Application Rule Manager (ARM) ツールをは、既存のアプリケーション用にセキュリティ グループとファイアウォール ルールを作成することで、アプリケーションのマイクロセグメンテーションを簡素化します。
システム全体での長期的データ収集にはフロー モニタリングが使用されますが、1 個のアプリケーションを対象とするモデリングには Application Rule Manager が使用されます。フロー モニタリング フェーズで、ARM はプロファイルを作成しているアプリケーション間のフローとアプリケーション層間のフローを学習します。また、検出したフローのレイヤー 7 アプリケーション ID も学習します。
Application Rule Manager のワークフローには 3 つのステップがあります。
- アプリケーションを設定する仮想マシンで、監視する必要があるものを選択します。設定後、仮想マシン上の定義済み vNIC(仮想ネットワーク インターフェイス カード)のセットに送受信するすべてのフローが監視対象となります。一度に最大 5 つのセッションでフローを収集できます。
- 監視を停止してフロー テーブルを生成します。フローを分析して、仮想マシン間の相互作用を明らかにします。フローをフィルタリングして、フロー レコードを限られた作業セットにすることができます。フローの分析後、ARM は次のものを自動的に推奨します。
- フロー パターンとサービスに基づくワークフローのセキュリティ グループと IP セット
- 特定の ARM セッションの分析結果に基づくファイアウォール ポリシー
- フローのレイヤー 7 アプリケーション ID
- フローが分析され、セキュリティ グループとポリシーが推奨されると、特定のアプリケーションのポリシーをファイアウォール ルール テーブルのセクションとして発行できます。推奨されるファイアウォール ルールは、アプリケーションに関連付けられている仮想マシンに適用範囲が制限されています。また、ユーザーはルールを変更できます。たとえば、グループやルールの名前をわかりやすい名前に変更できます。