Pare-feu sensible à l’identité

Comment Identity Source est-elle déployée au niveau du pare-feu ?

Un pare-feu récupère des informations sur les utilisateurs à partir de diverses sources d’identité telles qu’Active Directory, Juniper® Identity Management Service (JIMS), Aruba ClearPass et Unified Access Control (UAC). Après avoir obtenu les informations sur l’utilisateur, l’administrateur réseau peut déployer l’équipement pour recevoir des données des sources d’identité.

Pourboire:

Dans ce guide, nous utilisons le terme « pare-feu » pour désigner un pare-feu SRX Series Juniper Networks® ou un Pare-feu virtuel vSRX Juniper Networks® (vSRX3.0), ou un Pare-feu de conteneur cSRX Juniper Networks® ou un équipement Juniper Networks® NFX Series Plate-forme de services réseau (NFX Series).

Les pare-feu peuvent créer, gérer et redéfinir des règles de pare-feu basées sur l’identité de l’utilisateur plutôt que sur une adresse IP. Les pare-feu peuvent interroger le JIMS, obtenir les informations d’identité utilisateur correctes, puis appliquer les décisions de stratégie de sécurité appropriées pour autoriser ou refuser l’accès aux ressources protégées de l’entreprise et à Internet.

Chaque composant impliqué dans le processus de source d’identité possède sa propre infrastructure de sécurité dans laquelle les stratégies d’autorisation régissant l’accès aux ressources protégées sont définies de manière administrative. Les tableaux suivants décrivent les rôles de ces composants et la manière dont ils communiquent entre eux.

Tableau 1 : Déploiement des identités au niveau du pare-feu

Mode de déploiement	Source d’identité	Détails du mode de déploiement
Active Directory comme source d’identité	Active Directory	Il n’est pas nécessaire d’avoir une configuration simple et un gestionnaire d’identités en dehors des pare-feu.
Juniper® Identity Management Service (JIMS) en tant que gestionnaire des identités	Active Directory	Une évolutivité et une flexibilité de déploiement accrues.
	Microsoft Azure	Les pare-feu peuvent prendre en charge les identités des utilisateurs configurées dans Azure.
	Okta	Les pare-feu peuvent prendre en charge les identités des utilisateurs configurées dans Okta à l’aide de JIMS.
	Générateur Syslog tiers	JIMS peut collecter des informations syslog générées par diverses sources tierces pour obtenir des informations sur l’utilisateur.
Aruba ClearPass comme source d’identité	Aruba ClearPass	Le pare-feu peut obtenir des informations sur les utilisateurs auprès d’Aruba ClearPass.
Contrôle d’accès unifié comme source d’identité	UAC (UAC)	Les pare-feu peuvent obtenir des informations sur les utilisateurs configurées sur le contrôle de compte d’utilisateur.
Utilisateurs du pare-feu SRX	Utilisateurs du pare-feu	Les informations utilisateur peuvent être configurées sur une authentification de pare-feu et peuvent être conservées sur un serveur local ou sur un serveur externe tel qu’un serveur LDAP ou RADIUS.

Rôle de la source d’identité et du gestionnaire d’identité

Identity Source	Une source d’identité peut gérer les informations sur les utilisateurs ou les appareils, les rôles et gérer les événements utilisateur.
Identity Manager	JIMS est un système avancé de gestion des identités des utilisateurs. JIMS se connecte et communique avec diverses sources d’identité illustrées à la Figure 1 pour le compte du pare-feu.

