Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

Policy Enforcerを使用してSRXシリーズファイアウォールをジュニパーATPクラウドに登録する方法

このセクションでは、Policy Enforcerのガイド付き設定ウィザードを使用して、SRXシリーズファイアウォールをジュニパーATPクラウドに登録するための手順を説明します。

ソリューションの概要

図1 は、Policy Enforcer、Security Director、ジュニパー ATP Cloud、Junos OSデバイスがどのように相互作用して、Juniper Connected Securityで安全なネットワーク導入を提供するかを示すワークフローの概要を示しています。

図1:Juniper Connected SecurityソリューションコンポーネントJuniper Connected Security Solution Components

Juniper Connected Securityソリューションでは、クライアント/エンドポイントは、エンドポイント保護ソフトウェアを使用してEXシリーズスイッチスイッチとQFXシリーズスイッチに接続されます。これらのスイッチは、アクセスのセキュリティと制御を提供します。

EXシリーズスイッチは、支社/拠点、キャンパス、データセンターのネットワークでスイッチングサービスを提供します。QFXシリーズスイッチは、データセンター環境向けに最適化された高性能で低遅延のエッジデバイスです。

SRXシリーズファイアウォールは、すべてのネットワークレイヤーとアプリケーションにわたって、セキュリティの強化と詳細な検査を提供します。Juniper Connected Securityソリューションのコンテキストでは、SRXシリーズファイアウォールは、アンチマルウェアサービスのためにジュニパー ATPクラウドに接続された境界ファイアウォールとして導入されます。

ジュニパーのATPクラウドは、さまざまなレベルのリスクを特定し、脅威防御においてより高い精度を提供します。SRXシリーズゲートウェイと統合することで、詳細な検査、インラインのマルウェアブロック、実用的なレポートを提供します。

Policy Enforcerは、ジュニパーのATPクラウドによって収集および報告された情報を使用して、脅威について学習し、新しい脅威の状態に迅速に対応します。この情報を使用して、Policy Enforcerはポリシーを自動的に更新し、ファイアウォールとスイッチに新しい適用を展開し、感染したホストを隔離および追跡して脅威の進行を阻止します。Policy Enforcerは、IPアドレスとMACアドレスで感染したホストを識別するため、ホストがネットワーク上の別のスイッチやAP(アクセスポイント)に移動した場合でも、ホストを追跡してブロックし続けることができます。

これらのコンポーネントが連携して機能すると、複数のソース(サードパーティのフィードを含む)からの脅威インテリジェンスを活用して、脅威をより迅速に検出できます。ネットワークセキュリティはリアルタイムの脅威情報に動的に適応できるため、セキュリティポリシーは一貫して適用されます。

利点

Policy Enforcerのガイド付きセットアップウィザードでは、Juniper Connected Securityソリューションを一度に立ち上げて稼働させることができます。また、ネットワーク全体にわたるセキュリティポリシーの作成、脅威検知、セキュリティポリシーの適用が簡素化されるため、Juniper Connected Securityを使用してジュニパー ATPクラウドの設定を完了する最も効率的な方法でもあります。

始める前に

  • Security Directorをインストールして設定します。『 Security Directorのインストールおよびアップグレードガイド』を参照してください。

  • SRXシリーズファイアウォールをインストールして設定します。「 ソフトウェアのインストールとアップグレードガイド」を参照してください。

  • Policy Enforcer仮想マシン(VM)をダウンロード、展開および設定します。 Policy Enforcerのドキュメントを参照してください。

  • Policy EnforcerをSecurity Directorに接続します。 Policy Enforcerのドキュメントを参照してください。

  • ジュニパー ATP クラウド ライセンスを取得し、ATP クラウド ポータル アカウントを作成します。ATP Cloudのライセンスとアカウントは、すべてのATPクラウド構成タイプ(Juniper Connected Securityを搭載したATPクラウド、ATPクラウド、クラウドフィードのみ)に必要です。ATPクラウドライセンスをお持ちでない場合は、最寄りのジュニパーネットワークス営業所またはジュニパーネットワークスパートナーにお問い合わせください。ATP Cloudアカウントをお持ちでない場合は、ATP Cloudサーバーにリダイレクトされ、アカウントが作成されます。

