はじめに
Palo Alto で SASE / SSE を検討する際の中核となるのが Prisma Access です。Prisma Access は、Palo Alto の次世代ファイアウォール(NGFW)と同じ機能をクラウドから提供する SSE で、ネットワーク側を担う Prisma SD-WAN と合わせて Prisma SASE を構成します。
つまずきやすいのは、Prisma Access が NGFW から何を引き継ぐのか、Palo Alto が掲げる「ZTNA 2.0」とは何か、そして Strata Cloud Manager や Panorama でどう管理するのか、という点です。本記事では、Palo Alto の SASE の全体像を整理したうえで、主要コンポーネント、接続の方式、導入の流れ、よくあるトラブルまでを扱います。
なお、SASE / SSE そのものの定義や構成要素(SWG・CASB・ZTNA・FWaaS の役割や、SASE と SSE の違い)は、関連記事『SASE とは|SSE や ZTNA との違いと構成要素のポイント』で扱っています。本記事は、その考え方を Palo Alto の構成に当てはめる位置づけです。
- Palo Alto の SASE の全体像(Prisma Access と Prisma SD-WAN、ZTNA 2.0 の関係)
- NGFW の系譜(App-ID / User-ID)と管理(Strata Cloud Manager / Panorama)
- 主要コンポーネント(SWG・CASB・FWaaS・DNS Security、ZTNA 2.0・DLP)
- アクセスと接続の方式(GlobalProtect、明示プロキシ、拠点・プライベートアプリ)
- 導入・設定の流れと、接続・トンネル・ポリシーに関するトラブルの確認ポイント
Palo Alto の SASE(Prisma Access)の全体像
Palo Alto の SASE は、セキュリティ(SSE)を担う Prisma Access と、ネットワークを担う Prisma SD-WAN を中心に構成されます。両者を合わせた Prisma SASE は、単一ベンダーの SASE として統合コンソールで管理できます。
Prisma Access とは(Prisma SASE と ZTNA 2.0)
Prisma Access は、クラウドネイティブな SSE プラットフォームで、Palo Alto が「ZTNA 2.0」と呼ぶアクセス制御を提供します。Prisma SD-WAN と組み合わせることで、ネットワークとセキュリティを 1 つのベンダーで統合する Prisma SASE になります。
ZTNA 2.0 は、一度の認証で広い範囲へのアクセスを許す従来の考え方(ZTNA 1.0 と表現されます)に対し、接続後も継続的に信頼を検証し、通信内容を深く検査する点を特徴としています。
App-ID と User-ID に基づき、アプリケーション単位で最小権限のアクセスを適用します。用途としては、モバイルユーザー、拠点(Remote Networks)、プライベートアプリへのアクセスが軸になります。
NGFW の系譜と管理(App-ID / User-ID、Strata Cloud Manager / Panorama)
Prisma Access の FWaaS は、Palo Alto NGFW の機能をそのままクラウドから提供します。
参考: Palo Alto Networks — Prisma Access Overview
“Threat prevention, malware prevention, URL filtering, SSL decryption, and application-based policy capabilities are built-in”
(脅威防御・マルウェア防御・URL フィルタリング・SSL 復号・アプリケーションベースのポリシーが組み込まれている)
https://docs.paloaltonetworks.com/prisma-access/administration/prisma-access-overview
L3〜L7 のシングルパス検査、App-ID、User-ID、Threat Prevention、URL Filtering、SSL 復号、WildFire といった NGFW 由来の機能が、クラウドのエッジで動作します。App-ID と User-ID による一貫したセキュリティフレームワークが、ZTNA 2.0 のポリシー適用の基盤になります。
管理は、AI ベースの統合管理コンソールである Strata Cloud Manager、または従来の Panorama で行い、ログは Strata Logging Service に集約されます。利用者の体験を可視化する ADEM(Autonomous Digital Experience Management)も利用できます。
既存の Palo Alto NGFW(PAN-OS)を運用している組織では、App-ID / User-ID やポリシーの考え方をそのままクラウドのエッジへ広げられる点が、Prisma Access を選ぶ際の判断材料になります。
なお、機能や管理ツールの対応は変わりうるため、実際の検討にあたっては Palo Alto の最新ドキュメントでの確認を推奨します。
Prisma Access の主要コンポーネント
Prisma Access は、NGFW 由来のセキュリティ機能をクラウドから統合提供します。Web・SaaS・通信全般を守る Cloud SWG・CASB・FWaaS・DNS Security と、アクセス制御を担う ZTNA 2.0、保護を補強する DLP・Threat Prevention を備えます。
SWG / CASB / FWaaS / DNS Security
それぞれの役割は次のとおりです。
- Cloud SWG(Secure Web Gateway)
-
