Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Policy Enforcerを使用してSRXシリーズファイアウォールをJuniper ATP Cloudに登録する方法

このセクションでは、Policy Enforcerのガイド付きセットアップウィザードを使用して、SRXシリーズファイアウォールをJuniper ATP Cloudに登録する手順を説明します。

ソリューションの概要

図1 は、Policy Enforcer、Security Director、Juniper ATP Cloud、Junos OSの各デバイスが相互作用して、Juniper Connected Securityによる安全なネットワーク導入を提供する方法のワークフローの概要を示しています。

図1:Juniper Connected Securityソリューションコンポーネント Juniper Connected Security Solution Components

Juniper Connected Securityソリューションでは、クライアント/エンドポイントは、エンドポイント保護ソフトウェアを使用してEXシリーズおよびQFXシリーズスイッチに接続されます。これらのスイッチは、アクセスのセキュリティと制御を提供します。

EXシリーズスイッチは、支社/拠点、キャンパス、データセンターのネットワークでスイッチングサービスを提供します。QFXシリーズスイッチは、データセンター環境向けに最適化されたハイパフォーマンス、低レイテンシのエッジデバイスです。

SRXシリーズファイアウォールは、すべてのネットワーク層とアプリケーションにわたってセキュリティの強化と詳細な検査を提供します。Juniper Connected Securityソリューションのコンテキストでは、SRXシリーズファイアウォールは、マルウェア対策サービス用のJuniper ATP Cloudに接続された境界ファイアウォールとして導入されます。

Juniper ATP Cloudは、さまざまなレベルのリスクを識別し、より高い精度で脅威から保護します。SRXシリーズゲートウェイと統合して、詳細な検査、インラインマルウェアブロック、実用的なレポートを提供します。

Policy Enforcerは、Juniper ATP Cloudによって収集および報告された情報を使用して、脅威について学習し、新しい脅威の状況に迅速に対応します。この情報を使用して、Policy Enforcerはポリシーを自動的に更新し、ファイアウォールとスイッチに新たな適用を展開し、感染したホストを隔離および追跡して、脅威の進行を阻止します。Policy Enforcerは、IPアドレスとMACアドレスで感染したホストを識別し、ホストがネットワーク上の別のスイッチやアクセスポイントに移動した場合でも、ホストを追跡し、継続的にブロックすることができます。

これらのコンポーネントが連携すると、複数のソース(サードパーティーのフィードを含む)からの脅威インテリジェンスを活用して、脅威をより迅速に検出できます。ネットワークセキュリティはリアルタイムの脅威情報に動的に適応し、セキュリティポリシーが一貫して適用されるようにします。

利点

Policy Enforcerのガイド付きセットアップウィザードは、Juniper Connected Securityソリューションを一度に立ち上げて実行するためのワンストップショップです。また、Juniper Connected Securityを使用すると、ネットワーク全体でセキュリティポリシーの作成、脅威の検出、セキュリティポリシーの適用が簡素化されるため、Juniper ATP Cloudの設定を完了するための最も効率的な方法となります。

始める前に

  • Security Directorをインストールして設定します。 Security Directorのインストールおよびアップグレードガイドを参照してください。

  • SRXシリーズファイアウォールをインストールして設定します。 ソフトウェアのインストールおよびアップグレードガイドを参照してください。

  • Policy Enforcer仮想マシン(VM)をダウンロード、展開、設定します。 Policy Enforcerのドキュメントを参照してください。

  • Policy EnforcerをSecurity Directorに接続します。 Policy Enforcerのドキュメントを参照してください。

  • Juniper ATP Cloudライセンスを取得し、ATP Cloudポータルアカウントを作成します。すべてのATP Cloud設定タイプに対して、ATP Cloudのライセンスとアカウントが必要です。(ATP CloudとJuniper Connected Security、ATP Cloud、クラウドフィードのみ)。ATP Cloudのライセンスをお持ちでない場合は、最寄りのジュニパーネットワークスの営業所またはジュニパーネットワークスパートナーにお問い合わせください。ATP Cloudアカウントをお持ちでない場合は、ATP Cloudサーバーにリダイレクトされてアカウントが作成されます。

