推奨ネットワークポリシー
組織のインターネットおよびSaaSアプリのセキュリティ戦略を構築するために、以下のネットワークポリシーを追加することをお勧めします。
ネットワークポリシーの構築に関する詳細は、ネットワークポリシーを参照してください。
Quarantined-Users-NET-Restricted-Access
Restrict access for users included in an identity provider (IdP) user group for risky users. This policy ensures your security team can restrict traffic for users of whom malicious or suspicious activity was detected.
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれない | Quarantined-Users-IPAllowlist | または | ブロック |
| SNI | リストに含まれない | Quarantined-Users-HostAllowlist | または | |
| ドメインSNI | リストに含まれない | Quarantined-Users-DomainAllowlist | かつ | |
| ユーザーグループ名 | 含まれる | Quarantined Users |
Posture-Fail-NET-Restricted-Access
ベースラインのポスチャーチェックに合格していないデバイスのアクセスを制限します。ポスチャーチェックがCrowdstrikeやIntuneなどのサービスプロバイダーとAPIを介して統合されている場合、このポリシーは事前に定められたセキュリティ要件を満たさないデバイスのアクセスを動的にブロックします。
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれない | Posture-Fail-IPAllowlist | または | ブロック |
| SNI | リストに含まれない | Posture-Fail-HostAllowlist | または | |
| ドメインSNI | リストに含まれない | Posture-Fail-DomainAllowlist | かつ | |
| デバイスポスチャーチェック合格 | 含まれない | Windows 10 以上 (OSバージョン) |
必要に応じて、ディスク暗号化やドメイン参加など、WARPクライアントデバイスのポスチャーチェックを追加できます。デバイスポスチャーチェックに関する詳細は、デバイスポスチャーの強制を参照してください。
FinanceUsers-NET-HTTPS-FinanceServers (例)
ユーザーグループにHTTPSアクセスを許可します。たとえば、以下のポリシーはファイナンスユーザーに既知の金融アプリケーションへのアクセスを提供します。
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれる | Finance Servers | かつ | 許可 |
| ユーザーグループ名 | 含まれる | Finance Users |
All-NET-Internet-Blocklist
悪意のある、または組織に脅威を与える宛先IP、SNI、およびドメインSNIへのトラフィックをブロックします。
You can implement this policy by either creating custom blocklists or by using blocklists provided by threat intelligence partners or regional Computer Emergency and Response Teams (CERTs). Ideally, your CERTs can update the blocklist with an API automation to provide real-time threat protection.
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれる | IP Blocklist | または | ブロック |
| SNI | リストに含まれる | Host Blocklist | または | |
| ドメインSNI | リストに含まれる | Domain Blocklist |
All-NET-SSH-Internet-Allowlist
特定のユーザーのために、インターネット上の特定のエンドポイントへのSSHトラフィックを許可します。他の非ウェブエンドポイントへのアクセスが必要な場合は、同様のポリシーを作成できます。
オプションで、ソースIPまたはIdPグループでフィルタリングするためのセレクタを含めることができます。
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれる | SSHAllowList | または | 許可 |
| SNI | リストに含まれる | SSHAllowlistFQDN | かつ | |
| 検出されたプロトコル | は | SSH | かつ | |
| ユーザーグループ名 | 含まれる | SSH-Allowed-Users |
All-NET-NO-HTTP-HTTPS-Internet-Deny
インターネットへのすべての非ウェブトラフィックをブロックします。検出されたプロトコルセレクタを使用することで、HTTPおよびHTTPSの代替ポートが許可されることを確認します。
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| 宛先IP | リストに含まれない | InternalNetwork | かつ | ブロック |
| 検出されたプロトコル | リストに含まれない | HTTP, HTTP2 |
All-NET-InternalNetwork-ImplicitDeny
リストに含まれるすべての内部IP範囲を暗黙的に拒否します。このポリシーは、上記のポリシーで定義されたトラフィックを明示的に承認するために、ポリシーリストの下部に配置することをお勧めします。
| セレクタ | 演算子 | 値 | アクション |
|---|---|---|---|
| 宛先IP | リストに含まれる | Internal Network IPs | ブロック |