株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Fortinet > 【Fortinet】FortiGateでCASB?「Inline-CASB」を使ってみよう

【Fortinet】FortiGateでCASB?「Inline-CASB」を使ってみよう

Fortinet ネットワーク

みなさん、こんにちは。ネットワールドSE 西日本技術部の廣澤です。

本日はFortiGateの 「Inline-CASB」機能 について検証を行ったので、その結果をご紹介します。

「Inline-CASB」とは?

FortiGate (FortiOS) では v7.4.1 から「Inline-CASB」機能が実装されています。

まず、CASBはCloud Access Security Brokerの略称で、

クラウドサービス利用を監視・制御する機能です。

よくある利用例

例えば、以下のような制御が可能です。

  • オンラインストレージの操作制御
    • 接続 (ログイン等)、ダウンロード: 許可
    • アップロード、削除: 拒否
  • テナント制御
    • 企業ドメインアカウント: ログイン許可
    • 個人アカウント: ログイン拒否

これらの機能がFortiGateに実装されています。

今回はその「Inline-CASB」機能について検証を行いました。

他機能との比較

以下はFortiGateで利用可能な類似した機能との比較です。

FortiGateには多くの機能が実装されていますが、それぞれ有効な場面・状況に違いがあります。

Inline-CASBの利用条件

「Inline-CASB」はすべてのFortiGateで利用できるわけではありません。

以下の条件を満たす必要があります。

利用条件

1.FortiOSのバージョンが v7.4.1 以降

    • v7.4.1 から「Inline-CASB」が実装されています。

2.メモリサイズの要件

    • v7.4.4 以降では、搭載メモリサイズが 4GB以上のモデルが必要です。
    • 2GB以下のモデルはプロキシ機能(CASB含む)を利用することが出来ません。

Inline-CASBの設定方法

1.Inline-CASB設定の表示

表示機能設定で『Inline-CASB』を有効化すると、セキュリティプロファイルに項目が表示されます。

2.Inline-CASBプロファイルの設定

プロファイルの設定を行います。

1.Profileタブの新規作成をクリックします。

2.プロファイル名を入力して、SaaSアプリケーションで新規作成をクリックします。

3.アプリケーションで制御対象のアプリを選択します。

※今回の検証はMicrosoftを選択して進めています。

4.テナント管理を有効にしてテナント情報を入力します。

※Microsoftの場合はプライマリドメインの情報を入力します。

5.Microsoftの設定は以上となりOKをクリックします。

6.再度SaaSアプリケーションで新規作成をクリックします。

7.今度はOneDriveを選択します。

8.特権制御でユーザーに実行して欲しくないアクションをブロックに変更します。

9.OneDriveの設定も以上で完了なのでOKをクリックします。

10.プロファイルの設定はこれで完了となるため最後に元の画面でOKをクリックします。

11.作成したプロファイルをポリシーに適用します。このとき以下のように設定してください。

    • インスペクションモード:プロキシベース
    • SSLインスペクション:deep-inspection(別途作成したSSLディープインスペクションでも可)

以上でInline-CASBの設定は完了となります。

動作確認

実際に通信を行いInline-CASBの動作を確認します。

まず、「許可されていないドメイン(networld.co.jp)」でM365に接続してみると、

以下の画面が表示されました。

ネットワールドテナントへの接続が拒否(Deny)されています。

次に「許可されているドメイン(M365x88249225.onmicrosoft.com)」に接続してみると、

ブロックされず接続に成功しました。

ここから更にOneDriveに接続をしてみると、今度はFortiGateのブロック画面が表示されました。

Activetyから「app」のアクションでブロックされていることが分かります。

以上がInline-CASBの動作確認となります。

検証をしてみて

検証を通じて感じたことは、設定がとても簡単だったということです。

「え?これだけの設定で動くの?」というくらい手軽に設定できる機能だと思います。

もちろん、利用可能なモデルがミドルレンジからという制約はありますが、

SSLディープインスペクションも考慮すると妥当と感じました。

 

また、Inline-CASBをFortiGateで実現するメリットは以下の通りです。

1.アンチウイルスやIPSが利用可能なライセンスなら追加ライセンスは不要

    • Inline-CASBはバンドルライセンスで利用いただくことが可能です。

2.他UTM機能と同じように適用する通信を柔軟に選択可能

    • 「ポリシー+プロファイル」で動作するのでCASBを適用する通信を柔軟に設定可能です。

 

最後に、この記事を見て「Inline-CASB」機能にご興味・ご関心がございましたら、

是非、弊社営業までご相談いただければと思います。

 

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
    従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。