  • Threat Preventionを設定するSRXシリーズファイアウォールがすでに検出されており、Junos Spaceで利用可能であることを確認します。 Security Director でのデバイス検出の概要を参照してください。

Policy Enforcerのガイド付きセットアップを使用して、SRXシリーズファイアウォールをJuniper ATP Cloudに登録する

ステップ1:Policy Enforcerの設定を行う

Policy Enforcer設定ページで選択したJuniper ATP Cloud設定タイプによって、ガイド付きセットアッププロセスが決まります。ガイド付きセットアップには、選択した構成タイプに必要なすべての構成項目が用意されています。各設定タイプの詳細については、「 ATP Cloud 設定タイプの概要 」を参照してください。

手記:

  • Juniper Sky™ Advanced Threat Prevention(Juniper ATP Cloud)は、Juniper Advanced Threat Prevention(ATP)Cloudとして知られるようになりました。このIn Focusガイドの図の一部は、古い用語であるJuniper ATP Cloudを参照しています。

  • ユースケースに必要な必須パラメーターのみを設定します。ネットワーク要件に応じてデフォルト値を変更することを選択できます。

Policy Enforcerの設定を行うには:

  1. [ 管理] > Policy Enforcer [>設定] を選択します。

    図 2 に示すような [設定] ページが表示されます。

    図2:Policy Enforcer設定 Policy Enforcer Settings
  2. Policy Enforcer VM の IP アドレス、ユーザー名、およびパスワードを入力します。 「Policy Enforcer Settings」に記載されている手順を使用します。
  3. ATP Cloud 設定タイプとして Sky ATP/JATP with Juniper Connected Security を選択します。
  4. [ OK] をクリックします。

    Policy Enforcer設定のステータスが表示されます。

  5. 「OK」をクリックして、「ガイド付きセットアップ」ウィザードに進みます。

ステップ 2: ガイド付きセットアップ ウィザードにアクセスする

Juniper ATP CloudでJuniper Connected Securityを設定するには、このセクションと以降のセクションのステップを実行します。

  1. [ Configure > Guided Setup > Threat Prevention] を選択します。

    図 3 に示すような [Threat Prevention Policy Setup] ページが表示されます。

    図 3:脅威防御ポリシーの設定 Threat Prevention Policy Setup
  2. [セットアップの開始] をクリックして、ガイド付きセットアップを開始します。

    図 4 に示すような [Tenants] ページが表示されます。

    図 4:テナント構成 Tenant Configuration

    テナント設定は、SRXシリーズファイアウォールには適用されません。MXシリーズ ユニバーサル ルーターにのみテナントを設定する必要があります。この手順は省略できます。

  3. 次へ」をクリックします。

    [Secure Fabric] ページが表示されます。

ステップ3:セキュアなファブリックを作成する

セキュアファブリックとは、ネットワークデバイス(スイッチ、ルーター、ファイアウォール、およびその他のセキュリティデバイス)を含むサイトの集合であり、ユーザーまたはユーザーグループは、ポリシー適用グループを使用して集約された脅威防御ポリシーを適用できます。

脅威防御ポリシーがポリシー適用グループに適用されると、システムはそれらのグループが属するサイトを自動的に検出します。このようにして、脅威防御がセキュアファブリック全体に集約されます。サイトを作成する際には、Juniper ATP Cloudに登録できるように、境界ファイアウォールを特定する必要があります。

セキュアなファブリックを作成するには:

  1. [サイト] ページの右上隅にある [+ ] をクリックします。

    [サイト間vpnの作成(Create Site)] ページが表示されます( 図 5 参照)。

    図5:サイト間vpnの作成 Create Site
  2. サイト名とサイトの説明を入力します。 セキュアなファブリックおよびサイトの作成に記載されている手順を使用します。
  3. [ OK] をクリックします。

    新しく作成されたサイトが [サイト] ページに表示されます ( 図 6 参照)。

    図6:サイトSites

    次に、共通のセキュリティ ポリシーを適用するデバイスをサイトに追加する必要があります。

  4. デバイスの「適用ポイント」列で 「適用ポイントを追加 」をクリックするか、デバイスを選択してページの右上隅にある 「適用ポイントを追加 」をクリックします。

    図 7 に示すような [Add Enforcement Point] ページが表示されます。

    図 7: 適用ポイントの追加 Add Enforcement Point
    手記:

