Palo Alto Networks プラットフォームでゼロ トラスト モデルを実装するには、きめ細やかでコンテキストに応じたポリシー適用を実現するために、次世代機能のフル スイートを活用する必要があります。 - オプション A (正解): App-ID は、ポリシー制御をポート (レイヤー 4) からアプリケーション (レイヤー 7) に移動するために不可欠であり、「承認されたコラボレーション アプリのみを許可する」や「このグループのファイル共有アップロードをすべてブロックする」などのポリシーを有効にし、「明示的に検証」の基礎となります。 - オプション B (正解): User-ID は「誰」のコンテキストを提供し、ユーザー ID に基づいたポリシー (「財務ユーザーのみが ERP アプリにアクセスできるようにする」など) を可能にします。Device-ID と HIP は「どのデバイスか」と「デバイスの状態」を提供し、「準拠した企業ラップトップからの機密データへのアクセスのみを許可する」などのポリシーを有効にし、明示的な検証とデバイスの状態にとって重要です。 - オプション C (正解):これらのゾーン間 (ユーザーゾーンからサーバーゾーン、IoT ゾーンからインターネットゾーンなど) にポリシーが記述され、セグメンテーションの基礎構造が提供され、「侵害想定」シナリオで影響範囲が制限されます。 - オプション D (正解): コンテンツ ID プロファイルは、ポリシーで許可された後にトラフィックの詳細な検査を実行します。これは、「侵害想定」および「常に検証」と一致しており、許可されたアプリケーション トラフィックをスキャンしてマルウェア、エクスプロイト、機密データ、悪意のある URL を検出し、アプリケーション フローの許可または拒否にとどまらない適用を提供します。 - オプション E (不正解): IP/ポート/プロトコルは、場合によっては初期マッチングに、または特定のサービスに引き続き使用されますが、これらの方法のみに依存することは、従来の境界ベースのモデル (レイヤー 3/4) を表し、きめ細やかで ID とアプリケーションを認識するゼロ トラスト原則には不十分です。

ゾーンは、異機種混在環境における一貫したポリシーの基盤となる要素です。 - オプション A (正解): 異なるファイアウォール (クラウド内の VM シリーズ、オンプレミスの PA シリーズ) 間で一貫してゾーン (「Prod-servers」、「User-VLANs」、「DMZ」、「Cloud-App-Tier」など) を定義することで、ネットワーク セグメントの統一された論理ビューを作成できます。その後、特定の物理/仮想インターフェイスや場所に関係なく、これらの論理ゾーン間でポリシーを記述できます。 - オプション B (正解): ゾーンは、基盤となるネットワーク インターフェイスを抽象化します。ゾーンは論理セグメントを表し、そのセグメントに接続するさまざまなインターフェイス (PA シリーズでは物理、VM シリーズでは仮想) が対応するゾーンに割り当てられます。ポリシーはインターフェイスではなくゾーンを参照するため、柔軟性が確保されます。 - オプション C (正解): セキュリティ ポリシー ルールは、基本的に送信元ゾーンと宛先ゾーンに基づいています。異なるファイアウォール間で同じゾーン名と構造を使用することで、「ユーザー VLAN から本番サーバーへの本番アプリケーション トラフィックを許可する」などのポリシーを一度（Panorama などで）記述し、関連するファイアウォールに適用することで、トラフィックの物理的/仮想的な発信元または終端に関係なく、一貫したポリシー適用が可能になります。 - オプション D（不正解）：ゾーンは主にポリシーのセグメンテーションを目的としており、ルーティングを目的としていません。ルーティングは、IP サブネットとネクストホップに基づいて個別に設定されます。 - オプション E（不正解）：App-ID はアプリケーションの識別に不可欠ですが、ゾーンはきめ細かなポリシーを適用するために必要なネットワーク コンテキスト（信頼境界）を提供します。ゾーンのセグメンテーションを行わずに App-ID のみに依存すると、ポリシーが単調になり、セキュリティ体制が低下します。

