Cisco SASE ~ニューノーマルの時代に最適なネットワーク&セキュリティ対策を~
Cisco Umbrella(シスコ アンブレラ)は、インターネット上の脅威を最前線で防御する「セキュア・インターネット・ゲートウェイ」です。
テレワーク/リモートワークが日常化する中、VPNのON/OFFを問わず、あらゆるユーザやデバイスを保護でき、最も簡単かつ迅速に導入可能なクラウドセキュリティサービスです。
Cisco Umbrellaは、「DNSレイヤのセキュリティ」をベースに、「セキュアWebゲートウェイ(SWG)」、「クラウド提供型ファイアウォール」、「クラウドアプリケーションの可視化や制御」など幅広いセキュリティサービスをクラウドサービスとして提供します。
昨今のセキュリティの課題
- テレワーク/リモートワーク時のVPNを張らないインターネットアクセスによる情報漏洩や感染
- センター中心のネットワークの為、FW/UTM・VPN装置・Proxyサーバなどのセンター装置や回線がボトルネックに
- 異なるシステムの複合利用によりセキュリティポリシーが統一されず管理が複雑に
- 利用環境によりユーザーが利用しているアプリケーションが可視化できない
Cisco Umbrellaの導入メリット
- 働き方改革に ! テレワーク/リモートワークの社員端末をVPNなしにかんたん保護
- クラウドサービスなので簡単導入・簡単設定
- 組織で利用されているクラウドアプリケーションを検出しシャドー IT を容易に見える化
- SD-WANとの連携によりダイレクトインターネットアクセス環境とセキュリティポリシーを統一
- グローバル展開やユーザーの利用環境を問わず統一したセキュリティポリシー提供
- DNSセキュリティからフルプロキシまでお客様のニーズに対応
- 機能
- 仕様
- 利用イメージ
Cisco UmbrellaはDNSを使ったインターネットアクセスのセキュリティゲートウェイです。簡単に導入、運用できる、新しいセキュリティ対策です。
業界最高水準の検知率
Cisco Umbrellaには、Ciscoが誇る脅威インテリジェンスCisco Talosを適用しています。Cisco Talosは、世界中から収集・解析した脅威情報をもとにセキュリティ対策を実行しますので、最新の脅威に対しても素早く検知し対策を行うことが可能です。
DNSレイヤセキュリティ
様々な連携によりDNSリクエストをUmbrellaへ転送することでポリシーに応じたアクセス制御を実現。インターネットの名前解決に用いるDNSプロトコル(ドメイン・ネームシステム)を用いるためHTTP/HTTPS以外の通信にも対応。危険なサイトや利用禁止サイトへアクセス時には、ブロックページを表示し警告。
セキュアWebゲートウェイ
様々な接続方式により、WebアクセスをUmbrellaクラウド経由とすることで、HTTP/HTTPSの通信を可視化しURLとアプリケーションを制御、マルウェアなどの脅威からの保護を提供。
クラウド提供型ファイアウォール
端末や拠点のネットワークデバイスをIPSecトンネルでUmbrellaクラウドと接続することで、すべてのアクセスを記録し、IP/ポート/プロトコルなどルールに基づいたアクセス制御を提供。クラウドのIPアドレスへ変換することでお客様のアドレスを匿名化。
クラウド アクセス セキュリティ ブローカー(CASB)
Umbrellaは、組織全体で使用されているクラウドアプリケーションを検出し、レポートにて報告することで、シャドーITを容易に可視化できます。また、アプリケーションの制御によりクラウドアプリケーションへのアクセス制御を容易に実現。
| 主要パッケージのセキュリティサービス | DNS セキュリティEssentials | DNS セキュリティAdvantage | SIG Essentials | |
|---|---|---|---|---|
| DNS レイヤ セキュリティ | フィッシング、マルウェア、ボットネット、および危険なカテゴリ(マイニングや新規ドメインなど)に属するドメインをブロック | ● | ● | ● |
| パートナー(Splunk、Anomali など)インテグレーションやエンフォースメント APIによるカスタムリストに基づいてドメインをブロック | ● | ● | ● | |
| DNS をバイパスする C2コールバック対策として直接 IP トラフィックをブロック | ー | ● | ● | |
| セキュア Web ゲートウェイ(SWG) | Web トラフィック検査用プロキシ | ー | 危険なドメインのみ | ● |
| SSL(HTTPS)トラフィックの復号化および検査 | ー | 危険なドメインのみ | ● | |
| Web フィルタリング | カテゴリベース ドメインベース |
カテゴリベース ドメインベース |
カテゴリベース ドメインベース URLベース |
|
| カスタマイズ可能なブロック/ 許可リスト | ドメインベース | ドメインベース | IPベース URLベース |
|
| Cisco Talosなどからのフィードに基づいて URL をブロック、アンチウイルスエンジンとCisco AMPのデータに基づいてファイルをブロック | ー | 危険なドメインのみ | ● | |
| Cisco Threat Grid クラウドのサンドボックス環境を使用して疑わしいファイルを分析(200ファイル~ /日) | ー | ー | ● | |
| 無害なファイルが危険なファイルに変化しても特定できる、遡及的セキュリティ | ー | ー | ● | |
| クラウド提供型ファイアウォール | レイヤ 3 および レイヤ4 ポリシーで特定の IP/ ポート/ プロトコルをブロック | ー | ー | ● |
| IPsec トンネル終端対応 | ー | ー | ● | |
| クラウドアプリセキュリティ制御 | シャドー ITを検出およびブロック | ドメインベース | ドメインベース | URLベース |
| アプリケーション別にきめ細やかな制御(アップロード / ファイル添付 / 投稿の禁止など)が可能なポリシー | ー | ー | ● | |
DNSセキュリティ導入パターン① ~社外などのテレワークに対応~
端末にモジュールをインストールし、DNSの問い合わせをUmbrellaクラウドへ転送。
DNSセキュリティ導入パターン②
ネットワークデバイスと連携し、 DNSの問い合わせをUmbrellaクラウドへ転送。
DNSセキュリティ導入パターン③
仮想アプライアンスを設置し連携することで、 DNSの問い合わせをUmbrellaクラウドへ転送。
セキュアWebゲートウェイ導入パターン①
WebアクセスをIPSecトンネル、PACファイル、プロキシチェーンなどでUmbrellaクラウドのWebプロキシへ転送。
セキュアWebゲートウェイ導入パターン②
SD-WAN連携により統一したUmbrellaのポリシーの適応とダイレクトアクセスによるパフォーマンス向上。
