XG Firewall v18 を最大限に活用 – パート 2

製品XG Firewall

最新の暗号化インターネットのための Xstream TLS インスペクション

20207月 29作成者:

ネットワークトラフィックの暗号化レベルは、着実に増加し続けています。  過去一年間で、 Google が報告した HTTPS 経由で読み込まれたページの割合は、 Windows のプラットフォームで 82% から 87% に増加しました。Mac では 93% とさらに高くなっています。この分だと、 100% TLS 暗号化インターネットからそれほどかけ離れてはいません。XG Firewall V18 の優れた新機能を最大限に活用に関する記事にあるこの 2 番目の記事では、パートナー様とお客様が XG Firewall v18 の新しい Xstream TLS 1.3 インスペクションソリューションを最大限に活用できるように特に利用可能なリソースに焦点を当てています。

Xstream TLS インスペクション

前回の記事では、XG Firewall V18 の Xstream アーキテクチャおよび新しい Xstream DPI エンジンについて説明しました。  新しい TLS インスペクションソリューションは、新しいアーキテクチャの主要コンポーネントであり、最新の TLS 1.3 スタンダードをネイティブサポートしており、TLS/SSL暗号化トラフィック復号化を提供します。ファイアウォールを通過するほとんどのトラフィックフローは暗号化されるようになったため、TLS インスペクションは、この巨大な盲点を可視化し、ファイアウォールがその役割を実行し、ネットワークに侵入してくるコンテンツを検査できるようにすることが非常に重要です。このシリーズの次の記事で説明するように、DPI エンジンは、ランサムウェアやその他の脅威である新しいゼロデイ亜種を特定するのに非常に効果的ですが、それは暗号化されていないトラフィックを検査できる場合に限ります。

製品概要

新しい DPI エンジンによって検査される予定の暗号化されたトラフィックフローは、TLS インスペクションエンジンに渡されて復号化されてから検査されます。検査後、フローは再暗号化され、送り先に送信されます。TLS の暗号化とインスペクションの仕組み、そしてその重要性について詳しく知りたい場合は、このトピックに関する次の 2 つの優れた資料を確認することをお勧めします。

XG Firewall v18 の新しい Xstream TLS インスペクションエンジンには、数多くの魅力的な利点により、今日の暗号化されたインターネットに最適なソリューションを提供します。

  • 高パフォーマンス – 優れた接続能力
  • 暗号化されたトラフィックフローと表面化するエラーへの優れた可視性
  • 数回クリックするだけでエラーを対処し、例外を処理する簡単なツール
  • ダウングレードを行わずに TLS 1.3 をサポート
  • 強力な証明書認証で、最新の暗号スイートのすべてをサポート
  • すべてのトラフィックの検査、アプリケーションやポートに依存しない
  • 強力で柔軟なポリシーツールによりパフォーマンス、プライバシー、保護のバランスを完璧に実現

 

TLS インスペクションの開始

前回の記事で述べたように、XG Firewall V18 の新しい TLS インスペクションエンジンを利用することは非常に簡単です。ファイアウォールにある 1 つのチェックボックスをオンにして、ファイアウォールを有効化にしてから、次に示すように新しい「SSL/TLS Inspection Rules」タブでルールを作成する必要があります。 SSL/TLS インスペクションルールの作成方法についての簡単な概要 (5分) は、次のハウツービデオをご覧ください。 SSL/TLS インスペクションルールおよび復号化のプロファイルの作成に関する詳細な説明と手順については、次のオンラインマニュアルを参照してください。

お客様のネットワークの制限されたサブ管理サイト、またはいくつかのテストシステムで、TLS 暗号化を使用して段階的に開始することをお勧めします。これにより、新しい TLS インスペクションソリューションの専門知識を構築し、新しいルール、ログ、レポート、エラー処理のオプションを探ることができます。すべてのアプリケーションやサーバーが、TLS インスペクションを完全かつ適切にサポートしているわけではありません。そのため、管理者は Control Center でエラーを監視し、問題のあるサイトやサービスを除外する便利な組み込みツールを活用してください。XG Firewall には、すぐに使用可能な 2 つの事前パッケージ化された TLS インスペクションルールが付属しており、除外が簡単にできます。デフォルトでは、icloud、一部の Microsoft ドメインなど、TLS 復号化と互換性がないことと分かっている信頼性のあるドメインは除外されます。管理者は、問題が発生した時 Control Center のウィジェットを使用して直接、またはこれらの除外ルールを直接更新することで、ルールを直接カスタマイズすることが簡単にできます。

Control Center の新しいウィジェットでは、暗号化されたトラフィックフローや問題に関する情報を一目で把握できます。

ドリルダウンして問題の原因を特定し、数回クリックするだけで修正できます。

パートナー様とお客様が DPI エンジンと TLS インスペクションに慣れてきたら、お客様のネットワーク全体に適用することをお勧めします。より広範な TLS インスペクションの準備が整っており、CA 証明書をより多くのシステムにプッシュしたい場合は、Microsoft Active Directory のグループポリシー管理ツールに組み込まれているウィザードを使用して、このタスクを素早く簡単に実行することをお勧めします。TLS インスペクションをさらに広範囲にロールアウトする場合は、ファイアーウォールシステムのパフォーマンスメトリックを注意深く監視して、ハードウェアがボトルネックにならないようにします。XG Firewall V18 の Xstream アーキテクチャは TLS インスペクションのパフォーマンスを大幅に向上させますが、暗号化されたトラフィックの 0% からTLS トラフィックの 80〜90% まで検査すると、ファイアーウォールの通常の負荷によってはパフォーマンスに影響を与える可能性があります。ファイアウォールに余裕がありそうな場合は、ハードウェアを最新の大容量モデルに更新することをご検討ください。ハッカーや攻撃者がこの巨大な盲点を利用している割合を考えると、TLS トラフィックを検査することは間違いなく不可欠なことでしょう。XStream TLS インスペクションを含む XG Firewall V18 の新機能を最大限に活用するために参考となるサイトは次のとおりです。

 

XG Firewall の販促活動

ソフォスパートナーポータルでは、豊富な営業資料を提供しています。カテゴリを選択して結果を絞り込むことで、資料のリストをフィルタリングできます。また、お住まいの地域でセールスプロモーションをご利用いただけるかどうかをご確認ください。素晴らしい機会を見逃さないために時々ご確認することをお勧めします。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.