ドメイン名フィルタリングは、ネットワークに出入りするトラフィックを制御するのに役立つレピュテーションフィルタリングの一種です。Network Securityを使用すると、ネットワークへのインバウンドおよびアウトバウンドアクセスを許可された完全修飾ドメイン名 (FQDN) のリストを作成および管理することで、トラフィックを制御できます。
[Note]
バージョン2021.9.0.11188以降、Network Security Appliancesのドメインフィルタリングは、送信方向、インターネットへの送信トラフィックに対してのみPoliciesを適用します。この戦略は、送信トラフィックを制限するというPCI要件に準拠するだけでなく、フィルタリングポリシーが環境内の受信トラフィックやEast-Westトラフィックに誤って影響を与えないようにします。これらの後のアプライアンスバージョンでは、AWSセキュリティグループなど、ネットワーク環境に負担の少ない戦略を使用して受信リスクを軽減することができます。
ドメインフィルタリングを有効にすると、Exceptions Listに含まれていないドメインは自動的にブロックされます (デフォルトでログイベントが生成されます)。作成するすべてのドメインフィルタリングポリシーのExceptions Listに (見えない形で) 追加されるドメインは、*.amazonaws.com*.trendmicro.comの2つだけです。
標準プロトコルに必要なTCP接続にはデフォルトポートを使用してください。
ドメインフィルタリング機能とポリシーを構成するには、Network Securityアプライアンスがバージョン2021.4.0.10991以降を実行している必要があり、AWSクラウドコンピューティングプラットフォーム上で実行されている必要があります。サポートされていないプラットフォームを使用してドメインフィルタリングポリシーを配布することはできません。サポートが必要な場合は、トレンドマイクロの担当者に連絡するか、サポートレポートを作成してください。
[Note]
ドメインフィルタリング構成に変更を加えるたびに、変更を有効にするためにポリシーをAppliancesに再配布する必要があります。

GUIを使用して許可リストを管理する 親トピック

以下の手順に従ってGUIを使用してドメインフィルターを管理し、指定したドメインのみを許可することができます。ドメインの例外は最大1000件まで追加できます。

手順

  1. ナビゲーションバーからポリシーアイコンpolicy-nav-icon=5217ac52-7505-46ce-8259-075689707298.svgをクリックし、[Domain Filtering]を選択します。
  2. [Configure]をクリックするか、すでにドメインフィルタリングを設定している場合は[Edit]をクリックしてください。
  3. Domain Filteringページで、フィルターの状態を[Enabled]に変更します。この設定が[Disabled]の場合、すべてのドメインがクラウド環境内で許可されます。
  4. Exceptions Listの下にあるAdd entryボタンadd_entry=b43e3b83-ba50-4589-b25e-05c8e8d63dda.pngをクリックして、許可したいドメインのリストを追加します。複数の例外を一度に追加するには、[Add another]チェックボックスを選択します。
    • エントリはhostname.domain.comまたはdomain.comの形式でなければなりません。プロトコル (https//:など) やサブドメインを含める必要はありません。
    • オプションで、最大20の関連ポートに対して数値 (1から65536の範囲) を入力できます。ポートが指定されていない場合、すべてのポートがドメイン除外に利用可能になります。重複エントリや範囲外の数値などの無効なエントリは赤で表示され、エラーが表示されます。
    注意
    注意
    すべての除外エントリを255文字に制限します。バージョン2021.4.0.10991以降を実行しているAppliancesはワイルドカードエントリをサポートします。例えば、*.domain.com。ワイルドカード内のアスタリスク (*) 文字のほかに、ハイフン (-) とピリオド (.) のみが許可されている特殊文字です。除外リストのワイルドカードドメインにはデフォルトポートのみ使用できます。
  5. 最終的なドメイン除外を追加した後、[Save Filter Configuration]をクリックしてください。
  6. リストから例外を削除するには、各項目の横にあるチェックボックスを選択し、Delete entryボタンtrash=5c755afb-fcf7-40f7-9de6-41484eccf6d8.pngをクリックしてください。
  7. 更新されたポリシーをAppliancesに配布して、変更を適用してください。

