Catoクラウド製品アップデート情報(2024年1月版)

1K Views

March 02, 24

スライド概要

Catoクラウドの「Product Update Jan 2024」日本語資料となります。

profile-image

※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

Tech Update Jan 2024

2.

Site Level NAT Policy IPsec Sites EA : Sunday, December 24th

3.

NAT Capabilities in CMA Recap • Network Rules (Egress NAT) • RPF (Remote Port Forwarding) • LPF (Local Port Forwarding) • SRT (Static Range Translation) • LAN Firewall NAT • Browser Access NAT

4.

NAT Gap that we Have Today Integrating with 3rd Party Networks • アカウントは、IPsec 接続を使⽤して「サプライヤー」ネットワークと統合する必要がありま す。 • サプライヤーには、特定の範囲のみが内部リソースにアクセスできるようにするアクセス リス ト ポリシーがあります。 Source NAT 10.41.0.5->2.2.2.1 IPsec • Cato リソース (SDP ユーザー) とサーバー範囲間の通信を可能にするには、NAT を適 ⽤する必要があります。 SDP User Source IP: 10.41.0.5 3 rd party IPsec Site Access List: 1.1.1.0/24 2.2.2.0/24 Servers Range: 1.1.2.0/24

5.

Integrating with 3rd party networks Cross Connect NAT Policy Overview Socket IPsec Granular NAT policy for sites Match Condition Original Src.IP Original Dest.IP SDP New NAT Action Translate Src.IP NAT Translate Dest.IP NAT policy options: • Many to One • One to One 3rd party network (contractors, suppliers) |5

6.

The Solution New Site Level Policy New |6

7.

Defining a NAT Rule New Site Level Policy 1. General § § 2. Rule Name Priority Conditions Original Source IP § 3. IP Range / Any Original Destination § § 4. IP Range / Any Port/Protocol Actions NAT Actions 1. 2. Source Translation Destination Translation |7

8.

NAT Policy for Sites NAT Policy Functionalities • 設定箇所: Network / Site / Site Configuration / NAT • 出⼒トラフィックに対してNATが適⽤される (Cato テナントからサードパーティ ネットワークへ) • Local Port Forwardingは将来サポートされる予定です • IPsec Siteでのみサポート • SocketとCross Connectのサポートは近い将来追加される予定です。 |8

9.

Faster BGP Convergence Bidirectional Forwarding Detection IPsec and Cross Connect Sites EA : Sunday, December 24th

10.

Bidirectional Forwarding Detection (BFD) Why? 1. BGP はその性質上、ネイバーの障害の検出時間が遅いため、コンバージェンス時間が遅くなります (1 分以上 かかる場合があります)。 2. これに対処するには、BFD などのより⾼速な障害検出メカニズムを使⽤する必要があります 3. BFD により、ミリ秒単位での障害検出が可能になります Whatʼs New? 1. BFDのサポート Ne w

11.

Flow BGP Convergence without BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP Ash BGP BGP Keep Alives BGP NY BGP Failure detection is based on missing keepalives (typically takes one minute) | 11

12.

e missed in a row to declare the session to be Flow BGP Convergence without BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP Ash BGP BGP Keep Alives BGP NY BGP Failure detection is based on missing keepalives (typically takes one minute)

13.

e missed in a row to declare the session to be Flow BGP Convergence without BFD Down Advertize 1.1.1.0/24 Active Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP Ash BGP BGP Keep Alives BGP NY BGP Failure detection is based on BGP keepalives (typically takes one minute)

14.

Flow BGP Convergence Using BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD Ash NY BGP Failure detection is based on missing BFD Hello keepalives (subsecond)

15.

e missed in a row to declare the session to be Flow BGP Convergence Using BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD Ash NY BGP Failure detection is based on missing BFD Hello keepalives (subsecond)

16.

e missed in a row to declare the session to be Flow BGP Convergence Using BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD Ash NY BGP Failure detection is based on missing BFD Hello keepalives (subsecond)

17.

e missed in a row to declare the session to be Flow BGP Convergence Using BFD Active Advertize 1.1.1.0/24 Passive Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD Ash NY BGP Failure detection is based on missing BFD Hello keepalives (subsecond)

18.

e missed in a row to declare the session to be Flow BGP Convergence Using BFD Down Advertize 1.1.1.0/24 Active Advertize 1.1.1.0/24 R1 R2 BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD BGP BGP Keep Alives BGP BFD BFD Keep Alives BFD Ash NY BGP Failure detection is based on missing BFD Hello keepalives (subsecond)

19.

