Workload Securityで脆弱性管理検索トラフィックをバイパスする

QualysやNessusなどの脆弱性管理プロバイダを使用している場合(PCIコンプライアンスの場合、たとえば), の場合は、 Workload Security を設定して、このプロバイダの検索トラフィックをそのままにしたり、許可する必要があります。

これらのファイアウォールルールが新しいポリシーに割り当てられると、 Workload Security はIPリストで追加したIPからのトラフィックをすべて無視します。

Workload Security は、脆弱性管理プロバイダのトラフィックをステートフルな問題や脆弱性について検索することはありません。変更は許可されます。

脆弱性検索プロバイダのIP範囲またはアドレスから新しいIPリストを作成する

脆弱性検索プロバイダから受け取ったIPアドレスを手元に用意します。

  1. Workload Security コンソールで、[ Policies]に移動します。
  2. 左側のペインで、[ リスト]→[IPリスト] []の順に展開します。
  3. [新規]→[新規IPリスト] の順にクリックします。
  4. 「Qualys IP list」など、新規IPリストの [名前] を入力します。
  5. 脆弱性管理プロバイダが指定したIPアドレスを IP(s) ボックスに1行に1つずつペーストします。
  6. [OK] をクリックします。

受信および送信検索トラフィック用のファイアウォールルールを作成する

IPリストの作成後、受信トラフィック用と送信トラフィック用の2つのファイアウォールルールを作成する必要があります。それらの名前を次のように指定します。

<name of provider> Vulnerability Traffic - Incoming

<name of provider> Vulnerability Traffic - Outgoing

  1. Workload Security コンソールで、[ Policies]をクリックします。
  2. 左側の画面で [ルール] を展開します。
  3. [ファイアウォールルール]→[新規]→[新規ファイアウォールルール] の順にクリックします。
  4. 脆弱性管理プロバイダから送受信されるTCPおよびUDP接続の受信および送信をバイパスするための最初のルールを作成します。

    設定を指定しない場合は、初期設定のままにしておくことができます。

    • 名前: (推奨) <name of provider> Vulnerability Traffic - Incoming
    • 処理: バイパス
    • プロトコル: 任意
    • Packet Source: IP Listの順に選択し、上記で作成した新しいIPリストを選択します。
    • 次のルールを作成します。
    • 名前<name of provider> Vulnerability Traffic - Outgoing
    • 処理: バイパス
    • プロトコル: 任意
    • Packet Source: IP Listの順に選択し、上記で作成した新しいIPリストを選択します。

新規ファイアウォールルールをポリシーに割り当てて、脆弱性検索をバイパスする

脆弱性管理プロバイダによって検索されるコンピュータですでに使用されているポリシーを特定します。

ポリシーを個別に編集し、ファイアウォールモジュールでルールを割り当てます。

  1. メインメニューで [ポリシー] をクリックします。
  2. 左側の画面で [ポリシー] をクリックします。
  3. 右側の画面で、各ポリシーをダブルクリックしてポリシー詳細を開きます。
  4. 左側の画面のポップアップで [ファイアウォール] をクリックします。
  5. [割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  6. 左上の[ すべての ファイアウォールルール]が表示されていることを確認します。
  7. 検索ウィンドウを使用し、作成したルールを探して選択します。
  8. [OK] をクリックします。