メイン コンテンツにスキップ

ICAP Server 統合ガイド

目的

Glasswall Halo ICAP server を設定して、セキュリティインフラストラクチャを通過するファイルをサニタイズまたはブロックします。

Glasswall Halo の ICAP Server Integration Guide

はじめに

当社の ICAP Server は、ICAP クライアント(プロキシサーバー、ファイアウォール、ゲートウェイなど)と Glasswall Halo サービスの間を仲介します。ファイルが ICAP クライアントを通過すると、クライアントに戻る前に、ICAP 経由でサニタイズ(CDR)のために Glasswall Halo に送信されます。

これにより、組織のメンバーがWebを閲覧する際に遭遇するコンテンツを完全に制御できます。組織内への持ち込みを許可するファイルの種類や、リスクprofileの要件を満たすためにそれらから無害化すべき危険なコンテンツを定義できるようになります。

Image.png

CDR とは何ですか?

CDR (Content Disarm and Reconstruction) は、組織や個人をファイルベースの脅威から守るために独自の手法を使用します。多くのサイバーセキュリティソリューションのように脅威の検知を試みるのではなく、Glasswall CDR は Zero Trust アプローチに従います。これは、Glasswall によって検査およびクリーンアップされたファイルのみが安全と見なされることを意味します。なぜなら、あらゆる潜在的な脅威が除去されているからです。悪意のあるコードを見つけようとはせず、単にそのコードがドキュメントに害を及ぼす能力を取り除きます。

メインドキュメントで Glasswall CDR の詳細をご覧ください

ICAP とは何ですか?

Internet Content Adaptation Protocol (ICAP) は、ウイルススキャンやコンテンツフィルタリングなどのタスクを専用の ICAP サーバーにオフロードすることで、透過型プロキシサーバーを強化するために設計された軽量プロトコルです。これにより、Web サーバーは http トラフィックに集中でき、効率が向上します。ICAP はエッジデバイスを活用して、広告挿入、コンテンツ翻訳、マルチavスキャンなどの特化したサービスを提供します。

当社の ICAP Server は、ICAP クライアント(プロキシサーバー、ファイアウォール、ゲートウェイなど)と Glasswall Halo サービスの間を仲介します。ファイルが ICAP クライアントを通過すると、ICAP 経由で無害化するために Glasswall Halo に送信され、その後クライアントに返されます。

これにより、コンテンツが受信か送信かを問わず、お客様の環境の Zero Trust 境界を通過するコンテンツを完全に保護できます。

当社の ICAP Server の詳細を見る

ステップ 1 - Glasswall Halo をデプロイする

ICAP Server の統合を開始する前に、Glasswall Halo がデプロイおよび設定されていることを確認する必要があります。これは、当社の ICAP Server が Glasswall Halo と統合されているためです。

わかりやすいデプロイガイドをご参照ください。すでにHaloのセットアップが完了している場合は、この手順をスキップできます。

ステップ 2 - ICAP Server をデプロイする

Haloのデプロイ時にICAP Serverをデプロイしていない場合は、手順を追って説明したデプロイガイドをご参照ください。

ステップ 3 - ICAP Server クライアントを設定する

ICAP Server が稼働したら、リクエストをサーバー経由でルーティングするように ICAP クライアントを設定する必要があります。当社の ICAP server は、ICAP 対応のあらゆる Web セキュリティアプライアンスと互換性があります。

追加のサポートについては、一般的なクライアント向けのIntegration guidesおよび、プロキシ環境の設定に役立つプロキシ設定ガイドをご覧ください。

ステップ 4 - デフォルトの ICAP profile を設定する

次に、異なるファイルタイプの処理方法を管理するために、デフォルトの ICAP profile を設定します。ICAP Server のリクエストでは、media types として知られるコンテンツタイプが使用されますが、これは解釈が難しい場合があります。

これをわかりやすくするために、これらの media types を Glasswall Halo がサポートするファイルタイプおよびその他の一般的な形式に対応付けています。詳細については、supported media typesを参照してください。

注: 複数の ICAP profile を作成し、それぞれの ICAP リクエストに 1 つずつ割り当てることができます。指定がない場合は、このデフォルト profile が使用されます。

  • ICAP profile management API エンドポイント、または Halo’s ICAP settings から直接、ICAP profile を設定します。
  • マッピングされた各ファイルタイプについて、ICAP Server が実行すべきアクションを定義できます。

03_Icapsettings

  • 次に、policy 設定を構成します。

    • 最大限の保護を確保するために、処理されたファイルからすべてのリスクのあるコンテンツをサニタイズする Glasswall のデフォルトのコンテンツ管理 policy をそのまま使用することも、必要に応じて変更することもできます。

02_Policysettings

ステップ 5 - ファイルをダウンロードしてテストする

これで、安全にブラウジングする準備が整いました。

  • ファイルのサニタイズをテストするには、Word、Excel、または PowerPoint ファイルをダウンロードしてください。

    • ファイルのダウンロード時に、web security appliance がそれをインターセプトし、ICAP 経由で Glasswall Halo に送信します。ファイルは 1 秒未満でサニタイズされ、ユーザー体験に目立った変化はないはずです。

エラー処理

  • Since PDFs are set to be blocked by this default profile, test it by trying to view or download a PDF.
    • ファイルは、コンテンツが利用できない理由を説明する Halo protection report に置き換えられ、潜在的に危険なファイルがユーザーに届くのを防ぎます。

結論

すべての手順が完了すると、ICAP Server は Glasswall Halo の CDR process を使用してファイルを処理およびサニタイズする準備が整います。ICAP Server はクライアントと Glasswall Halo の間を仲介し、セキュリティポリシーを適用し、ファイル処理を自動化し、ユーザー体験への影響を最小限に抑えながら保護を強化します。

最終更新日: