QuicはHTTPプロトコルの規格であるHTTP/3において利用されており、多くのインターネットブラウザで普及が進んでいます。
従来のHTTP/1.1やHTTP/2がTCPを利用するのに対して、Quicを利用するHTTP/3ではUDPを利用するなど差異があります。

TLSインスペクションは暗号化されたTLS通信を復号化することでセキュリティ検査を実施します。
しかしHTTP/3通信はCatoクラウドでは復号化できずTLSインスペクションによる検査を実施できません。
またCASBにおけるアプリケーション識別機能が正常に動作しない可能性があります。

ブラウザはHTTP/3通信を行えない場合に、HTTP/1.1またはHTTP/2での通信を行います。
QuicをブロックすることでHTTP/3以外での通信を強制させ、トラフィックに対してCatoのセキュリティチェックを正常に機能させることができます。

上記の理由からCato社ではQuicをブロックするFWルールを設定することがベストプラクティクスとして推奨されています。
 

自動的に作成されたQuicをブロックするFWルール 

具体例

以下の画像はYoutubeへアクセスした際に記録されたEventです。
前提としてQuicプロトコルのブロックルールとYoutubeへのアクセスを許可するルールをInternetFWで設定しています。
HTTP/3によるQuicプロトコルを利用した通信がブロックされた一方で、
ブラウザが自発的に送信したHTTP/1.1またはHTTP/2による通信が許可されています。
結果としてユーザーはQuicプロトコルがブロックされていても、Youtubeを問題なく閲覧することができます。

補足

本稿は下記メーカーKBを参考に作成されています。
Configuring TLS Inspection Policy for the Account
Internet and WAN Firewall Policies – Best Practices