  • 脅威防御を設定するSRXシリーズファイアウォールが、Junos Spaceですでに検出され、利用可能であることを確認します。「 Security Directorでのデバイス検出の概要」を参照してください。

Policy Enforcerのガイド付きセットアップを使用して、SRXシリーズファイアウォールをジュニパーATPクラウドに登録する

ステップ1:Policy Enforcerの設定を構成する

Policy Enforcerの設定ページで選択したジュニパーATPクラウド設定タイプによって、ガイド付き設定プロセスが決まります。ガイド付きセットアップには、選択した設定タイプに必要なすべての設定項目が表示されます。各設定タイプの詳細については、 ATPクラウド設定タイプの概要 を参照してください。

注:

ここでは、ユースケースに必要な必須パラメーターのみを設定します。ネットワークの要件に応じてデフォルト値を変更することができます。

Policy Enforcer設定を構成するには:

  1. 管理>Policy Enforcer>設定を選択します。

    図2に示すように、設定ページが表示されます。

    図2:Policy Enforcer設定 Policy Enforcer Settings
  2. Policy Enforcer VMのIPアドレス、ユーザー名、パスワードを入力します。Policy Enforcerの設定に記載されている手順を使用します。
  3. ATPクラウド設定タイプとして、 Sky ATP/JATP with Juniper Connected Securityを選択します。
  4. OKをクリックします。

    Policy Enforcer設定のステータスが表示されます。

  5. OKをクリックして、ガイド付きセットアップウィザードに進みます。

ステップ2:ガイド付きセットアップウィザードにアクセスする

このセクションとそれ以降のセクションの手順に従って、ジュニパー ATP クラウドを使用して Juniper Connected Security を設定します。

  1. 脅威防止>ガイド付きセットアップ>構成を選択します。

    図3に示すように、脅威防御ポリシーの設定ページが表示されます。

    図3:脅威防御ポリシーの設定 Threat Prevention Policy Setup
  2. セットアップを開始をクリックして、ガイド付きセットアップを開始します。

    図4に示すように、テナントページが表示されます。

    図4:テナント構成 Tenant Configuration

    テナント設定は、SRXシリーズファイアウォールには適用されません。テナントを設定する必要があるのは、MXシリーズユニバーサルルーターだけです。このステップはスキップしてかまいません。

  3. 次へをクリックします。

    セキュアファブリックページが表示されます。

ステップ3:セキュアなファブリックを作成する

セキュアファブリックとは、ネットワークデバイス(スイッチ、ルーター、ファイアウォール、その他のセキュリティデバイス)を含むサイトの集合です。ユーザーまたはユーザーグループは、ポリシー適用グループを使用して集約された脅威防御ポリシーを適用できます。

脅威防御ポリシーがポリシー適用グループに適用されると、システムはそれらのグループが属しているサイトを自動的に検出します。このようにして、脅威防御がセキュアなファブリック全体に集約されます。サイトを作成するときは、境界ファイアウォールを特定して、ジュニパー ATP クラウドに登録できるようにする必要があります。

セキュアなファブリックを作成するには:

  1. サイトページの右上隅にある + をクリックします。

    図5に示すように、サイトの作成ページが表示されます。

    図5:サイトCreate Siteの作成
  2. サイト名とサイトの説明を入力します。 セキュアなファブリックとサイトの作成に記載されている手順を使用します。
  3. OKをクリックします。