    • デバイスは 1 つのサイトにのみ属し、そのデバイスが使用されている他のサイトから削除する必要があります。サイトからデバイスを削除するには、デバイスを [選択済み] 列から [適用ポイント] セクションの [使用可能] 列に戻す必要があります。詳細については、「 強制ポイントの追加」を参照してください。

    • ファイアウォールデバイスは、このステップの一環として、自動的にATP Cloudに登録されます。手動で登録する必要はありません。

    • シャーシクラスタモードでSRXシリーズファイアウォールの適用ポイントを追加する前に、両方のノードがSecurity Directorで検出されていることを確認してください。
  5. デバイスを含めるには、[使用可能(Available)] リストでデバイスの横にあるチェックボックスをオンにし、 > アイコンをクリックしてデバイスを [選択済み(Selected)] リストに移動します。[Selected] リストのデバイスがサイトに含まれます ( 図 8 参照)。
    図 8: デバイスの割り当て to Site Assign Device to Site
  6. [ OK] をクリックします。

    作成したセキュア・ファブリックは、「サイト」ページで確認できます( 図9を参照)。

    図 9: ポリシー適用ポイントSite with Enforcement Pointがあるサイト
  7. 次へ」をクリックします。

    [Policy Enforcement Group] ページが表示されます。

ステップ 4: ポリシー適用グループを作成する

ポリシー適用グループは、Advanced Threat Preventionポリシーを適用できるエンドポイントのグループです。エンドポイント(ファイアウォール、スイッチ、サブネット、エンドユーザーのセット)を1つの共通のグループ名で追加し、後でそのグループに脅威防止ポリシーを適用することで、ポリシー適用グループを作成します。場所、ユーザーとアプリケーション、または脅威リスクに応じて、脅威防止を構成する方法に基づいて、グループに追加するエンドポイントを決定します。エンドポイントは、複数のポリシー適用グループに属することはできません。

ポリシー適用グループを作成するには、次の手順を実行します。

  1. [Policy Enforcement Groups] ページの右上隅にある [ + ] をクリックします。

    図 10 に示すように、[Policy Enforcement Group] ページが表示されます。

    図 10: ポリシー適用グループ Policy Enforcement Group
  2. ポリシー適用グループの名前と説明を入力します。脅威修復インスタンスが有効になっているサイトは、[グループの種類] が [場所] の場合にのみ一覧表示されます。「使用可能」リストでサイトの横にあるチェック・ボックスを選択し、「>」アイコンをクリックして「選択済み」リストに移動します。 ポリシー適用グループを作成するには、ポリシー適用グループの作成 に記載されている手順を使用します。

    新しいポリシー適用グループは、[ポリシー適用グループ(Policy Enforcement Group)] ページで確認できます。

  3. 次へ」をクリックします。

    [ATP Cloud Realm] ページが表示されます。

ステップ5:Juniper ATP Cloudに登録する

セキュリティー・レルムは、Web アプリケーションへのアクセスを制限するために組織によって使用されるグループ識別子です。Juniper ATP Cloudにログインするには、少なくとも1つのセキュリティレルムを作成する必要があります。レルムを作成したら、SRXシリーズファイアウォールをレルムに登録できます。また、レルムにアクセスする権限をより多くのユーザー(管理者)に与えることもできます。複数のセキュリティレルムがある場合、各SRXシリーズファイアウォールは1つのレルムにのみバインドでき、ユーザーはレルムを切り替えることができないことに注意してください。

開始する前に、以下を実行します。

  • ATP Cloud アカウントがライセンスに関連付けられていることを確認します。詳細については、「 ATP Cloud のソフトウェア ライセンス」を参照してください。

  • 作成するレルムがどのリージョンをカバーするかを把握します。レルムを設定する際には、リージョンを選択する必要があります。

ATP Cloud アカウントからレルムを作成するには、次の手順に従います。

  1. ATP Cloud レルム ページの右上隅にある [+ ] 記号をクリックします。

    図 11 に示すような [ATP Cloud realm credentials] ページが表示されます。

    図 11: ATP Cloud レルム ATP Cloud Realm
  2. 場所を選択します。ユーザー名、パスワード、レルムの詳細を入力します。 Juniper ATP Cloudのユーザー名 を参照してレルムを作成および登録し、SRXシリーズファイアウォールをレルムに登録します。
    図 12: セキュリティ レルム Create Security Realmの作成

