Catoクラウド製品アップデート情報(2025年2月版)
553 Views
March 29, 25
スライド概要
Cato Networks社 の Catoクラウドの「Product Update Feb 2025」日本語資料となります。
・Cloud Sandbox
・New UEBA XDR Stories
・Events Quicl View
・EPP Export Protected Endpoints
・Next-Generation LAN Firewall
・New Experience Monitoring Metrics for Zoom and Microsoft Teams
・Automated Cloud Interconnect - Megaport
・Microsegmentation Branch ZTNA
・New Monitoring of Socket CPU Usage
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
関連スライド
各ページのテキスト
Product Update Feb 2025
Cloud Sandbox
Intro
Cato Anti-Malware Recap Anti-Malware: 既知のマルウェア Behavioral Detection Signature-Based Detection Machine Learning Threat Intelligence Memory Analysis Cato PoP NG Anti-Malware: 回避型マルウェア/ゼロデ イ
Cato Anti-Malware Advanced Malware Detection Real-Time Malware Protection Malware Analysis & Testing
Cloud Sandbox Overview
What is Cloud Sandbox? Overview • エンドポイントやネットワークのセキュリティを損なうことなく、疑 わしいファイルやコードを安全に実⾏および分析できる、安全 で分離された環境。 • ファイルはサンドボックス環境で実⾏され、監視および分析さ れてリアルタイムの動作が観察され、悪意のあるアクティビティ が検出されます。 • ファイル システムの変更、ネットワーク アクティビティ、潜在的 な侵害の指標 (IOC) など、観察された動作に関する詳細 なレポートを⽣成し、マルウェアの検出と脅威インテリジェンス に役⽴ちます。
Cloud Sandbox Use-Cases
Cloud Sandbox Use-Cases AM / NG-AM AM / NG-AM
Cloud Sandbox Use-Cases The need: インシデント対応: データの流出、ラテラルムーヴメント、ペイロー ドの実⾏など、攻撃の影響を評価します。 インシデント後のレビュー: 検出ルールと防御を改善するために遡 及分析を実施します。 脅威ハンティング: 疑わしいファイルを積極的に分析して、隠れた 脅威や潜在的な脅威を発⾒します。 Sandbox solution: 調査と脅威インテリジェンスのために、悪意のある動作、攻撃の 影響、IOC に関する詳細な分析情報を⽣成します。
Cloud Sandbox Use-Cases The need: 本番環境で疑わしいファイルをテストすると、重⼤なセキュリティ リ スクが⽣じます。FP を検証し、脅威をテストするために必要です。 Sandbox solution: エンドポイントやネットワークのセキュリティを損なうことなく、信頼で きないファイルを評価するための、安全で分離された環境。
Cato Cloud Sandbox
Cato Anti-Malware The Missing Piece
Advanced Malware Protection With Sandbox
Cato Cloud Sandbox Automatic-Analysis New Suspicious / Malicious AntiMalware Cloud Sandbox Next-Generation Anti-Malware Analysis Report Cato PoP
Cato Cloud Sandbox On-Demand Analysis CMA User Sandbox Test-file Analysis Report
Sandbox Analysis Report Summary • ファイルの悪意のある動作に関連する判定と MITRE ATT&CK 戦術を含む、サンドボックス分析の概要。
Sandbox Analysis Report Static Analysis • ファイルを実⾏せずにファイルの構造と機能を調べ、潜在的な脅威と悪意のある兆候を特定する分析。
Sandbox Analysis Report Dynamic Analysis • 隔離された環境 (サンドボックス) でファイルを実⾏し、その動作を観察して潜在的な悪意のあるアクティビティを検出する分 析。
Cloud Sandbox Demo
ATP License is Required
User Flow
Sandbox Analysis Report
Cato Cloud Sandbox Important Notes • 悪意のあるファイルと疑わしいファイルのみがサンドボックス分析に送信されます(現在のフェーズ) • すべてのファイルはWindows 10 AWSベアメタル物理インスタンス上で実⾏されます • スキャン時間はさまざまで、最⼤10分かかる場合があります。 • ファイルサイズの制限: 100 MB • Supported file types: PE / 32-bit & 64-bit, EXE & DLL, Office documents / OLE & Open XML formats, RTF documents, PDF documents, Scripts / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell, Java / JAR files, Windows shortcuts / LNK & URL files, Windows batch / BAT files, 7-zip archive, ace archive, arj archive, bzip2 compressed, gzip compressed, lha 1.x & 2.x archive, microsoft cabinet archive, tar archive, posix tar archive, rar archive, xz compressed, zip archive, iso 9660 cd-rom. • レポートは1か⽉後に期限切れになります
New UEBA XDR Stories
New UEBA XDR Stories What is UEBA? User and Entity Behavior Analytics. ⾼度な分析を活⽤し、環境内のユーザー、デバイス、エンティティの「正常」な⾏動の基準を 確⽴します。潜在的な脅威を⽰す可能性のある逸脱や異常を特定します。 UEBA = Anomaly Detection | 26
New UEBA XDR Stories Why is UEBA an essential part of XDR? Proactive Detection: 内部脅威、横⽅向の移動、資格情報の悪⽤など、従来のツールでは⾒逃しがちな脅威を特定します。 Contextual Insights: ユーザーやエンティティの⾏動を他のテレメトリデータと相関させ、脅威を包括的に把握します。 | 27
