JP2023051742A - 企業ファイアウォール管理およびネットワーク分離 - Google Patents
企業ファイアウォール管理およびネットワーク分離 Download PDFInfo
- Publication number
- JP2023051742A JP2023051742A JP2022118661A JP2022118661A JP2023051742A JP 2023051742 A JP2023051742 A JP 2023051742A JP 2022118661 A JP2022118661 A JP 2022118661A JP 2022118661 A JP2022118661 A JP 2022118661A JP 2023051742 A JP2023051742 A JP 2023051742A
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- policy
- policies
- rules
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】複数のエンドポイントを含むシステムにおけるファイアウォールポリシー制御のためのシステム及び方法を提供する。【解決手段】ファイアウォール管理サービス202は、管理下の複数のエンドポイント(コンピュータ212、コンピュータ214、サーバー216及びアクティブディレクトリドメインコントローラ218)上の複数のネットワーク要素を隔離する機能を含むファイアウォール管理エージェント204、206、208、210と通信する。ファイアウォール管理エージェントは、これらのコンピュータ及びサーバー上並びにネットワーク内の任意のホスト上の複数の企業ファイアウォール及び複数のエンドポイントファイアウォールを管理し、必要なポリシーを展開する。ソフトウェアレベルで適用されるファイアウォールの場合は、広範なポリシーが適用され、企業ファイアウォールの場合は、狭いポリシーが選択される。【選択図】図2A
Description
本発明は、企業コンピュータネットワーク環境におけるファイアウォールの使用および管理、ならびにネットワーク分離技法の展開に関する。
ファイアウォールは、一般的には、ネットワーク化されたコンピューティング環境にセキュリティを提供するために使用される。各ファイアウォールは、個別コンピュータまたはサーバーなどの特定のネットワーク要素に対するアクセスを制御する特定のポリシーを含む。企業ネットワークでは、これらのファイアウォールポリシーを実装することは、管理下のエンドポイントの数が多いために困難である可能性がある。システム性能およびセキュリティは、より多くのファイアウォールルールおよびポリシーがシステム上に展開されると低下する可能性がある。
複数のエンドポイントおよび複数のファイアウォールを有するネットワーキング環境では、ユーザー、ユーザーグループ、またはマシンに、ネットワークに対して不当に高いリスクを生じさせる権限が与えられているかどうかを監視することは困難である場合がある。これらのリスクは、複数の個別エンドポイントおよびネットワーク全体に対する脆弱性を含む。
制御の欠如はまた、他の手段においてネットワークのセキュリティを危うくする。例えば、ネットワーク内のマシンがマルウェアに感染するか、または他の形で不正アクセスされると、分散ポリシーおよびルールを迅速に展開することが困難であるので、そのマシンの隔離および回復により長い時間がかかり、その結果、システムの脆弱性が増大する。マシンが脆弱化される毎に、ネットワーク全体にリスクが課される。オーバーヘッドを最小限に抑え、感染したマシンの隔離および回復時間を短縮するファイアウォール制御およびシステム全体におけるサービスのネットワークベースの実装が必要である。
ファイアウォールを有するコンピュータネットワークでは、異なる複数のポリシーおよび複数のファイアウォール設定が使用される。これらの設定は、複数のエンドポイントに固有であるか、ユーザーレベルで複数のユーザーに固有であるか、または集団レベルで複数のユーザーに固有である。
ファイアウォール管理コンポーネントは、ネットワーク内の複数のエンドポイントを保護する複数のファイアウォールタイプの集中管理を提供する。ファイアウォール管理コンポーネントの一側面は、管理下の各エンドポイントに搭載(インストール)されたファイアウォール管理エージェントである。これらのエンドポイントは、コンピュータおよびサーバーを含む。複数のファイアウォール管理エージェントは、これらのコンピュータおよびサーバー上、および概してネットワーク内の任意のホスト上の複数の企業ファイアウォールおよび複数のエンドポイントファイアウォールを管理する。
ファイアウォール管理コンポーネントの第2の側面は、ファイアウォール管理サービスである。このサービスは、中央サーバー上で動作し、現在の複数のポリシーを収集および管理する。ファイアウォール管理サービスはまた、複数のポリシーを同期させ、隔離モードを起動および設定する。アプリケーション設定、ファイアウォールの権限付与および設定は、ファイアウォール管理サービスによって制御される。
管理者は、変更または展開されるポリシーまたはポリシーの一部を含むグローバル構造(global structure)(各ファイアウォールタイプについて同じ)を入力する。ファイアウォール管理サービスは、ポリシーを格納し、そのポリシーを指定されたユーザー、ユーザーグループ、またはマシンに関連付ける。ファイアウォール管理コンポーネントは、サーバーと複数のエージェントとの間の直接ポリシー同期および逆ポリシー同期(direct and reverse policy synchronization)を実行する。別のファイアウォール管理コンポーネントは、ポリシーの階層(hierarchy of policies)をサポートする。
ファイアウォール管理エージェントは、必要なポリシーを展開(デプロイ:deploy)する。ソフトウェアレベルで適用されるファイアウォールの場合、広範なポリシー(wide policy)が適用されることができる。企業ファイアウォールの場合、狭いポリシーが選択される。
管理者は、ネットワークマシンが感染した場合に、ネットワークマシンの隔離を開始する。隔離モードは、マシンを修復するのに必要なこれらのサービスなどのいくつかのサービスを有効にしたままにするように設定されている。隔離ポリシーは、最高優先度のポリシーである。マシンを修復した後、セキュリティ担当者は、ネットワーク分離を無効にし、完全に回復されたエンドポイントファイアウォールポリシーでプラグインすることができる。
実際のポリシー設定は、最後に保存された直接同期および逆同期から決定される。現在の複数のアクティブポリシー(current active policies)は、統一されたポリシー表現フォーマット(unified policy representation format)に変換される。
ファイアウォール管理コンポーネントは、必要な複数のIPアドレスの動的スキャンを実行する。アドレスが変更された場合、ファイアウォール管理コンポーネントは、ブロックまたは許可されたIPアドレスを含むファイアウォールルールを書き換える。
ファイアウォール管理コンポーネントを有するネットワークは、ネットワーク内の複数のエンドポイントを保護する複数のファイアウォールタイプの集中管理を提供するように具体化されている。ファイアウォール管理コンポーネントは、複数のコンピュータおよび複数のサーバーなどの管理下にある各エンドポイントに搭載されたファイアウォール管理エージェント(firewall management agent)(「管理エージェント」)を含む。これらの管理エージェントは、これらのエンドポイントのコンピュータおよびサーバー上の複数のファイアウォールを管理する。ファイアウォール管理コンポーネントは、ファイアウォール管理サービス(「管理サービス」)をさらに含む。このサービスは、中央サーバー上で動作し、現在の複数のポリシー(current policies)を収集および管理する。管理サービスはまた、複数のポリシーを同期させ、隔離モードを起動および設定する。アプリケーション設定、ファイアウォールの権限付与および設定は、ファイアウォール管理サービスによって制御される。
管理エージェントは、エージェント関係(agency relationship)にあるユーザーまたは他のプログラムの代わりに動作するコンピュータプログラムである。エージェント関係とは、エージェントが、状況に応じて、動作を行うかまたは動作を行わない権限を有することを意味する。管理サービスは、一組のソフトウェア機能である。例えば、サービスは、情報を取得する(retrieve)か、または一組の命令を実行することができる。サービスは、異なる目的のためにそれを使用することができる複数のクライアントを有する。複数のサービスはまた、サービスがどのように使用されるかを制御する複数のポリシーを有する。これらのポリシーは、典型的に、サービスを要求するクライアントのアイデンティティ(identity)に基づいている。
複数のポリシーおよび複数のファイアウォール設定は、ネットワーク内の異なるレベルで適用される。例えば、エンドポイント、ユーザー、およびユーザーグループに固有のポリシーおよび設定がある。グローバル構造は、ネットワーク内の複数のファイアウォールタイプについて複数のポリシーが確立されたときに作成される。管理サービスは複数のポリシーを格納し、それらを特定の複数のユーザーに関連付ける。
ファイアウォール管理コンポーネントは、中央サーバーと複数の管理エージェントとの間の直接ポリシー同期および逆ポリシー同期を実行する。同期は、管理エージェントとシステムのバックエンド(backend)との間で行われる。バックエンドは、一般に、複数のエンドユーザーに直接アクセス可能でないサービスおよびデータを指す。
複数のファイアウォールポリシー変更は、管理サービスの外部で行うことができ、ローカルポリシー変更およびグループポリシー変更を含む。管理エージェント自体が、ポリシー収集および同期を実行する。この収集および同期は、例えば、時間またはWindowsイベントトレーシング(Event Tracing)に基づく間隔で行われる。ETW(Event Tracing for Windows)は、管理エージェント側を動作させ、Microsoft-Windows-DNS-Clientプロバイダからの適切な複数のイベントを検出する。
ファイアウォール設定の変更が検出されるか、または同期によって影響を受けると、管理エージェントはサーバーとの通信プロトコルを初期化する。そのプロトコルは、現在のポリシーを取得すること、およびREST APIなどのアプリケーションプログラムインタフェースを使用してバックエンドとのインタラクション(interaction)を開始すること、を含む。バックエンドは、バックエンドポリシーデータベースから最後に格納されたポリシーを取得し、そのポリシーを現在のポリシーと比較する。バックエンドルールとローカルルールとのこの比較は、いくつかの典型的なケースを提示する。ポリシーが一致しない場合、バックエンドは、差異を計算し、その差異を、変更するルール、削除するルール、および追加するルールを含む構造で管理エージェントに送信する。比較によってバックエンド優先度ポリシーと矛盾する新しいローカル変更が検出された場合、バックエンドは新しいルールを設定し、その新しいルールを、変更するルール、削除するルール、および追加するルールを含む構造でエージェントに送信する。これらの場合、管理エージェントは、新しいポリシー設定を格納し、管理下のエンドポイントに任意の変更を適用する。
逆同期は、バックエンドが現在の複数のポリシーについての管理エージェントへの要求を開始するときに行われる。これは、例えば、REST APIなどのアプリケーションプログラムインタフェースを使用することによって実行され得る。管理エージェントは、現在のポリシーを取得し、それをバックエンドに送信する。ポリシーが一致しない場合、バックエンドポリシーデータベースが更新される。バックエンドは差異を計算し、ローカル変更が高い優先度のポリシーと矛盾する場合、新しい修正ルールがバックエンドによって設定され、バックエンドポリシーデータベースに記憶され、変更するルール、削除するルール、および追加するルールを含む構造で管理エージェントに送信される。バックエンドデータベースにおいて、管理エージェント側で適用されていないポリシー更新がある場合、これらは差異として扱われる。バックエンドは、送信されるべき複数の修正ルールを、変更するルール、削除するルール、および追加するルールを含む構造で管理エージェントに送信する。次に、管理エージェントはポリシー変更を適用し、管理エージェントおよび中央サーバーは逆同期の結果を記録する。
いくつかの場合では、バックエンドルールまたはローカルルールが集中管理構成(centralized management configurations)と矛盾することがある。例えば、Windows環境では、グループポリシーオブジェクト(Group Policy Object : GPO)として集合的に知られるグループポリシー構成がある。この状況に対処するために、共通差異計算アルゴリズム(common difference calculation algorithm)が使用される。このアルゴリズムは、管理エージェントが現在のポリシーを中央サーバーに送信するときに開始する。中央サーバーは、バックエンドポリシーデータベースから最新の格納されたポリシーを取得し、そのポリシーを管理エージェントのデータと比較する。第1のステップは、差異を識別することである。このプロセスは、一意の識別子を使用して実行される。各ファイアウォール設定は、一意の識別子、例えば、ファイアウォール設定が格納されているレジストリブランチ(registry branch)を有する。中央サーバー側においておよび管理エージェントのレジストリにおいて、各ファイアウォール設定は、その固有の識別子とともに格納される。新しいポリシーが中央サーバーによって適用されるとき、修正されたパラメータは、一時的な一意の識別子とともに記憶される。修正を行った後、管理エージェントは、修正されたパラメータの永続的な一意の識別子を中央サーバーに通信する。次に、中央サーバーは、一時的な一意の識別子を永続的な一意の識別子に変更する。バックエンドは、修正前に記憶された複数の設定を修正後の複数の設定と比較する。同じ一意の識別子を有する対応する複数の設定が比較される。バックエンドは、複数の新しい一意の識別子によって複数の新しいパラメータを検出する。新しいパラメータおよび変更されたパラメータは、バックエンドによって差異と見なされる。バックエンドは、例えばJavaScript Object Notation(JSON)を使用して詳細な差異記述(detailed difference description)を準備する。この記述は、エージェントが削除、追加、または変更するためのルールを含む。次に、それらの差異が管理エージェントに通信される。低い優先度のルールが高い優先度のルールと矛盾するときなどのマージポリシー(merge policy)の競合が生じる場合、バックエンドは、競合を修正するために一組のポリシー変更を作成する。競合がローカル管理者によって行われた変更に起因する場合、バックエンドのポリシー変更が優先される。競合がバックエンド管理者によって行われた変更に起因する場合、バックエンドポリシー変更は無効にされる。
上述したプロセスは、逆同期にも適用される。この違いは、同期が管理エージェントの代わりに中央サーバーによって開始されることである。
説明されるシステムは、好ましくは、ポリシーの階層を含む。これらのポリシーは、最高から最低にランク付けされ、隔離ポリシー、アクティブディレクトリグループポリシー(active directory group policy)、エンドポイントポリシー、および複数のローカルポリシーを含む。例えば、Windows環境では、複数のファイアウォールルールは、Windowsファイアウォールまたはサードパーティファイアウォールのいずれかによって設定されることができる。高度なセキュリティ(Advanced Security)を有するWindowsファイアウォールの場合、複数のファイアウォールルールは、ローカル管理者によって、ファイアウォール管理コンポーネントによって、またはGPOによって展開され得る。サードパーティファイアウォールの場合、複数のルールは、ファイアウォール管理コンポーネントによって、または管理者によって展開され得る。ファイアウォール管理コンポーネントが単にすべてのルールを適用する場合、結果として生じるポリシーは、各ファイアウォールにおいて確立されたマージルールに従った既存のルールの和であり、予期せぬ結果をもたらす可能性がある。優先度のみが解決のために使用される場合、最終的なポリシーは明確ではない。解決策として、メインファイアウォールポリシー(main firewall policy)を決定して適用し、それに従って変更を制御することができる。適切なルールがメインファイアウォールポリシーから欠落している場合、マージ競合は、異なる複数のポリシーソースの優先度を変更することによって解決される。本発明の一実施形態では、新しいポリシーが適用されるとき、ファイアウォールルールの種類ごとに差異が連続的に計算される。新しいポリシーの一例は、管理者がすべてのアウトバウンド接続(outbound connections)を許可する場合である。ポリシー競合の一例は、管理者がポート234へのアウトバウンド接続を許可しようと試みるが、サードパーティファイアウォール上でこの接続がブロックされる場合である。メインファイアウォールポリシーは、最初にチェックされる。メインファイアウォールポリシーにおいて適切なルールが存在しない場合、所定のルール優先度に従って、最高優先度のルールが有効にされる。
