アプリケーションデフォルト(application-default)とは
結論からいうと、Paloalto社が定義したアプリケーションの設定に従う。という意味の設定だ。
では、アプリケーションではどう設定されているのか確認してみる。
objectsのアプリケーションを開いてみよう。
そこで、アプリケーションの詳細を確認することができる。
Google-baseアプリケーションの設定例
アプリケーションデフォルトと関連するポイントは、「標準ポート」だ。
この場合、標準ポートには80,443以外に複数のポートが設定されていることがわかる。
ポリシーのサービス上で設定できる、アプリケーションデフォルトとは、標準ポートとイコールであると考えてもらっていい。
サービス
サービス設定では3つの選択肢がある。
・サービス
・Any
・ApplicationDefault
だ。
その中で、ApplicationDefaultを使うべきタイミングが一つだけある。
それは、特定のアプリケーションのみを許可させたい場合だ。
特定のアプリケーションのみ許可したい場合はApplicationDefaultを使う
特定のアプリケーションのみ許可したい場合は、ApplicationDefaultを使ってほしい。
もちろん、Anyを選択しても通信は通るのだが、問題はそこではない。
例えば特定のアプリケーションが想定してないポートで通信しだした時のことを考えてほしい。
例えば仕様上必要ないポートの通信を特定のアプリケーションがした場合、その通信はマルウェアに感染したことによって生じている通信である可能性がある。
サービスをAnyで設定した場合は、こういった意図しないポートへの通信も全て許可されていってしまうのだ。
これはセキュリティ的には非常によろしくない
特定アプリケーションのみ許可したい場合は必ずApplicationDefaultを使うこと。
これが鉄則だ。
アプリケーションの機能はライセンス無しでも利用できる標準機能だ。
別の記事で詳細を記載しているので合わせて確認してほしい。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント