284 Views
October 02, 24
スライド概要
Cato Networks社 の Catoクラウドの「Product Update September 2024」日本語資料となります。
・RBI機能強化
・TLS Bypass ポリシー
・New Navigation(CMAの新バージョン)
・Entra Identity Alerts
・Last-Mile Bandwidth Kps設定
・マルチIdP対応
・ダイナミックIP アロケーションポリシー(SDPユーザ)
・Internet Recovery(SDPユーザ)
・Link Health Alertsのリモートユーザ廃止
・Natural Language Search(Knowledge検索用 生成AIチャットボット)
・WAN FirewallにおけるAPIサポート
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Product Update Sep 2024
RBI – Avoid Escape Isolation
RBI – Avoid Escape Isolation Remote Browser Isolation - RBI? Threat Prevention Remote Browser Isolation (RBI) は、ユーザーを隔離された安全な環境でウェブサイトにアクセスさせることで、 ランサムウェア、マルウェア、フィッシング、悪意のある広告、クロスサイトスクリプティング(XSS)などのウェブやブラウザ ベースの脅威の被害からユーザーを守ります。 未分類および未定義のURLカテゴリーの上位に、カスタムカテゴリーからRBIセッションを開始することができます。 Why? • セキュリティ強化 • ゼロデイ脆弱性に対する保護 • 閲覧セッション中の厳格な管理
RBI – Avoid Escape Isolation Current Behavior
RBI – Avoid Escape Isolation GAP • 幅広いウェブサイトを対象とした継続的なRBIセッションを⾏うオプションがない • ワイルドカードのサポートがない • ログインが必要なウェブサイトにアクセスすると、無限ループが発⽣する
RBI – Avoid Escape Isolation: What we are adding? Continues RBI Session • 宛先リストを管理者が設定し、ユーザーにRBIセッションの維持を強制する • ワイルドカードをサポートし、⼤量のドメインオプションをカバーする。例:*.co.uk • ブラウザベースの脅威のリスクを低減し、完全なRBIセッション
RBI – Avoid Escape Isolation: What we are adding?
RBI – Avoid Escape Isolation: What we are adding?
Global TLS Bypass Policy General Availability
Global TLS Bypass Policy Enhanced Visibility TLS Inspection – why? • TLSは、2つのポイント間のエンドツーエンドでデータを暗号化することで セキュリティを強化するように設計されています • ウェブトラフィックの95%以上が暗号化されています • TLS検査によりトラフィックが傍受され、セキュリティエンジンによる検査が可能になります • マルウェア検出(NGAM/IPS) • 機密コンテンツの漏洩(DLP) • きめ細かいアプリケーション制御(CASB)
Global TLS Bypass Policy Enhanced Visibility TLS Inspection Policy • 管理者による詳細な検査またはバイパスルールの定義が可能 • デフォルトのグローバルバイパスポリシーを組み込み • Cato Security Contentチームによる管理 • CMAでは表⽰されない bypass_rule.json
New Navigation
Navigation plays a crucial role in ensuring that our users can seamlessly explore and find what they need but even more - It’s an opportunity to tell our product story and expose our unique SASE value
New navigation - Why? • メニューがごちゃごちゃしていて⻑い • モニタリングタブが新しいダッシュボードの置き場になっていた • 特定のページやコンテンツがどこにあるのか、またはどのドメインに属しているのかが不明瞭 • 1回の操作で何度もジャンプする(タブ間、ドメイン間、モニタリング間) • 明確なロジックがない - CMAが拡⼤し続け、新しいページやコンテンツをどこに追加するかを決定するのが難しい Roadmap Now Next Future Rearrange pages Content completion Consider nav model? 既存ページのみに フォーカス 不⾜したコンテンツの追加 by entity 重複コンテンツを統合 by use case クロスドメインコンテンツで強化 by persona
New navigation - Goals 顧客にとっての使いやすさ - 進化であり、⾰命ではない 領域ごとに視点を持ち続け、市場の成熟度に合わせる 学習曲線を低減 ⼀貫した構造、ドメイン間のより明確な区別 効率的なフロー - トランジションの削減 ⾒つけやすく、各ページの予想される場所、グループ化されたトピック Cato独自のクロスドメイン価値を強調し、促進 すべてのユーザーに1つのSASEプラットフォーム CMAの成長をサポート 新しいコンテンツを簡単に追加、明確なロジック