BGP and BFD Statuses Monitoring BFD and BGP State • ステータスは「Show BGP Status」に表⽰されます。 § § § § Up-> Configured, Established Down-> BFD is enabled, but down N/A -> Disabled Init-> Cato sent Init packet, waits for response • BFD Up/Down Events § Up § Down • BGP切断イベント § BGP 切断イベントエラーとしての BFD | 19

20.

BFD Best Practices • Cross Connect best practices: § ベスト プラクティスとして、必ず適切なタイマーを構成してください。 § セッションメトリクスと回復⼒に応じて設定を調整します § 検出タイマーが低いとセッションが不安定になる可能性があります § 新しいタイマーを強制するセッションを無効にして有効にする • IPsec best practice: § IPsec is an internet-based link § § § § § § DPD は BFD より優先されます (低速) ⾼速コンバージェンスが必要な場合は、両側で BFD を設定します セッションメトリクスと回復⼒に応じて設定を調整します 検出タイマーが低いとセッションが不安定になる可能性があります 新しいタイマーを強制するセッションを無効にして有効にする クラウド プロバイダーは通常、BFD をサポートしません Site type / Default Timers IPSec Cross Connect RX TX 1000 1000 5 500 500 3 Multiplier | 20

21.

Integrations Catalog Internal EA

22.

Integrations Catalog – Motivation • 「Cato では現在どの統合がサポートされていますか?」という質 問は、答えるのが難しい場合があります。 • Cato でサポートされているすべての統合はドメインごとに分散さ れているため、異なるページに配置されています。 • 業界標準として、「Integratino」ページが表⽰されるのは⾮常 に⼀般的であるため、Cato でも同様にサポートすることが期待 されています。

23.

Integrations Catalog • Cato がサポートするすべての統合を公開する統合カタログ • さまざまな機能の検索と探索が簡単 • 顧客のユースケースごとにグループ化 • 関連する KB リンクに誘導し、詳細なコンテキストとガイダンスを 提供します • 各統合は異なるページにリンクします。 ⻑期的には、構成された すべての統合がカタログに集中化されます。

24.

Integrations Catalog Demo

25.

SSO – Ping Federate | 25

26.

SSO Authentication with PingFederate • New OIDC Integration • Supported for: • SDPクライアントによる認証 • アプリケーションポータルへの認証(ブラウザアクセス) • CMA への認証 • ユーザーは既存の⽅法でプロビジョニングされ、PingFederate で認証できます • SCIM • LDAP • Manually created users

27.

CMA Configuration Access > Single Sign On

28.

Network XDR XDR for Network Connectivity and Performance Incidents EA starting January 7th

29.

Closed Loop Detection and Remediation Leveraging the data to build comprehensive monitoring and diagnostic tools S A S E X D R Q1 2024 XDR Network Core Detection & Response Engine Network Infrastructure Connectivity & Performance Network Infrastructure Monitoring Connectivity DNS Throughput QOS discards Socket Memory LAN Probing Packet Loss Out-of-tunnel metrics Routing/BGP Socket Disk Socket CPU A n a l y t i c s D a t a L a k e Network Monitoring Jitter Latency HA Status Real-time and Historic Network Monitoring Synthetic Network Probing Performance, Connectivity, Events LAN, WAN, Internet PoP internal metrics | 29

30.

Closed Loop Detection and Remediation Leveraging the data to build comprehensive monitoring and diagnostic tools S A S E X D R XDR Network Core Detection & Response Engine Network Infrastructure Connectivity & Performance XDR Engine Correlation and Aggregation Indicators from different layers Enriched Story Powered by AI Remediation Playbook | 30

31.

XDR as a Business Enabler Built for integrations into NOC and SOC environments Cato XDR Powered by AI On-demand reports NOC Configurable Policy How to remediate playbooks Short ramp-up with API SOC | 31

32.

XDR Network Easily prioritize and manage network degraded connectivity incidents • EA in Q1 2024 § § § § § インシデント管理 劣化状態 過去のインシデント レポーティング 復旧のためのPlaybooks • Coming next § § § § AI stories Trends & anomalies Experience stories and more… | 32

33.

XDR Network Story lifecycle and aggregations Open trigger Resolve trigger Status: Monitoring Status: Open 2-hour timer trigger Status: Closed Reopen trigger | 33

34.