説明されるシステムは、好ましくは、ポリシーの階層を含む。これらのポリシーは、最高から最低にランク付けされ、隔離ポリシー、アクティブディレクトリグループポリシー(active directory group policy)、エンドポイントポリシー、および複数のローカルポリシーを含む。例えば、Windows環境では、複数のファイアウォールルールは、Windowsファイアウォールまたはサードパーティファイアウォールのいずれかによって設定されることができる。高度なセキュリティ(Advanced Security)を有するWindowsファイアウォールの場合、複数のファイアウォールルールは、ローカル管理者によって、ファイアウォール管理コンポーネントによって、またはGPOによって展開され得る。サードパーティファイアウォールの場合、複数のルールは、ファイアウォール管理コンポーネントによって、または管理者によって展開され得る。ファイアウォール管理コンポーネントが単にすべてのルールを適用する場合、結果として生じるポリシーは、各ファイアウォールにおいて確立されたマージルールに従った既存のルールの和であり、予期せぬ結果をもたらす可能性がある。優先度のみが解決のために使用される場合、最終的なポリシーは明確ではない。解決策として、メインファイアウォールポリシー(main firewall policy)を決定して適用し、それに従って変更を制御することができる。適切なルールがメインファイアウォールポリシーから欠落している場合、マージ競合は、異なる複数のポリシーソースの優先度を変更することによって解決される。本発明の一実施形態では、新しいポリシーが適用されるとき、ファイアウォールルールの種類ごとに差異が連続的に計算される。新しいポリシーの一例は、管理者がすべてのアウトバウンド接続(outbound connections)を許可する場合である。ポリシー競合の一例は、管理者がポート234へのアウトバウンド接続を許可しようと試みるが、サードパーティファイアウォール上でこの接続がブロックされる場合である。メインファイアウォールポリシーは、最初にチェックされる。メインファイアウォールポリシーにおいて適切なルールが存在しない場合、所定のルール優先度に従って、最高優先度のルールが有効にされる。
管理エージェントは、複数のファイアウォールポリシーを選択的に展開する。例えば、ソフトウェアレベルで動作する複数のファイアウォールは、包括的な複数のポリシーを割り当てることができる。複数のサーバーを保護する複数のファイアウォールおよび複数の企業ファイアウォールについて、複数の狭いポリシーを設定することができる。
ネットワークマシンがマルウェアに感染すると、管理者は、ネットワークマシンの隔離処理を開始する。バックエンドは、マシンを隔離されるものとしてマークし、特定の例外(exceptions)を除いて、感染したマシンとの間のすべてのトラフィックを禁止するコマンドをすべてのファイアウォールに送信する。例えば、リモートデスクトッププロトコル(Remote Desktop Protocol : RDP)、バックエンドアクセス、および特定の複数のポートを例外とすることができる。次いで、この隔離ポリシーは、影響を受けるエンドポイントに展開される。
隔離モードアルゴリズムは、概して、以下の複数のステップを含む。すべての現在のファイアウォールルールおよび設定は変更されないままである。ファイアウォール管理コンポーネントは、隔離されたマシンで使用できる必要があるサービスおよび例外に対応する静的IPアドレスを受け取る。次に、ファイアウォール管理コンポーネントは、一組の制限ルールを作成する。例えば、所与の範囲内の所与のIPアドレスについて、複数の制限ルールは、隔離モードであっても感染したマシンへのアクセスを必要とする特定のIPアドレスを除外して設定されている。除外されたアドレスについては、設定するルールは存在しない。
隔離ポリシーは、最高優先度のポリシーであり、それと競合する他のすべてのポリシーをオーバーライドする(overrides)。
一実施形態では、管理者は、現在の複数のポリシーについてのスキャンを開始する。中央サーバーは、最新の直接同期および逆同期から保存された実際の複数のポリシー設定を管理者に提供する。現在の複数のアクティブポリシーは、統一されたポリシー表現フォーマットに変換される。ポリシーの形式は狭くても広くてもよいが、すべて同じフォーマットで表される。複数の未使用フィールドはデフォルト値または空値に設定される。統一されたフォーマットへの変換後、結果のレポートが管理者に利用可能になる。
一実施形態では、管理者は、現在の複数のポリシーについてのスキャンを開始する。中央サーバーは、最新の直接同期および逆同期から保存された実際の複数のポリシー設定を管理者に提供する。現在の複数のアクティブポリシーは、統一されたポリシー表現フォーマットに変換される。ポリシーの形式は狭くても広くてもよいが、すべて同じフォーマットで表される。複数の未使用フィールドはデフォルト値または空値に設定される。統一されたフォーマットへの変換後、結果のレポートが管理者に利用可能になる。
さらなる実施形態では、隔離モードアルゴリズムは、ファイアウォール管理コンポーネントが必要なIPアドレスの動的スキャンを実行するステップを含む。IPアドレスが変更された場合、ファイアウォール管理コンポーネントは、新しい設定に従ってルールを書き換える。
例示的な実施形態では、管理サービスおよび管理エージェントはそれぞれ、複数のコンポーネント、すなわち、ポリシーストレージ、ファイアウォールマネージャー、隔離モードマネージャー、および同期マネージャーを含む。
図1は、ネットワーク内のシステム管理者102および代表的なユーザー104のそれぞれの処理100を示す。複数の管理者は、システムを使用して、複数のエンドポイントポリシー106、ユーザーポリシーおよびグループポリシー108を作成または変更し、感染したマシンの隔離を開始し(110)、現在の複数のポリシーをスキャンする(112)。マシンが隔離モードに入ると、ユーザー104は警告を取得する(114)。
図2Aおよび図2Bは、例示的な配置を示す。ファイアウォール管理サービス202(「サービス」)は、ファイアウォール管理エージェント(「エージェント」)204、206、208、および210と通信する。エージェント204、206、208、および210は、複数のシステムエンドポイント、すなわち、コンピュータ212、コンピュータ214、サーバー216、およびアクティブディレクトリ(Active Directory : AD)ドメインコントローラ218に搭載される。ADドメインコントローラは、認証の要求に応答し、複数のユーザーを検証するサーバーである。複数のユーザーおよび複数のコンピュータは、ネットワーク内の複数のドメインによって編成される(organized)。複数のエンドポイント上の複数のエージェントとサービスとの間のトラフィックは、スイッチ220を介してルーティングされる。サービスはAPI22を介して制御され、API22はコンソール(console)またはグラフィカルユーザーインタフェースとして実装され得る。
複数のエンドポイントは、ファイアウォール230、232、234、および236によって保護される。各エンドポイントにおけるエージェントは、複数のコンポーネント、すなわち、エンドポイントポリシーストレージ250,260,270,280、エンドポイント同期マネージャー252,262,272,282、エンドポイントファイアウォールマネージャー254,264,274,284、およびエンドポイント隔離モードマネージャー256,266,276,286を含む。
サービス202は、複数のコンポーネント、すなわち、バックエンドポリシーストレージ240、バックエンドファイアウォールマネージャー242、バックエンド同期マネージャー244、およびバックエンド隔離モードマネージャー246を含む。
図2Aにおいて、サーバー216は、ファイアウォール290に接続されている。ファイアウォール290の配置200Bが図2Bに示されている。ファイアウォール290の背後(Behind firewall)には、複数のエンドポイント、すなわち、DMZ219内のコンピュータおよびサーバー221がある。DMZは、外部に対する複数のサービス(external-facing services)を含み、それをインターネットなどの信頼できない通常はより大きなネットワークに公開するセキュリティゾーンを意味する。これらのエンドポイントには、エージェント211,213が搭載されている。複数のエージェントは、複数のコンポーネント、すなわち、エンドポイントポリシーストレージ251,261、エンドポイント同期マネージャー253,263、エンドポイントファイアウォールマネージャー255,265、およびエンドポイント隔離モードマネージャー257,267を含む。
図3は、管理対象ネットワークにおける複数のIPアドレスについてのルール作成の一例300を示す。IPアドレスの全範囲302は、複数の範囲、例えば、第1の範囲304および第2の範囲306に分割される。これらの範囲の間には、アドレス310,312,314がある。一実施形態では、隔離モードに入り、範囲302内のすべてのアドレスがブロックされる。アドレス314はルールから除外され、隔離モードにおいてもアクセス許可が与えられる。アドレス310,312は、除外されたアドレスの直前および直後のアドレスである。