Audit current state > “Monitoring”
Audit current state > Domains (Network, Access, Security)
Audit current state > “Assets”
Audit current state > “Administration”
New navigation - Principles Monitoring < Domain > Assets • クロスドメイン(SASE)ページの みを残す • セクションごとに監視と構成を分 ける • 横断的なシステムの⼀元化 objects, policies, settings • 特定のドメインページを関連す るタブに移動する • Next-、<Domain> Overviewというコンテンツを追 加する • Next – Homeに横断的な Entityを移動 (Sites, Users, Devices, Apps) Home < Domain > Collectio ns Administrati on • Manage my account administration only • Move “SASE” content Account
| 21
Entra Identity Alerts Stories in XDR
What is ITDR? ● アイデンティティ脅威の検出と対応アイデンティティおよびアイデンティティ ● ベースのシステムを標的とする脅威 - 以下のようなもの︓ ● 不可能な移動 - 異なる地理的位置からの複数ログイン ● ⾒慣れないプロパティ(ユーザーエージェント、OSなど)でのサインイン ● XDR ソリューションは、ネットワークおよびエンドポイントデータに加えて、監視すべき重要なデータソースと⾒なされています。 ● Microsoft Entra ID Protect - 主要な ITDR ソリューション。
New Entra ID Protect XDR Stories
New Entra ID Protect XDR Stories ● Cato XDR初のアイデンティティベースのデータソースであるEntra ID Protectからのアイデンティティアラートに基づい て作成されています。 ● 特にネットワークやエンドポイントベースの脅威と関連付けることで、アイデンティティの脅威に対する重要な可視性を 提供します。 どのように機能するのか︖ ● Microsoft Entra ID Protectのコネクタを設定します。 ● Identity Alerts データが Cato に統合され、サブタイプ 「Identity Alert」 のイベントが作成されます。 ● 新しいXDRストーリー - "Entra Identity Alerts ● 24時間以内に1⼈のユーザーに関するすべてのアラートが作成されます。
Case Investigation Demo – Entra ID and Threat Hunting
Entra Identity Alerts Stories in XDR ● 新しいアイデンティティXDRストーリーに関連する2つのコネクタがあります︓ - 必須 - アイデンティティアラート - 強く推奨 - Azureサインインイベントの可視化 ● どちらのコネクタも無料で、ライセンスは必要ありません。 ● どちらのコネクタもIntegrations Catalogページで設定可能です。
Stories Workbench New Look
Stories Workbench New Look Current Look: New Look:
Stories Workbench New Look - Demo
Last-Mile BW in Kbps
What is the Last Mile in Cato? 1. ラストワンマイルとは、ISPが提供する顧客宅とCatoクラウド間のネット ワークである。 2. 顧客は、クラウドへの接続タイプ(ソケットなど)に合わせてラストマイル のBWを設定する必要がある。 3. ベストプラクティスは、ラストマイルのBWに合わせてCMAを設定すること です。 4. 顧客は値として1〜10,000の間で設定できます。 5. しかし、事前定義された値以外の設定が必要な場合は︖ Last Mile | 32
Background • 信頼性と既存のインフラを理由にT1を利⽤している顧客もいる • T1は、銅線による⾳声とデータのデジタル伝送に使⽤される電気通信規 格です。 • T1の伝送速度 1.544 Mbps Last Mile | 33
What is new? • 信頼性と既存のインフラを理由にT1を利⽤している顧客もいる § T1は、銅線による⾳声とデータのデジタル伝送に使⽤される電気通信 規格です。 • T1の伝送速度 1.544 Mbps Last Mile New New | 34
How to configure? • Catoのラストマイル帯域幅(アップストリームおよびダウンストリー ム)を⼩数点以下1桁まで(少なくとも> 1)設定できるように なりました。 • すべてのタイプのソケットおよびIPsecサイトで利⽤可能です。 Socket Site Configuration -> Socket -> WAN Ports IPsec Site Configuration -> IPsec -> Primary/Secondary New New | 35
Multiple IDP's
Multiple Identity Providers Cato SPACE
Configuring Multiple IDP’s
Connecting a User with the Entra Tenant
Connecting a User with the Okta Tenant
Provisioning • Users • UPNとオブジェクトIDは、すべてのSCIMディレクトリサービスにおいて⼀意でなければなりません • 電⼦メールはSCIMディレクトリ内(現在と同じ)およびディレクトリ間で重複することがあります • SDPライセンスは1⼈のユーザーにのみ割り当てられます • Users Groups • 同じグループ名を複数のソースからプロビジョニングできます。 • LDAPは、このフェーズではサポートされていません。 • -ディレクトリとSSOプロバイダー間のマッピングを作成するオプションはブロックされています。
Authentication • デフォルトのSSOプロバイダを設定する必要があります。 • 既存のアカウントに変更はありません。 • SSOプロバイダーを切り替える • ユーザーはすぐに切断されることはない • 次に接続を試みた際に、ユーザーは新しいSSOプロバイダーで認証を⾏う必要がある
Dynamic IP Allocation Policy Centralized IP Allocation Management for Remote Users
Dynamic IP Allocation Policy Why? • リモートユーザーが使⽤するIPアドレスの範囲を区分したい。 • このようなケースは、顧客がWANの⼀部としてサードパーティのアプライアンスも利⽤している場合に通常発⽣します • よくあるケース • oIPベースのアクセスリストを必要とするOTファイアウォールを使⽤する環境。 • サードパーティのアクセスをアドレスの範囲で区分する。 Solution space: • ダイナミックIP割り当ての割り当てをセグメント化するためのポリシーを注⽂。 • このポリシーにより、管理者がどのような条件下でどのIPアドレス範囲を使⽤すべきかを設定することが可能。 | 44
Dynamic IP Allocation Policy IP Allocation Policy Precedence: • 静的 IP 割り当て:特定のユーザーに固定 IP アドレスを割り当てる • 動的 IP 割り当て:ルールベースの指⽰に従って、ユーザーまたはグループに IP アドレスの範囲を割り当てる • デフォルト IP 割り当て:以下のユーザーにデフォルトの範囲を割り当てる • • • 静的 IP アドレスが割り当てられていない ルールに⼀致しない IP アドレスの範囲がすでに使⽤されているルールに⼀致する Best Practices: • 管理者は、常に想定されるユーザー数よりも⼤きな範囲を設定すべきです。 • 例えば、契約者グループに300⼈のユーザーがいる場合、/16のIP範囲を使⽤すべきです。 Known limitations: • 現在、PreloginモードではダイナミックIP割り当てはサポートされていません。 | 45
Internet Recovery for Remote Users Best Practices for Always-on
Internet Recovery for Remote Users Why? - CatoクライアントがCatoクラウドに正常に接続できない場合、Cato Always-onをバイパスする⾃動メカニズムを開始する ことができます。 - WindowsとmacOSに対応– Read more What's changing: - 「常時オン」ポリシーで作成された新しいルールにより、デフォルトでこの機能が有効になります。 - 管理者がより厳格な設定を希望する場合は、そのように設定することも可能です。 - ベストプラクティスセクションに、リモートユーザーのインターネットリカバリですべてのルールが設定されていることを確認するため のチェックを追加しました。 Is there any migration to my account: - No | 47
Link Health Alerts for Remote Users End of Life
Link Health Alerts for Remote Users – End of Life - Why? o Link Health アラートにより、管理者が接続 イベントのルールベースの監視を設定できます。 o 接続状態の健全性ルールについては、Anyオ プションまたはリモートユーザーオプションを使⽤ しないことをお勧めします。 o ユーザーとグループは、サイトに対して定期的に 切断と接続を繰り返しています。 What's changing? o リモートユーザーの接続に関するルールは、ヘル スアラートをトリガーしない。 | 49
Link Health Alerts for Remote Users – End of Life - Timeline: o 来週、パートナーおよびお客様にサービス終了のお知らせが通知 されます。 o ⽇付:2025年1⽉2⽇ What's the impact? 現在この機能を使⽤していないアカウントのオプションは、数週間前 からすでに使⽤できなくなっています。 o それでも必要であれば、サポートチケットにより、サポート終了⽇まで使⽤ を延⻑することができます。 o 現在リモートユーザーソースタイプで明⽰的にこの機能を使⽤しているお 客様には、変更は適⽤されません。 | 50
Natural Language Search Gen-AI in CMA
Cato AI Architecture