New UEBA XDR Stories UEBA has always been a part of Cato XDR – “Usage Anomaly” and “Events Anomaly”. 現在、16種類の新しいストーリータイプを追加し、UEBAの機能を強化しています。 例えば、以下のようなものがあります。 • Bulk Failed Logins -企業のユーザーアカウントを侵害しようとする試みを特定します。 • Unusual Deletion Activity –データ損失を引き起こす可能性のある有害なユーザー活動を特 定します。 • ストーリはこちらのKBで確認ができます。 | 28
New UEBA XDR Stories – how? 新しいUEBAの異常検知は、イベントデータ、特にクラウドアプリのデータ(インラインおよびアウトオブバンドの両⽅) に基づいています。 クラウドのアクティビティイベントを記録することで、それらに対して機械学習モデルを実⾏し、不審なアクティビティや⾏ 動の異常を検出できます。 | 29
Sensitive Data upload to an S3 bucket
Deprecated Protocols First Occurrence Anomaly
New UEBA XDR Stories 「Events Anomaly」プロデューサーが新しいUEBAストーリーを作成します。利⽤可能な新しいインディケーションの 詳細なリストは、Indications Catalog で確認できます。 これらはクラウドアプリのデータに基づいているため、ほとんどの新しいストーリーにはCASBライセンスが必要です。 新しいUEBAストーリーは、XDR Pro および Managed XDR のお客様のみが利⽤可能です。 | 32
Events Quick View
Your Events on Cato Cloud A window to your network Natively Normalized Consistent and Complete Instantly Available すべてのイベントは、Single Shared Context を反映する共通のフィールドを 共有しています。 イベントは、ネットワークの詳細な可視性を 提供する強⼒な分析ツールです。 Tra f f i c イベントは、GUI、API、またはクラウドスト レージとの直接統合を通じてアクセスでき ます。 CATO SPACE Cato Data Lake This is the new GUI default Improved performance Single-click to switch mode ほとんどのユースケースでは、効果的な分 析のためにフィールドの⼀部のみが必要と なります。
Events Page Today (recap) Export to CSV Drill down to the relevant context for detailed analysis Time Range Selection Filters Natural Language Search (AI) Total Count and Distribution by Type Events Content Area Fields Area | 35
Events Quick View Whatʼs new? デフォルトのクイックビューにより、パフォーマンスと読 み込み時間が⼤幅に向上します。 最適なエクスペリエンスを提供するために、すべて の共通フィールドを含んでいます。 フィルターで選択または使⽤された追加フィールド も表⽰されます。 エクスポートには、パフォーマンス向上のために「ク イックビューフィールド」オプションが追加されました。 クイックビューを無効にすると、以前の動作に戻り、 すべてのフィールドを取得するため読み込み時間 が遅くなります。 All the Insights Better Performance No Compromises | 36
EPP: Export Protected Endpoints
Protected Endpoints in Cato Management Application • 管理者は、Cato Management Application で EPP エージェントのリアルタイムステータスを確認できます。
Export Protected Endpoints to CSV サードパーティのデバイスインベントリとの照合: どのデバイスにEPPが導⼊されているか、保護されているデバイスの数などを確認可能。 CSVを活⽤した⾼度な検索: 指定した⽇付以降にオフラインになったエンドポイントの数を特定可能。
Export Protected Endpoints to CSV • All endpoints are exported • Filter & Search are ignored • Different Columns & Order between CSV and UI • Is Online & Offline Since • Error • Owner User & Logged On User • Actual Profile Name & Assigned Profile Name Endpoint ID Endpoint Name EPP Version IP Actual Profile Name Assigned Profile Name Quarantined Files Status 108eeab92….. ABCD Ab Cd Ab Cd Windows 11 1.2 1.1.1.1 Default Default 43 Not Protected 6646e9fd-8…. EFGH Ef Gh Admin Windows 10 1.1 2.2.2.2 Default New Default 0 Protected E0b1b6….. JKLM Jk Lm admin Windows 11 1.1 3.3.3.3 New Default New Default 57 Protected Owner User Logged-On User OS Version Error Drivers not installed correctly Is Online Offline since FALSE 08/08/2024 11:40 FALSE 01/04/2024 13:23 Yes
Next-Generation LAN Firewall
LAN Firewall Session Agenda Understand the Learn about the LAN Firewall use cases features and strategy How to and Best Practices | 42
Recap SASE GW Network Resiliency Dynamic Path Selection WAN Optimization I AP Fir ew al l e Typ AM AM RBI SB P CA DL On Prem Server NG- Cato SPACE IPS 3rd party FW aS Sa G File Inter VLAN Segmentation SW ZT NA More and More IoT | | 43 4 3
