ設定など) を定義します。例えば、Cisco Secure Client をインストールした A さんの PC をマルウェアやギャンブルのコンテンツから保護したい場合、以下のようなポリシーを作成します。

 

  • アイデンティティ => 「Roaming Computers」の「A さんの PC」
  • セキュリティ設定 => 「マルウェア」
  • コンテンツ設定 => 「ギャンブル」

 

ポリシーは、DNS ポリシー画面内に複数定義することができますが、実際にどのポリシーが適用されるかは、最上位のポリシーから順に確認を行い、最初にアイデンティティが合致したものが適用されます。例えば、以下の例では、1 番目のポリシーが適用されます。

 

  • ポリシー 1 => すべての「Roaming Computers」
  • ポリシー 2 => 「Roaming Computers」の「A さんの PC」
  • デフォルト ポリシー => すべてのアイデンティティ

 

せっかく A さんの PC 専用のポリシーを用意しても、順番を低く設定してしまうと、実際には適用されない点に注意が必要です。

 

3. Web ポリシーの「ルールセット」

 

Web ポリシーで使われるルールセットは、DNS ポリシーのポリシーと類似しており、例えば、Cisco Secure Client をインストールした A さんの PC をマルウェアから保護したい場合、以下のようなルールセットを作成します。

 

  • ルールセットアイデンティティ => 「Roaming Computers」の「A さんの PC」
  • セキュリティ設定 => 「マルウェア」

 

前項の DNS ポリシーでは、コンテンツ設定 (ギャンブル) も行っていましたが、ルールセットでは、コンテンツ設定、アプリケーション設定、接続先リストに関しては、ルールセット内のルールで設定することになっています。以下の例では、ルールセットにルールを追加し、その中でコンテンツ設定を行っています。

 

  • ルールセットアイデンティティ => 「Roaming Computers」の「A さんの PC」
  • セキュリティ設定 => 「マルウェア」
  • ルール 1 => 「Roaming Computers」の「A さんの PC」でコンテンツ設定「ギャンブル」をブロック

 

ルールも複数定義することが可能で、以下の例のように、同一ルールセット内で、A さんと B さんの PC のルールを分けることができます。

 

  • ルールセットアイデンティティ => 「Roaming Computers」の「A さんの PC」および「B さんの PC」
  • セキュリティ設定 => 「マルウェア」
  • ルール 1 => 「Roaming Computers」の「A さんの PC」でコンテンツ設定「ギャンブル」をブロック
  • ルール 2 => 「Roaming Computers」の「B さんの PC」でコンテンツ設定「ゲーム」をブロック

 

複数のルールが該当する場合は、上位にあるルールが適用されることになります。複数のルールを用意するメリットの一つとして、ブロックと許可のルールが併用可能な点が挙げられます。以下の例は、業務で使ういくつかのサイトを除き、ギャンブルをブロックする設定となります。

 

  • ルールセットアイデンティティ => 「Roaming Computers」の「A さんの PC」
  • セキュリティ設定 => 「マルウェア」
  • ルール 1 => 「Roaming Computers」の「A さんの PC」で接続先リスト「業務で必要なサイト」を許可 
  • ルール 2 => 「Roaming Computers」の「A さんの PC」でコンテンツ設定「ギャンブル」をブロック

 

なお、ルールセットには、必ずしもルールが必要というわけではなく、コンテンツ設定、アプリケーション設定、接続先リストによるフィルタが不要な場合 (セキュリティ設定で十分な場合など) は、ルールを定義する必要はありません。逆に言えば、ルールを定義するのであれば、少なくともコンテンツ設定、アプリケーション設定、接続先リストから 1 エントリーは用意する必要があります。

 

4. ルールセットアイデンティティとルール内のアイデンティティ

 

ルールセットの中には、アイデンティティを定義する場所が二箇所あり、一つ目は、ルールセットの直下にあるルールセットアイデンティティです。ルールセットアイデンティティは、該当の Web 通信が、複数のルールセットの中で、どれに該当するかを決めるために用意されています。

 

もう一つは、各ルールの中にあるアイデンティティです。こちらは複数のルールの中で、どれに該当するかを決めるために用意されています。

 

※ どのルールにも該当しない場合の「暗黙のブロック (Deny)」のような動作はありません

 

先にルールセットアイデンティティの確認が行われ、その後にルール内のアイデンティティの確認が行われることから、ルールが正しく適用されるには、後者のアイデンティティがすべて前者の中に含まれている必要があります。

 

ルールセットアイデンティティ >= ルール内のアイデンティティ

 

なお、それぞれで定義されるアイデンティティが同一になることがよくあるため、ルール内のアイデンティティの設定箇所には、「ルールセットアイデンティティの継承」というオプションが用意されています。

 

rule.png

 

(参考情報) Add a Ruleset to the Web Policy

https://docs.umbrella.com/umbrella-user-guide/docs/add-a-rules-based-policy

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents