Multicloud Defense Controllerの機能拡張
バージョン 23.10(2023 年 10 月 31 日)
機能
このリリースには、次の機能が含まれています。
クラウドプロバイダー:
-
GCP フォルダのオンボーディング
-
AWS ゲートウェイ IMDSv2
ポリシー
-
転送プロキシサーバー証明書の検証
メトリック
-
インスタンスごとのメトリック(CPU とメモリを含む)
ユーザビリティ
-
すべてのオブジェクトとプロファイルのページネーション
-
すべてのオブジェクトとプロファイルのフィルタリングと詳細検索
-
脅威レポートの拡張
-
ゲートウェイインスタンスの SSH アクセスのテレポート統合
その他
-
パフォーマンスの向上
-
運用の改善
-
バグ修正と安定性の改善
拡張機能
このリリースには、次の拡張機能が含まれています。
-
ID に基づいてルールを検索および表示する際の使いやすさを向上させるために、ネットワーク侵入(IDS/IPS)およびアプリケーション保護(WAF)の脅威調査のルール ID 列が有効になりました。
-
フォルダ階層構造内に含まれるすべてのプロジェクトのアセットとトラフィックの検出に対応するために、GCP フォルダ階層のオンボーディングのサポートを追加します。GCP フォルダのオンボーディングにより、アセットとトラフィックの検出は許可されますが、完全なオーケストレーションは許可されません。検出は、GCP プロジェクト内で行われた変更にリアルタイムで適応する動的ポリシーを作成するために有益であり、必要です。プロジェクト内でオーケストレーションを行うには、オーケストレーションが必要な各プロジェクトを個別にオンボーディングする必要があります。
-
AWS に展開されるすべてのゲートウェイが IMDSv2 を使用して AWS の推奨事項に準拠するようにし、展開されるすべてのインスタンスが IMDSv1 ではなく IMDSv2 を使用するように制限するよう組織のポリシーを設定します。新しいゲートウェイが AWS に展開されると、メタデータバージョンは IMDSv2 のみを使用するように設定されます。
-
すべてのプロファイルとオブジェクトにページネーションを追加して、高速で効率的な表示を実現します。
-
すべてのオブジェクトとプロファイルにフィルタ機能と詳細検索機能を追加します。
-
バックエンド(ゲートウェイからサーバーへ)TLS セッションをネゴシエートするときにサーバー証明書を検証するように、転送プロキシポリシーを拡張します。証明書の検証はデフォルトでは無効になっていますが、すべての TLS セッションの復号プロファイルで、およびドメイン(またはドメインのセット)ごとに FQDN 一致オブジェクトで設定できます。
-
脅威レポートの再設計。脅威レポートの生成は、[レポート(Reports)] タブから実行できます。
-
帯域幅、接続レート、アクティブな接続、および HTTP 要求レートのインスタンスごとの統計を表示する機能を追加します。また、インスタンスごとのメモリと CPU 統計も追加されます。メトリックは、
ページに表示されます。 -
リバース SSH に対応するためのテレポートとの統合により、特にゲートウェイがパブリック IP なしでオーケストレーションされている場合に、ゲートウェイインスタンス管理インターフェイスへの SSH を容易にします。SSH に対する要件はまれであり、高度なトラブルシューティングを目的とする場合のみ必要です。インバウンド通信は、クラウド サービス プロバイダーの制限(セキュリティグループ、ネットワーク セキュリティ グループ、ファイアウォールルール)を使用してデフォルトで禁止されます。
修正
このリリースには、次の修正が含まれています。
-
Azure のキャパシティの問題が原因で展開に失敗した Azure のゲートウェイがコントローラによって削除されない問題を修正します。
-
ユーザー提供の GCP サービス VPC に展開されたゲートウェイからゾーンを削除しても、ロードバランサのターゲットプールからインスタンスが削除されない問題を修正します。
-
スケールイン操作中に Azure V5 インスタンスが完全に削除されない問題を修正します。
-
さまざまなシステムログメッセージを拡張し、エラーメッセージ情報を改善します。
-
X-Forwarded-For(XFF)ヘッダーに複数の IP アドレスが含まれている場合、XFF ヘッダーの IP アドレスの GeoIP 情報の評価が適切に機能しない問題を修正します。
-
GCP ロギングへのログ転送を修正し、JSON エンコード文字列ではなく実際の JSON 構造を送信します。
-
カスタムタグが適用されている Azure ゲートウェイをアップグレードすると、ロードバランサからの正常性チェックの問題が原因で新しいゲートウェイインスタンスが起動しない可能性がある問題を修正します。
-
ログとイベントビューで使用可能なタイムラインの調整が正しく動作しないさまざまな問題を修正します。
-
復号プロファイルなしでセキュアなプロキシ設定を行うと、プロキシが非セキュアなプロキシとして誤って動作する問題を修正します。この修正により、セキュアなプロキシの設定時に復号プロファイルが指定されていることを確認するために、プロキシ設定が検証されます。