    新しく作成されたサイトが [サイト] ページに表示されます (図 6 を参照)。

    図6:サイト Sites

    次に、共通のセキュリティポリシーを適用するデバイスをサイトに追加する必要があります。

  4. デバイスの適用ポイント 列にある適用ポイントの追加 をクリックするか、デバイスを選択してページの右上隅にある 適用ポイントの追加 をクリックします。

    7に示すように、適用ポイントの追加ページが表示されます。

    図7:適用ポイントの追加 Add Enforcement Point
    注:

    • デバイスは1つのサイトにのみ属することができ、デバイスが使用されている他のサイトから削除する必要があります。サイトからデバイスを削除するには、デバイスを選択した列から適用ポイントセクションの利用可能な列に戻す必要があります。詳細については、「 適用ポイントの追加」を参照してください。

    • このステップの一環として、ファイアウォールデバイスがATPクラウドに自動的に登録されます。手動登録は必要ありません。

    • シャーシクラスターモードでSRXシリーズファイアウォールの適用ポイントを追加する前に、両方のノードがSecurity Directorで検出されていることを確認します。
  5. デバイスを含めるには、利用可能なリストでデバイスの横にあるチェックボックスを選択し、 > アイコンをクリックして選択済みリストに移動します。選択したリスト内のデバイスは、 図8に示すようにサイトに含まれます。
    図8:サイトへのデバイスの割り当て Assign Device to Site
  6. OKをクリックします。

    作成したセキュアファブリックは、 図9に示すようにサイトページで確認できます。

    図9:適用ポイントSite with Enforcement Pointのあるサイト
  7. 次へをクリックします。

    ポリシー適用グループページが表示されます。

ステップ4:ポリシー適用グループを作成する

ポリシー適用グループは、Advanced Threat Preventionポリシーを適用できるエンドポイントのグループです。1つの共通グループ名の下にエンドポイント(ファイアウォール、スイッチ、サブネット、エンドユーザーのセット)を追加し、後でそのグループに脅威防御ポリシーを適用して、ポリシー適用グループを作成します。場所、ユーザー、アプリケーション、または脅威リスクに応じて、脅威防御をどのように設定するかに基づいて、グループに追加するエンドポイントを決定します。エンドポイントは、複数のポリシー適用グループに属することはできません。

ポリシー適用グループを作成するには:

  1. ポリシー適用グループページの右上隅にある + をクリックします。

    図10に示すように、ポリシー適用グループページが表示されます。

    図10:ポリシー適用グループの Policy Enforcement Group
  2. ポリシー適用グループの名前と説明を入力します。脅威修復が有効になっているインスタンスを持つサイトは、グループタイプがロケーションである場合にのみ表示されます。使用可能なリスト内のサイトの横にあるチェックボックスを選択し、>アイコンをクリックして選択済みリストに移動します。ポリシー適用グループの作成に記載されている手順を使用して、ポリシー適用グループを作成します。

    新しいポリシー適用グループは、ポリシー適用グループページで確認できます。

  3. 次へをクリックします。

    ATPクラウド組織ページが表示されます。

ステップ5:ジュニパーATPクラウドを登録する

組織は、Webアプリケーションへのアクセスを管理および制限するための一意のエンティティまたは識別子です。ジュニパー ATP クラウドにログインするには、少なくとも 1 つの組織を作成する必要があります。組織を作成したら、SRXシリーズファイアウォールを組織に登録できます。また、より多くのユーザー(管理者)に組織へのアクセス権限を付与することもできます。複数の組織がある場合、各SRXシリーズファイアウォールは1つの組織にのみバインドでき、ユーザーは組織を切り替えることができないことに注意してください。

始める前に:

  • ATPクラウドアカウントがライセンスに関連付けられていることを確認します。詳細については、 ATPクラウドのソフトウェアライセンスを参照してください。

  • 作成する組織がどのリージョンをカバーするかを把握します。組織を設定する際には、リージョンを選択する必要があります。

ATP Cloudアカウントから企業を作成するには:

