今回はMeraki MXのAdvanced Securityライセンス及びSD-WAN+ライセンスにて利用可能なCisco AMP(Advanced Malware Protection)機能に関してMeraki Documentを読み取っていきたいと思います。
Cisco AMPとは?
Cisco AMPは簡単にまとめるとサーバからダウンロードしたファイルを(今回の場合は)Meraki MX内部で組み立ててそのファイルのチェックサムを生成しCiscoクラウドにそのチェックサムを持ったファイルが安全かどうかを確認する機能です。
ファイル自体をいちいちクラウドにアップロードしているとネットワークのパフォーマンスにも影響してしまうのでチェックサムによる簡単な文字列に置き換えてアップロードするというものです。
このチェックサムは限りなくユニークな文字列となりますので上手く考えられた機能だなと感心してしまいます。
Ciscoクラウドではアップロードされたチェックサムから3つのステータスを返信します。
- Clean
- Malcious
- Unknown
「Clean」は文字通り安全なファイルということになり、過去に同じチェックサムを持ったファイルが安全であったとCiscoにて確認出来ているファイルとなります。
一方で「Malcious」は過去に危険と判断されたファイルとなります。
このステータスが帰ってきた場合はユーザの体感上は99%(厳密にはラスト1パケット)までダウンロードが成功し、最後のパケットがクライアントまで届かないということになり結果としてダウンロードのエラーということになります。
最後の「Unknown」はCiscoとしても初めてのチェックサムを持ったファイルでありその時点では安全か危険かは判断できないというステータスになります。
AMPの対象となるファイルとは?
Meraki MXのAMP機能は下記のファイルが対象となります。
- MS OLE2 (.doc, .xls, .ppt)
- MS Cabinet (Microsoft compression type)
- MS EXE (Microsoft executable)
- ELF (Linux executable)
- Mach-O/Unibin (OSX executable)
- DMG (Apple Disk Image)
- Java (class/bytecode, jar, serialization)
- ZIP (regular and spanned)*
- EICAR (standardized test file)
- SWF (shockwave flash 6, 13, and uncompressed)
これら以外の形式のファイルは対象にならないので注意が必要です。
AMPの対象となるファイルサイズは?
AMPの機能はMeraki MXの中で一旦ファイルを組み立てる必要があります。
そのような関係でファイルサイズの大きなものには対応は出来ません。
Meraki Documentにはその制限は書かれていないようですが、そもそものCisco AMPのドキュメントには100MB以内と書かれているようです。
AMPの対象となるプロトコルは?
そんなかなり考えられていて良い機能ではあるのですが、大きな動作上の制限があります。
AMPの検査対象となるプロトコルはHTTPのみとなり、2023年現在主流となっている暗号化されているHTTPSの通信は検査対象外となってしまいます。
そもそも暗号化された通信なのでMeraki MXは検査を行うことは出来ないということです。
また、暗号化されていないHTTP通信においてもダウンロード(GET)のみが対象となっており、アップロード(PUT)は対象外となります。
アップロードに関してはクライアント側で検査済みのはずなので対象から外すということでしょうか?
まとめ
Meraki MXにおけるAMP機能はとても優れている機能ではあるものの、現状のトラフィックを考えるとNetwork管理者が期待している効果は得られないということになりそうです。
数年前まではSSL Decryption機能を使って一旦SSL通信をほどいてBOX(今回の例ではMX)内でチェックを行う手法も流行りかけたのですが、この機能を実装すると大幅にパフォーマンスがダウンしてしまうことから積極的に採用されたケースはそれほど多くないと思います。
現在の主流はその機能をクラウド側にオフロードしてしまうSASEのような技術にシフトしてきているのでそちらの検討が必要になってくるのでしょう。
