1K Views
March 26, 24
スライド概要
Catoクラウドの「Product Update March 2024」日本語資料となります。
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Tech Update March 2024
Choosing Your CMA Homepage
Current Homepage State • 通常はログイン後、Topologyが表⽰される もし以下の場合は︖ SoC – XDR Dashboardを開きたい NoC – Siteリストを開きたい License admin – License画⾯を開きたい |3
Choosing Your Own Homepage • Homepageの指定が可能に LR |4
User Awareness with SCIM in Azure Hybrid AD
User Awareness with SCIM Provisioned Users in Hybrid Azure AD • Today o サイトでUser Awarenessを利⽤するには、SDP ライセンスが必要です o ユーザは⼀度認証を⾏う必要があります • New! o Windows Cato Client 5.9以上 o SDPライセンスは必要有りません o シームレスなユーザエクスペリエンス o Pre-requisite § アカウントは Azure SSO で構成されている必要があります § Windows ログイン資格情報はユーザーを識別するために使⽤されます SCIM AD Connect
Summary • New! o Windows Cato Client 5.9以上 o Hybrid Azure AD で SCIM によってプロビジョニングされたユーザーは、SDP ライセンスやユーザー認証を必要とせずにオ ンサイトで識別されます。 • Reminder o Mac または Linux には SDP ライセンスとすべての iDPS による 1 回限りの認証が必要です o Okta, JumpCloud, OneLogin § すべてのプラットフォーム (Windows、Mac、Linux) の場合、SDP ライセンスが必要であり、ユーザーは⼀度認証する 必要があります § https://support.catonetworks.com/hc/en-us/articles/13815807963293-Using-Cato-Identity-Agents-forUser-Awareness
Device Posture Checks: Cato Client Improve your corporate compliance policy
Device Posture Checks: Cato Client システムで使⽤できる Cato クライアントのバージョンを管理する Why? - 適切な Cato クライアント バージョンを使⽤せずに接続しようとするユー ザーに対する制御が改善されました。 How? - Cato クライアントのデバイス チェックを使⽤すると、承認した最新の Cato クライアント バージョンをユーザーに要求できます。 What if I am already using Catoʻs Automatic Upgrade services? - これは、Cato などによってサポート終了 (EoS) と宣⾔されたバージョンを ユーザーが使⽤していないことを検証するのに役⽴ちます - また、管理者がシステムでの使⽤を承認したバージョンをユーザーが使⽤し ていることも継続的に検証します。 |9
Device Posture Checks: Best Practices システムで使⽤できる Cato クライアントのバージョンを管理 Best Practices: - Device Checkを、ネットワークアクセスを付与するために作成する際: o 常に、"Equals or higher than”マッチ条件を利⽤ - Device Checkを、ネットワークアクセスを拒否するために作成する際 o 常に”Equals”マッチ条件を利⽤ | 10
Streamlined Cross-connect GA
Cloud Connectivity with Cross-connect プロビジョニングプロセスの⾃動化 Cross-connect Benefits Dedicated P2P Layer2 connection Private. Secured Integration with global cloud exchanges Global reach to public and private clouds High performance Yes Resilient Yes Simple Yes Streamline Cross-Connect provisioning • インタラクティブな利⽤可能な PoP リスト • ファブリック サービス プロバイダーによる⾃動プロビジョニング Equinix Cross-connect Equinix ECX AWS Azure Digital-Reality Cloud Connect GCP Oracle Private cloud DirectConnectExpressRouteInterConnectFastConnect
Cross-connect Seamless Provisioning from CMA プライベート クラウドとパブリック クラウドに接続するためのプロビジョニング プロセスを⾃動化 New CMA を使⽤してクロスコネクトをシーム レスにプロビジョニングし、クラウド デー タセンターを Cato に即座に接続しま す 4 Configure BGP Cato automatically provisions the connection Equinix Cloud Exchange Create a connection Create a site | 13
Best Practice Two Connections, Two PoP Locations BGP (preferred metrics) Primary Cross-connect ASH NY Secondary Cross-connect BGP (less-preferred metrics) | 14
Creating a Primary Connection Creating a Connection Using the Streamlined Configuration • Click on “New Connection” • Connection Type: • Manual: Manual Process • Public Cloud Connection: Streamlined process • Cloud Provider: • AWS Direct Connect • AWS Account ID • PoP Location and Fabric: • Currently, Equinix only • Bandwidth: This value should be aligned with the license • Cloud Region: • Auto-fetched value • Network Settings (/30) • First is the Cato IP, Second is the AWS Router IP | 15
