このドキュメントでは、産業用制御システム (ICS) 環境内の次世代ファイアウォールであるパロアルトネットワークの使用に関連する3つのユースケースについて検討します。3つのユースケースすべての主な目標は、ICS ネットワークを保護するための追加のセキュリティ対策を提供することです。また、これらの対策によって、運用コストやインシデント対応の疲労を軽減できる自動化が可能になることも重要です。

 

3つのユースケース:

• 運用技術 (OT) ネットワークおよびアプリケーションへのアクセスのための多要素認証 (2FA) の導入
• 認証の失敗と重要なセキュリティイベントに対してエンドポイントを自動隔離する
• ICS の場所からさまざまなデータセンターに暗号化されたコンジットを提供し、これらのトンネルを動的にメッシュ

要件

必須項目	ノート
パノス8	このドキュメントの時点での8.0.5
多要素認証	この例の OKTA
発券システム	この例の ServiceNow
GlobalProtect クラウドサービス

 

多要素セキュリティユースケースが適用される IT/OT 境界を描写する高レベルの図。

 

多要素ユースケースのフローチャート

一般的な流れは、下のグラフに描かれています。この例では、検疫グループからエンドポイントを削除するために、管理上の注意が必要です。ただし、パノスバージョン8.x 内では、問題のあるソーストラフィックにタグを追加するだけでなく、動的に削除することもできます。これにより、検疫と他の動的アドレスグループの間でエンドポイントを移動する際の完全な自動化が可能になります。

 

 

多要素ユースケースの構成

従来、多要素認証では、アプリケーションが2FA の相互作用を提供できることが必要でした。ただし、この機能を持たないアプリケーションは多数あります (特に OT 環境内のレガシアプリケーション)。ネットワークレベルでプロセスを開始することで、これらおよび他のアプリケーションに対して多要素認証を実施できるようになりました。具体的には、パノスバージョン8はこの機能を提供し、2FA に認識されているアプリケーションに依存しません。ルールセット内で特定の条件が満たされたときに MFA プロセスを起動できるようになりました (つまり、it ネットワーク上のユーザーが OT ネットワーク上のアプリケーションに到達しようとした場合)。いずれかの認証プロセスが失敗すると、アクセスが拒否されます。

 

最初のユースケースは、ユーザーが OT ネットワークに存在するアプリケーションにアクセスしようとするときに多要素認証を導入することです。ユーザーは、資格情報の所有者が実際にプロセスを開始したことを確認するために、web ベースのフォーム (最初の認証) に confrmation (2 番目の認証) を入力するように求められます。

最初のパスはキャプティブポータルログインを介して:

 

2番目のパスは帯域外で検証されます。

 

 

[デバイス/サーバープロファイル]/[マルチファクタ認証] に、多要素サーバープロファイルを追加します。現在、MFA providors (Okta アダプティブ、PingID、およびデュオ v2) 用の4つの組み込みテンプレートがあります。たとえば、スクリーンショットを参照してください。詳細な多要素認証構成については、パノス8.0 管理者ガイド: https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/authentication/configure-multi-factor-authentication を参照してください。

 

 

認証プロファイル内で追加の認証ファクタを有効にする (作成した MFA サーバープロファイルを選択する): デバイス/認証プロファイル:

 

 

認証強制オブジェクトを作成し、作成した認証プロファイルを選択します。これは [オブジェクト/認証] の下にあります。カスタムメッセージを作成するユーザーは、キャプティブポータルを介して認証の最初のレベルを求められたときに表示されます。

 

 

マルチファクタ認証プロセスをトリガする認証規則を構成します。この例では、IT ネットワークから開始されたトラフィックが OT ネットワーク宛てである場合に、マルチファクタプロセスを起動します。これは、特定の広告グループまたはユーザーを追加することでさらに洗練されます。

 

ポリシー/認証

 

 

ユーザーが認証を必要とするサービスおよびアプリケーションにアクセスできるようにするセキュリティポリシールールを作成します。これは、特定の広告グループやユーザーやアプリケーションを追加することでさらに洗練される可能性があります (つまり、DNP3、シグネット-SCADA など)。

 

ポリシー/セキュリティ

 

 

オートメーションの追加-動的アドレスグループ

マルチファクタ認証を導入した後、次の手順では、失敗した認証の試行、または重大なセキュリティイベントのいずれかに基づいてアクションを実行します。これを実現するために、動的アドレスグループとログ転送プロファイルの2つの機能を展開します。

 

動的アドレスグループ (dag) は、変更に適応する柔軟なポリシーを許可します。たとえば、ホストは、許可ルールに一致するが、そのタグが動的に変更された (その後、別のアドレスグループに移動する) ように、1つのアドレスグループに配置するタグで始まる場合があり、拒否規則と一致します。これにより、セキュリティポリシーからルールを継続的に追加/削除する必要がなくなります。動的アドレスグループの詳細については、パノス8管理者ガイドを参照してください。

https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/policy/use-dynamic-address-groups-in-policy

 

動的アドレスグループを作成するには、オブジェクト/アドレスグループに移動します。このグループは、トラフィックが最初にタグ付けされない検疫タグに基づいて一致するため、空になります。

 

 

次に、ログ内で監視するために必要なパラメータを作成します。それぞれに対して、ソースに検疫タグを動的にタグ付けする組み込みのアクションを作成します。

 

オブジェクト/ログ転送に移動し、新しいエントリを作成します。

 

 

オートメーションの追加-ログ転送プロファイル

失敗した MFA の試行ごとに、動的タグ付けの組み込みアクションを定義します。

 

 

次に、サービスチケットの生成の自動化を追加します。Forward メソッドで、ServiceNow の事前定義された HTTP サーバー情報を追加します。定義済みの http サーバーは、デバイス/サーバープロファイル/http に入力されます。

 

ServiceNow の HTTP サーバープロファイルを定義します。

 

 

ServiceNow の組み込みログ形式を使用するには、[ペイロード形式] タブをクリックします。

 

[認証] をクリックし、ドロップダウンから [ServiceNow セキュリティインシデント] を選択します。関連する認証エラー情報は、ServiceNow HTTP ベースの API によって容易に利用できる形式で ServiceNow に送信されます。

 

 

オブジェクトに戻る/ログ転送失敗した MFA の試行のプロファイルにオートメーションを追加し、ServiceNow 用に作成された HTTP サーバーを追加します。

 

 

最初のユースケース (MFA の失敗) を終了したら、2番目のユースケース (重要なセキュリティイベントを含むホストを隔離する) を追加します。

 

 

ServiceNow の HTTP サーバープロファイルを追加します。

 

 

最終的なログ転送プロファイルは、次のようになります。

 

 

新しく作成されたログ転送プロファイルをセキュリティ規則に追加して、IT から OT へのトラフィックを許可します。

 

 

ここに記載されているユースケースでは、隔離されたホストを検疫から運用に移行するための手動操作が必要です。ネットワークのその他の機密性の低い領域では、ログ転送内の組み込みのアクションがタグを削除することもできるため、これは動的である可能性があります (検疫タグの削除など)。検疫 dag に配置されているソース IP アドレスを表示するには、[ポリシー] に移動し、dag を含むルールを見つけて、dag にカーソルを合わせてドロップダウンを表示します。ドロップダウン、値などを選択してリストを表示し、個々のソースに対してアクションを実行します。

 

 

plaform ごとに利用可能な動的に登録された IP アドレスの最大数については、次のページを参照してください。https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/policy/use-dynamic-address-groups-in-policy

 

IPSec トンネルの動的メッシュ化

複数のデータセンター (MPLS またはインターネット経由) への IPSec 接続を必要とする多くのリモート ICS/SCADA サイトがある場合、構成および保守には管理上の負担が伴います。これは、完全にメッシュされたサイトが要件である場合に特に当てはまります。ルーティングと動的トンネルを処理するために、ファイアウォールの前に別のアプライアンスを実装するのではなく、既存のパロアルトネットワークファイアウォールまたは IPSec トンネルを構築できる既存のエッジデバイスを使用して、エレガントなソリューションがあります。

 

GlobalProtect クラウドサービスは、IPSec/SSL を使用してリモート ICS/SCADA サイトを動的にメッシュするための、管理されたスケーラブルなサービスを提供します。これにより、クラウド展開 (ファイアウォール、ポータル、ゲートウェイ) の複雑さが解消され、パノラマを介した中央セキュリティポリシーの管理が可能になります。需要の増加や減少に伴ってサービスの自動スケーリングが行われるため、チームはクラウド展開の側面ではなく、ポリシー/インシデント管理に専念できます。

 

 

