1.9K Views
August 30, 24
スライド概要
Cato Networks社 の Catoクラウドの「Product Update August 2024」日本語資料となります。
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Product Update Aug 2024
DLP Fail Mode Early Availability
New Fail Mode for DLP Introducing Configurable Fail Mode Whatʼs New? • 新たに追加されたFail Modeを使⽤し、スキャンのタイムアウト、Error、その他の 理由でスキャンに失敗した場合のデフォルトの挙動を設定可能です。 • Fail CloseモードではDLPエンジンが処理できなかったファイルはブロックされ、潜在 的なセキュリティリスクを防⽌します。 • デフォルト設定はFail-Openです New
New Fail Mode for DLP Benefits of Fail-Close Mode Whatʼs The Advantage? • セキュリティの強化: 処理できないファイルをブロックすることで、Fail-Closeによりセキュリティ体制を⼤ 幅に改善します • コンプライアンス: 不正なデータが検知されずに通過しないようにすることで、規制やコンプライアンス の要件を満たすのに役⽴ちます • リスク軽減: すべてのファイルを徹底的に検査またはブロックすることで、データ侵害や不正アクセ スのリスクを最⼩限に抑えます
Digital Experience Monitoring Network Path Analysis Account level Probe Policy
User and Application Experience Routine scenario There is an issue with my application My network is the issue Alice |6
User and Application Experience Routine scenario When did it happen? till ? s t g Is i e n i n pp ha Was there really an issue? ? Ar em p ex eo ore pe pl e iss rie n c u e in s? g ? Issue with the Network ? Jane Alice Issue with the application? Issue with User’s Device? |7
User and Application Experience Routine scenario I'll open CMA ? Jane |8
Cato’s Digital Experience Monitoring Enables the admin to be proactive by aggregating all resources (sites, cloud, apps, users and devices) Deal with issues before the end user complains Poor Fair Good Experience score over time 8:00 8:10 8:20 8:30 Experience score: User Policy Device Performance Wi-Fi Performance LAN Performance Socket Performance 8:50 8:40 9:00 9:10 Fair ISP Performance Internet Performance Application Performance |9
Digital Experience Monitoring Three pillars of DEM Real User Monitoring Device Monitoring DEM Experience Scores Business Outcomes Synthetic Probe Monitoring | 10
Digital Experience Monitoring Three pillars of DEM Real User Monitoring Device Monitoring GA Synthetic Probe Monitoring New New Cato SPACE User Device Performance Wi-Fi Performance LAN Performance Socket Performance App Internet Performance Data Store Advanced AI | 11
Real User Monitoring GA Real-time user experience from the perspective of the application • すべてのホストタイプで動作するクライアントレスソリューション • すべてのアプリケーションとユーザーからメタデータを収集し、AI を使⽤してアプリケーションごとにスコアベンチマー クを作成 • カスタムアプリケーションを含むインターネットおよびWANアプリケーションを監視 Real User Monitoring Internet Cato SPACE User Custom App Device Advanced AI | 12 Data Store
Real User Monitoring App Performance score Account level view Single user view | 13
Real User Monitoring GA App Performance score metrics • Time to First Byte (TTFB) § ユーザーまたはクライアントがHTTPリクエストを⾏ってか らページの最初のバイトを受信するまでの期間 • TCP Latency § TCP接続を確⽴するのにかかる時間 • TLS Connect § TLS接続を確⽴するのにかかる時間 • HTTP/S Latency § リクエストとレスポンスの間の時間の⻑さ • HTTP/S Error Rate § HTTP エラーの割合 (レスポンス 400〜) | 14
