Netskope【第三回】ポリシーを作成して制御してみよう!
投稿者:ネットワークセキュリティ担当 木澤
こんにちは、日本情報通信 木澤と申します。
前回、外伝を挟みましたが、今回は前々回のブログ「Netskope【第二回】CASBの可視化とは、実際どう見える?」より、Netskopeに表示されるログを見て、「いつ・誰が・どのクラウドサービスで・何の操作を・どのアカウントで」という可視化が行えること、さらにCCIによる信頼度レベルによってポリシーが設定できるという点が分かりました。
今回はNetskopeでの『ポリシー制御』について、管理者視点でどのように設定していくか、そしてユーザ視点でどのように反映されるのかを見ていこうと思います!
◯検証内容
■ポリシー制御対象
- Box
■制御するポリシー内容
- Twitter ⇒「ツイート機能」「フォロー機能」のみブロックする制御
- box ⇒「ダウンロード機能」のみブロックする制御
◯ポリシーの作成
まずは管理者視点での設定方法を見ていきます。
Netskopeのポータル画面です。ここからPolicies>Real-time Protection>NEW POLICYと進めていきます。
今回は、クラウドアプリケーションの制御を行うので、”Cloud App Access”を選択します。
各クラウドアプリケーションで制御行うアクテビティが異なるため、
ポリシーを2つ作成していきます。
まずはTwitterのポリシー作成から行っていきたいと思います。
Source のところでポリシーを適用するユーザーを選択します。
次に、 Destination のところでポリシー制御を行うアプリ、クラウドサービスなどを指定します。
今回の対象はTwitterなので
検索すると、”Twitter”のチェックボックスが出てくるので選択していきます。
次に、”Edit”を選択してみると、Twitterの中でも詳細にアクティビティの制御をすることが可能なようです。
今回は、Twitterでの「フォロー」「ツイート機能」に限定して、ブロックする制御をかけてみようと思います。
ブロックしたいので、ActionはBlockdを選択します。
何のポリシー制御をしているのか分かりやすいよう、ポリシー名を設定しましょう
右上のSAVEをおすと、、(※ポリシーが既に存在する場合、このタイミングでポリシーの優先順位を聞かれます)
Real-time Protectionのポリシーリストに無事表示されました!
同様の流れで、Boxのポリシー制御も作っていきます!
Boxでは、「ダウンロード」のブロック制御をかけてみます。先ほどと同様、”Source” のところでポリシーを適用するユーザーを選択、
次に、 “Destination”のところでポリシー制御を行うアプリ、クラウドサービスなどを手入力で検索をし、”Box”にチェックボックスを選択します。
“Edit”では”Download”のところのチェックボックスを選択します。
ブロックしたいので、ActionはBlockを選択、ポリシー名も設定しました
Boxも同様、ポリシーリストに表示されるようになりました!
ここで注意なのが、リストを作成するだけでは即時反映はされません。右上の”APPLY CHANGES”を押してみます。
“APPLY”選択
これで無事、2つのポリシーが反映されました。
それでは、ユーザ側で設定した制御がされるか確認をしていきます。
◯動作検証
ここからはユーザ視点での画面です。
まずはTwitterの動作確認をしてみます。
ログインまではアクセス可能です。
“POST”の制御で、ツイートが制御されるか試します。
Netskopeよりエラー表示が出てきました。無事ブロックされているようです!
次は”Follow”の制御ができるか試します。
同じくエラー表示が出て、制御できているようです!
続いて、Boxでの”Download”が制御できるか検証します。
エラー表示が出ました!Boxでのダウンロードの制御もできています!
ちなみに、ファイルのアップロードは制御されないのか、試してみます。
アップロードは制御されず、Netskopeで制御をかけた”Download”のみ制御がかけられていました。
◯ログの確認
最後に、ブロック制御がかけられた際、Netskope上ではどのようなログが出力されるのか見てみましょう。
“Skope IT”にて、いつ、誰が、どこにアクセスしたかを見ることが出来ます。
Skope IT>Application Eventsでどんなログが表示されているのかを見てみます。
開いてみると、先ほど行った、TwitterやBoxでの操作を、
いつ=TIME、何のアクションを=ACTIVITY、誰が=USER、どのアプリケーションで=APPLICATIONといった情報が表示されています。
ただし、ユーザが増えると大量のログが表示され、閲覧したいログを見つけるのは大変です、、
今回は「ブロック制御がかけられた際のログを見たい」ため、絞り込み検索でのログ表示を試してみます。
日数での絞り込みと、+ADD FILTER にて「ブロック」させたログを表示させてみます。
ユーザ側でブロックされた、Twitterでの”Post”、”Follow”、Boxでの”Download”のみが表示されるようになりました!
◯おわりに
今回の検証は以上になります。
次回投稿は11月になってしまいますが、DLP機能について検証していきます!
最後まで閲覧いただき、誠にありがとうございました!