Palo Alto VM-Series Next-Generation Firewallでユーザー識別によるアクセス制御を行う

記事タイトルとURLをコピーする

はじめに

こんにちは、技術3課の紅林です。7月に出るドラクエⅪが待ち遠しい昨今です。2Dで遊ぶ予定です。

さて、今回は、Palo Alto VM-Series Next-Generation Firewall(以下、次世代ファイアウォール)のユーザー識別機能を用いたアクセス制御についてご紹介します。
次世代ファイアウォールはIPアドレスやポート番号のみではなく、アプリケーション識別機能により、YoutubeやGoogleMap等、アプリケーションを指定したフィルタリングが可能です。対応しているアプリケーションについては以下サイト等をご参照ください。
https://applipedia.paloaltonetworks.com/

その他次世代ファイアウォール自体については、公式ドキュメント弊社のブログ記事等をご参照ください。

次世代ファイアウォールのユーザー識別機能とは

ユーザー識別機能は、IPアドレスの代わりにユーザー名やグループ名に基いてポリシの作成等が可能な次世代ファイアウォールの機能です。Active Directory(以下、AD)等のディレクトリサービスと連携し、ユーザー情報を用いた制御を行います。
これにより、例えば、「ドメインユーザーAにはこのアプリケーションAの通信を許可する」「ドメインユーザーBにはアプリケーションAの通信を許可しない」等のアクセス制御が可能となります。

構成図

さて、今回、上記ユーザー識別機能を用いた構成手順をご紹介しますが、例とする構成図を以下に示します。

  • パブリックサブネットには次世代ファイアウォールのMGTポートとExternalポートのENIを配置するように構成します
  • パブリックサブネットのデフォルトルートはIGWとします。
  • プライベートサブネットのデフォルトルートは次世代ファイアウォールのENIとします。

構築手順

今回は例として、「ユーザーAのみPingを許可する」というポリシを作成するまでの手順をご紹介したいと思います。

前提条件

  • 上記構成図のとおりにネットワーク/インスタンスが構築済みであること
  • ADサーバがドメインコントローラとして動作済であること
  • プライベートサブネットの通信が次世代ファイアウォールを通じて、インターネットに通信できる状態になっていること
  • 次世代ファイアウォールの設定としては、パブリックサブネット側を「untrust」、プライベートサブネット側を「trust」とします。

※今回は検証のため、EC2インスタンス上にADサーバを構築しましたが、実際の構築では可用性/管理面等を踏まえ、Amazon Directory Service を使用するといいと思います。

構築手順

ADサーバ上に次世代ファイアウォール用のユーザーの作成

次世代ファイアウォールがADサーバと接続するためのADユーザーを作成します。

次世代ファイアウォールからADサーバに接続

以下の画面キャプチャの手順にしたがって、ADサーバに接続します。

「Device」->「ユーザーマッピング」->「ユーザーID」->「WMI認証」を押下し、ADサーバに接続するユーザー情報を入力します。

続いて、「サーバモニタ」タブを選択し、「セキュリティログの有効化」、「セッションの有効化」を押下します。

続いて、「クライアントによるプローブ」タブを選択し、「プローブの有効化」にチェックを入れ、「OK」を押下します。

「ユーザーマッピング」画面に戻りますので、「サーバモニタリング」->「追加」を押下し、「ユーザーIDモニタサーバー」ダイアログで接続するADサーバの情報し、「OK」を押下します。

「Network」->「ゾーン」->「trust」を選択し、「ユーザーIDの有効化」にチェックを入れ、「OK」を押下します。

以上がユーザーID機能の有効化に関する設定となります。ここで一度コミットすると、トラフィックログ等にユーザーID情報が記載されるようになります。

次世代ファイアウォールにポリシ設定

試しにユーザーIDを指定して、ポリシを設定してみます。 「Policies」->「セキュリティ」から該当のポリシを選択し、ユーザー列を押下し、「送信元ユーザー」を追加します。

コミットすると、設定したユーザーからのみトラフィックが許可されることが分かると思います。

まとめ

今回、次世代ファイアウォールのユーザ識別機能を用いたアクセス制御についてご紹介しました。
ちなみに、社内ドラクエ部にて、好きなドラクエの人気投票を実施中ですが、現在はⅤがトップを走っています(わたしも1票入れた)。