XDR Network Supported Stories for all site types • Blackout • Link Down • Quality SLA (*Socket only) • BGP session disconnect • LAN monitor unreachable • Socket HA issues (*Socket only) • Reconnect to optimize performance | 34

35.

XDR Network Rollout and enablement • Rollout § XDR Coreの⼀部として提供されます § すべての Cato 顧客は、XDR で劣化したネットワークのストーリーを取得します • Documentation § XDR § KBで「XDR Network」を検索します § Playbooks § KBで「Playbooks」を検索します | 35

36.

XDR Response – Stories Events Internal EA January 7th

37.

Response Policy - Events Consume XDR stories in 3rd party systems (SIEMs) What is it? • XDRにおける新たなResponse機能 • XDR ストーリーのイベントが Event Discovery で作成されるタイミングを定義できます。 • 例: 重要度の⾼い新しいストーリーが作成され、それに対してイベントが作成されます。 • 例: 既存のストーリーのターゲット リストが新しいターゲットで更新されました。そのターゲットにイベントを作成します。 Why? • EventsFeed API または S3/Blob へのイベント プッシュを使⽤して、SIEM でストーリーを利⽤します。 For who? • 主に SIEM を使⽤し、CMA UI を使⽤しない顧客およびパートナー。 • Eventsfeed API を使⽤して他の Cato イベントを利⽤する顧客とパートナーは、XDR ストーリー イベントも簡単に利⽤でき るようになりました。 | 37

38.

Response Policy - Events How does it work? • ストーリーを処理するマルチマッチ エンジンにより、If-Then の⾃動化が可能になります。 • ストーリー イベントはポリシーに従って作成され、UI 上で利⽤可能であり、サードパーティ システムにプッシュできます。 • 最も重要なストーリー フィールドは、UI のイベントの⼀部になります。 他の「追加データ」フィールドは、イベントを使⽤するときに JSON 形式で使⽤できます。 | 38

39.

Response Policy - Events Consuming XDR Stories in SIEM systems | 39

40.

Webhooks Support For Alert Notifications (Internal EA)

41.

Why do we need Webhooks • Alert Notifications – Present State • アラートにより、お客様は注意と⾏動が必要となる可能性のあ るイベントに関する通知を受け取ることができます • ポリシー ルールで有効にし、管理アクションを選択できるアラー トに関する電⼦メール通知をサポートしています。 • アラート電⼦メールのコンテンツは「データ フィールド」に基づい て⽣成され、⼈間が判読できる形式で表⽰されます

42.

Why do we need Webhooks • • The problem with Emails • ⾃動化が困難 • サードパーティとの連携が困難 Solution: introducing Webhooks • Webhook は、HTTP/HTTPS を介した統合と⾃動化を可能にする汎⽤インフラストラクチャです。 • 以下を含む複数のプラットフォームとサービスが Webhook との統合をサポートしています。 • ServiceNow や Jira などのインシデント管理、チケット発⾏、プロセス⾃動化プラットフォーム • Slack や Teams などのメッセージングおよびコラボレーション ツール

43.

Configure Your Webhook • Cato Webhook は⾼度にカスタマイズ可能です • これらの簡単な⼿順で Webhook 統合を追加します • Administration -> Subscriptions, ʻWebhooksʼタブより設定

44.

Configure Your Webhook (continued) • Following the previous steps: • 新しいWebhookの名前の指定 • ターゲットサービスのURL指定 • 認証⽅法を選択し、必要な認証情報を⼊⼒します。

45.

Alert Destinations • これまで: • • アラートの宛先は「Mailing List」のみ可能 すべてのアラートを次のオプションのいずれかに送信できるようになりました。 • Mailing list (no change) • A Webhook Integration • A Subscription Group – a combination of Mailing Lists and Integrations

46.

Creating a Subscription Group • Subscription Groupの新規作成 • Administration -> Subscriptions, ʻNewʼより設定 • Add members: Mailing Lists, もしくはWebhooks • ʻSaveʼをクリック

47.

Split Tunnel Policy Access & Identity | 47

48.