Real User Monitoring GA App Performance score calculation • Applicationスコアはreal user trafficに基づきます • AIと⾼度な統計を活⽤し, Catoバックボーン経由で使⽤されるアプリケーションごとに通常のベースラインを作成し ます § すべてのApplicationに対し、TCP/TLS/HTTP/HTTP Error rateに基づく § カスタムアプリケーションを含む • ベースラインは正規曲線を作成するGLOBAL threshold であり、これはアカウント間でシェアされます • スコアは、この正規曲線と⽐較して、ユーザーごと、アプリケーションごとに計算されます。 Poor Fair Good Fair Poor | 15
Device Monitoring + Synthetic Probe Monitoring New Deliver the Network Path Analysis problem indicators Average Score Per Hop | 16
Device Monitoring + Synthetic Probe Monitoring New Deliver the Network Path Analysis problem indicators Average Score Per Hop Metric over time | 17
Device Monitoring + Synthetic Probe Monitoring Network path Cato Cloud ISP ISP IPsec Site Socket Site IPsec ISP Remote user Socket Router LAN LAN LAN CRM App Wi-Fi Wi-Fi Wi-Fi Office User host host Office User host host Remote User | 18
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Host Host Socket Cato PoP Application Device Discovery (No Client) Internet checks (ISP) Tunnel data (Site analytics) Applications checks | 19
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Office User User Socket Cato PoP Application Hardware metrics (Wi-Fi, CPU, Memory) LAN Internet checks (ISP) Tunnel data (Site analytics) Applications checks | 20
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Remote user User Router Cato PoP Application Hardware metrics (WiFi, CPU, Memo) LAN Last mile checks (ISP) Tunnel data (Site analytics) Applications checks | 21
Device Monitoring + Synthetic Probe Monitoring Unified Account Synthetic Probe Policy for Socket Sites and Users • Socketサイトとユーザー向けの単⼀アカウントレベルポリシー § 以前はサイトレベルのオーバーライドが存在 § リモートおよびオフィス管理ユーザーに適⽤ • 新たなアカウント向けのOut-of-the-box config § 既存の構成をアカウントレベルに移⾏する • Socketサイト § ICMP probes + bypass (トンネル外) § ICMP probes + Cato (トンネル経由) § ICMP, TCP, HTTP, HTTPS, DNS – Socket V21 • Users § ICMP, TCP, HTTP, HTTPS, DNS - Windows v5.11, MacOS v5.7 | 22
Synthetic Probe Policy CMA > Network > Synthetic Probes Search for “Synthetic Probes” in the Cato Knowledge base to learn more | 23
Azure vSocket 2 NIC support Deploying the Azure vSocket on Cheaper instance types
New Azure vSocket’s Architecture Now available for Azure socket Sites, with v21 and above • 2 つの NIC を備えた Azure vSocket をサポートすることで、イメージをより安価な Azure インスタンス タイプ にサイズ変更できるようになります WAN subnet MGMT subnet Optional WAN1 MGMT MGMT LAN1 WAN1 LAN1 LAN subnet | 25
New Azure vSocket’s Architecture Now available for Azure socket Sites, with v21 and above • 新しいDeploymentでは、2つまたは3つのNICアーキテクチャを選択できるようになります。 | 26
Resizing Process vSocketインスタンスのサイズをプロアクティブ変更する • Azureプロセスを⽤い、KBの⼿順で“Resize the machine” を利⽤ • その他のオプション(リサイズが完全に認定されるまで) - “vSocket を登録解除し、マーケットプレイスを使⽤して 再デプロイする” | 27
Resizing Process Standard_D2s_v4インスタンスを実⾏しているお客様 • Single Socket Site • Socket v21へのアップグレードを実⾏する • MGMTインターフェースをソケットから切り離すスクリプトを実⾏ • スクリプトの実⾏中、ソケットは約1分間シャットダウンします • HA Socket Site • セカンダリソケットでソケットv21へのアップグレードを実⾏ • MGMTインターフェースをソケットから切り離すスクリプトを実⾏ • スクリプトの実⾏中、ソケットは約1分間シャットダウンします • プライマリソケットに対してこのプロセスを繰り返します For detailed steps and script search for “resizing Azure vSockets” in the Cato Knowledge base | 28
