ポリシーの施行とは何ですか?

ポリシーの適用は、アクセスが許可される条件を定義する 1 つ以上のポリシーに従って、ネットワークとアプリケーションの接続、アクセス、および使用を管理するプロセスです。

コンピューティングのコンテキストでは、ポリシーの適用は通常、コンピューターまたは通信ネットワークの使用に関する特定の要件セットの作成、分類、管理、監視、および自動実行を指します。つまり、ポリシーの適用だけでなく、より一般的にはポリシーの定義、適用、および管理を指します。

ポリシーは、誰が、何を、どこで、いつ、どのように、なぜ、というほぼすべてのパラメータに対応できます。これには、誰がリソースにアクセスできるか、いつ、どこから、どのデバイスまたはソフトウェアを使用しているか、アクセスが許可された後にユーザーが実行できることと実行できないこと、その期間はどのくらいか、どのような監査または監視を行うかが含まれます。 ポリシーでは、受け入れるプロトコル、使用するポート、接続タイムアウトなど、より技術的なやり取りや要件にも対応できます。

組織は、資産やサービスを制御、管理し、場合によっては収益化するためのポリシーを作成します。 ネットワーク ポリシーの適用により、BYOD 要件を含むデータと資産のセキュリティ対策を自動化できます。 これにより、たとえばサービスプロバイダーは、特定のサービスや使用時間に対して差別的な料金を設定できるようになります。 また、企業の倫理基準（会社の機器や時間を個人的な目的で使用するなど）を施行し、ネットワークの使用をより適切に理解して管理するためにも使用できます。

ポリシーの適用は通常、ネットワーク内のゲートウェイ、プロキシ、ファイアウォール、またはその他の集中制御ポイントとして機能するソフトウェアまたはハードウェアによって処理されます。 まず、違反が発生した場合に実行される 1 つ以上のアクションとともに、ポリシーを定義する必要があります。 ポリシーが定義されると、ソフトウェアまたはハードウェアはネットワーク内のポリシー適用ポイントとなり、次の 3 つの部分でポリシー適用が行われる中心点となります。

• 接続またはリクエストの評価
• 評価されたステータスを既知のポリシーと比較して、接続が1つ（または複数）のポリシーに違反するかどうかを決定します。
• 結果として生じるアクションは、リクエストの処理から切断または拒否リストへの登録まで多岐にわたります。

たとえば、ポリシーでは既知の悪意のある IP アドレスを識別し、それらのアドレスからのすべてのトラフィックを拒否するように指定できます。 より複雑なポリシーでは、特定のユーザーが一部のアプリケーションに接続できても他のアプリケーションには接続できないようにしたり、接続後に他のユーザーよりも高い料金が発生する一部のアクション (高解像度デバイスでのストリーミング サービスの使用など) を実行できるようにしたりすることができます。 このように、認証、承認、アカウンティング (AAA) システムはポリシー強制の一形態です。

ネットワーク ポリシーの適用には、有効期限が切れていない証明書の存在、接続に使用されているデバイスまたはブラウザーの種類やバージョン、攻撃に関連する動作パターンがないことなど、より高度で詳細なパラメータへの準拠が必要になる場合があります。

施行プロセス全体、特に非準拠インシデントの監視または文書化は、多くの場合、ポリシー施行ソリューションの一部となります。

複数の F5 製品は、単一の集中制御ポイントからポリシーの作成と適用をきめ細かく制御できるゲートウェイまたは完全なプロキシとして機能します。 特に、 BIG-IP Policy Enforcement Manager (PEM) は、サービスの収益化とネットワーク パフォーマンスの向上を目指すサービス プロバイダーに高度な制御を提供します。 企業向けに、 BIG-IP Access Policy Manager (APM) は、Visual Policy Editor (VPE) と呼ばれるグラフィカル ユーザー インターフェイスを使用して、アプリケーションへのアクセスのコンテキスト ベース管理を提供します。これにより、アイデンティティ認識型のコンテキスト ベース ポリシーを簡単に作成、編集、管理できます。