-
関連リソースへのアクティブリンクが表示されない、または一貫して機能していないルールセット、オブジェクト、およびプロファイルのさまざまな問題を修正します。
-
ログ転送が修正され、すべてのフィールドに列挙値ではなくわかりやすい名前が表示されるようになります。これにより、各ログ/イベントでエクスポートされる JSON は、UI に表示されるのと同じ情報をサードパーティの SIEM で表示します。
-
使いやすさを向上させるために、さまざまな UI および UI ベースのワークフローのニュアンスを修正します。
-
[調査(Investigate)] タブのすべてのログとイベントビューからローカル時刻と UTC 時刻を選択する機能が再導入されます。
-
詳細検索フィールドで操作し、検索文字列を指定する際のさまざまなユーザビリティの問題に対処します。
バージョン 23.09(2023 年 9 月 30 日)
機能
このリリースには、次の機能が含まれています。
クラウドプロバイダー
-
OCI での追加のリージョンサポート。
ポリシー
-
GCP の ICMP 転送ポリシー。
ユーザビリティ
-
すべてのプロジェクトとプロファイルでのページネーション。
-
サービス VPC(VNet)ワークフローでの Azure リソースグループ(RG)の作成。
統合
-
Splunk および MS Teams への監査およびシステムログアラート。
-
Datadog に転送されるゲートウェイメトリック。
その他
-
パフォーマンスの向上.
-
運用の改善。
-
バグ修正と安定性の改善。
拡張機能
このリリースには、次の機能拡張が含まれています。
-
OCI の追加リージョンである、アムステルダム、ドイツ、ロンドン、フランス(パリ、マルセイユ)のサポートを追加します。
-
デフォルトの OCI リージョンを変更するためのサポートを追加します。これは、コントローラが最初に OCI と通信するために使用するリージョンです。現在定義されているデフォルトの OCI リージョンはサンノゼですが、サポートされているリージョンに変更できるようになりました。これを変更するには、サポートに連絡してください。
-
トラフィックサマリーログとセキュリティイベントページに、検索をクリアしてログ/イベントを完全に更新できる [クリア(Clear)] ボタンを提示します。
-
GCP= に展開される Egress/East-West ゲートウェイの ICMP ベースの転送ポリシーのサポートを追加します。
-
すべてのオブジェクトとプロファイルでページネーションのサポートを追加します。
-
監査ログとシステムログを Splunk に送信するためのサポートを追加します。これにより、Splunk を新しい宛先として追加することで、アラートプロファイルが更新されます。
-
監査ログとシステムログを Microsoft Teams に送信するためのサポートを追加します。これにより、MicrosoftTeams を新しい宛先として追加することで、アラートプロファイルが更新されます。
-
サードパーティ製 SIEM へのゲートウェイメトリックの送信のサポートを追加します。これにより、ゲートウェイメトリックを SIEM に送信するために、設定してゲートウェイに割り当てることができる新しいメトリック転送プロファイルが導入されます。最初の導入では、Datadog を SIEM としてサポートします。他の SIEM のサポートは、今後のリリースで予定されています。
-
サービス VPC(VNet)作成の一部として Azure リソースグループ(RG)を作成するためのサポートを追加します。RG は、コントローラによってオーケストレーションされるすべてのリソースを指定した(または新しく作成した)RG 内で関連付けるために必要です。
修正
この更新には、次の修正が含まれています。
-
すぐに適用されるゲートウェイ設定を変更すると、パブリック IP の設定を使用するように認識された変更により、不要な青色/緑色のゲートウェイの交換がトリガーされる可能性がある問題を修正します。
-
AWS のゲートウェイを無効なクロスアカウント CMEK から有効な同一アカウント CMEK に変更しようとすると失敗する問題を修正します。
-
トラフィックサマリーログ、セキュリティイベント、システムログ、および監査ログを表示する際の Investigate ビューの時間範囲セレクタに関するさまざまな問題を修正します。
-
ポリシー規則セットからゲートウェイへのページから、ポリシー規則セットに関連付けられたさまざまなリソースページへのアクティブリンクが正しく機能していなかった問題を修正します。
-
Valtix アラートルールプロファイルの Terraform エクスポートでシビラティ(重大度)引数がエクスポートされなかった問題を修正します。
-
Azure ゲートウェイのデフォルトのインスタンスタイプを AZURE_D2S_V5 に更新します。
-
セキュリティおよび非セキュアプロキシを設定する際のさまざまなワークフローの問題を修正します。これらの修正では、ソリューションが共通ポートを自動的に選択するのではなく、ユーザーが目的のポートを明示的に指定する必要があります。
-
ユーザーがセキュリティプロキシを設定するときに復号プロファイルが指定されていることを検証することで、プロキシ設定のワークフローを改善する問題を修正します。復号プロファイルは、ゲートウェイが適切な証明書を発行するために必要です。
-
UI ワークフローを使用してゲートウェイを作成するときに JSON エラーメッセージが発生する問題を修正します。
-
使いやすさを向上させるために、さまざまな UI 関連の動作を修正します。
-
ゲートウェイの展開に予想よりも時間がかかる問題を修正します。
-
最小/最大インスタンス設定のユーザー設定に基づいて、コントローラが必要以上のゲートウェイインスタンスをインスタンス化する可能性があるコーナーケースを修正します。
-
パブリック IP なしで Azure にゲートウェイを展開すると失敗する問題を修正します。
-
無効化ゲートウェイアクションのシステムログメッセージのシビラティ(重大度)を [高(High)] から [情報(Info)] に変更します。
-
さまざまなエラーメッセージをわかりやすくし、あいまいさを軽減します。
バージョン 23.08(2023 年 8 月 21 日)
機能
このリリースには、次の機能が含まれています。
-
TCP/TLS 転送プロキシのサポート。
-
CPU ベースの自動スケーリングのサポート。
-
トラブルシューティングの機能拡張。
拡張機能
このリリースには、次の機能拡張が含まれています。
-
転送プロキシサービスオブジェクトを機能拡張して、TLS および TCP プロキシ設定を許可します。プロキシは、取得したドメインを使用してバックエンド接続の接続先 DNS 検索を実行するために、トラフィックからドメイン(ホストヘッダーまたは SNI)を取得する必要があるため、HTTP または TLS 暗号化トラフィックでのみ動作します。
-
パブリック IP を無効にする設定に変更された場合に、青色/緑色ゲートウェイの置換を実行するようにゲートウェイを拡張します。
-
[FQDN] 列を、イーグレス/East-West ポリシー規則セットのデフォルトの表示列にします。
-
ゲートウェイ展開 CSP リソース検証チェックに必要な CSP リソース数を追加します。
-
転送プロキシ サービス オブジェクトを作成するときに、HTTP および HTTPS プロトコルの宛先ポートを自動入力します。
修正
このリリースには、次のバグ修正が含まれています。
-
複数のアドレスプレフィックスを含む Azure サブネットが Controller によって適切に処理されない問題を修正します。
-
FQDN オブジェクトにより、ポリシーの暗黙的な拒否アクションが原因で、一致するトラフィックが拒否される問題を修正します。
-
ページネーションを導入すると、リソースの詳細へのリダイレクトが失敗する問題を修正します。
-
ポリシー規則セットからアドレスオブジェクトへのリダイレクトが失敗する問題を修正します。
-
ポリシー規則セットの保存後に [ページから移動(Leave page)] ダイアログボックスがポップアップ表示される問題を修正します。
-
ポリシー規則セット内から規則を作成しようとすると、無効な JSON エラーメッセージがスローされる問題を修正します。
-
ゲートウェイの初期展開時に Controller が必要以上のインスタンスを作成する問題を修正します。
-
Azure オンボードアカウントのログイン情報を更新しようとすると、更新されたログイン情報の適用に失敗し、2 回目の試行が必要になる問題を修正します。
-
展開に何分もかかって展開エラーが発生する可能性がある、Azure ゲートウェイの展開に関する問題を修正します。
-
マルチテナント導入で、ユーザーがプロファイルを編集してデフォルトのテナントログインを設定できない問題を修正します。
-
Easy Setup を介したイーグレス/East-West ゲートウェイの展開が失敗してエラーメッセージが表示される問題を修正します。
-
AWS ヨーロッパ(フランクフルト)(eu-central-2)リージョンでインベントリ検出を有効にできない問題を修正します。
-
管理者スーパーユーザーが他の管理者スーパーユーザーを変更または削除できない問題を修正します。
-
Multicloud Defense Controller ダッシュボードのログアウトで、完全にログアウトするために複数回のログアウト試行が必要になる問題を修正します。
-
誤った検索結果を生成するさまざまな詳細検索関連の動作を修正します。
-
ページネーション導入の結果として、さまざまな詳細検索の問題を修正します。
-
[トラフィックの概要(Traffic Summary)] ビューと [イベントログ(Events Logs)] ビューの時間セレクタのさまざまな動作を改善します。
-
REST API への呼び出しによって返されるさまざまなエラーメッセージの問題を修正します。
-
さまざまな UI 表示の問題を修正します。修正:Controller と UI のパフォーマンスを改善し、安定性を向上させます。
バージョン 23.07(2023 年 7 月 20 日)
機能
このリリースには、次の機能が含まれています。
-
パフォーマンスの向上.
