SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Cato Networks】GUIが新しくなって使いやすさと機能性が向上

ゼロトラスト
2022.02.14

Cato SASE CloudのGUIがアップグレードされました


SASE(Secure Access Service Edge)については、ぼちぼち検討され始めているユーザーも多いと思います。

昨年からSASE製品の拡充を図っているSB C&Sですが、その中でもネイティブSASEの製品であるCato Networksについては、今後のネットワークとセキュリティのあり方を左右するところとして注目をしています。

今回お伝えするのは、Cato Networksの操作画面が大幅にリニューアルされましたので、どこがどう変わったか見ていきたいと思います。

GUIが変わっただけ?いやそんなことではありません。


Cato SASE Cloudの環境を触って思うこととして、実は難しい設定というのはほとんどありませんでした。というもの、過去ルーターなどのネットワーク製品やファイアウオールなどのネットワーク・セキュリティ製品の構築を実施したことがある感覚でいうと、初期設定とか、設定の前のお作法(バージョンアップ、ライセンスのアクティベーションなど)を考えるととてもシンプルな製品だったからです。

SASEというと、さまざまな機能が合わさって、それらを1つずつ組み上げていくため、ライセンス、構成、設計と難しく考えがちですが、メーカー歴史も浅く、モダンなインターフェースはこれからSASEを始めるユーザーにとってちょうどよい選択の1つとなりえます。

SASEにおいて、設定がやりやすいということは

  • SASE未経験のユーザーでも利用しやすい
  • 設定のミスが起こりにくい
  • メーカーが提供する機能の100%に近い性能を引き出せる
  • 投資効果がよく分かる
  • and so on

といった具合に、とにかく良いこと尽くめです。メニューを1つずつ見比べてみましょう。

わかりやすく分類された機能


Old Interface(以下Old)とNew Interface(以下New)で見比べていきます。

まずOldはこのような画面です

1.png

一方Newはこのような画面です

2.png

一見すると、若干フラットなデザインに変わったぐらいだと思ってしまいますが、各設定までの配置が大きく変わってしまいました。

Oldでは、縦に長く、奥に設定が隠れるという方法だったのですが、Newでは、上部に大カテゴリ、左に関連した機能カテゴリという配置になっています。

3.png

そのため、Newを使うことで、そこまで縦にスクロールしなくても設定を把握しやすく、まとまった設定を同じ画面上から直感的にしやすくなった印象があります。

Networkメニュー

Cato Networksの機能の約半分はネットワーク関連の機能です。SASEはもともと、Network as a ServiceNetwork Security as a Serviceを1つのサービスに統合することなので、ネットワーク系の機能もしっかり設定できる必要があります。

OldのNetworking

4.png

見ての通りですが、Networkingとして設定できる機能が、Network RuleとBW Managementです。


NewのNetwrok

5.png

全般的にOldでは隠れがちだったメニューが、見やすくなるように工夫されています。

また、Network関連の機能も再定義されているようで、Netwrok RuleやBW Managementだけでなく、ネットワークの設定に必要な機能がまとまって1つの画面から操作できるようになりました。

Accessメニュー

Accessでは、リモートアクセスに関する設定がまとまって表示されます。

OldのAccess

Access-Old1(1).png

Oldの場合は、どちらかというとブラウザアクセス機能に特化したAccessメニューだけがまとまっていて、リモートアクセスの基本設定は、別のコンフィグレーション設定から行うなど、あちこちメニューを移動する必要があったりしました。


NewのAccess

Access-New(1).png

Newではリモートアクセスに関連する設定がまとまっていて、ブラウザ、クライアントアクセスの両方の設定がここから可能となります。

新しいインターフェースでは、User AwarenessやMAC Authenticationなど、ローカルネットワークのユーザーやデバイスを識別する機能も拡張されています。

Securityメニュー

Securityでは、ファイアウオール機能をベースに、IPSやAnti-Malware更にTLSインスペクションの機能などがまとまっています。

Oldのセキュリティ

3つ連続で画面を表示していますが、WAN Firewall, Internet Firewall, Threat Protectionの3つだけが設定可能でした。

Security-Old1.png

Security-Old3.png

Security-Old2.png


Newのセキュリティ

Oldと同じ、WAN/Internet FirewallとThreat Protectionの機能がまとまっているのですが、他にTLS Inspectionの機能もセキュリティ上から制御できるようになりました。

