パロアルトネットワークスは2021年7月6日、ファイアウォールOSの新バージョン「PAN-OS 10.1」を発表し、同日に提供開始した。新版では、ユーザーIDベースのアクセス制御を簡素化する機能を追加したほか、Webアクセスを安全にする機能やDNSサーバーへの攻撃をブロックする機能を強化している。
パロアルトネットワークスは、次世代ファイアウォール(NGFW)製品を提供している。次世代ファイアウォールの特徴は、ネットワークパケットの中身を分析し、アプリケーションの識別(App-ID)、ユーザーの識別(User-ID)、コンテンツ内容の走査(Content-ID)など細かなアクセス制御を可能にしていることである(関連記事:パロアルト、ファイアウォールを強化、マルウェアをアルゴリズムでリアルタイムに判定)。
マルウェアなどの脅威をインラインで検知する機能も備える。シグネチャを利用した既知のマルウェアの検知、機械学習で生成したアルゴリズムによる未知のマルウェアの検知、クラウド型サンドボックス「WildFire」による未知のマルウェアの検知、といったやり方でマルウェアを検知してブロックする。Webベースの攻撃(フィッシング攻撃やJavaScriptによる攻撃)も検出してブロックする。
今回、同社製ファイアウォールのOSを、「PAN-OS 10.1」へとバージョンアップした。新版ではユーザーIDベースのアクセス制御を簡素化する機能やDNSサーバーへの攻撃をブロックする機能を追加したほか、Webアクセスを安全にする機能を強化した。
ユーザーを識別してユーザーごとにアクセスを制御する「User-ID」機能を運用しやすくした(図1)。ユーザー情報とアクセス制御ポリシーのソースとして、オンプレミスのActive Directory(AD)だけでなく、クラウド型の複数の各種ID管理サービスが混在した環境で運用しやすくした。これらID管理サービスを束ねてインタフェースを一元化するクラウドサービス「Cloud Identity Engine」を新たに用意した。
図1:ID管理サービスからのユーザーID情報の取得を簡素化するサービス「Cloud Identity Engine」を新たに用意した(出典:パロアルトネットワークス)拡大画像表示
Webアクセスを安全にする機能も強化した(図2)。これまでもURLデータベースを用いたURLフィルタリングを提供していたが、Webアクセスによって取得したコンテンツが危険かどうかを判定する機能を新たに追加した。危険だった場合は、これをクライアントに返さないことでWebアクセスの安全性を確保する。また、DNSサーバーへの攻撃をブロックする機能も追加した。DNSサーバーを悪用するサイバー攻撃への対処として、DNSサーバーに対する攻撃を効率よくブロックするとしている。
図2:Webアクセスによって取得したコンテンツが危険かどうかを判定する機能を追加したほか、DNSサーバーへの攻撃をブロックする機能を追加した(出典:パロアルトネットワークス)拡大画像表示