    サイトが割り当てられた状態でレルムがすでに作成されている場合、サイト内のすべてのデバイスが サイト内のデバイス 列に一覧表示され、EXシリーズ、SRXシリーズ、すべての適用ポイント、およびレルムからのデバイスが含まれます。境界ファイアウォール デバイスとしてマークされているデバイスは、[境界ファイアウォール] 列に一覧表示されます。

    図 13: サイトNew Realm Without Sitesのない新しい領域
    手記:

    レルムの追加が成功しない場合は、ネットワークに問題があり、Security Directorがインターネットに到達できないことを意味します。すべてのデバイスとコンポーネントがインターネットに接続し、相互に接続できることを確認します。

    レルムにサイトが割り当てられていない場合は、[ サイトの割り当て(Assign Sites)] をクリックします。

    図 14 に示すような [Sites] ページが表示されます。

    図 14: 領域Assign Site to a Realmへのサイトの割り当て

    レルムに登録するサイトを 1 つ以上選択します。レルムに関連付けられているサイトがない場合は、「 新規サイトの作成」をクリックします。新規サイトの作成の詳細については、「 セキュア・ファブリックおよびサイトの作成」を参照してください。

  3. [ OK] をクリックします。

    [ATP Cloud Realms] ページが表示され、そのドメインに登録されているサイトが表示されます。

  4. 次へ」をクリックします。

    [ポリシー(Policies)] ページが表示されます。

手順 6: 脅威防止ポリシーを作成する

脅威防御ポリシーは、コマンド&コントロールサーバー、感染したホスト、マルウェアなど、選択した脅威プロファイルに対する保護と監視を提供します。Juniper ATP Cloudからのフィードとお客様が設定したカスタムフィードを使用して、IngressとEgressトラフィックに不審なコンテンツや動作がないか監視します。脅威スコアに基づいて、検出された脅威が評価され、判別後にアクションが講じられる場合があります。脅威防止ポリシーを作成したら、1つ以上のポリシー適用グループを割り当てます。

開始する前に、以下を実行します。

  • ポリシーに使用するプロファイルのタイプ(コマンドおよび制御サーバー、感染ホスト、またはマルウェア)を決定します。(ポリシーで 1 つ以上の脅威プロファイルを選択できます)。

  • 脅威が見つかった場合に実行するアクションを決定します。

  • ポリシーに追加するポリシー適用グループを把握します。

脅威防御ポリシーを作成するには、次の手順を実行します。

  1. [ポリシー] ページの右上隅にある [+ ] をクリックします。

    図 15 に示すような [Create Threat Prevention Policy] ページが表示されます。

    図 15: 脅威防止ポリシー 1 Create Threat Prevention Policy 1の作成
  2. 図 16図 17 に示すように、プロファイル パラメータを設定します。脅威防止ポリシーの作成に記載されている手順を使用します。
    図 16: 脅威防止ポリシー 2 Create Threat Prevention Policy 2の作成
    図 17: 脅威防止ポリシー 3 Create Threat Prevention Policy 3の作成
  3. [ OK] をクリックします。

    新しいポリシーが [Policies] ページに表示されます( 図 18 を参照)。

    図 18: ポリシー Policies
  4. [ グループへの割り当て(Assign to Groups )] をクリックして、目的のポリシー適用グループに脅威防御ポリシーを割り当てます。

    図 19 に示すように、[Assign to Policy Enforcement Groups] ページが表示されます。

    図 19: ポリシー適用グループへの割り当て Assign to Policy Enforcement Groups
  5. [使用可能(Available)] 列から 1 つ以上のポリシー適用グループを選択し、それを [選択済み(Selected)] 列に移動してポリシーに含めます。[ OK] をクリックします。

    システムはルール分析を実行し、脅威防止ポリシーを含むデバイス構成を準備します。

    「View Change List」ページが表示されます ( 図 20 を参照)。

    図 20: 変更リストの表示 View Change List
  6. [更新]をクリックして、新しく作成したポリシーをSRXシリーズファイアウォールにプッシュするようにシステムに指示します。