-
Controller 操作の改善。
-
バグ修正と安定性の改善。
拡張機能
このリリースには、次の機能拡張が含まれています。
-
アラートプロファイルの Terraform エクスポートの UI に Terraform オプションのサポートが追加されました。
-
ページネーションを活用して、多数のリソース(ポリシー規則セット、アドレスオブジェクト、サービスオブジェクト)の表示速度を向上させます。
修正
このリリースには、次のバグ修正が含まれています。
-
オブジェクトビュー(アドレスオブジェクト、サービスオブジェクト)にページネーションを導入すると、詳細検索が想定どおりに機能しない問題を修正します。
-
UI での監査ログとシステムログの表示が 30 日間に制限される問題を修正します。Controller は監査ログとシステムログを無期限に保存します。過去のログを任意の日数表示できるように UI が更新されました。
-
エクスポートされた Terraform に誤ったリソース ID が含まれる、アラートプロファイル Terraform エクスポートの問題を修正します。
-
Azure サブスクリプションのアカウントエクスポートに関連した問題を修正して、適切な引数がエクスポートされるようにします。
-
アカウントの作成および更新操作に REST API を使用する場合の拡張エラーレポートへの対処に関連した問題を修正します。
-
[復号プロファイルの詳細(Decryption Profile Details)] ビューの UI 配置の問題を修正しました。
-
ダッシュボードウィジェットの表示に関連した UI の配置の問題を修正しました。修正:Terraform へのアラートプロファイルのエクスポートのサポートを有効にします。
-
GCP ロードバランサインスタンスの状態が不明なときに、インスタンス正常性が正常を返す可能性がある問題を修正します。
-
詳細検索を適用すると行の高さが増大する、[調査(Investigate)] -> [ログ(Logs)] の表示の問題を修正します。
-
UI テーブルヘッダーの列ラインが表示されず、列幅のサイズ変更が困難になる表示の問題が修正されました。
-
インベントリリージョン収集を有効にしようとすると、AWS 接続の問題が原因でエラーが発生する可能性がある問題を修正します。
-
CSP を削除しようとするとエラーが生成されるときに表示されるメッセージを修正します。
-
アラート サービス プロファイルの表示の問題を修正して、Webex URL が表示されるようにします。
-
[ディスカバリ(Discovery)] -> [トポロジ(Topology)] ビューの表示に関する問題を修正し、レンダリングが 1 回だけ実行されるようにします。
-
[トポロジ(Topology)] ビューでの [新規作成(Create New)] 操作が正しく機能しなかった問題を修正します。
-
ゲートウェイの展開が UI ではブロック操作になっていた問題を修正します。この修正により、ゲートウェイの展開がブロックではない操作になります。
-
ゾーンの誤った仕様を使用してゲートウェイを展開すると、ゲートウェイがシステムログメッセージなしで非アクティブとして展開される問題を修正します。
-
[検出(Discovery)] ビューの [ルール(Rules)] ボタンと [アクション(Actions)] ボタンの位置のずれを修正します。
-
REST API を使用してゲートウェイを展開した結果、エラー状態になった場合のメッセージを修正します。
-
ゲートウェイ名の詳細検索でゲートウェイの完全なリストが入力されない問題を修正します。
-
サインアウト操作の機能が一貫していない問題を修正します。
-
[ポリシー規則セット(Policy Rule Set)] テーブルの表示に想定以上に時間がかかる問題を修正します。