Resizing Process Standard_D2s_v4 より⼤きいインスタンスを実⾏しているお客様 • Single Socket Site • Socket v21へのアップグレードを実⾏ • MGMTインターフェースをソケットから切り離すスクリプトを実⾏する • スクリプトの実⾏中、ソケットは約1分間シャットダウンします • vSocketをStandard_D2s_v4インスタンスにサイズ変更します • HA Socket Site • セカンダリソケットでソケットv21へのアップグレードを実⾏ • MGMTインターフェースをソケットから切り離すスクリプトを実⾏ • スクリプトの実⾏中、ソケットは約1分間シャットダウンします • vSocketをStandard_D2s_v4インスタンスにサイズ変更 • プライマリソケットに対してこのプロセスを繰り返します | 29
Q&A 1. マシンのサイズを変更し、MGMT NIC を取り外すためのマニュアルはどこにありますか? • ”Azure vSocket re-size”で検索 1. サイズ変更プロセス中にダウンタイムは発⽣しますか? • HAではHAフェイルオーバーが必要です • 単⼀のソケットサイトでは、数分間のダウンタイムが発⽣する可能性があります 2. 2 つのインスタンス タイプ間の価格差はどれくらいですか? • リージョンによって異なります • より⼤きなインスタンスタイプは⽉額約2.5倍⾼価です • ⻑期計画を⽴てるとこの数値は減少 3. ソケットがソケットバージョン21でない場合はどうなりますか? • 今すぐアップグレード機能を使⽤できます 4. 承認されているインスタンスタイプは何ですか? • Standard_ D8ls_v5, Standard_D2s_v4の両⽅は1Gbpsまで承認されている • より強⼒なハードウェアのおかげでStandard_d8ds_v5の⽅がパフォーマンスが優れているケースが数多く⾒受けられ ます | 30
Run Socket Traceroute from the Cato Management Application
Run Socket Traceroute from the Cato Management Application CMAよりTracerouteを実⾏させることが可能になりました(Socket UIではサポート済み) • Quicker Troubleshooting • 同じ機能をより少ないクリック数で • Staying in a single context § XDR のネットワークストーリーからトレース ルートを実⾏する機能 | 32
Additional Troubleshooting Statuses Link Internet is up & device electrical up time
Additional Troubleshooting Statuses Easily identify issues related to the ISP’s connectivity and distinguish them from tunnel issues Sockets v21 and above | 34
Additional Troubleshooting Statuses Easily identify site down issues that are related to power outages | 35
Additional Troubleshooting Statuses Easily reduce troubleshooting time by easily understand the root cause • Available in CMA • Topology page • Sockets page • Network story in XDR • API § New fields in accountSnapshot API § internetUp § deviceUptime • Rollout § Automatically in sites with Socket v21 and above | 36
Multiple Active Tunnels for IPSec
IPSec Current Topology Active - Passive Tunnels to Two Different PoP Locations Primary IPSec ASH 25Mbps 25Mbps IPSec IKEv2 FW initiates the connection Secondary IPsec NY | 38
Multiple Active Tunnels for IPSec Leveraging Multiple ISP lines Multiple ISP Resiliency PoPへの接続に複数のISPを活⽤ Improved Performance 複数のラインを活⽤してパフォーマンスを向上 Native Integration with 3 rd Party SD-WAN SSEサービス⽤のサードパーティSD-WAN CPEとの統合を強化 IPSec IKEv2 Multiple Active Tunnels | 39
Multiple Active Tunnels for IPSec Sites Multiple Active - Passive Tunnels to Two Different PoP Locations Primary IPSec Tunnels ASH IPSec IKEv2 FW initiates the connection NY Secondary Ipsec Tunnels | 40
General IPsec configuration Site Configuration > IPsec IPsec Tunnelのための新たなテーブル • HA ロールのすべてのトンネルの宛先は同じである必要があります • ロールごとに最⼤3つのアクティブトンネル • プライマリトンネルとセカンダリトンネルを同じPoPロケーションに接続することはできません。 Read more !Search for" Configuring Ipsec IKEv2 sites" | 41