    「ジョブのステータス」ページが表示されます ( 図 21 を参照)。

    図 21: ジョブのステータス Job Status
  7. ジョブステータスID(スナップショットポリシー、パブリッシュポリシー、およびデバイスの更新)をクリックして、ジョブの詳細を表示します。終了するには、「 OK」をクリックします。

    新しい脅威防御ポリシーが [ポリシー] ページに表示されます。

    図 22: ポリシー適用グループ Policy Assigned to Policy Enforcement Group に割り当てられたポリシー
  8. 次へ」をクリックします。

    [Geo IP] ページが表示されます。

  9. Geo IP を設定するには、「 ステップ 7: (オプション) Geo IP の構成」を参照し、それ以外の場合は [完了 ] をクリックして [概要] ページに移動します。

    [概要] ページには、ガイド付きセットアップ ウィザードを使用して構成したすべてのパラメーターが一覧表示されます。

    図 23: サマリー Summary
  10. 編集 」をクリックしてパラメータをさらに編集するか、「 OK」をクリックします。

    [Threat Prevention Policy] ページが表示され、新しく作成されたポリシーが表示されます。

ステップ7:(オプション)Geo IPを設定する

ジオIPは、端末のIPアドレスを識別することにより、コンピューター端末の地理的位置を見つける方法です。Geo IP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。IPアドレスを攻撃トラフィックの送信元にマッピングすることで、発信元の地理的地域を特定し、世界の特定の場所との間のトラフィックをフィルタリングできます。

Geo IP を作成するには:

  1. [Geo IP] ページの右上隅にある [+ ] をクリックします。

    図 24 に示すような [Create Geo IP] ページが表示されます。

    図 24: Geo IP Create Geo IPの作成
  2. 「Geo IP ポリシーの作成」に記載されている手順を使用して、Geo IP を作成します。
    図 25: 新しい Geo IP New Geo IP
  3. [ グループへの割り当て(Assign to Groups )] をクリックして、ポリシーに含める 1 つ以上のポリシー適用グループを割り当てます。

    [ポリシー適用グループへの割り当て(Assign to Policy Enforcement Groups)] ページが表示されます。

  4. ポリシーに含めるポリシー適用グループを 1 つ以上選択します。[ OK] をクリックします。

    [View Change List] ページが表示されます。

  5. 更新」をクリックします。

    [ジョブのステータス] ページが表示されます。

  6. 「Finish」をクリックして、「Summary」ページに移動します (図 23 を参照)。

    [概要] ページには、ガイド付きセットアップ ウィザードを使用して構成したすべてのパラメーターが一覧表示されます。

  7. 編集 」をクリックしてパラメータをさらに編集するか、「 OK」をクリックします。

    [Threat Prevention Policy] ページが表示され、新しく作成されたポリシーが表示されます。

【今後の予定】

脅威防御ポリシーが正常に作成されたので、脅威防御ポリシーを有効にする前に、脅威防御ポリシーをセキュリティファイアウォールポリシーに割り当てる必要があります。詳細については、「 ファイアウォール ポリシーの概要 」および「 ファイアウォール ポリシー ルールの作成」を参照してください。

Juniper ATP CloudへのSRXシリーズファイアウォールの登録を確認する

目的

SRXシリーズファイアウォールがATP Cloudに登録されていることを確認します。

アクション

Security Director ウェブ ポータルにログインし、次のタスクを実行します。

表1:Security Director Webポータル

アクション

意味

[ デバイス(Devices)] > [セキュアファブリック>サイト(Secure Fabric Sites)] を選択します。

フィードソースのステータス列には、ATP CloudへのSRXシリーズファイアウォール登録のステータス(成功/失敗)が表示されます。

[ デバイス>セキュリティ デバイス(Devices Security Devices)] を選択します。

[フィード ソース ステータス(Feed Source Status)] 列の下に表示される ATP Cloud レルム名は、デバイスが ATP Cloud レルムに登録されていることを確認します。

[ Configure > Threat Prevention > Feed Sources > Sky ATP] を選択します。

登録ステータス列には、ATP CloudレルムのPolicy Enforcerのステータス(成功/失敗)が表示されます。