Bluecoat SGの動的ポリシー

(1)動的ポリシーの設定方法

Bluecoat SGの動的ポリシーは外部に設置したCPLを定期的に取得することで実装する。よってCPLを出力するセキュリティ機器であれば、どんな機器とも連携できる。場合によってはCPLを出力できなくても、WEBサーバ上でCPLに変換するスクリプトを組んでしまえば良い。基本的にはFireEyeなどのマルウェアを検知する機器との連携となる。

SGが外部CPLを定期的に取り込む方法ためにはCentral Fileを使う。Central Fileに外部URLを指定し、定期的に取得する設定にすればいいので、仕組みとしてはシンプルで分かりやすく、設定も簡単だ。CPLを出力する機器から、WEBサーバにCPLをアップロードする仕組みも必要になる。

CPLを使用することを前提に記載したが、Bluecoatが外部ファイルをポリシーに組み込む方法はもう一つある。ローカルデータベースを用いる方式だ。ローカルデータベースはURLを列挙するだけの外部ファイルであり、基本的にはVPMで設定しきれないほと多くのURLを登録する必要がある時に使用するケースが多いと思うが、ローカルデータベースも定期的に取り込んでポリシーに自動反映することができるので、動的ポリシーに利用できる。構文がCPLよりも簡単なのが良いところかもしれない。ただ、CPLもローカルデータベースも1ファイルしか選択できない事に注意する必要がある。前述のようにローカルデータベースを動的ポリシー以外の用途でも使いたい場合にはCentralFileを用いるほうが良いと考える。

 

(2)Central Fileを使う場合の設定手順

[Configuration][Policy][Policy Files]を開く
Install Central File from:のセレクトボックスにRemote URLを選択してInstallボタンを押す
Install Central Fileの画面でInstallation URLにCPLのURLを入力してOKボタンを押す
Automatically install new Policy when central file changesにチェックを入れる

CPLは、以下のような記述になるように連携先のアプリケーションでアウトプットを整形する。

url.domain=”www.example.com” Deny;

(3)Local Databaseを使う場合の設定手順

[Configuration][Content Filtering]
URLにローカルデータベースのパスを入力する
Automatically check for updatesにチェックを入れる

ローカルデータベースは以下のように、FQDNやドメイン名を記載するだけのテキストファイルである。

;(;はコメント行)define行で任意のカテゴリ名を定義する。カテゴリの最後にはendを記述する。

define dynamic_policy

www.example.com

www.example2.com

end

CPLとは違い、ローカルデータベースにはPermitやDenyまでの定義はない。ローカルデータベースを使用する場合にはVPMのWEBアクセスレイヤでDenyルールを定義し、そのDestinationにローカルデータベースで指定したカテゴリ名をセットする。