インターネットや SaaS へのアクセスを検査し、URL フィルタリングや SSL 復号で保護します。SSL 復号の考え方は、既存の PAN-OS / 復号関連記事も参考になります(該当記事があれば、ここに内部リンクを設置)。
- CASB(Cloud Access Security Broker)
-
SaaS の利用を可視化・制御します。インライン CASB に対応します。
- FWaaS(Firewall as a Service)
-
Palo Alto NGFW の機能をそのまま提供します。L3〜L7 のシングルパス検査、App-ID、User-ID、Threat Prevention、WildFire を含みます。
- DNS Security
-
悪性ドメインへの接続をブロックします。
これらの機能は、Strata Cloud Manager / Panorama で一元的に管理します。
(参考: https://docs.paloaltonetworks.com/prisma-access/administration/prisma-access-overview )
いずれも Palo Alto NGFW と同じ App-ID / User-ID やセキュリティプロファイルの考え方を流用できる点が、既存の Palo Alto 利用者にとっての利点になります。
ZTNA 2.0 と DLP / Threat Prevention
社内アプリへのアクセス制御は ZTNA 2.0 が担います。ZTNA 2.0 は、接続後も継続的に信頼を検証し、通信内容を深く検査する点を特徴とし、App-ID に基づいてアプリ単位で最小権限のアクセスを適用します。
- DLP(Data Loss Prevention)
-
機密データの外部流出を検知・防止します。
- Threat Prevention / WildFire
-
既知・未知の脅威やマルウェアを検知・防御します。
ZTNA 2.0 では、App-ID と User-ID による一貫したポリシーで「誰が・どのアプリへ」を制御し、許可後も検査を継続する点が、従来型のアクセス制御との違いになります。
アクセスと接続の方式
Prisma Access への接続は、モバイルユーザー向けと拠点・プライベートアプリ向けで方式が分かれます。用途に応じて使い分けます。
モバイルユーザー(GlobalProtect / 明示プロキシ / エージェントレス)
モバイルユーザーの接続方式は次の 3 つです。
- GlobalProtect
-
端末にインストールしたアプリで通信を Prisma Access へ送ります。常時接続(always-on)、ログオン前接続(pre-logon)、オンデマンドに対応し、IPsec / SSL トンネルを用います。
- 明示プロキシ(Explicit Proxy)
-
GlobalProtect エージェントのプロキシモードや PAC ファイルで、インターネット・SaaS 向け通信を保護します。Tunnel and Proxy Mode では、インターネット通信は明示プロキシへ、プライベートアプリ向け通信はトンネルへ、と振り分けられます。
- クライアントレス VPN(エージェントレス)
-
SSL 対応ブラウザからアプリへアクセスする方式で、エージェントのインストールが不要です。パートナーや業務委託先、未管理端末に向きます。
モバイルユーザーのライセンスは、GlobalProtect と明示プロキシで分けて割り当てることもできます。
拠点とプライベートアプリ(Remote Networks / Service Connection / ZTNA Connector)
拠点やプライベートアプリへの接続には、次の方式があります。
- Remote Networks
-
拠点を IPsec トンネルで接続し、クラウドベースの NGFW で保護します。静的ルートや BGP による動的ルーティングに対応し、オンボードした拠点はフルメッシュで接続されます。
- Service Connection
-
本社やデータセンターのリソースへの接続を担い、プライベートアプリへのアクセスに用います。
- ZTNA Connector
-
プライベートアプリへの接続を自動化する方式です。
参考: Palo Alto Networks — Prisma Access ZTNA Connector
“provides mobile users and users at branch locations access to your private apps using an automated secure tunnel”
(モバイルユーザーや拠点の利用者に、自動化された安全なトンネルでプライベートアプリへのアクセスを提供する)
https://docs.paloaltonetworks.com/prisma-access/administration/ztna-connector-in-prisma-access
モバイルは用途に応じて GlobalProtect・明示プロキシ・クライアントレスを使い分け、プライベートアプリへの接続は ZTNA Connector を使うと、IPsec トンネルやルーティングの手動構成を省ける点が、設計上のポイントになります。
導入・設定の流れ
Prisma Access はクラウドサービスのため、設定は Strata Cloud Manager(または Panorama)での操作が中心です。新規導入では、ベストプラクティスの既定値を用意するオンボーディングワークフローが用意されています。
参考: Palo Alto Networks — Prisma Access Onboarding Workflow
“automated Day 0 Security policy creation and simplified configuration”
(Day 0 のセキュリティポリシーの自動作成と、設定の簡素化)
https://docs.paloaltonetworks.com/prisma-access/activation-and-onboarding/onboard-prisma-access