APIを使用して許可リストを管理する 親トピック

以下の手順に従って、APIを使用してドメインフィルターを管理できます。Network Security APIについて詳しく学んでください。
注意
注意
APIの変更を画面に表示するには、Network Securityを更新する必要があります。
[Getting started with domain filtering]
この機能を初めて使用する場合は、以下のワークフローに従って許可リスト設定を有効化および構成してください。

手順

  1. 許可される検証済みドメインのリストを構成する
  2. ドメイン構成を有効にする
  3. 許可されたドメインのリストと有効なドメイン構成をVirtual Applianceと同期する
  4. ドメイン設定がAppliancesに適用されていることを確認してください

確認済みドメインのリストを構成する 親トピック

次のAPIを使用して、許可リストに検証済みドメインのリストを構成します。開始する前に、Virtual ApplianceがNetwork Securityによって登録および管理されていることを確認してください。

手順

  1. [add domain entries]APIを呼び出してFQDNを許可リストに追加します。
    POST /api/domains/permitlists/entries
  2. [list domain entries] APIを呼び出して許可リストを確認してください。
    GET /api/domains/permitlists/entries

ドメイン構成を有効にする 親トピック

ドメインのConfiguration SettingsをAppliancesに配布する前に、設定を有効にする必要があります。以下のAPIを使用して、ドメインのConfiguration Settingsを設定および取得します。

手順

  1. [create domain filtering configuration]APIを呼び出してドメイン構成を作成します。
    POST /api/domains/configurations
  2. [get domain filtering configuration]APIを呼び出してドメイン構成を確認してください。
    GET /api/domains/configuration

アプライアンスと同期許可リストおよびドメイン構成 親トピック

次のAPIを使用して、許可されたドメインのリストとドメイン構成をアプライアンスと同期します。開始する前に、Virtual ApplianceがNetwork Securityによって登録および管理されていることを確認してください。
[distribution] APIを呼び出して、ターゲットのAppliancesにドメインConfiguration Settingsを配布します。 
POST /api/domains/permitlists/distributions
注意
注意
このAPIコールにはアプライアンスIDが必要であり、[Appliance Control API]を使用して収集できます。

ドメイン設定がAppliancesに適用されていることを確認してください 親トピック

ドメイン配信のステータスを確認するには、以下のAPIを使用してください。このプロセスを開始する前に、少なくとも1つの配信が送信されていることを確認してください。
  • 同期から返された配布IDを使用して、[get domain distribution]APIを呼び出してステータスを確認します。
    GET /api/domains/permitlists/distributions/{domainDistributionId}
  • あるいは、[list ongoing domain distributions] APIを呼び出して、最新のドメイン分布を一覧表示します。
    GET /api/domains/permitlists/distributions

許可されたドメインのリストを取得 親トピック

次のAPIを使用して、クラウドネットワーク内で許可されているドメインのリストを取得してください。
許可されたドメインエントリのリストにアクセスするには、[list domain entries]APIを呼び出してください。
GET /api/domains/permitlists/entries

許可リストからエントリを削除 親トピック

次のAPIを使用して、許可リストからエントリを削除します。このAPIワークフローを実行するには、少なくとも1つのエントリをアプライアンスに追加する必要があります。

手順

  1. [list domain entries]APIを呼び出して許可されたドメインエントリのリストにアクセスします。
    GET /api/domains/permitlists/entries
  2. [remove domain entry] APIを呼び出して許可リストからドメインエントリを削除します。
    DELETE /api/domains/permitlists/entries
  3. [distribution]APIを呼び出して、PermitリストをAppliancesに配布してください。
    POST /api/domains/permitlists/distributions
    [Appliance Control API]を使用して、AppliancesのIDを取得できます。

ドメインフィルタリングを無効にする 親トピック

次のAPIを使用してドメインフィルタリングを無効にします。ドメインフィルタリングを無効にすると、クラウド環境内のすべてのドメインが許可されます。

手順

  1. [list configurations] APIを呼び出してドメイン構成のリストにアクセスします:
    GET /api/domains/configurations
  2. [update domain filtering configuration] APIを呼び出してドメイン構成を更新します。
    PUT /api/domains/configurations/{domainPolicyUuid}
  3. [distribution] APIを呼び出して、ドメイン構成をAppliancesに配布します。
    POST /api/domains/permitlists/distributions
    [Appliance Control API]を使用して、AppliancesのIDを取得できます。