ファイアウオールのポリシーを制御しながら、TLS インスペクションを除外したいルールがある場合に、セットで制御できるためとてもいい導線です。

他にも、Threat Protectionの中の設定として、IPS、Anti-Malwareが独立して、見やすくなっています。これによって除外設定なども大きな設定画面で漏れなくできそうです。

Security-New1.png

Security-New2.png

Security-New3.png

Security-New4.png

更に新しいインターフェースではApplication Control Policyが追加されています。

これはまさにCASB(Cloud Access Security Broker)の機能で、許可されたSaaSアプリケーションの可視化、制御をポリシーとなります。

Security-New5.png

現状は、アプリケーションによって制御できる範囲が異なりますが、Post、Download、Login、Logoffなどの制御ができるようになります。

AnalyticsからMonitorへ


今回のGUIの変更に関して、一番良いと思ったのが、モニタリング機能の拡充です。

Cato SASE Cloudの特徴としては、他SD-WAN製品と異なり、ローカルブレークアウトすることなく、ユーザーのトラフィックをすべて集約できるところです。

つまり、ユーザー(モバイル、Socket)から出てくるトラフィックは、漏れなくCatoのPoPにてスキャンする形になるため、ログを分析するポイントとしても最もうってつけということです。

Cato SASE Cloudを使うことで、NG-FWやSD-WANといった機能だけでなく、多岐に渡る視点からユーザーのトラフィック、フローを分析することができるようになります。

  • NGFW/UTM --- 通信上のウィルスや攻撃情報
  • SD-WAN --- 拠点間、回線のパフォーマンス
  • NTA/NDR --- フロー分析、アクセスログ
  • SWG --- Web周りのセキュリティとシャドーIT分析
  • ZTNA --- リモートユーザーのアクセス解析

通常これらの機器から生成されるログは、SIEM製品へログを転送することで、分析するのですが、Cato SASE Cloudにはログのモニタリングツールが搭載されており、一括してCloudのコンソールから、ログ検索、モニタリングがレスポンスよく実現できます。

SIEMは運用ハードルが高く、導入してもなかなかコストに見合った結果を出しにくいところですが、組み込まれたログモニタリングツールを使うことで、SIEMを使わずとも多くの情報を収集・分析することも可能となります。

もちろん、Cato SASE Cloudが収集したログは、エクスポートすることが可能なので、SIEM製品に取り込んで頂くことも可能です。

Oldのモニター

OldではAnalyticsという機能で、各種トラフィックログをSIEMライクに分析することができました。大きくは機能は変わっていませんが、ログのフィールドがNewでは新たに追加されていたりします。

Monitor-Old1.png

Old-Monitor2.png


Newのモニター

使っていて反応がよいので気持ちよく使えるモニター機能です。(最大180日の遡り)

Monitor-New1.png

Oldと同じログを見ても、フィールドがいくつか新規に追加されて、より分析力が向上

Monitor-New2.png

Cloud Appの利用状況のモニタリング
クラウドのアプリケーションの利用状況をまとめて見れるようになりました。UnsanctionSanctionのアプリケーションの切り替えがあり、シャドーITの利用状況も一纏めすることができます。

Monitor-New3.png


Threat Protectionのモニター

Monitor-New4.png


Cloudアプリケーションのカタログ
本日2022/2月3日の時点で、約2500のSaaSアプリケーションのカタログです。コンプライアンス、セキュリティの対応状況をもとにリスクスコアが設定されています。

Monitor-New6.png

まとめ


今回はCato SASE Cloudの新しいGUIについての紹介でした。

オンプレミスの製品はGUIが変わるたびに、ファームウェアの更新のための検証、EOS/EOLにともなう機器の更新など多くの手間がかかりますが、SASEにネットワークとセキュリティをまとめていただくと、ライセンスの購入している限り、オンプレミス製品のような更新作業から開放されます。

もちろんクラウドの製品のため、否応無しに機能が更新されてしまい、前のGUIが良かったという場合もあります。

UI-Change.png

変更期間はある程度古いUIと新しいUIを行き来できる配慮がされている

今後もどんどん機能が拡張していく予定ですので、新しい機能や使い方がリリースされればまたお知らせしたいと思います。

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部
宮本 世華

釣りが好きです。