これにより、データセンターアーキテクチャが大幅に簡素化されます。サイト間およびサイト間のルーティングは、GlobalProtect クラウドサービスで処理されます。IPSec とリモートアクセスが必要な場合は、サービスを企業全体の戦略に組み込むことができます。リモートサイトは、ICS/SCADA の場所、リモートオフィス、モバイルワーカー、または Amazon、Azure、Google などの他のパブリッククラウドサービスとして考えることができます。

 

 

GlobalProtect クラウドサービスコンポーネント

このサービスは、パノラマプラグインを使用して構成され、次のコンポーネントが含まれています。

 

 

GlobalProtect クラウドサービスには、クラウドベースのロギングサービスも含まれていることに注意してください。ファイアウォール、ポータル、およびゲートウェイ内で記録されたアクティビティは、このサービスにログ出力します。パノラマは、クエリやレポートのための任意のリモートログコレクターのようなこのサービスへの単に ' ポイント '。

 

サービスのために取得するためのいくつかのライセンスがあります: ログサービスと一緒にリモートネットワークとモバイルユーザーのための GlobalProtect クラウドサービス。

 

 

バージョン8.x の新しいパノラマプラグイン機能を使用して、最新の GlobalProtect クラウドサービスプラグイン (カスタマーサポートポータルで利用可能) をインストールします。

 

 

クラウドサービスをセットアップし、メイン HQ データセンターをサービスに接続します。既存のデバイスグループとテンプレートは、ICS/OT 環境を含むことができることに注意してください。

 

 

IPSec/SSL コンジットを介して接続するリモートサイト (ICS/SCADA) を構成します。

 

 

最後の手順は、通常どおりにセキュリティポリシーを構成することです。

 

これらのシナリオへの自然な付加はパノス v8 のアンチフィッシングおよび資格情報の盗難の特徴の実施である。さらに強固なセキュリティ態勢を希望される方には、アプリケーションレベルでの OT アクセスをユーザ ID とともに制御することが可能です。たとえば、OT アプリケーションにアクセスするすべてのユーザーが、レジスタ/コイルに書き込む必要があるとは限りません。これを制御するには、OT ユーザーの1つのグループに対する読み取りアクティビティを厳密に許可するセキュリティポリシーを作成し、必要な人に対してのみ書き込みます。

 

 

概要

また、ICS/SCADA 環境を確保するには、パロアルトネットワークプラットフォームの様々なコンポーネントを使用するための他の多くのユースケースがあります。ここに記載されている3つは、石油およびガス部門の企業から集められた特定の要件をカバーします。

 

このドキュメントは、産業用制御システム (ICS) 環境内でのパロアルトネットワークの次世代ファイアウォールの展開に関連する3つのユースケースを示しただけです。最初のシナリオでは、OT ネットワークにアクセスするユーザーに対して、ファイアウォールを使用してマルチファクタ認証を実施することを検討します。これらのユーザーは、2番目の要素の認証エラー時に検疫されます。

 

2番目のシナリオでは、OT ネットワークにアクセスしている認証済みユーザーからのアクティビティを調べます。このユーザーは、' 重大な ' セキュリティイベント時に隔離され、ポリシーによっては、"高" セキュリティイベントで隔離される可能性があります。このようなイベントには、さまざまなトリガ (コマンドアンドコントロールアクティビティ、既知の不良ドメイン/ip/url へのアクセスの試み、ヒープバッファオーバーフローなどの脆弱性イベントなど) が含まれます。ソースユーザーがこのようなイベントをトリガすると、OT ネットワークから直ちに遮断 (タグ付き検疫) されます。最初の2つのシナリオでは、管理者が検疫グループから削除するまで、ソースユーザーは検疫されます (つまり、タグを削除します)。

 

3番目のユースケースは、リモート ic/SCADA の場所からプライマリおよび/またはセカンダリデータセンターの場所 (またはそれ以上) に動的にメッシュされた IPSec/SSL コンジットを構築することにより、運用 effeciencies に焦点を当てています。スケーリングの複雑さは、GlobalProtecl クラウドサービスによって処理されます。これには、ファイアウォール、ポータル、ゲートウェイ、およびログの自動展開が含まれます。セキュリティポリシー、レポート、およびクエリは、引き続きパノラマで集中的に実行されます。

 

3つのユースケースすべての主な目標は、ICS ネットワークを保護するための追加のセキュリティ対策を提供することです。これらの対策により、自動化によって運用コストとインシデント応答の疲労を軽減できます。