Why? • Goal: • • 管理者は、CMA から特定のユーザー/グループごとにスプリット トンネル ポリシーを構成できる必要があります。 Voice of Customer: • 弊社のリモート アクセス クライアントを使⽤しているお客様は、弊社のインターネット セキュリティ製品を簡単に導⼊し て評価することはできません。 • • スプリット トンネル ポリシーの変更はすべて、アカウント全体に影響します。 Value Proposition: • 使いやすさ – 漸進性と快適さ • インターネット セキュリティの導⼊ - IP ベースのスプリット トンネルによる常時接続

49.

Split Tunnel Policy | 49

50.

Linux Client v 5.2 Access & Identity | 50

51.

Linux Client v5.2 • Feature Overview • Connect on Boot: § • クライアントはマシンにログインすると⾃動的に Cato に接続します New Office-mode: § クライアントは、ユーザーの認証を⾏わずに、Office モードで⾃動的に Cato に接続しま す。 クライアントが接続すると、「接続」ボタンは⾃動的に無効になります。 • Bug fixes: • ポップの優先順位付けプロセス • 社外から社内に移動するときの⾼速再接続 | 51

52.

File Type Control Policy EA | 52

53.

Introducing File Type Control Policy Control Various File Types and Categories What is added? • 特定のファイルタイプのアップロードとダウンロードを制限する • +100以上の新たなファイルタイプ (.cmd, .iso, .mov, .cs, .ja, …) New • 「真のファイルタイプ」を識別するための libmagic ライブラリ の使⽤ • DLP ライセンスの⼀部として提供 When? EA January 21st | 53

54.

ML Data Classifiers for DLP GA | 54

55.

Real-Time DLP – ML Data Classifiers Comprehensive detection of various document types Why? • 従来のパターン マッチング DLP は主に REGEX に依存しており、精度の 維持に課題が⽣じる可能性があります • 機密データを正確に検出、分類、保護するには、多くの監視と継続的な 調整が必要です • 厳密すぎる/汎⽤的な REGEX を作成すると、 falsepositive/negativesが発⽣する可能性があります

56.

Real-Time DLP – ML Data Classifiers Comprehensive detection of various document types What is added? • ML に基づくデータ分類⼦は、完全な機密⽂書のさまざまなカ テゴリを認識するようにトレーニングされています • リアルタイムでファイルを分析するSimilarity Modelを使⽤し ます • 新しい ML 分類は、医療記録、納税フォーム、特許⽂書、履 歴書、⼊国管理フォームなどを包括的に検出します。 • 英語のテキストドキュメントのみをサポートします When? GA January 21st Utilize ML models for textual and graphic content classification

57.

Deploying AWS vSockets from the Marketplace EA

58.

Cloud Integration Options Recap on the current options vSocket AWS vSocket in Marketplace Cross-connect IPsec New Azure GCP Oracle (OCI) Private DC (ESXi) N/A | 58

59.

Deploying AWS vSockets from the Marketplace Quick and easy deployment • AWS Marketplace New § Public Image (AMI) § シングルSocket構成の展開 New § HA Socketのデプロイ Coming soon AWS | 59

60.

Experience Monitoring Application and User Performance Data for Experience Monitoring EA

61.

App Performance and User Experience Another layer of our Network Observability • Internet and WAN • Agent-less • No configuration • Visibility into application performance • User-centric • Proactive | 61

62.

E2E Monitoring and Analytics Network Infrastructure Performance and Connectivity Network Infrastructure Monitoring D a t a L a k e Connectivity Out-of-tunnel metrics LAN Connectivity DNS Throughput Socket Disk Packet Loss HA Status QOS discards Routing/BGP Latency LAN Probing Jitter PoP internal metrics Cato PoP SaaS/WAN App | 62

63.

E2E Monitoring and Analytics Network Infrastructure Performance and Connectivity Network Infrastructure Monitoring Connectivity DNS Throughput QOS discards L a k e Jitter Out-of-tunnel metrics Routing/BGP LAN Probing Packet Loss D a t a Latency HA Status PoP internal metrics HTTP Connection Time DNS Resolution Time Time to First Byte TCP Connection Time SSL Connection Time Cato PoP Synthetic Monitoring SaaS/WAN App Synthetic Monitoring Synthetic Monitoring | 63

64.

E2E Monitoring and Analytics Application and User Performance Data for Experience Monitoring Network Infrastructure Monitoring Connectivity DNS Throughput QOS discards Out-of-tunnel metrics Routing/BGP LAN Probing Packet Loss D a t a L a k e Application and User Monitoring Jitter DNS Resolution Time Latency TCP Connection Time HA Status SSL Connection Time HTTP Connection Time PoP internal metrics Time to First Byte Synthetic Monitoring Cato PoP SaaS/WAN App | 64

65.

