Cloud Access Security Broker

このセクションでは、Cloud Web Security サービスで Cloud Access Security Broker (CASB) 機能を使用する方法について説明します。

概要

Cloud Access Security Broker (CASB) 機能は、SaaS アプリケーションにアクセスしている間、ユーザーアクティビティの可視性と制御を提供します。

CASB には、次の機能が含まれています。

[アプリケーションの可視性]（Cloud Web Security Standard と Advanced Edition パッケージの両方の一部）：ネットワーク内のユーザーがアクセスしているさまざまな SaaS アプリケーションを表示することができます。CASB アプリケーションの可視性を使用している場合、アプリケーションごとに次の状況を確認できます。

各アプリケーションのリスクスコア。
ユーザーがアプリケーションにアクセスした回数。
アプリケーションのカテゴリ。

[アプリケーション制御]（Cloud Web Security Advanced Edition パッケージのみの一部）：各 SaaS アプリケーションで実行できる特定のアクションを制御することができます。

アプリケーションごとのレベルで提供されるアプリケーション固有の制御を備えた、特別な設定が不要な事前定義済みの制御をすべての SaaS アプリケーションで使用できます。これらの制御は、ユーザーおよびユーザーグループに基づいて、アプリケーションごとにカスタマイズおよび設定できます。

CASB アプリケーション制御を使用している場合、アプリケーションごとに以下を制御できます。

アプリケーションサイトへの最初のアクセス（許可またはブロック）。
ログイン、コンテンツのアップロード/ダウンロード、検索、編集、共有、作成、削除、いいね!、投稿などのその他のアクション。

制御したいアプリケーションに対して現在利用可能なアクションを確認することができます。

前提条件

Cloud Web Security で Cloud Access Security Broker (CASB) 機能にアクセスするには、以下が必要です。

Cloud Web Security が有効になっている本番環境の VMware Cloud Orchestrator のカスタマーエンタープライズ。
カスタマーの SD-WAN Edge、SASE PoP、および Orchestrator はすべてリリース 4.5.0 以降を使用している必要があります。
CASB のアプリケーションの可視性は、Standard または Advanced のどちらのパッケージを持っているかに関わらず、すべての Cloud Web Security カスタマーが使用できます。
CASB のアプリケーション制御にアクセスするには、Cloud Web Security Advanced パッケージが必要です。
ユーザーが [Cloud Web Security] > [設定 (Configure)] > [セキュリティポリシー (Security Policies)] に移動し、既存のポリシーをクリックするか、新しいポリシーを作成すると、CASB タブにロックアイコンが表示されます。これは、Standard Edition ライセンスでは CASB の可視性のみが許可され、CASB 制御ポリシーを作成するには Advanced Edition ライセンスが必要であることを示します。
オプション：カスタマーがユーザーベースのルールを設定する場合の ID プロバイダ (IdP)。Workspace ONE または Azure Active Directory (AD) を ID プロバイダとして設定する方法の詳細については、シングルサインオンガイド (SAML)ページの各ガイドを参照してください。

CASB の設定のワークフロー

CASB 機能を構成する [アプリケーションの可視性 (Application Visibility)] と [アプリケーション制御 (Application Control)] の 2 つの主要な機能について説明しました。このセクションでは CASB ワークフローについて説明します。

セキュリティポリシーの作成、設定、適用

Cloud Web Security サービスの[セキュリティポリシー]の作成、設定、または適用の詳細については、『Cloud Web Security 設定ガイド』の関連ドキュメントを参照してください。

CASB 設定 - アプリケーションの可視性

セキュリティポリシーがカスタマーのセグメントに関連付けられた後、SD-WAN Edge の背後にあるエンドポイントデバイスからのトラフィック、または Secure Access クライアントを経由するトラフィックは、Cloud Web Security ポリシーを通過する場合に検査および監視されます。

VMware SASE Orchestrator ユーザーインターフェイスで、[Cloud Web Security] > [設定 (Configure)] > [ポリシー設定 (Policy Settings)] > [CASB] の順に移動します。
[CASB 設定 (CASB Settings)] ページには、セキュリティポリシールールに一致するアプリケーションのリストが表示され、デフォルトでアクセス数の多い順（指定期間内に特定のアプリケーションがアクセスされた回数）で並べ替えられます。
- 各アプリケーションには、「低 (1 ～ 3)」、「中 (4 ～ 6)」、または「高 (7 ～ 9)」のリスクスコアも関連付けられます。
- [アプリケーション (Applications)] テーブルでは、列ヘッダーをクリックして、[アプリケーション名 (Application Name)]、[カテゴリ名 (Category Name)]、[アクセス回数 (# of times Accessed)]、または [リスクスコア (Risk Score)] で並べ替えることができます。または、列の並べ替えアイコンをクリックすると、その列の特定の用語または数字を検索できます。
- [CASB 設定] ページにはデフォルトでページあたり 20 個のアプリケーションが表示されます。ページの一番下までスクロールして、ページあたり最大 100 個のアプリケーションを指定できます。矢印アイコンをクリックするか、テキストボックスに特定のページを指定して、[アプリケーション (Applications)] の新しいページを選択することもできます。
- Cloud Web Security サービスを通過するトラフィックが増えるにつれて、アクセスしている Web サイトに応じてアプリケーションリストが変更される場合があります。これらの変更には、アプリケーションの順序、アプリケーションの数、アクセスイベント、リスクスコアが含まれます。

CASB 制御ルールの作成と適用

CASB 制御ルールを作成して適用するには、Cloud Access Security Broker ルールの設定を参照してください。

CASB ルールが動作していることを確認する

CASB 制御ルールを含むセキュリティポリシーが公開されたら、ルールの影響を受ける Web サイトに移動して制御機能をテストし、想定したとおりに動作していることを確認します。アプリケーションに CASB 制御が設定されていることを確認するには、[Cloud Web Security] > [監視 (Monitor)] > [Web ログ (Web Logs)] ページを使用します。たとえば、ユーザーが WeTransfer Web サイトにログインしようとして、公開された CASB 制御ルールに従ってブロックされる場合があります。Web ログには、ブロックされたログイン試行が表示されます。

CASB の監視

[Cloud Web Security] > [監視 (Monitor)] > [CASB 分析 (CASB Analysis)] の順に移動します。
[CASB 分析 (CASB Analysis)] ページでは、[トップのカテゴリ (Top Categories)]、[トップのアプリケーション (Top Applications)]、[トップのユーザー (Top User)]、[アプリケーション別の上位アップロード (Top Uploads by Application)] に選択した棒グラフを表示できます。
[Web ログ (Web Logs)]：[Cloud Web Security] > [監視 (Monitor)] > [Web ログ (Web Logs)] ページでは、アプリケーションアクセスイベントの詳細を確認できます。CASB アプリケーションイベントの場合、そのログエントリに関連付けられているバブルをクリックして、完全な [ログエントリの詳細 (Log Entry Details)] を表示できます。

概要