Connection Table Overview Full Visibility into the Provisioning Process | 16
macOS Client v5.6
macOS Client v5.6 Version Overview: • Stability:エンドユーザー エクスペリエンス、パフォーマンス、接続時間への⼤規模な投資。 • Device Posture Check for Disk Encryption: Device Posture Checkのプロファイ ル内にDisk暗号化のチェックを含めることができるようになりました。 o Device Posture Profileは、Client Connectivity PolicyおよびSecurity Policyに含めることができま す • Client Tray Icon:クライアントのトレイ アイコンが接続状態または切断状態を⽰す⽅法を改 善しました。 | 18
Access Control
Account Access Control Cato担当者に対するAccess Controlとは何か • アクセス制御を使⽤すると、アカウントへのアクセスを許可できます • アクセスパラメータを完全に制御できます • どの Cato 代表者にアクセスが許可されているか • 許可されるアクセス権限とは何か • アクセス時間枠は何か Cato 担当者へのアクセスを許可する必要があるのはいつですか • アカウントへのアクセスが必要となる可能性のある運⽤上のニーズの例: • Cato サポートによる調査が必要な可能性があるサポートチケット • Cato プロフェッショナル サービス、セールス エンジニア、カスタマー サクセス担当者へのアドバイザリー リクエスト
Account Access Control Cato 代表者にアクセスを許可する⽅法 • Cato の担当者から Cato リソース アクセス (CRA) ID を受け取ります。 • これは、エンコードされた識別⽂字列です。例: CRA::JACK_DANIEL::U8CA2099E84::EC0F1F2EDEEF • 新しいページでは、アクセス権を表⽰、編集、追加できます。 • 「Account Access」で「New」をクリックします。
Account Access Control Cato 代表者にアクセスを許可する⽅法 • CRA IDをコピーして貼り付け、「Apply」をクリックします。 • オプション: 「アクセス理由」フィールドに記⼊します。
Account Access Control Cato 代表者にアクセスを許可する⽅法 • CRA IDをコピーして貼り付け、「Apply」をクリックします。 • オプション: 「アクセス理由」フィールドに記⼊します。 • オプション︓Time Rangeを変更します
Account Access Control Cato 代表者にアクセスを許可する⽅法 • CRA IDをコピーして貼り付け、「Apply」をクリッ クします。 • オプション: 「アクセス理由」フィールドに記⼊します。 • オプション︓Time Rangeを変更します • アクセス権限、ロールを指定する
Account Access Control 既存のアクセスと最近のアクセスの表⽰ ・「Account Access」ページでアカウントへのすべてのアクセスを確認および変更できます。 ・アクセスはいつでも取り消すことができます
Account Access Control サポートアクセス サポート チケットを開くと、Cato サポート エンジニアにView-Access権限が⾃動的に付与されます。 [Account Access] ページで CRA を追加する必要はありません。 サポート アクセスが表⽰され、すべてのアクセス パラメータを変更できるようになります。
License Expiration Banner
Every Site Needs a License • 商⽤アカウントは、サイトに商⽤ライセンスを割り当てる必要があります • (ライセンスのないサイトはトラフィックを通過させません) Use cases of trial licenses: § トライアルアカウントを商⽤に以降– 全てのサイトにトライアルライセンスがあります § Special trial license is used to test a new site, etc. Customer gets a trial License from Cato Customer adds a site and assigns the trial license Customer is HAPPY with Cato, so they buy a commercial license (or trial moving to commercial) Customer assigns the commercial license to the site
Site Expiration Banner 仕様: バナーは、期限切れが近づいている、または期限切れになっている試⽤ライセンスを持つサイトをターゲットにしています。 アカウントに試⽤ライセンスの期限が切れたサイトがある場合、⾚いバナーが表⽰されます サイトの試⽤ライセンスの有効期限が近づくと、⻩⾊のバナーが表⽰されます バナー上の「x」アイコンをクリックすると、バナーを 24 時間⾮表⽰にできます。 | 29
Enhanced XDR Stories for Microsoft Defender Endpoint Alerts
Microsoft EDR Stories in XDR – What’s new? • アウトバウンドトラフィックデータに TargetとDestination IP.を追加 • これらは、フィッシング攻撃など、アウトバウンド ネットワーク トラフィックに関連するストーリーにおける重要な Indicators of Compromise (IoC) です。 • Target: ストーリーに登場するURL • Destination IP: ストーリーに関係するリモート IP アドレス 172.196.1.23 euc-labrtc.com 10.66.14.227 172.196.1.23 live.com 10.66.14.255 72.17.34.1 malware.com 192.1.1.18 72.17.34.1 malware.com 192.1.1.2 | 31