段階的なロールアウト(VPN からの移行)
セットアップの大枠は次のとおりです。
Strata Cloud Manager にログインし、信頼 IP(IP Restrictions)で管理接続元を限定します。あわせてライセンスを確認します。
Prisma Access のコンポーネントを有効化・インストールします。オンボーディングワークフローが、ライセンスに応じて必要な項目(Day 0 ポリシー作成、Cloud Identity Engine 連携など)を案内します。
GlobalProtect・Explicit Proxy・Service Connection・Remote Networks を設定します。共通の IPsec テンプレートや、推奨カテゴリへの SSL 復号といった既定値を利用できます。
GlobalProtect アプリや PAC ファイルを MDM などで配布します。Explicit Proxy を使う場合は、その IP アドレスを社内の許可リストに追加します。
NGFW と Prisma Access に設定を反映します。初回はすべての設定をプッシュし、問題が生じた場合は以前の設定へリバートできます。
VPN からの移行は、段階的に進めるのが現実的です。まずモバイルユーザーのインターネット保護(GlobalProtect または Explicit Proxy)から始め、次に拠点(Remote Networks)、その後プライベートアプリ(Service Connection / ZTNA Connector)へ広げる、という順序が無理がありません。
オンボーディングワークフローがベストプラクティスの既定値と Day 0 ポリシーを用意するため、初期構成の負担を抑えながら範囲を広げられます。
よくあるトラブルと対処
Prisma Access のトラブルは、設定値そのものより、ポリシー(特に ZTNA のデフォルト拒否)、トンネルの確立、設定の反映に原因があることが少なくありません。これらを順に確認すると、切り分けが進めやすくなります。
接続・トンネル・ポリシーの確認ポイント
代表的な確認の観点は次のとおりです。
- ポリシー(ゼロトラストのデフォルト拒否)
-
ZTNA で対象アプリへの通信を許可するセキュリティルールを作成しないと、通信がブロックされます。
参考: Palo Alto Networks — ZTNA Connector Requirements and Guidelines
“the ‘Zero Trust’ default-deny policy will block all user sessions”
(「ゼロトラスト」のデフォルト拒否ポリシーが、すべてのユーザーセッションをブロックする)
https://docs.paloaltonetworks.com/prisma-access/administration/ztna-connector-in-prisma-access/ztna-connector-requirements-and-guidelinesワイルドカードの FQDN(例:
*.corp.local)でアプリを定義した場合は、セキュリティポリシーの宛先オブジェクトがそのワイルドカードに一致しているか(または該当のサブネットを含むか)を確認します。 - トンネル(IPsec)
-
拠点との接続では、Prisma Access を VPN レスポンダ(IKE パッシブモード)、オンプレミス側をイニシエータにする構成が推奨されます。トンネルが確立しない場合は、Panorama や Strata Cloud Manager のシステムログを確認します。
- ZTNA Connector の MTU
-
経路が UDP ペイロード 1,300 バイト(ヘッダ含む)に対応しているかを確認し、フラグメントを避けます。
- Explicit Proxy
-
使用する IP アドレスを社内の許可リストに追加できているかを確認します。
- 設定の反映(Push)
-
Push Status で反映状況を確認し、問題があれば設定をリバートします。
確認には、Strata Logging Service のログや、Command Center / Insights、ADEM を用いて、エンドポイント・経路・アプリのどこに原因があるかを切り分けます。上流への到達性をパケットレベルで確認したい場合は、関連記事『Wireshark のフィルタ書き方と複数条件の使い分け|TCP 再送と HTTP エラーの追跡』も参考になります。
切り分けは「ポリシー(ZTNA のデフォルト拒否)→ トンネル → 設定の Push」の順に進めると、原因を絞り込みやすくなります。
まとめ
- Palo Alto の SASE は、SSE を担う Prisma Access と、ネットワークを担う Prisma SD-WAN を中心に構成します(Prisma SASE)
- Prisma Access は NGFW 由来の機能をクラウドから提供し、App-ID / User-ID に基づく ZTNA 2.0 で継続的な検証と深い検査を行います。
- 主要コンポーネントは Cloud SWG・CASB・FWaaS・DNS Security と ZTNA 2.0 で、DLP・Threat Prevention が保護を補強します。
- モバイルは GlobalProtect・明示プロキシ・クライアントレスで接続し、用途に応じて使い分けます。
- 拠点は Remote Networks、プライベートアプリは Service Connection / ZTNA Connector で接続します。
- 管理は Strata Cloud Manager / Panorama で、オンボーディングワークフローが Day 0 ポリシーを用意します。
- 効かないときは「ポリシー(ZTNA のデフォルト拒否)→ トンネル → 設定の Push」を確認します。
以上、最後までお読みいただきありがとうございました。