図4は、優先度ルールの一例400を示す。グループポリシー402,404,406が与えられると、異なる複数の組のルールが、最高優先度から最低優先度までの評価の順序で利用可能である。これらのルールは、ハードニング(hardening)410、接続412、バイパス414、ブロック416、許可418、およびデフォルト420を含む。評価の順序422は、上から下に進む。
一実施形態において、複数のルール410は、Windows Service Hardeningを含む。このタイプのビルトインルール(built-in rule)は、初期設計決定から逸脱する方法でサービスが接続を確立することを制限する。例えば、サービスの制限は、Windowsサービスが、指定されたポート上でのみトラフィックを許可するなどの指定された方法でのみ通信できるように設定される。
接続セキュリティルール412は、コンピュータがセキュアネットワークプロトコルスイート(secure network protocol suite)であるIPsec(Internet Protocol Security)を使用して認証する方法およびタイミングを定義する。IPsecは、複数のデータパケットを認証および暗号化して、IP(Internet Protocol)ネットワークを介した2つのコンピュータ間のセキュアな暗号化通信を提供する。接続セキュリティルールはまた、データプライバシー(data privacy)のために暗号化を要求することができる。接続セキュリティルールは、典型的には、サーバーおよびドメイン分離を確立するため、ならびにNAP(Network Access Protection)ポリシーを実施するために使用される。NAPは、クライアントヘルスポリシー作成、実施(enforcement)、および修復技術である。NAPを用いて、複数のシステム管理者は、複数のソフトウェア要件、複数のセキュリティ更新要件、および他の設定を含むことができる複数の正常性ポリシー(health policies)を確立し、自動的に実施することができる。複数の正常性ポリシーに準拠していないクライアントコンピュータは、その構成が更新されてNAPポリシーに準拠するようになるまで、制限されたネットワークアクセスを提供され得る。
認証された複数のバイパスルール414は、複数のインバウンドファイアウォールルール(inbound firewall rules)がトラフィックをブロックする場合であっても、特定のコンピュータまたはユーザーの接続を可能にする。このルールでは、典型的には、許可されたコンピュータからのネットワークトラフィックがIPsecによって認証され、アイデンティティ(identity)が確認できるようにする必要がある。
複数のブロックルール416は、特定の着信または発信トラフィックを停止する。複数の「許可」ルール418は、特定のタイプの着信または発信トラフィックを許可する。複数のブロックルール416は、許可ルール418の前に評価され、従って、優先される。このため、ネットワークトラフィックは、アクティブブロックルール(active block rule)およびアクティブ許可ルール(active allow rule)の両方に一致する場合にブロックされる。
複数のデフォルトルール420は、接続が他のどのルールとも一致しないときに行われるアクションを定義する。例えば、インバウンドトラフィックのデフォルトルールは、接続をブロックすることであり、アウトバウンドデフォルトのデフォルトルールは、接続を許可することである。Windows環境では、複数のデフォルトルールは、Windowsファイアウォールのプロパティにおいてプロファイルごとに変更されることができる。各ファイアウォールプロファイルは、ローカルファイアウォールルールおよびローカル接続セキュリティルールに関して設定されることができる。これらの設定は、ローカルに定義されたルールが適用されるか否かを定義する。デフォルト設定は、ローカルファイアウォールルールが適用されるものである。デフォルトルールが無効になっている場合、ローカルに作成されたルールは、管理者によって作成されたかプログラムによって作成されたかにかかわらず、影響を及ぼさない。ローカルファイアウォールルールを有効にする場合、その結果のルールは累積される。
図5は、複数のルール506、ポリシー508、および修正状態510に関連するプロファイル502,504を有するファイアウォール設定構造500を示す。ポリシー508は、プロファイル502,504に関して現在適用可能なポリシーを決定するためにデータベースから取得される。複数のルール506は、状態修正510を行うかどうかを決定するためにチェックされる。
図6は、隔離ポリシー602、ADグループポリシー604、エンドポイントポリシー606、および複数のローカルポリシー変更608を含む例示的なポリシー階層600を示す。これらのポリシーは、優先度610を上から下にランク付けされている。
図7は、ユーザー740のために管理者702によって実装される隔離モード700を示す。使用される複数のコンポーネントは、コンソール704、バックエンド隔離モードマネージャー706、およびエンドポイント隔離モードマネージャー708を含む。管理者702は、コンソール704で隔離モードの要求720を入力する。コンソール704は、空の例外記述(empty exceptions description)722を返す。管理者702は、(もしあれば)記入された例外記述(filled exceptions description)724を入力し、隔離記述726は、バックエンド隔離モードマネージャー706に伝達され、バックエンド隔離モードマネージャー706は、隔離モードが適用されているという通知728を送信する。バックエンド隔離モードマネージャー708は、隔離設定730を複数のエンドポイント隔離モードマネージャー708に送信する。これらのモードマネージャーは、隔離モード732をローカルに適用し、応答および結果をバックエンド隔離モードマネージャー706に送信する。これらの応答は、処理された応答としてコンソール704に戻され、管理者702は、対応するレポート738を受け取る。
図8は、ユーザー840のために管理者802によって実装される隔離モードの終了800を示す。使用される複数のコンポーネントは、コンソール804、バックエンド隔離モードマネージャー806、およびエンドポイント隔離モードマネージャー808を含む。管理者802は、コンソール804で隔離モードを終了するための要求820を入力する。コンソール804は、空の例外記述822を返す。管理者802は、(もしあれば)記入された例外記述824を入力し、隔離の詳細(isolation details)826は、バックエンド隔離モードマネージャー806に伝達され、バックエンド隔離モードマネージャー806は、隔離モードが無効にされているという通知828をユーザー840に送信する。バックエンド隔離モードマネージャー806は、複数のポリシー830を回復し、回復設定832を生成する。複数のエンドポイント隔離モードマネージャー808は、複数のポリシー変更834をローカルに適用し、応答および結果をバックエンド隔離モードマネージャー806に送信する。これらの応答は、処理された応答としてコンソール804に戻され、管理者802は、対応するレポート838を受け取る。
図9は、管理者902によるポリシー作成および変更の例示的なケース900を示す。使用される複数のコンポーネントは、コンソール904、バックエンドファイアウォールマネージャー906、バックエンドポリシーストレージ908、エンドポイントファイアウォールマネージャー910、およびエンドポイントポリシーストレージ912を含む。管理者902は、コンソール904においてポリシー作成または変更の要求920を入力する。コンソール904は、空のポリシー記述922を返す。管理者902は、記入されたポリシー記述924を入力する。一実施形態では、ポリシー記述924は、広範なポリシー記述(wide policy description)である。コンソール904は、ポリシー記述926をバックエンドファイアウォールマネージャー906に送信し、バックエンドファイアウォールマネージャー906は、保存されたポリシーについての要求928をバックエンドポリシーストレージ908に送信する。バックエンドポリシーストレージ908は、現在の同期されたポリシー設定930を送信することによって応答する。バックエンドファイアウォールマネージャー906は、現在のポリシー設定930を取得し、新しいポリシー932を設定する。次に、バックエンドファイアウォールマネージャー906は、新しい設定ポリシー934をバックエンドポリシーストレージ908に送信し、バックエンドポリシーストレージ908は、そのポリシーを新しいポリシー936として保存する。バックエンドファイアウォールマネージャー906はまた、新しいポリシー設定938を、ポリシー適用942が行われるエンドポイントファイアウォールマネージャー910に送信する。新しいポリシー設定940はエンドポイントポリシーストレージ912に送られ、そこで新しいポリシー944が保存される。
