DLP Endpoint Prevent 検出サーバーの導入におけるアーキテクチャのベストプラクティス
search cancel

DLP Endpoint Prevent 検出サーバーの導入におけるアーキテクチャのベストプラクティス

book

Article ID: 249366

calendar_today

Updated On:

Products

Data Loss Prevention Endpoint Prevent Data Loss Prevention

Issue/Introduction

このドキュメントは、Data Loss Prevention (DLP) Endpoint Prevent の導入、および、導入するアーキテクチャのベストプラクティスに関する情報を提供しています。
また、以下のような疑問に対応しています。

  • DNSベースのロードバランサーは使用できますか?
  • 異なるサブネットにエンドポイントサーバーを導入することはできますか?
  • 元のサーバーへのフェイルオーバー – どのように導入するのでしょうか? また、設定やタイミングで考慮することはありますか?

Environment

  • DNSベースのロードバランサーを使用
  • DMZにあるサーバーと内部のデーターセンターの構成

Resolution

この情報は一般的なガイドとして提供されています。この計画/設計を実装するためのサポートについては、プロフェッショナルサービスにお問い合わせください。

推奨される一般的なアーキテクチャと設定:

ここでは例として、社内LANとDMZにそれぞれ2台ずつエンドポイントサーバーが構成されています。
VPNによる接続も含めた社内LANのエージェントは、社内LANのエンドポイントサーバーの1台と通信するよう設定されています。
これらのエンドポイントサーバーは、必要に応じて2番目のサーバーにフェイルオーバーするよう設定されています。
社内LANの外から接続しているエージェントは、ロードバランサーによってDMZのエンドポイントサーバーに接続されます。
すべてのエンドポイントサーバーは、Enforceサーバーに接続されています。



  • 通信はSSL証明書ベースの認証で保護されているため、インターネット経由で接続するエージェント用に、v12.5+ のエンドポイントサーバーをDMZに配置することができます。
  • エンドポイントサーバーの身元を隠すために、DNATを設定する必要があります。
  • ポート10443にこだわる必要はありません。
    エンドポイントサーバーを標準的なSSLポートである443を使うよう設定する方が、ファイアウォールフレンドリーです。
  • ロードバランサーを使用する場合、SSLセッションアフェニティを有効にすることをお勧めします。
  • サーバーへ接続するためにエージェントをどのように設定するか、よくご検討ください。
    名前解決のために、社内LANとインターネットで単一のDNS名を使う予定ですか?
  • 社内ネットワークポリシールールの“オン/オフ”は、エンドポイントサーバーの接続に基づいていることにご注意ください。
  • 一般的に、ポリシーはフォルスポジティブの検知 (誤検知) を減らし、2階層の検知を避けるよう調整する必要があります。

エンドポイントサーバーでロードバランサーを使用する場合

オンラインヘルプの「エンドポイント配備でのロードバランサーの使用について」をご覧ください。

このページには、エンドポイントでロードバランサーを設定するために重要な3つの拡張設定を記載されています。

  • EndpointCommunications. IDLE_TIMEOUT_IN_SECONDS.int
  • EndpointCommunications.HEARTBEAT_INTERVAL_IN_SECONDS.int
  • CommLayer.NO_TRAFFIC_TIMEOUT_SECONDS.int

これらの設定の詳細については、オンラインヘルプの「エージェントの拡張設定」をご覧ください。

DLPエンドポイントエージェントのDNS固定ホスト名に基づいて名前解決を行う場合

  • DNSベースのロードバランサーを使用できます。
  • DNSベースのロードバランサーの実装に基づき、エンドポイントサーバーを別のサブネットに置ける可能性があります。
  • 元のサーバーへのフェイルオーバーは、ロードバランサーの実装 (例: F5 など) が負荷分散を行います。

注意:

  • 「送信元IPアドレスパーシステンス」は、F5などのロードバランサー上で設定する必要があります。 推奨される値は、24時間です。
    設定を行っていない場合、問題が発生する可能性があります。
  • F5のバージョンによって、送信IPアドレスパーシステンスを許可していない場合があります。
    お使いのロードバランサーでこの制限がある場合、エンドポイントがサーバー間で返されないよう設定を行ってください。
  • 詳細な情報に関しては、F5 Webサイトの「Session Persistence Profiles」をご覧ください。(「Source address affinity persistence」をご参照ください。)
  • DNSベースのロードバランサーは、基本的にエージェントをラウンドロビン方式でサーバーに送ります。
    エージェント1 => サーバー1、エージェント2 => サーバー2、など
    サーバー1が利用できない場合、エージェント1はサーバー2などに送られます。
    1台を除くすべてのサーバーに障害が発生した場合、すべてのエージェントは以前のサーバーがオンラインになるまで、使用可能なサーバー(3、4、5、など)に接続します。
    その後、DNSは再びエージェント1、2などを利用可能な順番にサーバーに割り当てます=>サーバー1、2、など。
  • (F5のようなロードバランサーによる) Ping Timeは、新しい接続が新しく利用可能になったサーバーにどのくらい早く行けるかを決定することができます。
  • エンドポイントは2つのサーバー (内部と外部) を選択できますが、それ以外は、ロードバランサー (F5など) の実装によって負荷分散されます。

Additional Information

※ このドキュメントは Architecture best practices for deploying DLP Endpoint Prevent Detection Servers を元に作成しています。

Powered by Wolken Software