WAN Optimization Full API More and More 2025 SW G Cato SPACE IPS CA AM RBI SB P LAN NGFW Fir ew al l e Typ DL On Prem Server NG- File Inter VLAN Segmentation More is coming I Account Level Policy AP Dynamic Path Selection aS Network Resiliency Sa LAN FW L7 Firewall AM SASE GW ZT NA Socket LAN Firewall IoT | | 44 4 4
Using the Socket LAN Firewall The Power of a Platform Convergence of network security ネットワークのすべてのファイアウォールユースケースに対応する単⼀のプラットフォーム | 45
Using the Socket LAN Firewall The Power of a Platform Convergence of network security ネットワークのすべてのファイアウォールユースケースに対応する単⼀のプラットフォーム Converged Visibility CMA における包括的で統合されたネットワークの可視化 Cost Reduction 無料の LAN ファイアウォールに統合することで、サードパーティのコストを削減 Fast Time to Market and Learning Curve LAN と WAN のセキュリティを同じコンソールで管理し、迅速かつ効率的な導⼊を実現 Zero Maintenance 既存の SASE GW ソケットを活⽤してローカルファイアウォールを実現 Scalable, Enterprise Grade Approach 単⼀のグローバルポリシーと完全な CRUD API を使⽤した LAN セグメンテーションの制御 | 46
How can I enable secure, local routing? How can I Block unwanted communication? Use Case Explained Socket LAN Firewall .. . Network Conditions Source VLAN WiFi Dest Any LAN IP Cato SPACE Firewall Action Service/App Any Action Block Network Conditions Source VLAN Corp Dest VLAN SRV Firewall Action Service/App LDAP,DNS SASE GW + LAN Firewall Action Allow L2 Access Guest WiFi VLAN Corp VLAN Servers VLAN | 47
Default Behavior LAN Segmentation using WAN Firewall Policy Allow / Block According to WAN FW policy LAN1 LAN2 VLAN Corp VLAN Servers Host File share server | 48
LAN Firewall Segmentation New Up until now • L4 Segmentation • L7 Segmentation • Site Level Policy • Account Level Policy Allow / Block According to LAN FW policy VLAN Corp VLAN Servers Host File share server Applicacle for LAN (Local) traffic only | 49
L7 Firewalling Importance Explained Use case:New Segmentizing SMB Protocol • L7 Segmentation • Account Level Policy
Firewalling Explained L7 Importance Use case: Segmentizing SMB Protocol New • L7 Segmentation • Account Level Policy ! 脆弱なプロトコルからの保護 既知のポート攻撃からの保護 アプリケーションレベルのネットワーク可視化(イベント)
L7 at Cato New • L7 Segmentation • Account Level Policy Services • 当社のリサーチチームによるネットワークプロトコル • L3-L7サービス • DPIを使⽤したプロトコルのインスペクション (例︓SMBバージョン) Applications • On-prem internal Applications § App (subset of the full list) § FQDN § Domain § Cusom App
Understanding the Account Level Policy Capabilities New • L7 Segmentation CMA Application Aware • Account Level Policy Security events for LAN flows L7 on-prem Security DPI Multiple Templated Sites Match Network Conditions Sites HQ Source VLAN 10 Dest VLAN 20 Transport LAN Allow/Block LAN communication between networks, hosts, services Analyse LAN flows with security events Match Site Condition Sites Group A Firewall Action Service/App SMBv3 HTTP/s Any Dest Any Transport LAN Firewall Action Action Source Allow VLAN 10 Dest VLAN 20 Service Modbus Action Allow Firewall Action Firewall Action Service/App Source Action Source Allow Group WiFi IPS/SAM Dest Any Service Any Action Block | 53
Account Level Policy Match Network Conditions Sites HQ Source VLAN 10 Dest VLAN 20 Firewall Action Service/App SMBv3 Action Allow Firewall Action Service/App HTTP/s Action Allow Transport LAN
Understanding the Account Level Policy Capabilities New • L7 Segmentation CMA Application Aware • Account Level Policy Security events for LAN flows L7 on-prem Security DPI Multiple Templated Sites Match Network Conditions Sites HQ Source VLAN 10 Dest VLAN 20 Transport LAN Allow/Block LAN communication between networks, hosts, services Analyse LAN flows with security events Match Site Condition Sites Group A Firewall Action Service/App SMBv3 HTTP/s Any Dest Any Transport LAN Firewall Action Action Source Allow VLAN 10 Dest VLAN 20 Service Modbus Action Allow Firewall Action Firewall Action Service/App Source Action Source Allow Group WiFi IPS/SAM Dest Any Service Any Action Block | 55
Understanding the Account Level Policy Capabilities New • L7 Segmentation CMA Application Aware • Account Level Policy Security events for LAN flows L7 on-prem Security DPI Multiple Templated Sites Match Network Conditions Sites HQ Source VLAN 10 Dest VLAN 20 Transport LAN Allow/Block LAN communication between networks, hosts, services Analyse LAN flows with security events Match Site Condition Sites Group A Firewall Action Service/App SMBv3 HTTP/s Any Dest Any Transport LAN Firewall Action Action Source Allow VLAN 10 Dest VLAN 20 Service Modbus Action Allow Firewall Action Firewall Action Service/App Source Action Source Allow Group WiFi IPS/SAM Dest Any Service Any Action Block | 56
Understanding the Account Level Policy Capabilities Match Site Condition Sites Group A Source Any Dest Any Transport LAN Firewall Action Source VLAN 10 Dest VLAN 20 Service Modbus Action Allow Firewall Action Source Group WiFi Dest Any Service Any Action Block HQ Scope is collapsed
LAN Firewall Under the Hood Seperation of the routing and security decisions • Routing decision: LAN Network Rules § Dictates Transport (and Firewall) LAN Network Rule LAN / WAN LAN1 LAN2 VLAN 10 VLAN 20 Host Webserver.internaldomain | 58
LAN Firewall Under the Hood Seperation of the routing and security decisions • Routing decision: LAN Network Rules § Dictates Transport (and Firewall) • Security decision: LAN Firewall § L2-L7 segmentation LAN Network Rule LAN / WAN LAN2 LAN1 VLAN 10 Host HTTP Request Webserver.internaldomain VLAN 20 Webserver.internaldomain | 59
LAN Firewall Under the Hood Seperation of the routing and security decisions • Routing decision: LAN Network Rules § Dictates Transport (and Firewall) • Security decision: LAN Firewall § L2-L7 segmentation LAN Network Rule LAN Firewall LAN / WAN Allow / Block LAN2 LAN1 VLAN 10 Host HTTP Request Webserver.internaldomain VLAN 20 Webserver.internaldomain | 60
LAN Firewall Under the Hood Seperation of the routing and security decisions • Routing decision: LAN Network Rules § Dictates Transport (and Firewall) • Security decision: LAN Firewall § L2-L7 segmentation LAN Network Rule LAN Firewall LAN / WAN Allow / Block LAN2 LAN1 VLAN 10 Host HTTP Request Webserver.internaldomain VLAN 20 Webserver.internaldomain | 61
State Machine WAN FW to Enforce LAN Traffic | 62
State Machine WAN FW to Enforce LAN Traffic | 63
State Machine WAN FW to Enforce LAN Traffic | 64
State Machine WAN FW to Enforce LAN Traffic | 65
State Machine WAN FW to Enforce LAN Traffic | 66
State Machine WAN FW to Enforce LAN Traffic | 67
State Machine WAN FW to Enforce LAN Traffic | 68
State Machine LAN FW to Enforce LAN Traffic | 69
State Machine LAN FW to Enforce LAN Traffic | 70
State Machine LAN FW to Enforce LAN Traffic | 71
State Machine LAN FW to Enforce LAN Traffic | 72
State Machine LAN FW to Enforce LAN Traffic | 73
LAN Firewall Configuration Account Level Policy + Full API API Full CRUD API CMA UI Account Policy | 74
LAN Firewall Events LAN Firewall Sub-Type New: Application fields | 75
LAN Firewall Onboarding Flow (UI or API) Network and L4/L7 Scoping:ローカルルーティングしたいサイトまたは範囲を指定し、ソケットのハードウェアが LANトラフィックを処理できることを確認してください。L4とL7の適⽤によってスループットが異なります。 Define Strategy (Site by Site/Range by Rage): 各サイトごとにLANファイアウォールのスコープを作成するか、複数のサイトにまたがるネットワーク範囲 ごとに作成してください(例︓複数のサイトにおけるゲストWi-Fiトラフィックをすべてブロック)。 Configure LAN Network Rule per Decision Above Configure the LAN Firewall Rules per Network Rule according to the Business Needs Monitor Usage to Optimize LAN Segmentation Make sure you have evaluated Data Lake Storage SKU, as LAN FW tends to generate lots of events | 76
L7 & Performance Best Practices Site Scoping: L7を有効にする対象のサイトを指定します。 Estimate HW Compatability: Catoのパフォーマンスベンチマークおよびガイドラインを確認してください。 ソケットが追加のLANトラフィック処理に対応できることを確認してください。 必要に応じて、アカウント担当者に連絡し、より⾼性能なソケット(例︓X1500からX1600)へのアップグレー ドを検討してください。 Enable L7 for the Relevant Sites (Opt-in) Monitor CPU Usage, Applicative Events Configure L7 Segmentation Using the LAN FW Policy | 77
L7 LAN Firewall Activation Explained Opt-in Sites to Enable L7 for LAN Flows • L7 LAN FWはデフォルトで無効になっています。 • L7 LAN FWを有効にするには、アカウントレベルの設定でサイトを選択して有効化します。 • サイトで有効にすると、構成が可能になり、アプリケーション関連のフィールドが追加されます。 • サイトごとに有効化され、有効化された時点からすべてのLANフローに対してL7インスペクションが実施されます。 | 78
Enabling L7 Flow | 79
Socket CPU in CMA View Socket CPU Overtime Site > Network Analytics > Hardware Coming soon Supported for Socket v22 onwards | 80
Socket LAN Firewall Features List Account Level Policy 「LANファイアウォール」ポリシーでLANルールを設定します。 Templates Support カスタマイズしたサイトのリストに対してルールを適⽤し、グローバルオブジェクト(グループ、VLAN ID、カスタムアプリケーション、IPレンジ)を使⽤します。 L2- L7 Enforcement 理想的なセグメンテーションのために、L2 MACアドレスをアプリケーション設定まで⼀貫して使⽤します。 Zero Trust Enforcement すべてのLANルーティング通信は、明⽰的に許可されない限りブロックされます。 Internet Agnostic Engine インターネット障害時でもLANファイアウォールエンジンとルールが適⽤され、イベントはキャッシュされます。 LAN Flows Visibility LANネットワークの可視性を確保するためのLANファイアウォールのEventsにおけるsub-typeが利⽤できます。
LAN Firewall is Supported for all Sockets Physical Sockets X1500 X1600+LTE X1700 Virtual Sockets AWS Azure GCP ESXi New | 82
Important Details Minimal Socket Version: Socket v22 Onwards Migration of existing policies is not yet supported • • • Catoは、基本的にすべてのサイトレベルのポリシーをアカウントレベルのポリシーに移⾏します。 アカウントレベルのポリシーは、サイトレベルのポリシーと共存しません。 サイトレベルのポリシーは廃⽌される予定です – 詳細は追って発表されます。 Performance Results • L7を有効にした場合のスループットなどの情報については今後アップデートいたします。 | 83
New Experience Monitoring Metrics for Zoom and Microsoft Teams Experience Monitoring
VoIP and Video Monitoring Background Real User Monitoring • すべてのアプリケーションが監視および 測定されます。 • UCaaS(Unified Communication as a Service) アプリケーションも監視対象です。 • プローブの設定は不要です。
VoIP and Video Monitoring UCaaS Monitoring Zoom/MS Teams Sever Zoom/MS Teams User TCP Initiating a Call Audio in call Initiating a Call UDP (RTP/RTCP) Audio in call UDP (RTP/RTCP) Video in call Video in call UDP (RTP/RTCP) Screenshare in call Screenshare in call
VoIP and Video Monitoring DEM metrics for Zoom and Microsoft Teams Now Supported: Experience Monitoring Integrations with Zoom and Microsoft Teams
VoIP and Video Monitoring Before you configure a connector CMA > Experience Monitoring > Remote/Office User I want
VoIP and Video Monitoring Easy configuration of a connector in the integration page Resources > Integrations > Integrated Apps I want
VoIP and Video Monitoring New meetings tab Meeting List • 指定した時間範囲内のユーザー の全会議のリスト Call Breakdown • 以下の基準に基づく通話品質の詳細 な分析 • Video • Audio • Screen sharing Native Integration • インラインのCatoデータと統合・相 関されたデータ CMA > Experience Monitoring > Remote/Office User I want