図10は、管理者1002の要求で現在の複数のファイアウォール設定をスキャンするための手順1000を示す。使用される複数のコンポーネントは、コンソール1004、バックエンドファイアウォールマネージャー1006、およびバックエンドポリシーストレージ1008を含む。管理者1002は、コンソール1004を介してスキャン1020を要求する。スキャン要求1022は、バックエンドファイアウォールマネージャー1006に伝達される。バックエンドファイアウォールマネージャー1006は、バックエンドポリシーストレージ1008から最後に保存された同期設定を要求する。データ収集1026が行われ、現在のファイアウォール設定1028がバックエンドファイアウォールマネージャー1006に伝達される。このデータは、バックエンドファイアウォールマネージャーによって処理され、処理された複数の結果1030としてコンソール1004に送信され、処理された複数の結果は、レポート1032の形式で管理者1002に利用可能である。
図11は、管理者1102によって開始される直接同期の一例1100を示す。使用される複数のコンポーネントは、エンドポイントイベントビューア(endpoint event viewer)1104、エンドポイント同期マネージャー1106、バックエンドポリシー同期マネージャー1110、およびバックエンドポリシーストレージ1112を含む。管理者1102は、エンドポイントイベントビューア1104に変更1114を送信することによって、エンドポイントファイアウォールポリシーに対する変更を開始する。次に、エンドポイントイベントビューア1104は、複数のポリシー変更についての通知1114をエンドポイント同期マネージャー1106に送信する。ポリシー同期1116は、エンドポイント同期マネージャー1106とバックエンドポリシー同期マネージャー1108との間で行われる。同期ポリシー1118は、同期されたポリシーの格納1120が行われるバックエンドポリシーストレージ1110に送信される。
図12は、管理者1202によって開始される逆同期の一例1200を示す。使用される複数のコンポーネントは、バックエンド同期マネージャー1204、エンドポイント同期マネージャー1206、およびバックエンドポリシーストレージ1208を含む。管理者1202は、バックエンド同期マネージャー1204を介して逆ポリシー同期の頻度1210を設定する。ポリシー同期1212は、バックエンド同期マネージャー1204とエンドポイント同期マネージャー1206との間で行われる。バックエンド同期マネージャーは、同期されたポリシー1214をバックエンドポリシーストレージ1208に送信し、そこで同期されるポリシーの格納1216が行われる。
図13は、複数の基本プリミティブ(basic primitives)1304およびプラグイン機能1306を含むファイアウォールライブラリ1302を有するグローバルアーキテクチャ図1300を示す。複数の基本プリミティブ1304は、複数のファイアウォール設定の内部共通表現を含む。例えば、(全てのファイアウォールタイプに対する)複数のルール1320と、各ファイアウォールタイプに対する複数のルールをある程度記述する複数のポリシー1322とが存在する。機能1324は、統一されたエラー表現を提供する。また、JSONフォーマットまたはデータベース内の情報などの情報を記憶し、その情報をストレージから読み出すための機能1326も存在する。複数の基本プリミティブ1304はまた、すべてのファイアウォールタイプまたは複数の固有のファイアウォールのいずれかについて、他のファイアウォールパラメータ1328を含む。
プラグイン機能1306は、プラグインローディング(plugin loading)1330および複数のプラグインコール(plugin calls)1332を含む。複数のグローバルプラグインプリミティブ(Global plugin primitives)1308は、プラグインAPI 1340および複数の動作ステータス1342を含む。複数のグローバルプラグインプリミティブ1308と通信するのは、プラグイン1350およびマネージャー1352を含むファイアウォールプラグイン動的ライブラリ1310である。また、グローバルプラグインプリミティブ1308およびファイアウォールプラグイン動的ライブラリ1310と通信するのは、動的リンクライブラリ(dynamic-link libraries : DLL)、例えば、Sophos.dll 1360、Cisco.dd 1362、およびLinux.dll 1364である。
プラグインAPI 1340は、異なる複数のプラグインに対して単一のインタフェースを提供するように構成されている。ファイアウォールプラグイン動的ライブラリ1310は、プラグインAPI 1340、ならびにDLL 1360,1362,1364によってアクセスされ得る。さらに、プラグインAPI 1340は、ファイアウォールライブラリ1302にも接続されている。したがって、プラグインAPI 1340は、異なる複数のファイアウォールタイプを管理するために同じ機能を提供する。例えば、プラグインAPI 1340は、動的プラグインライブラリ名およびバージョンなどの現在の複数のプラグインパラメータを取得する。プラグインAPI 1340はまた、設定ファイルが必要とされる場合、初期ファイアウォール設定のために使用され得る。別のAPI機能は、パスワード、ユーザー名、または他のパラメータを提供すること、ルール、ルールグループ、ポリシーなどのファイアウォール設定またはパラメータを取得することなどのファイアウォール管理のプロセスをアクティブにする(activating)ことである。さらなるAPI機能は、新しいファイアウォール設定またはパラメータを追加すること、または既存のルールに変更を加えることを含む。最後に、プラグインAPI 1340は、ファイアウォール管理のプロセスを終了する(deactivate)能力を提供する。
図14は、一連のステップとして説明されるプラグイン機能の概要1400を示す。最初のステップ1402では、動的プラグインライブラリが所与のファイルパスからロードされる(loaded)。次に、ステップ1404において、そのライブラリから複数の機能がエクスポートされる。ステップ1406において、ユーザーは、必要に応じて、ロードされたプラグイン機能をコールする(call)ことができる。最後に、ステップ1408において、任意のロードされたプラグインが終了され得る。
図15は、ユーザー1506が管理コンソール1508を介してアクセスする管理サービス1502および管理エージェント1504のための代替構成1500を示す。ユーザー1504は、スーパーユーザー(superuser)、管理者、または類似のアクセス特権を有する他のユーザーであってもよい。管理サービス1502は、汎用リソースおよびポリシーマネージャー(general resource and policy manager : GRPM)アドオン1510、警告マネージャー(alert manager)1512、バックアップマネージャー1514、同期サービスアドオン1516、および通知サーバー1518を含む。代替実施形態では、管理サービス1502は、クラウドベースのサービスである。管理エージェント1504は、警告マネージャー1520、バックアップエージェント1522、ファイアウォールポリシーマネージャー1524、通知エージェント1526、およびポリシーコレクタ(policy collector)1528を含む。
一実施形態では、ユーザー1506は、ネットワークの重要な役割を有するかまたは何らかの機密情報へのアクセス権限を有するマシンが感染していることを検出する。ユーザー1506は、管理コンソール1508と対話(インタラクション)し、管理サービス1502への接続を開く(opening)ことによって開始する。ユーザー1506は、隔離のために1つまたは複数のマシンを選択し、隔離アクションのタイプを選択する。いくつかのタイプの隔離では、(サーバー側からの)バックアップマネージャー1514および(エージェント側からの)バックアップエージェント1522も隔離プロセスに参加する。ユーザー1506は、「エンドユーザーにメッセージを表示する」などのオプションを有効または無効にする。ユーザー1506は、隔離モードで接続が利用可能なままであるべき例外のリストなどのリストを示す。可能なリストの一例は、IPアドレス、ポート、ホスト名、または動的IPアドレススキャンによるurlを含む。
設定された複数の要件がGRPMファイアウォールアドオン1510(特定のハンドル)に送信され、検証された場合、ユーザー1506は、ネットワークコンピュータまたはマシンの隔離のプロセスを開始する。GRPMファイアウォールアドオン1510は、このアルゴリズムに従って必要な隔離ルールを計算し、同期サービスアドオン1516を使用してその新しいルールをデータベースに設定し、ターゲットエンドポイント上のグループポリシーの無効化を開始する。同期アルゴリズムに従って、複数の隔離ポリシーは直接適用され、グループポリシーの影響はファイアウォールポリシーマネージャー1524によって無効にされる。同期は、GRPMファイアウォールアドオン1510と管理エージェント1504との間で開始される。ポリシーの取得(Policy retrieval)はエージェント側で行われ、同期はポリシーコレクタ1528およびファイアウォールポリシーマネージャー1524によって行われる。GRPMファイアウォールアドオン1510は、マシンを隔離されるものとしてマークし、隔離モードの進行に関する情報を表示するための通知モジュールとインタフェースする。
感染したコンピュータが処置された後、ユーザー1506は、管理コンソール1508を介して隔離モードの無効化を開始する。GRPMファイアウォールアドオン1510は、同期サービスアドオン1516とのインタフェースを介してマシンポリシーを完全に復元することによって無効化されるべき隔離ポリシー変更を計算する。利用可能な隔離モード動作は、感染したデバイスのみを隔離すること、感染したデバイスを隔離してバックアップすること、感染したデバイスをフォレンジックデータ(forensic data)で隔離してバックアップすること、デバイスを隔離してデバイスの電源をオフすること、を含む。この機能は、通知サーバー1518および通知エージェントによってサポートされる。
一実施形態では、複数のマシンが同時に隔離される。この実施形態では、許可されたリストのセットは、すべてのマシンに対して同じである。許可されたリストは、マシンがその隔離状態に入り、その隔離状態を終了しない場合、変更または編集することが可能である。別の実施形態では、隔離されるコンピュータは現在、オンラインではない。この場合、隔離ポリシーは、接続が確立されたときに適用される。隔離ポリシーは、隔離ポリシーと競合する全ての他のポリシーが禁止されるような最も高い優先度のポリシーである。
一実施形態では、マシンが隔離モードに入るのに失敗した場合に警告が表示される。警告メッセージは、警告マネージャー1520によって処理され、通知システムを介してユーザー1506に示される。例えば、ユーザー1506が「エンドポイントユーザーにメッセージを示す」ことを有効にした場合、エージェント側の警告マネージャー1520を用いて、隔離モードの有効化の進捗に関する警告およびメッセージも表示される。マシンが隔離モードを終了することに失敗した場合、警告が示される。さらなる実施形態では、いくつかの警告メッセージは、警告マネージャー1512によって処理され、通知システムによって管理コンソール1508において示される。
一実施形態では、図15の複数のコンポーネントは、エンドポイントにおける現在のポリシーの作成または変更を含むポリシー制御、新しいルールの作成、ファイアウォール設定の変更、およびデフォルトの動作のために使用される。
管理コンソール1508は、Windows、Linux、Sophos、Cisco、またはその他のものなど、選択されたタイプのサポートされるファイアウォールのためのポリシーの広範なポリシー構造(wide policy structure)を定義するために使用される。新しいポリシーは、ポリシーを検証するGRPMファイアウォールアドオン1510に送られる。GRPMファイアウォールアドオンは、同期サービスアドオン1516を使用して現在のポリシーを取得し、新しいかまたは古いルールおよび設定をデータベースに追加し、変更し、およびデータベースから削除する。同期アルゴリズムに従って、(管理されるコンピュータがネットワーク上にあると仮定して)GRPMファイアウォールアドオン1510とファイアウォールポリシーマネージャー1524との間の同期の初期化時に、新しいポリシーがファイアウォールポリシーマネージャー1524によって直接適用される。このステップは、管理されるファイアウォールのタイプに依存する。例えば、企業ファイアウォールは、広範なポリシー記述のうちの狭い部分のみをサポートする。ポリシーは、エージェント側のポリシーコレクタ1528およびファイアウォールポリシーマネージャー1524を用いて同期されたときに更新される。ポリシー競合は、ポリシー優先度に従って解決される。競合の詳細を示す複数の警告は、警告マネージャー1512によって処理される。
一実施形態では、ライブラリは、所与のエンドポイントに対して設定および適用されることができる、ルール、ユーザーグループ、一群のルール、またはデフォルトの動作などのポリシーの広範な記述(wide description)をサポートする。ポリシーは、パラメータ選択に基づいて定義される。
厳密なポリシーが要求され、企業ファイアウォールがそのポリシーをサポートすることができない場合、GRPMファイアウォールアドオン1510は、ソフトウェアレベルで動作する他のデフォルト管理ファイアウォールタイプを含めることによって、この機能を提供する。一実施形態では、ポリシーの古い部分が変更され、データベースに保存されるか、またはデータベースから削除される。あるいは、ポリシーの新しい部分がデータベースに保存されたときにポリシーが更新される。
複数の企業ファイアウォールを有する実施形態では、広範なポリシーのいくつかの項目が利用可能でない場合、狭いポリシーのみが展開される。あるいは、ソフトウェアレベルの複数のファイアウォールについては、ポリシーの広範な構造が実装される。ポリシーの広範な構造は、Windows、Linux、Sophos、Ciscoなどの選択されたタイプのサポートされたファイアウォールについてのユーザーレベルまたはユーザーグループレベルの制限で定義される。GRPMファイアウォールアドオン1510は、ポリシー検証を実行する。GRPMファイアウォールアドオン1510は、同期サービスアドオン1516を使用して現在のポリシーを取得し、新しいかまたは古いルールおよび設定をデータベースに追加、変更、またはデータベースから削除し、変更をユーザーグループまたはユーザーに関連付ける。同期アルゴリズムに従って、GRPMファイアウォールアドオン1510とファイアウォールポリシーマネージャー1524との間の同期の初期化時に、新しいポリシーがファイアウォールポリシーマネージャー1524によって直接適用される。このステップは、管理されるファイアウォールのタイプに依存する。ポリシーの更新は、エージェント側のポリシーコレクタ1528およびファイアウォールポリシーマネージャーを用いて同期中に行われる。ポリシー競合は、ポリシー優先度に従って解決される。競合の詳細を有する複数の警告は、警告マネージャー1520によって送信される。
一実施形態では、管理されたファイアウォールは、現在、複数のユーザーまたは一群のユーザーのポリシーをサポートしていない。この場合、特定の複数のユーザーおよび一群のユーザーについてのポリシーが、ユーザー起動(user activation)後に格納され、ロードされる。管理エージェント1504およびローカルデータベースが、これらのステップを実行する。
マシンが感染していない状態にある間にurlおよびホスト名を決定する機能を提供するために、バックエンドはDNSサーバーのリストを受信する。バックエンドは、それらを「DNSサーバーの既知のIPアドレス」などのデータベースに格納する。バックエンドは、提供されたDNSサーバーのリストをチェックする。所与のサーバーは、DNSSECをサポートするローカルのWindows Active DirectoryのDNSサーバーまたはパブリックサーバーである場合に信頼できると見なされる。一実施形態では、検出プロセスで信頼できるとされたDNSサーバーが、urlおよびホスト名を決定するために使用される。
DNSサーバーのIPアドレスは、隔離モード中にurlおよびホスト名を決定する際のさらなる使用のために設定される。DNSサーバーが信頼できない場合、対応する警告メッセージが管理コンソール1508に表示される。ユーザー1506が許可した場合、信頼できるDNSサーバーと同じようにインタラクションが行われる。バックエンドは、管理エージェント1504に、信頼できるDNSサーバーのIPアドレスのリストと、IPアドレスのリストに分けられるurl及びホスト名のリストを送信する。管理エージェント1504は、対応する複数のDNSサーバーにアクセスし、受信した複数のIPアドレス(決定されたurlおよびホスト名)をバックエンドに送信する。バックエンドは、アルゴリズムに従って、受信した複数のIPアドレスについての例外を構築する。隔離モードに入るとき、管理者の「許可されたリスト」ならびにバックエンドとインタラクションするためのポートおよびIPアドレスよりも多くの項目が必要とされる場合がある。これらは、DNSサーバーのためのポートおよびIPアドレスを含む。このポリシーに従って、動的IPアドレスを更新する際に2つの主な手段がある。まず、管理エージェント1520は、DNSクライアントからのいくつかのイベントを検出する。この場合、エージェント1520は、バックエンドに「リフレッシュping要求」を送信し、ステップbが開始する。第2に、バックエンドは、IPアドレスのリストと一致するurlおよびホスト名の関連性を検証するために、検証要求をエージェント1504に送信する。このステップは、独立して、または第1の手段の結果として実行されることができる。代替実施形態では、第2の手段の前に、ユーザー1506は、バックエンド側の信頼できるDNSサーバーのリストを変更する。そして、リフレッシュされた隔離ルールが管理エージェント1504に送信される。これは、好ましくは、隔離されたマシンが新しいDNSサーバーにアクセスできるように行われる。管理エージェント1504は、IPアドレスの受信された更新をバックエンドに渡し、バックエンドは、それらを既存のルールについてチェックし、変更が行われた場合にそれらを置き換える。変更を伴う新しい隔離ルールがエージェント1504に送信され、修正された隔離ルールがエージェント1504に適用される。