Tableau 2 : description des composants du pare-feu sensible à l’identité

Mode de déploiement	Description	Avantages du déploiement
Active Directory comme source d’identité	Active Directory en tant que source d’identité recueille des informations sur les utilisateurs et les groupes pour l’authentification en lisant les journaux d’événements du contrôleur de domaine, en sondant les PC du domaine et en interrogeant les services LDAP (Lightweight Directory Access Protocol) dans le domaine Windows configuré.	Gestion centralisée : Centralise la gestion des utilisateurs et des groupes au sein d’une organisation, ce qui simplifie l’administration. Authentification efficace : Vérifie l’identité des utilisateurs et des ordinateurs pour renforcer la sécurité du réseau. Application des stratégies : Permet aux administrateurs d’appliquer des stratégies de sécurité à l’aide d’objets de stratégie de groupe (objets de stratégie de groupe). Dépendances: S’appuie sur l’infrastructure Active Directory. Certaines organisations peuvent ne pas préférer cette infrastructure.
Service Juniper® Identity Management Service (JIMS)	Juniper® Identity Management Service (JIMS) est une application autonome du service Windows qui collecte et gère une grande base de données d’informations sur les utilisateurs, les appareils et les groupes à partir de domaines sources d’identité ou de sources syslog. Pour plus d’informations, reportez-vous à la section JIMS avec pare-feu SRX Series.	Gestion efficace : Simplifie l’expérience de l’utilisateur final en automatisant la corrélation entre les noms d’utilisateur, les appareils et les adresses IP. Réduction de charge : Réduit la charge sur le système de gestion des identités en agissant comme un intergiciel entre la gestion des identités et les pare-feu. Contrôle d’accès: Permet un contrôle des stratégies basé sur les appartenances aux groupes, ce qui renforce la sécurité et les restrictions d’accès. Dépendances: S’appuie sur un service Windows autonome, ce qui peut entraîner un point de défaillance ou une dépendance vis-à-vis de l’environnement Windows.
Aruba ClearPass comme source d’identité	Un pare-feu et Aruba ClearPass collaborent pour protéger vos ressources réseau. Ces appareils contrôlent l’accès des utilisateurs à Internet et appliquent la sécurité au niveau de l’identité de l’utilisateur, en fonction des noms d’utilisateur ou des groupes auxquels appartiennent les ressources réseau.	Gestion des stratégies : Facilite la gestion des politiques pour l’intégration de nouveaux appareils et le contrôle de l’accès en fonction des rôles et des types d’appareils. Contrôle d’accès granulaire : Accorde des niveaux d’accès basés sur les rôles des utilisateurs et améliore la sécurité et la conformité. Dépendances: La source d’identité doit être intégrée à Aruba ClearPass, ce qui peut nécessiter une configuration et une configuration supplémentaires.
Contrôle d’accès unifié (UAC) comme source d’identité	Un contrôle d’accès unifié (UAC) utilise les appliances UAC de la série IC, les exécuteurs de l’intranet et les agents d’infrastructure pour protéger votre réseau en garantissant que seuls les utilisateurs valides peuvent accéder aux ressources. Une appliance IC Series est un point de décision stratégique dans le réseau qui utilise les informations d’authentification et les règles de stratégie pour déterminer s’il faut ou non fournir un accès à des ressources individuelles sur le réseau.	Configuration simplifiée : Simplifie la configuration en créant des informations sur les utilisateurs, des groupes et des règles de stratégie dans un emplacement centralisé. Sécurité renforcée : Garantit que seuls les utilisateurs valides peuvent accéder aux ressources réseau par le biais de politiques IP. Dépendances: Nécessite le déploiement d’appliances UAC IC Series, d’agents intranet et d’agents d’infrastructure. Cela pourrait rendre le réseau plus complexe.

Choisir les composants d’un pare-feu sensible à l’identité

Les clients choisissent généralement des composants de pare-feu sensibles à l’identité en fonction des besoins spécifiques de leur organisation, de leur infrastructure existante et de leurs exigences de sécurité :

Source d’identité

Vous devez connecter le pare-feu à l’une des sources d’identité ou à l’un des gestionnaires d’identités décrits dans le Tableau 1.

Détartrage

Juniper Identity Management Service est recommandé pour les déploiements ayant des exigences de mise à l’échelle plus élevées.

Avant de choisir les composants d’un pare-feu sensible aux identités, évaluez la complexité des exigences d’intégration et de maintenance pour vous assurer qu’elles correspondent aux objectifs et aux exigences de sécurité de votre organisation.

Qu’est-ce que la table d’authentification ?

La table d’authentification contient l’adresse IP, le nom d’utilisateur et les informations de mappage de groupe qui servent de source d’authentification.