VoIP and Video Monitoring Troubleshooting use case ステップ 1 問題が発⽣した可能性のあるユーザーと時間範囲を選択する ステップ 2 エクスペリエンスが悪かった通話を特定する ステップ 3 通話をクリックすると、接続詳細ウィジェットが⾃動的に更新される ステップ 4 この時点での経路を確認し、問題のあるノードを特定する CMA > Experience Monitoring > Remote/Office User I want
Experience Monitoring: VoIP and Video Monitoring Misc Perquisites • これらの指標を取得するためのUCaaSベンダーのライ センス • UCaaS側でのRead APIの有効化 To learn more • 「Configuring the Experience Monitoring Integration」を検索してください。 Important notes • 会議はユーザーに基づいて取得されるため、Cato Client が起動していなくても記録されます。その結果、 通話は表⽰されても Cato DEM のデータがない場合 があります。 I want
Automated Cloud Interconnect - Megaport
Connecting Sites to the Cato Cloud Recap Criteria Socket/vSocket IPsec Cloud Interconnect Encryption Yes Yes Private Link, No encryption Performance Up to 10 Gbps Up to 3 Gbps Up to 10 Gbps Analytics Full monitoring and visibility Partial (e.g no packet loss visibility) Partial (e.g no packet loss visibility) QoS Upstream and downstream Downstream Downstream High Availability Details Full HA – Up to 4 active tunnels, with recovery mechanisms Multiple Active/Passive Tunnels – 2 different PoP Locations Active/Passive – 2 different PoP Locations Read more! Search for “Connecting Sites to the Cato Cloud” | 94
Cloud Connectivity with Cloud Interconnect Automating the Provisioning Process Cloud Interconnect Benefits Dedicated P2P Layer2 connection Private. Secured Integration with global cloud exchanges Global reach to public and private clouds High performance Yes Resilient Yes Simple Yes Streamline Cloud Interconnect provisioning • Interactive available PoP list • Automatic provisioning with fabric service providers • Equinix Cloud interconnect Equinix ECX AWS Azure GCP Oracle DirectConnect ExpressRoute InterConnect FastConnect
Cloud Connectivity with Cloud Interconnect Automating the Provisioning Process Cloud Interconnect Benefits Dedicated P2P Layer2 connection Private. Secured Integration with global cloud exchanges Global reach to public and private clouds High performance Yes Resilient Yes Simple Yes Streamline Cloud Interconnect provisioning • Interactive available PoP list • Automatic provisioning with fabric service providers • Equinix • Megaport New Cloud interconnect New Equinix ECX AWS Azure Megaport GCP Oracle DirectConnect ExpressRoute InterConnect FastConnect
Best Practice Two Connections, Primary and Secondary PoP Locations • Customers can now achieve Fabric-level redundancy BGP (preferred metrics) Primary Cloud Interconnect ASH New NY Secondary Cloud Interconnect BGP (less-preferred metrics) | 97
High Level Flow 1. 顧客側でクラウドインターコネクトを設定(例: ExpressRoute) 1 Admin
High Level Flow 1. 顧客側でクラウドインターコネクトを設定(例: ExpressRoute) 1 2. CMAでサイトとクラウドインターコネクト接続を作成 Admin 2 CMA | 99
High Level Flow 1. 顧客側でクラウドインターコネクトを設定(例: ExpressRoute) 1 2. CMAでサイトとクラウドインターコネクト接続を作成 New 1. Megaportのロケーションが利⽤可能 Admin 2 CMA | 100
High Level Flow 1. 顧客側でクラウドインターコネクトを設定(例: ExpressRoute) 1 2. CMAでサイトとクラウドインターコネクト接続を作成 New 1. Megaportのロケーションが利⽤可能 Admin 3. Catoが接続を⾃動プロビジョニング 2 CMA Megaport Cloud Exchange New 3 | 101
High Level Flow 1. 顧客側でクラウドインターコネクトを設定(例: ExpressRoute) 1 2. CMAでサイトとクラウドインターコネクト接続を作成 New 1. Megaportのロケーションが利⽤可能 Admin 3. Catoが接続を⾃動プロビジョニング 2 4. 顧客はBGPを設定する必要あり CMA 4 BGP Megaport Cloud Exchange New 3 | 102
Connection Overview | 103
PoP locations • • 6 new Megaport Locations: • Phoenix, US • Los Angeles, US • Santa Clara, US • Manchester, UK • London, UK • Brussles, Belgium Total of 23 PoPs with Cloud interconnect | 104