General IPsec configuration Site Configuration > IPsec • インターフェースIDはMonitoringページで使⽤されます • WAN roleはQoSとネットワークルールに使⽤されます • NameはNetwork Analytics で利⽤されます • PSKはTunnel毎に定義します • 最⼤3つのトンネルを追加可能 | 42
IPSec Routing QoSについて • トラフィックはTunnelに対してStickyではありません • BW Management § Upstream: § Done by the remote IPSec peer § According to peer's PBR § Downstream: PoP choses downstream tunnel WAN 1 WAN 2 § Done by the PoP choses Peer upstream tunnel § Chosen according to health score § Controlled by Network Rules IPSec IKEv2 FW initiates the connection | 43
Monitoring IPsec Site Preview&Events • Topology/Site Preview § View Connectivity Status • Events • New Field :Interface ID Also Available in accountSnapShot API | 44
Monitoring Multiple Active Tunnels Network Analytics • Also Available in accountMetrics API • Avaiolable in Real Time as well | 45
Monitoring Multiple Active Tunnels XDR Stories Read More !Search for" XDR Network Playbook - Link Down" | 46
Multiple Active Tunnels for IPSec Failover Explained • アクティブなPrimaryトンネルのうち1つのトンネルがダウンした場合 :Link Down ,no failover • すべての「Primary」トンネルがダウンした場合にのみ、フェイルオーバーがトリガーされます Primary IPSec Tunnels ASH IPSec IKEv2 FW initiates the connection NY Secondary IPsec Tunnels | 47
mDNS Between Subnets for Socket Sites v20.0.483 Socket
Multicast DNS Why and what? • ⼩規模ネットワークのための名前解決 § DNSサーバが無いネットワークのために • “Zero configuration networking” § ネットワーク通信のための設定は不要 • ゼロタッチ検出のためにmDNSを利⽤するサービスは数多くある § Airprint ,Airplay ,etc 1 mDNS query and response TCP based printing 2 | 49
mDNS Services Explained 同じVLAN内 VS 異なるVLAN間 Supported 同じブロードキャストドメイン 内でのマルチキャスト Socket as mDNS Gateway ブロードキャストドメイン間のマルチキャスト L3 L2 Access Point Access Point VLAN 10 VLAN 10 VLAN 10 VLAN 20 New
Airprinting between L2 Networks Configuration flow Socket / Networks • • 1 すべてのネットワークでmDNSを有効にするには、 mcastがネットワーク間を移動する必要があります。 • • Socket v20.01483以上でサポート IGMPは⾮サポート Socket/ LAN Firewall 2 • LANファイアウォールで「ユニキャスト」ベースのサービスを許可 (e.g. IPP TCP/631) Note :You can also use the WAN Firewall
mDNS Between L2 Networks Best Practices • サブネット間でmDNSを有効にすることはベストプラクティスとはみなされない 可能であれば、サブネット内でmDNSを使⽤する • 必要なサブネットでのみmDNSを有効にする L3 Access Point VLAN 10 VLAN 20
API Beta Phase
Cato API Using Cato API • Cato APIを使⽤すると、監視と構成のための⾃動 フローを構築できます • APIスキーマとサンプルドキュメントは以下から⼊⼿で きます https://api.catonetworks.com/document ation/ Cato API Lifecycle today • Cato APIがGAとしてリリースされました • スキーマの変更はまれである • 重⼤な変更がある場合は事前に通知される(通常は 6か⽉)
Introducing the API ʻBetaʼ Phase What are we changing? • 新しい API は「ベータ」としてリリースされます § ベータAPIは完全に機能します § スキーマの変更はより頻繁に⾏われ、「ad-hock」に通知される可能 性があります。 § 「ベータ」とマークされていないAPIはGAとみなされます Why are we making this change? • 新機能のAPI展開を加速しています • GA前にAPIをお客様に提供するため Transitioning from Beta to GA • APIの成熟度を定期的に評価しています • APIの成熟度が確認され、スキーマの変更が予想されない場合は、GAとして宣⾔されます | 55
New ‘Quarantine’ remediation for SharePoint - with SaaS Security API -