E2E Monitoring and Analytics Application and User Performance Data for Experience Monitoring Office365 User Experience Score Over Time 100 Good Experience Experience Score 60 50 Fair Experience Poor Experience 0 8:00 8:10 8:20 8:30 8:40 8:50 9:00 9:10 | 65

66.

Experience Monitoring Demo | 66

67.

Experience Monitoring Free Trial • DEM 製品を構築する際、ライセンスモデルを定義するまでは、すべての顧客が無料バージョンを利⽤できます。 | 67

68.

Experience Monitoring Rollout plan • Availability § すべてのアカウントで期間限定で有効化 • Documentation § “Experience Monitoring” in the Knowledge Base • Limitations § TCP-based application § UDP - based application will come at a later stage | 68

69.

Private App Detection Generally Available | 69

70.

Private App Detection Zero-Trust Access Control Management 管理者は、ユーザーが使⽤する特定のアプリ、ホス ト名、ポート、プロトコルを認識していません。 ユーザーがアクセスする必要があるアプリケーション がわからないと、ゼロトラスト プリンシパルに違反し ます 狭義に定義されたアプリケーションとリソースへのア クセスを許可する必要がある カスタム アプリケーションを作成するには、アプリ ケーションの特性を理解する必要があります | 70

71.

Private App Detection Zero-Trust Access Control Management What is added? • プライベートアプリケーションのポリシーを簡単に特定して適⽤ • [App Analytics] ページで未確認の⾮公開アプリケーションをフィルタリングする • App Analytics からカスタム アプリを直接作成する • Assets > Custom Appsにて新たなAppを確認可能 When? GA January 21st | 71

72.

DLP Protection for ChatGPT Generally Available | 72

73.

DLP Protection for ChatGPT Protect Sensitive Data When Using Generative AI ⽣成 AI の使⽤は急速に増加していますが、重⼤なデー タ セキュリティ リスクももたらしています どのような種類の機密情報が Gen AI ツールと共有さ れるかについて、管理者の懸念が⾼まっています 管理者は AI が責任を持って効果的に使⽤されるように する必要があります

74.

DLP Protection for ChatGPT Protect Sensitive Data When Using Generative AI What is added? • コンテンツをスキャンし、ChatGPT トラフィックにポリシーを適 ⽤して、Generative AI の使⽤時にユーザーが機密データ を侵害するのを防ぎます • ChatGPT アプリケーションのデータ管理ルールは、アップロー ド アクションとダウンロード アクションをサポートします。 • この機能強化は、ChatGPT テナントコントロールと別の保 護レイヤとして追加されます。 When? EA January 21st | 74

75.

Easily Filter All User Events | 75

76.

Easily Filter All User Events From Any Location (Site or Remote) Today • Events when User is Remote o Filter on SDP User Email Remote User • All User Events • Events when User is on Site o Filter on Active Directory Name Office user

77.

Easily Filter All User Events From Any Location Single filter for all user events • All User Events • Events when User is Remote o Filter on User Email o Filter Source is Site or SDP User o Filter on User Email Remote User • Events when User is on Site o Filter on User Email o Filter Source is Site or SDP User Office user • Events with Cato EPP o Filter on User Email Endpoint Protection

78.

Easily Filter All User Events From Any Location (Site or Remote) Single filter all User Events • Events Feed o Fields Update! § User Email (SDP User Emailの置き換え) -サイト配下、リモート、または Cato EPP からすべてのユーザー イベントを返します § User Display Name (Active Directory Nameの置き換え) -サイト、リモート、または Cato EPP からすべてのユーザー イベン トを返します o Filter User events on site or remote § Source is Site or SDP User • Per User Events o Display all Users Events from site, remote or Cato EPP

79.

Proxy configuration File Policy | 79

80.

Proxy Configuration File Policy New Policy • Today • Proxy Configuration File Policyを⽤いることでブラウザで PAC ファイルを取得できる URL を定義します • Cato クライアントは、この URL を OS に追加する必要があります • この設定は以下に適⽤できます • Account Level • User Level • User Group Level • New! o Proxy Configuration File Policy

81.

Proxy Configuration File Policy New Policy

82.

Cato SASE. Ready for Whatever’s Next. Thank You!