Microsegmentation Branch ZTNA
WAN Optimization Full API More and More Microsegmentation SW More is coming G Cato SPACE IPS CA AM RBI SB P LAN NGFW Fir ew al l e Typ DL On Prem Server NG- File Inter VLAN Segmentation 2025 I Account Level Policy AP Dynamic Path Selection aS Network Resiliency Sa LAN FW L7 Firewall AM SASE GW ZT NA Socket LAN Firewall IoT || 1 0 6 106
Recap Cato Secures Inter-VLAN Traffic Lateral Movement can be done within each VLAN Cato SPACE SASE GW+ LAN Firewall L2 Access Guest WiFi VLAN Corp VLAN Servers VLAN | 107
L7 Firewalling Zero Trust at the Branch Use case: Segmentizing SMB Protocol Agent-less Microsegmentation Seamless Zero Trust Enforcement
L7 Firewalling Zero Trust at the Branch Use case: Segmentizing SMB Protocol Agent-less Microsegmentation Seamless Zero Trust Enforcement
L7 Firewalling Zero Trust at the Branch Use case: Segmentizing SMB Protocol Agent-less Microsegmentation Seamless Zero Trust Enforcement Eliminate Complex NAC Solutions
Problem Statement CMA Configuration Today, the LAN Firewall protects inter-VLAN traffic only • • Site: A VLAN: 1.1.1.0/24 • Traffic from 1.1.1.15 to 1.1.1.16 will go within the switch (Cato is blind) On-prem L7 NGFW 2 DHCP Response /24 Subnet Mask Servers VLAN:1.1.1.0/24 Packet 1 DHCP Request SW Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/24 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/24 || 1 1 1 111
Problem Statement CMA Configuration Today, the LAN Firewall protects inter-VLAN traffic only • • Site: A VLAN: 1.1.1.0/24 • Traffic from 1.1.1.15 to 1.1.1.16 will go within the switch (Cato is blind) On-prem L7 NGFW 2 DHCP Response /24 Subnet Mask Servers VLAN:1.1.1.0/24 SW Packet 1 DHCP Request Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/24 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/24 || 1 1 2 112
Problem Statement CMA Configuration Today, the LAN Firewall protects inter-VLAN traffic only • • Site: A VLAN: 1.1.1.0/24 • Traffic from 1.1.1.15 to 1.1.1.16 will go within the switch (Cato is blind) On-prem L7 NGFW 1 DHCP Request 2 DHCP Response /24 Subnet Mask Servers VLAN:1.1.1.0/24 SW Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/24 Packet Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/24 || 1 1 3 113
Zero Trust Microsegmentation CMA Configuration Using DHCP for Forcing L2 Traffic to go through the LAN FW • • • • Traffic from 1.1.1.15 to 1.1.1.16 will go through the L3 (LAN FW) On-prem L7 NGFW 2 DHCP Response /32 Subnet Mask Servers VLAN:1.1.1.0/24 Packet 1 DHCP Request Microsegmented VLAN SW Site: A VLAN: 1.1.1.0/24 Microsegmentation Enabled Zero Trust Microsegmentation Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/32 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/32 || 1 1 4 114
Zero Trust Microsegmentation CMA Configuration Using DHCP for Forcing L2 Traffic to go through the LAN FW • • • • Traffic from 1.1.1.15 to 1.1.1.16 will go through the L3 (LAN FW) On-prem L7 NGFW 2 DHCP Response /32 Subnet Mask Servers VLAN:1.1.1.0/24 Packet 1 DHCP Request Zero Trust Range SW Site: A VLAN: 1.1.1.0/24 Microsegmentation Enabled Zero Trust Microsegmentation Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/32 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/32 || 1 1 5 115
Zero Trust Microsegmentation CMA Configuration Using DHCP for Forcing L2 Traffic to go through the LAN FW • • • • Traffic from 1.1.1.15 to 1.1.1.16 will go through the L3 (LAN FW) On-prem L7 NGFW 1 DHCP Request Zero Trust Range 2 DHCP Response /32 Subnet Mask Servers VLAN:1.1.1.0/24 SW Packet Site: A VLAN: 1.1.1.0/24 Microsegmentation Enabled Zero Trust Microsegmentation Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/32 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/32 || 1 1 6 116
Zero Trust Microsegmentation CMA Configuration Using DHCP for Forcing L2 Traffic to go through the LAN FW • • • • Traffic from 1.1.1.15 to 1.1.1.16 will go through the L3 (LAN FW) On-prem L7 NGFW 1 DHCP Request Zero Trust Range 2 DHCP Response /32 Subnet Mask Servers VLAN:1.1.1.0/24 SW Site: A VLAN: 1.1.1.0/24 Microsegmentation Enabled Zero Trust Microsegmentation Cato Cloud Packet Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/32 Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/32 || 1 1 7 117
Zero Trust Microsegmentation CMA Configuration Using DHCP for Forcing L2 Traffic to go through the LAN FW • • • • Traffic from 1.1.1.15 to 1.1.1.16 will go through the L3 (LAN FW) On-prem L7 NGFW 1 DHCP Request Zero Trust Range 2 DHCP Response /32 Subnet Mask Servers VLAN:1.1.1.0/24 SW Site: A VLAN: 1.1.1.0/24 Microsegmentation Enabled Zero Trust Microsegmentation Cato Cloud Device1 IP: 1.1.1.15 Subnet Mask: 1.1.1.15/32 Packet Device2 IP: 1.1.1.16 Subnet Mask: 1.1.1.16/32 || 1 1 8 118
Configuration • Site > Networks > Per Range | 119
Configuration • Site > Networks > Per Range Note: Available for update/add APIs as well: • AddNetworkRangeInput • UpdateNetworkRangeInput | 120
Microsegmentation Best Practices Microsegmentation Strategy: 有効化したいクリティカルなネットワークを定義してください。それらの範囲とサイトが、この機能を使 ⽤するための前提条件を満たしていることを確認してください。 Firewall Configuration: VLAN ごとに、必要に応じてVLAN 内の通信を許可してください。 許可しない場合この機能を有効化した後にトラフィックがブロックされます。 Microsegmentation Activation: UI または API を使⽤して、VLAN ごとにマイクロセグメンテーションを有効化してください。 | 121
Important Details Minimal Socket Version: Socket v22 Onwards Disabled by Default Enable this feature per range using API/CMA For Ranges Behind a Socket Using Cato as DHCP Only Only for physical Socket sites, VLAN and Native ranges types | 122
New: Monitoring of Socket CPU Usage
New Socket Monitoring of CPU Usage Current Capability Real time data is available in the Socket WebUI § § Realtime CPU usage Each CPU shows its CPU role § Control § Data § Crypto
Socket Monitoring of CPU Usage The Socket Hardware metrics as in the indicator ソケットのハードウェア負荷(⾼い CPU/メモリ使⽤率)が、エンドユーザー の体験の劣化の原因となることがあります。 Next generation LAN FW • ソケットにさらに多くの検査レベルを追加すると、ハードウェアの負荷が増 ⼤する可能性があります。
Socket Monitoring of CPU Usage Average CPU per each core on each Socket Network > Site > Network Analytics | 126
Socket Monitoring of CPU Usage DEM screens update for account with the DEM license Summary • アクティブなソケットの平均 CPU の中で最も低いもの。 Graphs • 各ソケットの各コアごとの平均 CPU 使⽤率。 Network > Site > Network Analytics | 127
Socket Monitoring of CPU Usage Q&A 1. What are the required Socket versions? • Physical Sockets (X1700, X1600, X1600 LTE, X1500) Socket version 21.1 • Virtual Sockets (Azure, AWS, ESX) Socket version 22 2. How can I get Socket version 21.1? • まだアップグレードされていない場合は、「今すぐアップグレード」機能を使⽤できます。 3. How can I get Socket version 22? • 今後数週間以内にリリースされる予定です。 4. How far back does the historical data go? • DPA によると、ソケットがアップグレードされた時点から適⽤されます。 5. How real-time is the data • 他のサイトトンネル分析と同様に、CMA UI では数分の遅延があります。 • 改善は間もなく⾏われる予定です。