SaaS APIs ʻQuarantineʼ – Supported for SharePoint データと脅威保護のSharePointルールのための新たなʻQuarantineʼ修復アクション 隔離により、ファイルは管理者のみがアクセスできるフォルダに移動します Why is it good for? • 悪意のある拡散を防ぐ- SharePointで検出された悪意のあるファイルを⾃動的に隔離し、組織への拡散を防⽌します。 • 機密データの保護 - 機密データを含むファイルを検出したら隔離し、不正アクセスを防⽌します SharePoint OneDrive Monitor Quarantine Monitor Remove Share Quarantine GoogleDriv e Monitor Remove Share Quarantine
SaaS APIs ʻQuarantineʼ - Settings Quarantine Folder Admin or SharePoint Site Admin-site, 隔離フォルダを配置するため: test_site_remove_share Path: • Cato_Quarantine/Cato_Quarantine_DataProtection/Site-file-was-found-in/sensitive_file.txt • Cato_Quarantine/Cato_Quarantine_ThreatProtection/Site-file-was-found-in/malicious.txt
EPP Behavioral Engine Exclusions Windows version 1.1.6
New: Exclude from Behavioral and Anti-Malware engines • Starting from v1.1.6,ファイル名で定義された項⽬は、BehavioralとAnti-Malwareの両⽅から除外されます。 Anti-Malware + Behavioral Item Applies to File Name Anti Malware + Behavioral Folder Path Anti Malware File type Anti Malware File Hash Anti Malware
Socket Inventory Query API
Socket Inventory Query API • ソケット関連のフローを⾃動化できる、ソケットインベントリ管理⽤の新しいクエリ API を導 ⼊しています。 Why? • この新しいクエリ API により、顧客とパートナーは CMA 外部の OSS、在庫管理ツールな どでソケットデータを使⽤できるようになります。 | 62
New Events fields for Inline and Out-of-Band App Activity Traffic
New Events fields for Category and Activity Type Application Control - CASB? Cloud Access Security Broker (CASB) solution lets you enforce a corporate policy that minimizes security incidents and compliance violations for Cloud applications. SaaS Security API SaaS Security API provides out-of-band visibility and control for sanctioned cloud apps. SaaS Security API gives the ability to also monitor and react to traffic from remote users that connect directly to the cloud apps. Why? • Use of “Shadow” applications • Complicated to gain detailed oversight of cloud applications activities • Complex enforcement due to insufficient visibility
New Events fields for Category and Activity Type GAP • Complicated to gain insights of different Apps using similar Activity type File sharing – Edit Chat – Send Message • Complicated to gain insights of different Apps using similar activity category Login and Authentication (Login, Logout, Fail login) Communication & Collaboration (Chat, Video, Voice)
New Events fields for Category and Activity Type What are we adding? • Categorizing Applications Activities • New fields in events – App Activity Category – App Activity Type • Filter Activities types and Categories for improved visibility Applications Activities Categories 1.Admin Settings (User creation, Quarantine, Change permissions) 2.Login and Authentication (Login, Logout, Fail login) 3.Content Operations (Upload, Download, Move) 4.Content Share (Share, Share Anonymous Link) 5.API and Integration (Query API, Add <App Name> integration) 6.Execution (Execute Flow, Run Report/Dashboard) 7.Communication & Collaboration (Chat, Video, Voice) 8.Search & View (UI-related events, Search, File Accessed) 9.General
New Events fields for Category and Activity Type How will it look like?