  1. ATPクラウド組織ページの右上隅にある+記号をクリックします。

    ATP Cloudの組織の資格情報ページが 図11に示すように表示されます。

    図11:ATPクラウド組織 ATP Cloud Organization
  2. ロケーションを選択します。ユーザー名、パスワード、組織の詳細を入力します。組織を作成および登録し、SRXシリーズファイアウォールを組織に登録するには、ジュニパーATPクラウドユーザー名を参照してください。
    図12:組織Create Security Organizationを作成するセキュリティ

    サイトが割り当てられた状態で企業がすでに作成されている場合、サイト内のすべてのデバイスがサイト内のデバイス列に一覧表示され、EXシリーズスイッチ、SRXシリーズ、すべての適用ポイント、および元々組織から来たデバイスが含まれます。境界ファイアウォールデバイスとしてマークされているデバイスは、境界ファイアウォール列の下に一覧表示されます。

    図13:サイトNew Organization Without Sitesのない新しい組織
    注:

    組織の追加が成功しない場合は、ネットワークに問題があり、Security Directorがインターネットに接続できないことを意味します。すべてのデバイスとコンポーネントがインターネットに接続できること、およびお互いに到達できることを確認します。

    企業にサイトが割り当てられていない場合は、[ サイトの割り当て]をクリックします。

    サイトページは図 14に示すように表示されます。

    図14:組織へのサイトの割り当て Assign Site to a Organization

    企業に登録するサイトを1つ以上選択します。組織に関連付けられているサイトがない場合は、 新しいサイトの作成をクリックします。サイトの作成の詳細については、「 セキュアなファブリックとサイトの作成」を参照してください。

  3. OKをクリックします。

    ATPクラウド組織ページには、組織に登録されたサイトが表示されます。

  4. 次へをクリックします。

    ポリシーページが表示されます。

ステップ6:脅威防御ポリシーを作成する

脅威防止ポリシーは、コマンド&コントロールサーバー、感染したホスト、マルウェアなど、選択した脅威プロファイルを保護し、監視します。ジュニパー ATP クラウドからのフィードと設定したカスタムフィードを使用して、イングレストラフィックとエグレストラフィックに不審なコンテンツや動作がないか監視します。脅威スコアに基づいて、検出された脅威が評価され、判定に達した後にアクションが実行される場合があります。脅威防御ポリシーを作成したら、それに1つ以上のポリシー適用グループを割り当てます。

始める前に:

  • ポリシーに使用するプロファイルのタイプ(コマンド&コントロールサーバー、感染ホスト、マルウェア)を決定します。(ポリシーで1つ以上の脅威プロファイルを選択できます。)

  • 脅威が見つかった場合に実行するアクションを決定します。

  • ポリシーに追加するポリシー適用グループを把握します。

脅威防御ポリシーを作成するには:

  1. ポリシーページの右上隅にある + をクリックします。

    図15に示すように、脅威防御ポリシーの作成ページが表示されます。

    図15:脅威防御ポリシー1の作成 Create Threat Prevention Policy 1
  2. 図16および図17に示すようにプロファイルパラメーターを設定します。脅威防止ポリシーの作成に記載されている手順を使用します。
    図16:脅威防御ポリシー2の作成 Create Threat Prevention Policy 2
    図17:脅威防御ポリシーの作成 3 Create Threat Prevention Policy 3
  3. OKをクリックします。

    新しいポリシーがポリシーページに表示されます( 図18を参照)。

    図18:ポリシーPolicies
  4. グループに割り当てをクリックして、脅威防御ポリシーを目的のポリシー適用グループに割り当てます。

    ポリシー適用グループへの割り当てページが 図19に示されているように表示されます。

    図19:ポリシー適用グループへの割り当て Assign to Policy Enforcement Groups
  5. 使用可能な列から1つ以上のポリシー適用グループを選択し、選択した列に移動してポリシーに含めます。 OKをクリックします。

