お問い合わせ

資料ダウンロード

クラウドセキュリティネットワーク

Netskopeを用いたHTTP HEADERを対象としたポリシー作成

本記事ではHTTP HEADERを用いたNetskopeの制御方法について、ポリシーの設定を通して紹介させていただきます。

はじめに

VPNやファイアウォール、CASBなどの複数のセキュリティ機能をクラウド上で提供するセキュリティモデルのことをSecure Access Service Edge(SASE)と呼びます。そのSASEのうち、CASBに強みを持つ製品であるNetskopeの使い方について紹介いたします。
NetskopeはSSL復号により得た情報を基にした高度かつ多彩な通信制御を得意としていますが、それ以外にも従来のプロキシ製品で行っていた復号を行わない制御も設定可能です。
本記事ではHTTP HEADERを用いたNetskopeの制御方法について、ポリシーの設定を通して紹介させていただきます。

HTTP HEADERについて

Webサイトを閲覧する際、Webサイト・クライアント間ではHTTP・HTTPSという通信プロトコルが使われます。その際、データの送受信時データについての情報の補足を行うための付加情報がHTTPHEADERです。
HTTP HEADERには以下のようなデータの形式等を確認する情報が含まれています。
・データの内容は考慮せず、データを取得する「GET」や、データをアップロードする「POST」など、データをどのように扱うかを示す情報
・WebサイトのHostページ「Host」
・どこから遷移してきたかを示すURL「Referer」
・言語や文字コードは何を利用しているか「Content-Type」

上記以外の情報も含まれており、それらを確認する方法として、ブラウザの管理者ツールから確認が可能です。Google Chromeの場合は、F12を押し、開いた開発者ツールの「Network」タブからHeaderを表示することが可能です。

設定方法

弊社Webサイトでの操作をBlockするポリシーを作成していきます。
今回は以下の2つのポリシーを設定し、動きを確認していきます。
①GETをブロックしWebサイトへのアクセスを制限する
②Refererで「https://cn.teldevice.co.jp」をブロックし、初期ページからの遷移をブロックする

 

また、HTTP HEADERの設定は「Policies>HTTP HEADER」の「NEW HTTP HEADER PROFILE」から設定が可能です。

①GETをブロックしWebサイトへのアクセスを制限する

今回の設定は、REQUESTのタブで設定を行います。設定を追加する際は、「ADD REQUEST FIELDS」から追加が可能です。

今回は弊社Webサイトのみを対象とするため、Hostに「cn.teldevice.co.jp」を指定します。

「GET」を指定するためにはMethodのValueから指定が可能です。以下が実際に設定を行った図です。

次に「Real-time Protection」での設定です。

HTTP HEADERで指定した対象があればブロックする設定を行います。設定は以下の図のように設定します。

HTTP HEADERの設定は「Source」に設定します。「Destination」ではないため注意してください。

以上のポリシーを実行した結果は以下の通りです。

Request MethodのGETでブロックされ、弊社Webサイトにアクセスできなくなっていることが分かります。

「Method」の制限は上記GETの制限以外にもPOSTを制限することでWebサイト上にデータをアップロードすることを防ぐなどの利用方法が可能です。

 

②Refererで「https://cn.teldevice.co.jp」をブロックし、初期ページからの遷移をブロックする

Refererの設定もREQUESTのタブにあります。設定方法としては以下の図の通りです。

「Real-time Protection」の設定は①で設定したものを利用します。

設定したポリシーの実行結果は以下の通りです。

初めに「https://cn.teldevice.co.jp」にアクセスしてみます。

「https://cn.teldevice.co.jp/」には問題なくアクセスが可能でした。これは「referer」のデータがない、もしくはブラウザの「https://google.com」などから遷移してきたためです。

次に、上記画像の左下に表示されている技術サポートの紹介ページに遷移します。

無事ブロックすることができました。Refererには「https://cn.teldevice.co.jp」が記載されているため、Webサイトからの遷移がブロックされます。

「referer」を制限する方法は、特定のブラウザの利用を制限する際などに利用することができます。

おわりに

本記事ではNetskopeによる通信の制御方法の一つであるHTTP HEADERの設定について説明しました。

NetskopeではアプリケーションやWebサイトを指定したSSL復号以外にもこのような従来のプロキシで用いられる復号を行わない方法での通信制御方法も設定が可能です。

Kojima

この記事の投稿者Kojima

東京エレクトロンデバイスにてNetskopeのプリセールスを担当。
2023年入社で現在ネットワーク関連の技術を勉強中!
大学院では自然言語処理について研究していました。

この記事をシェア

  • twitter
  • facebook

この記事に関連する製品・サービス

Netskope | Advanced Analytics

Netskope | CASB-API

Netskope | CSPM/SSPM

Netskope | Netskope for IaaS

Netskope | Netskope Private Access(NPA)

Netskope | Next-Gen SWG

お問い合わせ

資料ダウンロード