場合はどのような予防措置を講じるべきですかFirewallを対象としたトラフィックCDSS通信はMITMプロキシー?
9457
Created On 11/29/22 17:52 PM - Last Modified 05/09/23 03:29 AM
Question
場合はどのような予防措置を講じるべきですかFirewallを対象としたトラフィックCDSS通信はMITMプロキシー?
Environment
- パロアルトFirewallまた Panorama
- 対応 PAN-OS
- クラウド提供のセキュリティ サービス (CDSS )
- サードパーティの中間者 (MITM ) プロキシー
Answer
答えは、以下の例を使用して説明できます
PANデバイス ------> エッジMITM水プロキシ(外部ベンダー) -------->PANセキュリティ サービス クラウド。
- A間のセッションFirewallとCDSS環境にMITMプロキシ (Palo Alto Networks デバイスではない) をアップストリーム トラフィックに送信します。
- のMITMへの安全なセッションを仲介するようにプロキシを設定できます。CDSSクライアントに代わってサービス (PAN Firewall /Devices)、つまり、ディープ パケット インスペクションのために証明書をセッションに追加できます。
- これは、から開始されたセッションも意味します。Firewallのために意図されたPANクラウドが中断され、プロキシが代わりに通信を開始しましたFirewall.
- パロアルトネットワークスのcloud servicesからの接続を受け入れますFirewall(またはその他のPANデバイス) を認証できる場合。 この認証は、Firewall握手中にSSL/TLSハンドシェーク
- 外部プロキシが代わりにセッションを開始するときFirewall、予想とは異なる証明書を使用しています。 その結果、接続は拒否されます。
- 上記の状況を回避し、接続を正常に確立するにはFirewall/どれでもPANデバイスへCDSS、控えめな例外ルールをプロキシー構成。 これらのプロキシは外部デバイスであり、Palo Alto のものではないため、プロキシのドキュメントを参照してください。 ルールは、それぞれの暗号化を明示的に拒否する必要がありますPANデバイスへCDSSプロキシがそのトラフィックを復号化および再暗号化しないようにします。
- プロキシがappこの種のトラフィックは、アプリで識別したり、宛先やその他の方法で識別したりできます。
- プロキシが復号化していない場合でも、ビルド内のルールに基づいてトラフィックをリダイレクトできます。DNS-リダイレクション。 確実にDNS-resolve は解決アドレスを変更しません。
Additional Information
- クラウド提供のセキュリティ サービスの例 (CDSS ) それはWildfire、DNS security 、ATP 、 もっと。
- A firewall またはその他PANデバイスはアーティファクト (ハッシュ、URL 、またはドメイン) にCDSS応答を待つか、いずれかの相手と通信する必要がある場合がありますCDSS「クラウド」に常駐するサービス。
- 中間者が存在する環境 (MITM ) 間のアウトバウンド トラフィック用のエッジの Web プロキシPANデバイスとインターネットのタイミングが乱れる可能性があります。CDSSこれにより、クラウド サービスに異常な動作が発生します。 これは、Blue-coat、F5、Cisco アンブレラなどの外部ベンダー プロキシです。