Resizing VMs for Azure vSockets Call To Action
Microsoft Azure Enforcement Changes Standard_D2s v4 Instanceへ対する2NICの提供 • Standard_D2s v4 インスタンスでの 2 NIC の適⽤は、Microsoftにより(Azure リージョンごとに) 段階的に 展開されています。 | 33
Microsoft Azure Enforcement Changes Potential Impact • vSocket が無効になる可能性があるため、VM の停⽌と起動は⾏わないでください。 • ソケットのアップグレードと更新によってトリガーされる再起動では、”現時点では”問題の原因とはなりません | 34
Call to Action vSocket インスタンスのサイズをプロアクティブに変更する • Azure プロセスを使⽤して「マシンのサイズを D8ls_v5 に変更します」(CMA は変更なし) • その他のオプション (サイズ変更が完全に認定されるまで) - “vSocketのUnregister, Market Placeより再デ プロイ” | 35
Azure vSocket’s Architecture Future Plans • 2 つの NIC で Azure vSocket をサポートします。これにより、イメージのサイズをより安価な Azure インスタン ス タイプに変更できるようになります。 WAN subnet WAN1 WAN1 LAN1 LAN1 LAN subnet | 36
Q&A 1. サイズを変更する際のダウンタイム • HA構成においてはHAフェイルオーバが必要となります。 • 単⼀の Socket サイトでは、数分間のダウンタイムが発⽣する可能性があります 2. 2 つのインスタンス タイプの価格の違い • 地域によって異なります • 新しいインスタンス タイプは⽉額料⾦が約 2.5 倍⾼くなります 3. D8ls_v5 よりも安価な VM に vSocket をデプロイできるか • Cato はソケット バージョン 19 の D8ls_v5 を認定しています • 私たちは、より多くのインスタンス タイプを認定するのではなく、限界コストの節約のため、2 つの NIC を備えた Azure vSocket に取り組むR&Dの取り組みを計画しています。 4. 私のソケットがソケット バージョン 19 でない場合はどうすればよいですか? • Cato サポートに連絡して、ソケットをバージョン 19 にアップグレードしてください 5. D8ls_v5 インスタンスが表⽰されない場合はどうすればよいですか • テナントで許可されている CPU を超えていないことを確認してください • Microsoft サポートに問い合わせる | 37
Enhanced RBI Security Controls Early Availability
Enhanced RBI Security Controls Protect Sensitive Data When Using Generative AI Remote Browser Isolation Service Pixel Streaming (rendered canvas) Local Browser Browsing Activity Uncategorized Website Reducing Attack Surface and Eliminating Browser-Targeted Attacks (XSS, Zeroday, Phishing, In-Browser-Code) for Unknown Destinations
Enhanced RBI Security Controls Protect Sensitive Data When Using Generative AI What is added? • RBI セッションのセキュリティ設定をカスタマイズできるきめ 細かいセキュリティ制御 • コントロール可能な設定項⽬ • Download • Upload • Copy/Paste • Printing files from web • Read-Only New
Increased Visibility of Remote User Access and Security
Increased Visibility of Remote Users Access and Security Feature Overview • Background: § 現在、私たちはリモート ユーザー アクセスとセキュリティを 2 つの主要なポリシーで制御しています。 § Client Connectivity Policy § Always-On Policy § リモートユーザのアクセスとセキュリティを可視化する機能 § Remote Users Dashboard | 42
Increased Visibility of Remote Users Access and Security Feature Overview • *Remote Users Dashboard: Network Access *Requires Client Connectivity Policy to be enabled | 43
Increased Visibility of Remote Users Access and Security Feature Overview • Remote Users Dashboard: Bypass | 44
Socket Assignment and Description
Socket Assignments Today Not scaled for large deployment 1. 複数のソケットの割り当てが⾯倒 2. ナビゲーションは理想的ではありません 3. 説明を追加するオプションはありません 46
Assignments through Socket Inventory New • 「Socket Inventory」ページを通じて割り当てるオプションを追加しました • ソケット割り当てについては通知が引き続き⽣成されます • 「Installed」ステータスのソケットでのみ利⽤可能 | 47
Socket Description – Socket Assignment Site New Free Text description, can be used for hostname or crossreference for other systems (Optional) | 48
Socket Description – Editing existing description (Single Socket) New | 49
Socket Description – Editing existing description (HA Sockets) New | 50