目次

ドメインフィルタ

ドメイン名フィルタは、ネットワークに出入りするトラフィックの制御に役立つレピュテーションフィルタの一種です。Network Security を使用すると、環境へのインバウンドおよびアウトバウンドアクセスを許可する完全修飾ドメイン名(FQDN)のリストを作成および管理することで、トラフィックを制御できます。


注意

バージョン2021.9.0.11188以降、 Network Security アプライアンスでのドメインフィルタでは、アウトバウンド方向(インターネットへの出力)でのみポリシーが適用されます。この方法では、アウトバウンドトラフィックを制限するPCI要件に準拠するだけでなく、環境内のインバウンドトラフィックまたは東西方向のトラフィックにフィルタポリシーが誤って影響することもありません。以降のバージョンのアプライアンスでは、インバウンドリスクを軽減するために、AWSセキュリティグループなどのネットワーク環境に負担の少ない戦略を使用できます。


ドメインフィルタを有効にすると、除外リストに含まれていないドメインは自動的にブロックされます(初期設定ではログイベントが生成されます)。作成するすべてのドメインフィルタポリシーの除外リストに(非表示に)追加されるドメインは、*.amazonaws.com*.trendmicro.comの2つだけです。

TCP接続を必要とする標準プロトコルには、初期設定のポートを使用します。

ドメインフィルタ機能とポリシーを設定するには、 Network Security アプライアンスでバージョン2021.4.0.10991以降が実行され、AWSクラウドコンピューティングプラットフォームで実行されている必要があります。サポートされていないプラットフォームを使用してドメインフィルタポリシーを配布することはできません。サポート窓口に問い合わせるか、 サポートレポートを作成してください。



注意

ドメインフィルタ設定を変更するたびに、変更を有効にするためにポリシーをアプライアンスに再配布する必要があります。


GUIを使用して許可リストを管理します

次の手順では、指定したドメインのみが許可されるように、GUIを使用してドメインフィルタを管理できます。ドメインの除外は最大1,000件追加できます。

  1. ナビゲーションパネルでPolicyアイコン ポリシーアイコンをクリックし、Domain Filteringを選択します。

  2. Configureをクリックします。すでにドメインフィルタを設定している場合は、Editをクリックします。

  3. Domain Filtering画面で、フィルタの状態を Enabledに変更します。この設定が Disabledの場合、クラウド環境内ですべてのドメインが許可されます。

  4. Exceptions ListのAdd entryボタン ポリシーアイコンをクリックして、許可するドメインのリストを追加します。複数の除外を一度に追加するには、Add anotherチェックボックスをオンにします。

    • エントリは hostname.domain.com または domain.comの形式にする必要があります。プロトコル(https //:など)やサブドメインを含める必要はありません。
    • 必要に応じて、最大20個の関連ポートの数値(1〜65536)を入力します。ポートが指定されていない場合は、すべてのポートをドメインの例外で使用できます。重複するエントリや範囲外の数値などの無効なエントリは赤色で表示され、エラーが表示されます。

    注意

    すべての除外エントリを255文字に制限します。バージョン2021.4.0.10991以降を実行しているアプライアンスでは、ワイルドカードエントリがサポートされます。たとえば、*.domain.comのように指定します。使用できる特殊文字は、ワイルドカードのアスタリスク(*)文字のほかに、ハイフン(-)とピリオド(.)だけです。除外リストのワイルドカードドメインで使用できるのは、初期設定のポートのみです。


  5. 最後のドメインの除外を追加したら、Save Filter Configurationの順にクリックします。

  6. リストから除外を削除するには、各項目の横にあるチェックボックスをオンにして、Delete entryボタンポリシーアイコンをクリックします。

  7. 変更を有効にするには、アップデートしたポリシーをアプライアンスに配布します。


APIを使用して許可リストを管理する

以降の手順では、APIを使用してドメインフィルタを管理できます。 Network Security APIの詳細を参照してください。


注意

画面でAPIの変更を確認するには、 Network Securityを更新する必要があります。



ドメインフィルタの使用開始

この機能を初めて使用する場合は、以下のワークフローに従って許可リストを有効にし、設定してください。

  1. 許可する確認済みドメインのリストを設定します
  2. ドメイン設定を有効にする
  3. 許可するドメインのリストと有効なドメインの設定を仮想アプライアンスと同期します。
  4. ドメイン設定がアプライアンスに適用されていることを確認します。

確認済みドメインのリストを設定する

次のAPIを使用して、許可リスト内の確認済みドメインのリストを設定します。開始する前に、仮想アプライアンスが Network Securityによって登録および管理されていることを確認してください。

  1. add domain entries APIを呼び出して、FQDNを許可リストに追加します。

    POST /api/domains/permitlists/entries

  2. list domain entries APIを呼び出して、許可リストを確認します。

    GET /api/domains/permitlists/entries


ドメイン設定を有効にする

ドメイン設定をアプライアンスに配信する前に、設定を有効にする必要があります。次のAPIを使用して、ドメインの設定を行い、取得します。

  1. create domain filtering configuration APIを呼び出してドメイン設定を作成します。

    POST /api/domains/configurations

  2. get domain filtering configuration APIを呼び出して、ドメイン設定を確認します。

    GET /api/domains/configuration


許可リストとドメイン設定をアプライアンスと同期する

次のAPIを使用して、許可するドメインのリストとドメイン設定をアプライアンスと同期します。開始する前に、仮想アプライアンスが Network Securityによって登録および管理されていることを確認してください。

distribution APIを呼び出して、対象のアプライアンスにドメイン設定を配布します。

POST /api/domains/permitlists/distributions

注意

アプライアンスIDはこのAPI呼び出しに必要であり、 Appliance Control APIを使用して収集できます。



ドメイン設定がアプライアンスに適用されていることを確認します。

次のAPIを使用して、ドメイン配信のステータスを確認します。このプロセスを開始する前に、少なくとも1つの配布が送信されていることを確認してください。

  • 同期から返された配布IDを使用して、 get domain distribution APIを呼び出してステータスを確認します。

    GET /api/domains/permitlists/distributions/{domainDistributionId}

  • または、 list ongoing domain distributions APIを呼び出して、最新のドメイン配布をリストします。

    GET /api/domains/permitlists/distributions


許可するドメインのリストを取得する

クラウドネットワーク内で許可されているドメインのリストを取得するには、次のAPIを使用します。

許可されたドメインエントリのリストにアクセスするには、 list domain entries APIを呼び出します。

GET /api/domains/permitlists/entries


許可リストからエントリを削除する

次のAPIを使用して、許可リストからエントリを削除します。このAPIワークフローを実行するには、少なくとも1つのエントリをアプライアンスに追加する必要があります。

  1. list domain entries APIを呼び出して、許可するドメインエントリのリストにアクセスします。

    GET /api/domains/permitlists/entries

  2. remove domain entry APIを呼び出して、許可リストからドメインエントリを削除します。

    DELETE /api/domains/permitlists/entries

  3. distribution APIを呼び出して、許可リストをアプライアンスに配布します。

    POST /api/domains/permitlists/distributions

Appliance Control API を使用して、アプライアンスのIDを取得できます。


ドメインフィルタを無効にする

ドメインフィルタを無効にするには、次のAPIを使用します。ドメインフィルタを無効にすると、クラウド環境内のすべてのドメインが許可されます。

  1. list configurations APIを呼び出して、ドメイン設定のリストにアクセスします。

    GET /api/domains/configurations

  2. update domain filtering configuration APIを呼び出して、ドメイン設定を更新します。

    PUT /api/domains/configurations/{domainPolicyUuid}

  3. distribution APIを呼び出して、ドメイン設定をアプライアンスに配布します。

    POST /api/domains/permitlists/distributions

    Appliance Control API を使用して、アプライアンスのIDを取得できます。