Panorama の共有セキュリティ プロファイルは [オブジェクト] タブで管理され、変更は管理対象のファイアウォールにプッシュされます。 - オプション A: セキュリティ ポリシーは [ポリシー] の下にありますが、セキュリティ プロファイルは通常 [オブジェクト] の下にあります。 - オプション B (正解): セキュリティ プロファイルは、[Panorama] > [オブジェクト] > [セキュリティ プロファイル] で再利用可能なオブジェクトとして定義されます。ここで共有プロファイルを変更すると、この共有プロファイルを参照するすべてのポリシーとデバイス グループの定義が変更されます。変更後、管理者は Panorama からこのプロファイルを使用する特定のデバイス グループまたは個々のファイアウォールに設定を「プッシュ」する必要があります。ファイアウォールへのプッシュとコミットが正常に完了すると、変更がファイアウォールに反映されます。 - オプション C: これはローカル プロファイルの管理について説明していますが、Panorama 共有プロファイルによって提供される集中管理と一貫性の目的が損なわれます。 - オプション D: 共有プロファイルを変更すると、その定義が更新されます。 - オプション E: Panorama からプッシュされた構成の変更では、ファイアウォールでのコミットが必要ですが、再起動は必要ありません (変更が、再起動を必要とする基本的なネットワーク設定に影響しない限り、プロファイルの変更では通常、再起動は発生しません)。

User-ID は、さまざまなソースから IP とユーザーのマッピングを取得し、ポリシー適用のための ID 認識を提供するように設計されています。ハイブリッド環境では、多くの場合、複数の方法が同時に使用されます。 - オプション A (正解): これは非常に一般的でスケーラブルな方法です。User-ID エージェント (サーバーにインストール) または Cloud Identity Engine コネクタ (クラウドベースの IDP 用) は、イベント ログ (Windows ログインの DCS からのセキュリティ イベント ログなど) を監視したり、認証システムからの syslog メッセージを解析してマッピングを学習したりできます。 - オプション B (正解): 認証ポリシー (ポリシー ベース認証とも呼ばれます) により、ファイアウォールは特定のトラフィックに対してユーザーに直接認証情報を要求し (Web フォームや Kerberos 経由など)、認証が成功するとマッピングを学習します。 - オプション C (正解): キャプティブ ポータルでは、アクセスを許可する前に、ファイアウォールによってホストまたはプロキシされる Web ページを介してユーザーが認証する必要があります。 - オプションD（正解）：TSエージェント（ターミナルサービスエージェント）は、多くのユーザーが同じサーバーIPを共有するマルチユーザーサーバー環境（Citrix、RDSなど）で特に使用されます。エージェントは、そのIP上の特定のポートまたはセッションを個々のユーザーにマッピングすることで、ファイアウォールがきめ細かなポリシーを適用できるようにします。 - オプションE（不正解）：MACアドレスとDHCPの相関関係は、デバイスの追跡や位置情報の取得に役立つ場合がありますが、Palo Alto Networks User-IDでユーザーを直接識別およびマッピングするための標準的かつ信頼性の高い方法ではありません。

このシナリオでは、ゾーンを使用してポリシーを構成する方法と、デフォルトの拒否スタンスの影響についての理解をテストします。 - オプション A (正解): 要件 1 は、「Internal-Users」から「Servers-Proff」へのトラフィック フローを規定しています。これには、このゾーン間トラフィック フローを明示的に許可するポリシー ルールが必要です。 - オプション B (正解): 要件 3 は、「Internet」から「DMZ-Web」へのトラフィック フローを規定しています。これには、このゾーン間トラフィック フローを明示的に許可するポリシー ルールが必要です。 - オプション C (正解): 要件 5 では、「Internet」から Servers-Proff への直接アクセスはないと述べています。これらは異なるゾーンであるため、明示的に許可するポリシー ルールが作成されていない限り、デフォルトのゾーン間デフォルト ルール (拒否) によってこのトラフィックが自動的にブロックされます。このステートメントは正しいです。 - オプションD（正解）：要件6では、「内部ユーザー」から「インターネット」へのトラフィック（HTTPSでのWeb閲覧など）に対する詳細なコンテンツ検査が求められています。詳細な検査（脅威対策、SNIを超えるURLフィルタリング、WildFire、データフィルタリング）には、暗号化されたトラフィックの復号化が必要です。したがって、復号化ポリシーが必要です。 - オプションE（不正解）：App-IDはポリシー内できめ細かな制御を可能にしますが、信頼レベルとアクセス要件が根本的に異なるサーバー（機密性の高い内部データを含む「本番サーバー」と、公開されている「DMZ-Web」）を同じゾーンに配置することは、信頼境界にゾーンを使用するという原則に違反し、ポリシーの作成が大幅に複雑になり、安全性が低下します。ゾーンによるセグメンテーションは、セキュリティ強化の基礎となります。