複数のデバイス/サービスにわたる包括的なレポートを生成するには、データの可用性と正しいレポート設定が必要です。 - オプション A (正解): 個々のファイアウォール/Prisma Access ノードでポリシー ルール ログを有効にする必要があります。拒否ルールでログ記録が有効になっていない場合、そのルールにヒットしたセッションはトラフィック ログに記録されません。 - オプション B (正解): ログは Panorama (または Panorama が CDL に転送している場合は CDL) で正常に収集される必要があります。ログが正しく転送されない場合、中央リポジトリにデータが保存されません。 - オプション C (正解): 許可/拒否されたセッションの詳細が含まれるため、「トラフィック」ログ タイプを使用し、「拒否」アクションでフィルタリングします。 - オプション D (正解): 要求された情報 (ルール名、ユーザー、アプリケーション) を表示するには、これらのフィールドをレポート出力の列として含める必要があります。ファイアウォール ログは、この情報を取得します (ユーザー ID とアプリケーション ID が動作していたと仮定)。 - オプション E (不正解): システム ログはファイアウォールの動作イベント用であり、拒否されたトラフィック セッションの詳細用ではありません。

Prisma Access のモバイル ユーザー向けセキュリティ ポリシー ルールでは、ゾーンを使用してユーザー側と宛先側 (パブリック インターネットまたは内部サービス接続) を表し、User-ID と App-ID を使用してきめ細かい制御を行います。 - ソース ゾーン: リモート ユーザーは、Prisma Access の「モバイル ユーザー」ゾーンに接続します。 - 宛先ゾーン: パブリック SaaS アプリケーションには、「パブリック」または「インターネット」ゾーン経由でアクセスします。 - ソース ユーザー: ユーザー グループで制限するには、「エンジニアリング」ユーザー グループを指定します。 - アプリケーション: ポリシーは、App-ID で識別される特定のアプリケーション「engineering-saaS」に一致する必要があります。 - アクション: この特定のユーザー グループとアプリケーションに対するアクションは「許可」です。 オプション A はこれらの要素を正しく組み合わせています。オプション B はゾーンを逆にしています。オプション C は、ソースに User-ID ではなく IP アドレスを使用しますが、動的 IP を持つモバイル ユーザーには効果が低くなります。オプション E では、エンジニアリング チームだけでなく、すべてのユーザーがアプリケーションにアクセスできるようになります。

セキュリティポリシールールに「送信元ユーザー」（または「宛先ユーザー」）基準が含まれており、ファイアウォールに該当のIPアドレスのユーザーマッピングがない場合、ファイアウォールはIDに基づいてルールを評価できません。Palo Alto Networksのポリシーロジックでは、ルールに特定のユーザーやグループなどの基準が指定されているにもかかわらず、その基準を評価するために必要な情報（ユーザーマッピングなど）が欠落している場合、トラフィックはそのルールに一致しません。つまり、User-ID/Device-IDを利用するルールの場合、必要なマッピングを持たないIPからのトラフィックは、そのマッピングを必要とするルールに一致しません。その下位に、トラフィックを許可するより広範なルール（「任意の」ユーザールールなど）がない場合、トラフィックは最終的にデフォルトの拒否ポリシーに該当します。ユーザー/グループを指定することは、本質的に「これらの識別されたユーザー/グループのみを許可する」という意味になります。不明なユーザーからのトラフィックはこのルールに一致せず、ポリシーリストの下位に進み、暗黙的または明示的な拒否に該当する可能性があります。オプションBは、ルールがユーザーIDの一致を必要としますが、それが存在しないため、典型的な結果を最も正確に説明しています。オプションAは誤りです。非表示のデフォルトの許可はありません。オプションCは、ユーザーフィールドを含むセキュリティルールが一致しなかったために自動的に発生するのではなく、ゾーンなどの基準に基づいて別の認証ポリシールールまたはキャプティブポータル構成がトリガーされた場合にのみ発生します。オプションDは誤りです。ファイアウォールは指定されたすべての基準を評価しようとします。オプションEは誤りです。初期セッションのセットアップとポリシー検索は低速パスで行われ、ID検索はそのプロセスの一部です。

リモート ユーザーから内部リソースへのアクセスをセグメント化するには、リモート ユーザーと内部セグメントの両方のゾーンを定義し、それらの間にポリシーを適用する必要があります。 - オプション A (正解): 制御する必要がある内部ネットワーク セグメントは、ファイアウォール上で個別のセキュリティ ゾーンとして定義する必要があります。 - オプション B (正解): GlobalProtect ユーザーに割り当てられた IP アドレス プールは、専用のセキュリティ ゾーン (「VPN ゾーン」) に関連付ける必要があります。これは、ファイアウォールに入るリモート ユーザー トラフィックの送信元ゾーンとして機能します。 - オプション C (正解): セキュリティ ポリシー ルールは、リモート ユーザー ゾーン (「VPN ゾーン」) から、ユーザーがアクセスする必要がある特定の内部セグメント/ゾーン (「Prod-Zone」、「Dev-Zone」) へのトラフィック フローを許可するように記述されます。これらのルールには、ユーザー ID、アプリケーション ID などの条件が含まれます。 - オプション D (正解): GlobalProtect トンネルを終了し、VPN ユーザー IP プールで構成されているファイアウォール上のインターフェイスは、「VPN ゾーン」に割り当てる必要があります。これにより、リモート ユーザーから発信されたトラフィックがポリシー検索のためにそのゾーンに正しく関連付けられるようになります。 - オプションE（不正解）：ゾーン内トラフィックは暗黙的に許可されますが、これは同じゾーンに割り当てられたインターフェース間のトラフィックに適用されます。同じゾーン内の異なるIP間のトラフィックは、論理フローがゾーン間である場合（ここではゾーン間ではありませんが、これはインターフェースではなくゾーン内のユーザーに関する記述です）、ゾーン間ポリシーの対象となります。さらに重要なのは、リモートユーザー間のトラフィックは通常、必要に応じて「VPNゾーン」内のポリシーによって明示的に制御されるか、スプリットトンネリングが設定されていない場合はインターネットに出て戻ってくる可能性があるものの、暗黙的な許可は、同じゾーン内のインターフェース間でファイアウォールを通過するトラフィックに適用されます。

オンボーディングが成功するには、ION デバイスが起動し、ネットワーク接続を取得し、クラウド コントローラ名を解決し、クラウド プラットフォームに対して自身を認証できることが条件となります。 - オプション A (正解): ION デバイスは、クラウド接続のためにインターネットに到達することを含め、ネットワーク上で通信するために基本的なネットワーク接続構成 (IP、マスク、ゲートウェイ) が必要です。 - オプション B (正解): ION デバイスには、Prisma SD-WAN クラウド コントローラおよびサービスに接続するために、パブリック インターネットへのパスが必要です。 - オプション C (正解): クラウド コントローラには通常、FQDN 経由でアクセスします。ION デバイスがこれらの FQDN を解決して通信を開始するには、正しく構成された DNS サーバーが必要です。 - オプション D (不正解): トラブルシューティング用にローカル資格情報が存在しますが、ZTP オンボーディングは、最初のクラウド登録時にローカル CLI ログインの必要性を最小限に抑える、またはなくすように設計されています。 ZTP が機能するには、この識別子をクラウド管理コンソールで事前にプロビジョニングし、ターゲット サイトおよび構成テンプレートに関連付ける必要があります。