一実施形態では、動的IPアドレスポリシーが更新される。例えば、管理エージェント1504上で実行されるEvent Tracing for Windows(ETW)は、Microsoft-Windows-DNS-Clientプロバイダから適切なイベントを検出する。この場合、エージェント1504は、隔離ポリシー内のいくつかのurlまたはホスト名に対応するIPアドレスの更新を開始する。10分などの指定された設定可能な時間間隔に従って、エージェント1504は、適切なIPアドレスの更新を初期化する。管理者は、管理コンソールを使用して、選択されたエンドポイント上の動的IPアドレスの更新を実施することができる。この場合、バックエンドは、エージェント1504に、隔離ポリシー内のいくつかのurlまたはホスト名に対応するIPアドレスの更新を開始させる。
隔離モードの実装のために、管理されたネットワーク内のすべてのマシンは、隔離される能力をサポートすべきである。現在、これらの要件は、Microsoft Windowsオペレーティングシステムを実行するマシンによって満たすことができる。また、適切なポリシー、例えば、JSONフォーマットのpolicy.machine.network_isolationが必要とされる:
ここで、「immediate action(即時動作)」は、以下の値を格納することができる:感染したデバイスのみを隔離すること、感染したデバイスを隔離してバックアップすること、感染したデバイスをフォレンジックデータで隔離してバックアップすること、デバイスを隔離して電源オフすること。許可されたプロパティは、(デフォルトの)インバウンド、アウトバウンド、またはインバウンドとアウトバウンドの両方のいずれであるかにかかわらず、トラフィック方向の指示とともに、その名前に対応する値を含むべきである。
分離ネットワークアドオンは、ポリシーおよびリソース特性(policy and resource traits)を記述するコンテンツでPOSTをGRPM /addons endpointにコールする(calling)こと(POST /api/resource_and_policy_addons/v1/addons)によって登録される。GRPMアドオンのRest APIに従って、ネットワーク分離アドオンは、リソース検証検出(resource validation discovery)およびポリシー検証においてGRPMを支援する必要がある。新たに検出されたリソースタイプは、例えば、新たなマシンがネットワークに参加するときに検証される必要がある。ポリシー検証は、指定された許可リストに従って管理者によって設定されたポリシー構造を検証する「/validator」によって実施される。ポリシー検証はまた、「/applicability endpoints」によって実施され、これは、ポリシーがリソース、例えば、Windowsオペレーティングシステムを実行するマシンに適用できるかどうかをチェックするものである。ネットワーク分離がカスタム実行を有する必要があるので、ポリシー展開の処理は、「/deployment endpoint」によって実施される。ネットワーク分離ポリシーは非連続的な実行を想定しているので、この処理は「/run endpoint」によって実施される。
図16は、図15に関連して説明したGRPMアドオン特徴を有する実施形態1600を示す。一実施形態では、強制フックインタフェース(mandatory hook interface)が使用され、アクセスが制御される。例えば、特別な権限を有するGRPMスーパーユーザーに、クラウドベースサービス1602と通信しているコンソール1601を介して強制フックインタフェースを使用する唯一の権限を与えることができる。管理下にあるのは、サーバー1604、2つのエンドポイント1606,1608であり、スイッチ1610で接続されている。一実施形態では、ファイアウォール1612は、その背後の他のネットワークリソースを保護する企業ファイアウォールを指す。
エンドポイント1606,1608は、エンドポイントファイアウォール管理エージェント1620,1630と、エンドポイントファイアウォール1622,1632とを含む。サーバー1604は、集中型のファイアウォール管理エージェント1640およびエンドポイントファイアウォール1642を含む。
クラウドベースのサービス1602は、GRPM1650、ファイアウォール管理GRPMアドオン1652、およびGRPMアドオン1652と通信するポリシーストレージ1654を含む。
上述したシステムおよび方法は、企業コンピュータネットワーク環境において具体化される。本発明の文脈における企業とは、管理された複数のエンドポイントおよび集中型の管理サーバーを使用することを指す。そのような設定は、民間組織、非営利団体、および政府機関によって具体化され得る。
Claims (20)
- 複数のエンドポイントを有するコンピュータネットワークにおいてマシンを隔離するシステムであって、
集中型のファイアウォール管理サービスと、
管理下の複数のエンドポイントに搭載された1または複数のファイアウォール管理エージェントと、を備え、
前記ファイアウォール管理サービスは、少なくとも1つのエンドポイントについての隔離モードを展開するように構成されており、
アプリケーションファイアウォール設定、ファイアウォールの権限付与および設定は、前記ファイアウォール管理サービスによって制御される、システム。 - 前記ファイアウォール管理サービスおよび前記1つまたは複数のファイアウォール管理エージェントは、前記ファイアウォール管理サービスと前記1つまたは複数のファイアウォール管理エージェントとの間の直接ポリシー同期を実行する、請求項1に記載のシステム。
- 前記ファイアウォール管理サービスは、ファイアウォールポリシーの階層を含む、請求項2に記載のシステム。
- 前記複数のエンドポイントは、複数のファイアウォールポリシーを有するソフトウェアを含み、前記ソフトウェアに適用される前記複数のファイアウォールポリシーは、前記ネットワークのレベルで適用するポリシーよりも広い、請求項3に記載のシステム。
- 隔離モードの複数のルールは、エンドポイントへのすべてのネットワークトラフィックおよびエンドポイントからのすべてのネットワークトラフィックをブロックするが、該隔離モードの複数のルールは、着信および発信ネットワークトラフィックに関するバリアから1つまたは複数のサービスを除外するように設定されている、請求項3に記載のシステム。
- 前記ファイアウォールポリシーの階層において、隔離ポリシーは、最高優先度のポリシーである、請求項5に記載のシステム。
- 現在の複数のファイアウォールポリシーが、統一されたポリシー表現フォーマットに変換される、請求項6に記載のシステム。
- 前記ファイアウォール管理サービスは、複数のIPアドレスの動的スキャンを実行するように構成されている、請求項6に記載のシステム。
- ファイアウォール管理サービスと、複数のエンドポイントにおいて1つまたは複数のマシンに搭載された1つまたは複数のファイアウォール管理エージェントと、を有するコンピュータネットワーク内のエンドポイントを隔離するための方法であって、
マルウェアに感染したエンドポイントを特定すること、
指定された複数のサービスによる前記マシンへのアクセスを可能にする前記エンドポイントのための複数のファイアウォールポリシーを設定すること、
隔離された前記マシンの前記マルウェアを除去すること、
前記隔離されたマシンのための複数のネットワークファイアウォールルールを復元すること、を備える方法。 - 前記ファイアウォール管理サービスおよび1つまたは複数のファイアウォール管理エージェントによる直接ポリシー同期を行うことをさらに備える請求項9に記載の方法。
- ファイアウォールポリシーの階層に従って複数のファイアウォールポリシーを同期させることをさらに備える請求項10に記載の方法。
- 前記複数のエンドポイントは、複数のファイアウォールポリシーを有するソフトウェアを含み、
前記ネットワークのレベルで適用するポリシーよりも広い前記ソフトウェアに適用される前記複数のファイアウォールポリシーを設定することをさらに備える請求項11に記載の方法。 - 着信および発信ネットワークトラフィックを制御する複数のファイアウォールポリシーに従って、前記マシンへの1つまたは複数のサービスによるアクセスを許可し、それ以外はブロックすることをさらに備える請求項12に記載の方法。
- 前記ファイアウォールポリシーの階層において、隔離ポリシーは、最高優先度のポリシーである、請求項13に記載の方法。
- 現在の複数のファイアウォールポリシーを、統一されたポリシー表現フォーマットに変換することをさらに備える請求項11に記載の方法。
- 前記ファイアウォール管理サービスを用いて複数のIPアドレスの動的スキャンを実行することをさらに備える請求項11に記載の方法。
- 前記マシンは、サーバーである、請求項11に記載の方法。
- ファイアウォール管理サービスおよびファイアウォール管理エージェントによって管理下にあるコンピュータネットワーク内のマシンを隔離する手段であって、
マルウェアに感染したマシンを隔離する手段と、
隔離された前記マシンへのアクセスを管理する1つまたは複数のルールを作成する手段と、
前記隔離されたマシンをその隔離前の状態に回復させる手段と、を備える手段。 - 隔離されたマシンを回復させた後に変更された複数のファイアウォールポリシーを保存する手段をさらに備える請求項18に記載の手段。
- 利用可能な複数のライブラリから現在の複数のプラグインパラメータを取得し、現在のファイアウォール設定にアクセスし、複数のファイアウォール設定またはパラメータを取得することによって、複数のファイアウォールルールを設定するAPI手段をさらに備える請求項18に記載の手段。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/449,613 US20230099259A1 (en) | 2021-09-30 | 2021-09-30 | Managing corporate firewalls and network isolation for EDR |
US17/449,613 | 2021-09-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023051742A true JP2023051742A (ja) | 2023-04-11 |
Family
ID=82748516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022118661A Pending JP2023051742A (ja) | 2021-09-30 | 2022-07-26 | 企業ファイアウォール管理およびネットワーク分離 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230099259A1 (ja) |
EP (1) | EP4160984A1 (ja) |
JP (1) | JP2023051742A (ja) |
CH (1) | CH718976A2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230269229A1 (en) * | 2022-02-24 | 2023-08-24 | Google Llc | Protecting Organizations Using Hierarchical Firewalls |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120066765A1 (en) * | 2010-09-10 | 2012-03-15 | O'brien John | System and method for improving security using intelligent base storage |
EP3289476B1 (en) * | 2015-04-30 | 2022-01-26 | Fortinet, Inc. | Computer network security system |
US10142364B2 (en) * | 2016-09-21 | 2018-11-27 | Upguard, Inc. | Network isolation by policy compliance evaluation |
US10778645B2 (en) * | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
US11601467B2 (en) * | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
US10257232B2 (en) * | 2017-09-13 | 2019-04-09 | Malwarebytes Inc. | Endpoint agent for enterprise security system |
US10826941B2 (en) * | 2018-05-10 | 2020-11-03 | Fortinet, Inc. | Systems and methods for centrally managed host and network firewall services |
-
2021
- 2021-09-30 US US17/449,613 patent/US20230099259A1/en active Pending
-
2022
- 2022-06-29 CH CH00783/22A patent/CH718976A2/fr unknown
- 2022-07-05 EP EP22020318.6A patent/EP4160984A1/en active Pending
- 2022-07-26 JP JP2022118661A patent/JP2023051742A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
CH718976A2 (fr) | 2023-03-31 |
EP4160984A1 (en) | 2023-04-05 |
US20230099259A1 (en) | 2023-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
US10326801B2 (en) | Cloud-based security policy configuration | |
US11190493B2 (en) | Concealing internal applications that are accessed over a network | |
EP1591868B1 (en) | Method and apparatus for providing network security based on device security status | |
US8831011B1 (en) | Point to multi-point connections | |
US10764264B2 (en) | Technique for authenticating network users | |
US20120246698A1 (en) | Systems and methods of controlling network access | |
Turab et al. | Cloud computing challenges and solutions | |
JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
JP2023051742A (ja) | 企業ファイアウォール管理およびネットワーク分離 | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
Cisco | Increasing Security on IP Networks | |
US11695736B2 (en) | Cloud-based explicit proxy with private access feature set | |
US20240129275A1 (en) | Systems, Methods And Apparatus For Local Area Network Isolation | |
US11985109B1 (en) | Systems, methods and apparatus for local area network isolation | |
Kwan | White paper IronShield Best Practices Hardening Foundry Routers & Switches | |
Brown et al. | Network Hardware |