Comment la table d’authentification est-elle implémentée ?

Les informations de mappage des utilisateurs et des groupes dans la table d’authentification sont obtenues par les informations d’identité de l’utilisateur. Lorsque JIMS est déployé, la table d’authentification est obtenue à l’aide d’une requête IP ou d’une requête par lots.

Les informations obtenues dans le tableau sont générées par le moteur de routage de l’appareil, qui envoie la table d’authentification au moteur de transfert de paquets. Les stratégies de sécurité utilisent les informations du tableau pour authentifier les utilisateurs et fournir un contrôle d’accès au trafic à travers le pare-feu.

Vous devez configurer la table d’authentification Active-Directory pour activer Active Directory en tant que récupération d’informations sur la source d’identité dans l’environnement Windows Active Directory. Reportez-vous à la section Configurer Active Directory comme source d’identité sur le pare-feu SRX Series.

L’option priority spécifie l’ordre dans lequel les tables d’informations utilisateur sont vérifiées. L’utilisation du paramètre le plus bas pour la source d’identité spécifie la priorité la plus élevée, ce qui signifie que la source d’authentification Active Directory est recherchée en premier. Pour plus d’informations, consultez Active Directory en tant que table d’authentification de source d’identité et table d’authentification ClearPass.

Comment sont gérées les tables d’authentification ?

Les environnements de domaine Windows changent constamment à mesure que les utilisateurs se connectent et se déconnectent du réseau et que les administrateurs réseau modifient les informations sur les groupes d’utilisateurs. La source d’identité gère les modifications dans le domaine Windows et effectue des mises à jour périodiques. Le tableau d’authentification est également mis à jour pour refléter les informations à jour sur les groupes pertinents pour tous les utilisateurs répertoriés.

En outre, une fonction de sonde est fournie pour traiter les changements qui se produisent entre la lecture des journaux d’événements ou pour résoudre le cas où des informations du journal d’événements sont perdues. Une sonde à la demande est déclenchée lorsque le trafic client arrive au pare-feu, mais l’adresse IP source de ce client est introuvable dans le tableau. Et à tout moment, une sonde manuelle est disponible pour sonder une adresse IP spécifique.

Reportez-vous à la section Sondage de PC de domaine.

Informations sur l’état des entrées de table d’authentification de source d’identité

Les entrées de la table d’authentification de la source d’identité peuvent se trouver dans l’un des quatre états suivants :

Initial	Spécifie que les informations de mappage adresse IP à utilisateur ont été obtenues en lisant les journaux d’événements du contrôleur de domaine et qu’une entrée a été ajoutée à la table d’authentification. Les entrées de cet état deviennent valides lorsque la table est transmise du moteur de routage au moteur de transfert de paquets.
Valid	Spécifie qu’une entrée valide a été obtenue en lisant les journaux d’événements du contrôleur de domaine ou qu’une réponse valide a été reçue d’une sonde PC de domaine et que l’utilisateur est un utilisateur de domaine valide.
Invalid	Spécifie qu’une réponse non valide a été reçue d’une sonde PC de domaine et que l’utilisateur est un utilisateur de domaine non valide.
Pending	Spécifie qu’un événement de sonde a généré une entrée dans la table d’authentification, mais qu’aucune réponse de sonde n’a été reçue du PC du domaine. Si aucune réponse de sonde n’est reçue dans les 90 secondes, l’entrée est supprimée de la table.

Paramètre de délai d’attente

Lorsqu’un utilisateur n’est plus actif, un minuteur est démarré pour l’entrée de cet utilisateur dans la table d’authentification. Lorsque le temps est écoulé, l’entrée de l’utilisateur est supprimée de la table. Les entrées de la table restent actives tant que des sessions leur sont associées.

Nous vous recommandons de désactiver les délais d’expiration lors de la désactivation du sondage à la demande afin d’empêcher quelqu’un d’accéder à Internet sans se reconnecter.

Pour plus d’informations, consultez Active Directory en tant que paramètre de délai d’expiration de la source d’identité et paramètre de délai d’expiration ClearPass.