はじめに
こんにちは、技術3課の紅林です。7月に出るドラクエⅪが待ち遠しい昨今です。2Dで遊ぶ予定です。
さて、今回は、Palo Alto VM-Series Next-Generation Firewall(以下、次世代ファイアウォール)のユーザー識別機能を用いたアクセス制御についてご紹介します。
次世代ファイアウォールはIPアドレスやポート番号のみではなく、アプリケーション識別機能により、YoutubeやGoogleMap等、アプリケーションを指定したフィルタリングが可能です。対応しているアプリケーションについては以下サイト等をご参照ください。
https://applipedia.paloaltonetworks.com/
その他次世代ファイアウォール自体については、公式ドキュメントや弊社のブログ記事等をご参照ください。
次世代ファイアウォールのユーザー識別機能とは
ユーザー識別機能は、IPアドレスの代わりにユーザー名やグループ名に基いてポリシの作成等が可能な次世代ファイアウォールの機能です。Active Directory(以下、AD)等のディレクトリサービスと連携し、ユーザー情報を用いた制御を行います。
これにより、例えば、「ドメインユーザーAにはこのアプリケーションAの通信を許可する」「ドメインユーザーBにはアプリケーションAの通信を許可しない」等のアクセス制御が可能となります。
構成図
さて、今回、上記ユーザー識別機能を用いた構成手順をご紹介しますが、例とする構成図を以下に示します。
- パブリックサブネットには次世代ファイアウォールのMGTポートとExternalポートのENIを配置するように構成します
- パブリックサブネットのデフォルトルートはIGWとします。
- プライベートサブネットのデフォルトルートは次世代ファイアウォールのENIとします。
構築手順
今回は例として、「ユーザーAのみPingを許可する」というポリシを作成するまでの手順をご紹介したいと思います。
前提条件
- 上記構成図のとおりにネットワーク/インスタンスが構築済みであること
- ADサーバがドメインコントローラとして動作済であること
- プライベートサブネットの通信が次世代ファイアウォールを通じて、インターネットに通信できる状態になっていること
- 次世代ファイアウォールの構築手順は右記のページ等を参照してください。 Deploy the VM-Series Firewall in AWS
- 次世代ファイアウォールの設定としては、パブリックサブネット側を「untrust」、プライベートサブネット側を「trust」とします。
※今回は検証のため、EC2インスタンス上にADサーバを構築しましたが、実際の構築では可用性/管理面等を踏まえ、Amazon Directory Service を使用するといいと思います。
構築手順
ADサーバ上に次世代ファイアウォール用のユーザーの作成
次世代ファイアウォールがADサーバと接続するためのADユーザーを作成します。
次世代ファイアウォールからADサーバに接続
以下の画面キャプチャの手順にしたがって、ADサーバに接続します。
「Device」->「ユーザーマッピング」->「ユーザーID」->「WMI認証」を押下し、ADサーバに接続するユーザー情報を入力します。
続いて、「サーバモニタ」タブを選択し、「セキュリティログの有効化」、「セッションの有効化」を押下します。
続いて、「クライアントによるプローブ」タブを選択し、「プローブの有効化」にチェックを入れ、「OK」を押下します。
「ユーザーマッピング」画面に戻りますので、「サーバモニタリング」->「追加」を押下し、「ユーザーIDモニタサーバー」ダイアログで接続するADサーバの情報し、「OK」を押下します。
「Network」->「ゾーン」->「trust」を選択し、「ユーザーIDの有効化」にチェックを入れ、「OK」を押下します。
以上がユーザーID機能の有効化に関する設定となります。ここで一度コミットすると、トラフィックログ等にユーザーID情報が記載されるようになります。
次世代ファイアウォールにポリシ設定
試しにユーザーIDを指定して、ポリシを設定してみます。 「Policies」->「セキュリティ」から該当のポリシを選択し、ユーザー列を押下し、「送信元ユーザー」を追加します。
コミットすると、設定したユーザーからのみトラフィックが許可されることが分かると思います。
まとめ
今回、次世代ファイアウォールのユーザ識別機能を用いたアクセス制御についてご紹介しました。
ちなみに、社内ドラクエ部にて、好きなドラクエの人気投票を実施中ですが、現在はⅤがトップを走っています(わたしも1票入れた)。