Prisma Accessはクラウド配信型のセキュリティサービスです。このモデルの大きなメリットは、サービスプロバイダーであるPalo Alto Networksが、基盤となるセキュリティ処理ノードとインフラストラクチャの継続的なメンテナンス（ソフトウェアのアップグレードやパッチ適用を含む）を担当することです。これにより、お客様のITチームの運用負担が大幅に軽減されます。選択肢A、B、C、Eは誤りです。これらの当事者は、Prisma Accessの中核インフラストラクチャのアップグレードを主に担当していません。

ブランチ オフィスをリモート ネットワークとして接続するには、ブランチ サイト、内部リソース、ルーティング、およびセキュリティ ポリシーを定義する必要があります。 - オプション A (正解): 各ブランチ オフィスは、Prisma Access 内でリモート ネットワークの場所として構成されます。これには、ブランチのパブリック IP、ローカル サブネット、およびブランチ ルーター/ファイアウォールと指定された Prisma Access リモート ネットワーク ノード間のトンネルを確立するために必要な IPSec パラメータの定義が含まれます。 - オプション B (正解): リモート サイトがアクセスする必要があるネットワーク (データ センターなど) は、サービス接続として定義されます。これは、リモート ネットワーク (またはモバイル ユーザー) から到着したトラフィックが社内リソース宛ての場合に、Prisma Access にそのトラフィックをルーティングする場所を指示します。 - オプション C (正解): ブランチ ルーター/ファイアウォールは、社内ネットワーク (データ センター、他のブランチ) 宛てのトラフィック、および多くの場合インターネット トラフィックを、Prisma Access への IPSec トンネルに転送するように構成する必要があります。これは、トラフィックが Prisma Access セキュリティ クラウドに確実に入るために重要です。 - オプション D (正解): Prisma Access のセキュリティ ポリシーによってトラフィック フローが制御されます。リモートネットワークを表すゾーン（ブランチユーザーのトラフィックがPrisma Accessに入った後に発生するゾーン）から、サービス接続ゾーン（データセンターアクセス用）およびパブリックゾーン（インターネットアクセス用）へのトラフィックを許可するルールが必要です。ブランチ間のトラフィックは、「リモートネットワーク」から「リモートネットワーク」へのトラフィック、または設計によってはサービス接続を介したヘアピニングトラフィックとなる可能性があります。 - オプションE（誤り）：モバイルユーザー設定は、個々のGlobalProtectユーザー向けであり、サイト間VPN経由で接続するブランチオフィスサブネット全体向けではありません。ブランチはリモートネットワークとして接続します。

低速パスと高速パスの役割分担を理解することは、パフォーマンスのトラブルシューティングやファイアウォールによるトラフィック処理方法の理解に不可欠です。 - オプション A (正解): 低速パス (CPU パス) では、アプリケーション (App-ID) の識別、一致するセキュリティ ポリシー ルールの検索、セキュリティ プロファイル割り当ての決定、セッション テーブル エントリの構築など、セッション セットアップの初期作業が行われます。 - オプション B (正解): 高速パス (データ プレーン、ASIC/ハードウェア アクセラレーションを活用) は、確立されたセッションの後続のパケットを高速で転送するように最適化されており、迅速なセッション テーブル検索を実行します。これにより、CPU からトラフィック処理の大部分がオフロードされます。 - オプション C (不正解): パフォーマンスは最適化されていますが、復号化、WildFire の完全なファイル分析、複雑なシグネチャ マッチング、特定のデータ フィルタリング プロファイルの適用などの多くの詳細な検査タスクでは、多くの場合、低速パス CPU または専用のコンテンツ検査エンジンが関与します。これらは概念的には、単純な高速パス セッション検索および転送とは異なる、より深い処理フローの一部です。高速パスは、低速パスでのセッション設定に基づいてトラフィックをこれらのエンジンに誘導しますが、徹底的な検査自体は純粋にASICベースの転送ではありません。 - オプションD（誤）：高速パスは、最初のパケット処理中に低速パスによって行われたセッション状態とポリシー決定に依存します。高速パス上のパケットは、完全なポリシー再評価やApp-IDの再識別は行われません。確立されたセッションパラメータに基づいて転送されるだけです。App-IDはシングルパス検査であり、再分類は動的に行われますが、高速パスの役割は、現在のセッション状態に基づいて転送することです。 - オプションE（正解）：これは動的な切り替え動作を表しています。セッションが主に高速パス上にある場合でも、特定のイベント（ファイル転送の開始、より詳細な分析を必要とするパターンの検出、脆弱性シグネチャのトリガーなど）が発生すると、そのセッション内の関連パケットまたはストリームが低速パスCPUまたは専用の検査エンジンに転送され、徹底的な検査が行われた後、セッションが高速パスで継続される（安全と判断された場合）か、ブロックされることがあります。

GlobalProtectアーキテクチャは、ポータル機能とゲートウェイ機能を分離します。ポータルはクライアントの最初のコンタクトポイントとなります。 - オプションA：ゲートウェイがトンネルを終端します。 - オプションB（正解）：ポータルの主な役割は、ユーザーを認証し、GlobalProtectエージェントソフトウェアインストーラを提供し、クライアント構成（利用可能なゲートウェイのリスト、接続方法、認証設定など）を提供することです。 - オプションC：セキュリティ検査はゲートウェイによって実行されます。 - オプションD：ログ記録はゲートウェイによって処理され、CDL/Panoramaに転送されます。 - オプションE：Panoramaまたはクラウド管理コンソールが、ゲートウェイとポータルの中央管理ポイントとなります。

標準ポートで実行されているカスタム アプリケーションやあまり一般的ではないアプリケーションを識別することは、App-ID のカスタム アプリケーション シグネチャ機能の主な使用例です。オプション A はプロセスを正しく説明しています。つまり、アプリケーション トラフィックの一意の属性 (特定の HTTP ヘッダー、URL パターン、カスタム アプリケーションを識別するペイロード コンテンツなど) を検索するカスタム App-ID シグネチャを作成し、このカスタム App-ID をセキュリティ ポリシーで使用して、きめ細かな制御と検査を適用します。オプション B は、デフォルトのシグネチャを変更することは不可能または推奨されていないため、正しくありません。オプション C は正しくありません。Content-ID は、アプリケーション自体の識別ではなく、アプリケーション内の脅威と機密データに重点​​を置いています。アプリケーションの識別とポリシーの適用には App-ID が必要です。オプション D は URL フィルタリングを使用した回避策ですが、App-ID に基づく真のアプリケーション レベルの識別と制御は提供されません。オプション E は非現実的であり、Prisma Access のような統合 SASE アーキテクチャの目的に反します。