Enriched Events for API and Integrations
Events Feed Know Everything about your network Cato Cloud –シングルコンテキストのデータ集約プラットフォーム § Contextual – すべてのエンジン, すべてのロケーション § Instant – リアルタイムで利⽤可能 § Consistent – シングルプラットフォーム, 単⼀のデータモデル データの劣化を伴う”正規化”は不要 § Rich – Netflixの全コンテンツのHD版の週間データ量! § Dynamic –継続的な更新と拡充 Classification (Device, OS, Client) App Stack Engine Verdict Security Enrichment Real Time Machine Learning CATO SPACE Network Enrichment Threats Intelligence Feeds Homegrown Intelligence Cato Data Lake Tr a f f i c | 69
Security & App Context Your Data at Your Service User & Device Identity Context Network Context Events on Cato Management Application CATO SPACE Cato Data Lake | 70
Your Data at Your Service Enriched events – whatʼs new? イベントエンリッチメントがAPIとインテグレーションでも利⽤可能に § すべての使⽤モデルで整合性を保つ § Backward compatible: § 同じイベントタイプとサブタイプ § 同じフィールドのセット § ほとんどのイベントで、より多くのフィールドが⼊⼒される CATO SPACE § 消費データ量の増加が予想されます Letʼs see an example! Cato Data Lake | 71
Your Data at Your Service Enriched events example BEFORE AFTER Security > Internet Fierwall event CATO SPACE Cato Data Lake Application Information including estimated risk Client and host information | 72
Your Data at Your Service Enriched events example CATO SPACE Cato Data Lake Additional context on Applications and categories | 73
Your Data at Your Service Enriched events example Device informaiton CATO SPACE Cato Data Lake Host and networking information | 74
Your Data at Your Service Enriched events example CATO SPACE Cato Data Lake Additonal user, configuration and verdict context One Platform, One Context, One Data Model – any way you use it! | 75
EDM Profile Enhancements General Availability
EDM Profile Enhancements Expanded File Type Support & Delimiter Detection ファイルタイプのサポート拡⼤ • Versatility:より包括的なデータスキャン • Increased Accuracy:より幅広いデータフォーマットをサポート ⾃動区切り⽂字検出 • デリミターを⾃動的に識別 ファイル内で使⽤、⼿動設定は不要 General Availability August 11th Format Common file extension(s) Delimiter Comma-separated values (CSV) .csv , Pipe-separated values (PSV) .psv, .txt | Tab-separated values (TSV) .tsv, .txt ¥¥t Semicolon-separated values (SSV) .ssv, .csv, .txt ; Colon-separated values (CSV) .csv, .txt : Hyphen-separated values (HSV) .hsv, .txt - Hash-separated values (HSV) .hsv, .txt # Caret-separated values .csv, .txt ^ Custom .csv, .txt !,@,$,%,&,/
Cato Clients – New Releases iOS v5.4
End-User Notifications for Security Policies What's new: • iOSデバイスは、App ControlまたはData Controlルールによってアクティビティがブロックされると、 ユーザーにシステム通知を表⽰します。これにより、どのアプリがなぜブロックされたかをユーザーに知らせ ることができます。 • Prerequisite: Allow Cato Client to send System Notifications • Supported from: iOS Client v5.4 | 79
IPv6 Support for Last-Mile Connection What's new: • Catoクライアントは、IPv6オンリー環境を採⽤するインターネットサービスプロバイダ(ISP)を使⽤したリモート接続の確⽴をサポートしま す。 • Catoクライアントは、IPv4も利⽤できる場合(デュアルスタック)には、IPv4を優先します。 • Supported from: iOS v5.4 What was the problem? • クライアントがIPv6のみのインターネット接続、またはIPv4なしのデュアルスタックの場合、Catoへの接続を確⽴できませんでした。 Solution • Requirement : IPv6からIPv4へのネットワークアドレス変換(NAT64)がISPで利⽤可能であること o ウェブの⼤部分がまだIPv4であるため、⼀般的な慣⾏である。 | 80
Extended OCR Support Early Availability
Extended OCR Support OCRにて追加の⾔語をサポート ⾼度な光学式⽂字認識機能により、グ ラフィックや画像ファイルのデータ漏洩を 防⽌ 99以上の⾔語に対応し、png、jpgなどの⼀般的なグラ フィックや画像ファイルをサポート
Extended OCR Support Additional Lanaguges support for OCR Setting Multiple Languages • デフォルト⾔語は英語 • すべてのコンテンツプロファイルに最⼤5つの異なる⾔語 • OCRを有効にすると、設定されたすべての⾔語をスキャンします。 • Scanned by order