    システムはルール分析を実行し、脅威防御ポリシーを含むデバイス設定を準備します。

    図20に示すように、変更リストの表示ページが表示されます。

    図20:変更リストView Change Listを表示
  6. 更新をクリックして、新しく作成されたポリシーをSRXシリーズファイアウォールにプッシュするようにシステムに指示します。

    図21に示すように、ジョブステータスページが表示されます。

    図21:ジョブステータス Job Status
  7. ジョブステータスID(スナップショットポリシー、公開ポリシー、デバイスの更新)をクリックして、ジョブの詳細を表示します。終了するには、 OKをクリックします。

    新しい脅威防御ポリシーがポリシーページに表示されます。

    図22:ポリシー適用グループに割り当てられたポリシーPolicy Assigned to Policy Enforcement Group
  8. 次へをクリックします。

    GeoIPページが表示されます。

  9. GeoIPを設定するには、ステップ7を参照してください。(オプション)GeoIPを設定する。それ以外の場合は、完了をクリックして概要ページに移動します。

    概要ページには、ガイド付きセットアップウィザードを使用して設定したすべてのパラメーターが一覧表示されます。

    図23:概要 Summary
  10. 編集をクリックしてパラメータをさらに編集するか、OKをクリックします。

    脅威防御ポリシーページに、新しく作成されたポリシーが表示されます。

ステップ7:(オプション)GeoIPを設定する

GeoIP は、端末の IP アドレスを特定して、コンピューター端末の地理的位置を見つける方法です。GeoIPフィードは、IPアドレスと地理的領域の最新のマッピングです。IPアドレスを攻撃トラフィックの送信元にマッピングすることで、送信元の地理的な地域を特定し、世界中の特定の場所との間でやり取りされるトラフィックをフィルタリングできます。

GeoIPを作成するには:

  1. GeoIPページの右上隅にある+をクリックします。

    図24に示すように、Geo IPの作成ページが表示されます。

    図24:Geo IPCreate Geo IPの作成
  2. GeoIPポリシーの作成に記載されている手順を使用して、GeoIPを作成します。
    図25:新しいGeoIP New GeoIP
  3. グループに割り当てをクリックして、ポリシーに含める1つ以上のポリシー適用グループを割り当てます。

    ポリシー適用グループへの割り当てページが表示されます。

  4. ポリシーに含めるポリシー適用グループを1つ以上選択します。 OKをクリックします。

    変更リストの表示ページが表示されます。

  5. 更新をクリックします

    ジョブステータスページが表示されます。

  6. 完了をクリックして図23に示すように概要ページに移動します。

    概要ページには、ガイド付きセットアップウィザードを使用して設定したすべてのパラメーターが一覧表示されます。

  7. 編集をクリックしてパラメータをさらに編集するか、OKをクリックします。

    脅威防御ポリシーページに、新しく作成されたポリシーが表示されます。

次は何ですか?

脅威防御ポリシーが正常に作成されたので、有効にする前に、脅威防御ポリシーをセキュリティファイアウォールポリシーに割り当てる必要があります。詳細については、「 ファイアウォールポリシーの概要 」および 「ファイアウォールポリシールールの作成」を参照してください。

ジュニパー ATP クラウドでの SRXシリーズ ファイアウォールの登録を確認する

目的

SRXシリーズファイアウォールがATPクラウドに登録されていることを確認します。

アクション

Security Director Webポータルにログインし、以下のタスクを実行します。

表1:Security Director Webポータル

アクション

意味

デバイス>キュアファブリック>サイトを選択します。

フィードソースステータス列には、ATP CloudへのSRXシリーズファイアウォール登録のステータス(成功/失敗)が表示されます。

デバイス>セキュアデバイスを選択します。

フィードソースステータス列に表示されるATP Cloud組織名は、ATP Cloud組織へのデバイスの登録を確認します。

脅威防御>>フィードソースSky ATP>設定を選択します。

登録ステータス列には、ATP Cloud組織内のPolicy Enforcerのステータス(成功/失敗)が表示されます。