AI-Powered SASE Platform: Categories Security SASE Copilot Networking AIを活⽤したリアルタイ ⾃然⾔語を使⽤してネイ ティブにプラットフォーム とやりとりし、プラット フォームの出⼒結果も同じ ⾃然⾔語で説明される 実際の⼝座取引データに 基づいてネットワークの 異常を検知し、ネット ワークポリシーを強化す る ムの脅威防⽌とオフライ ン検出 Platform Support 顧客プラットフォーム体 験の向上に向けたバック エンドサービスの強化 サポートプラットフォー ムにAIツールをシームレ スに統合することで、カ スタマーサポートのやり とりを強化する
Realtime Threat Prevention Models Anti Phishing: Cybersquatting Anti Bot: DGA Detection GA Combining intel feeds of leading legitimate domains with customers popularity analysis to eliminate cybersquatting false positives https://www.catonetworks.com/blog/cato-networks-adds-protection-from-the-perils-of-cybersquatting/ https://www.catonetworks.com/news/cato-revolutionizes-network-security-with-real-time-machine-learning-powered-protection/ GA
DLP ML Classifier for DLP GA Pre-defined classifiers: legal, financial, HR Fu tur e Custom classifiers: Allow customers to build custom models based on their specific data https://www.catonetworks.com/blog/how-cato-uses-large-language-models-to-improve-data-loss-prevention/ https://support.catonetworks.com/hc/en-us/articles/4413280529297-What-is-the-Cato-Anti-Malware-Policy#h_01HDDQFWDFQBXMEYJC40P3XG75
Platform: Product Catalogs Threats Applications GA https://support.catonetworks.com/hc/en-us/articles/10055007301149-Using-the-Threat-Catalog https://www.catonetworks.com/blog/cato-application-catalog-how-we-supercharged-application-categorization-with-ai-ml/ GA
AI Research by Cato Groundbreaking Method for Automatic App Classificaiton Enhancing Security and Asset Management with AI/ML in Cato SASE Cato Protection from the Perils of Cybersquatting How SASE Hones Threat Intelligence Feeds, Eliminates False Positives https://www.catonetworks.com/blog/category/ai-ml-research/
In r te na Natural Language Search (Gen-AI in CMA) l Live Demo
Coming Soon to CMA | 59
WAN Firewall Enhanced Admin Experience
Managing the WAN Firewall at scale Simplicity at Scale Enterprise Challenge Solution Large Policies 10x Scale and Performance Simultaneous Changes Concurrent Edits by Multiple Admins Integration and Automation Full API support
Enterprise-grade Internet Firewall Simplicity at Scale Enterprise Challenge Solution Large Policies 10x Scale and Performance Simultaneous Changes Concurrent Edits by Multiple Admins Integration and Automation Full API support
| 63
WAN Firewall API Documentation • Documentation hub - https://api.catonetworks.com/documentation • API endpoint - https://api.catonetworks.com/api/v1/graphql2 | 64
Cato SASE. Ready for Whatever’s Next. THANK YOU