Juniper Advanced Threat Prevention Cloud
Juniper Advanced Threat Prevention Cloudについて
Juniper® Advanced Threat Prevention Cloud(Juniper ATP Cloud)は、次世代ファイアウォールシステムを備えたクラウドベースの脅威検出ソフトウェアを採用することで、進化し続けるセキュリティ脅威からネットワーク内のすべてのホストを保護するセキュリティフレームワークです。 図1を参照してください。
ジュニパーATPクラウドは、以下のタスクを実行することでネットワークを保護します。
SRXシリーズファイアウォールは、潜在的に悪意のあるオブジェクトやファイルを抽出し、分析のためにクラウドに送信します。
既知の悪意のあるファイルは、ホストに感染する前に迅速に識別され、ドロップされます。
複数の手法が新しいマルウェアを識別し、マルウェアの既知のリストに追加します。
新たに特定されたマルウェアと既知のコマンドアンドコントロール(C&C)サイトとの相関関係は、分析に役立ちます。
SRXシリーズファイアウォールは、既知の悪意のあるファイルのダウンロードとアウトバウンドC&Cトラフィックをブロックします。
ジュニパーATPクラウドは、以下のモードをサポートしています。
レイヤー 3 モード
タップモード
MACアドレスを使用した透過モード。詳しくは、 SRXシリーズデバイスでの透過モードを参照してください。
セキュアワイヤーモード(MACアドレスではなく、トラフィックを直接渡すインターフェイスを使用する高レベルの透過モード)詳細については、 セキュアワイヤについてを参照してください。
ジュニパーATPクラウドの機能
ジュニパーATPクラウドは、クラウドベースのソリューションです。クラウド環境は柔軟性と拡張性があり、共有環境により、誰もが新しい脅威インテリジェンスのメリットをほぼリアルタイムで受けることができます。機密データは、クラウド共有環境であっても保護されます。セキュリティアナリストは、新しい攻撃手法が発見されたときに防御を更新し、非常に遅延することなく脅威インテリジェンスを配布できます。
さらに、ジュニパーATPクラウドは以下の機能を提供します。
-
SRXシリーズファイアウォールとの統合により、導入が簡素化され、ファイアウォールの脅威対策機能が強化されます。
-
巧妙で回避的な脅威に対して堅牢なカバレッジを提供するツールを組み合わせて、「ゼロデイ」脅威に対する保護を提供します。
-
インテリジェントで高速なマルウェア検出および防止ソリューションであるAI予測脅威防御は、ユーザーがどこから接続してもネットワークを保護します。このソリューションは、フローベースのアンチウィルスと機械学習ベースのゼロデイ脅威検出を活用して、マルウェア攻撃からユーザーを保護し、システム内でのマルウェアの拡散を防ぎます。 「例: フローベースのウイルス対策ポリシーを構成する 」および 「例: 機械学習ベースの脅威検出を構成する」を参照してください。
-
ポリシー拡張機能を使用して、インバウンドトラフィックとアウトバウンドトラフィックをチェックし、マルウェアの阻止、感染したシステムの隔離、データ流出の防止、ラテラルムーブメントの妨害を可能にします。
-
サービスを中断することなく提供する高可用性。
-
より多くのコンピューティングリソースを必要とする負荷の増加、より多くの顧客の提出を受信するためのネットワーク帯域幅の増加、マルウェア用の大規模なストレージを処理するようにスケーラブル。
-
詳細な検査、実用的なレポート、インラインマルウェアブロックを提供します。
-
C&C フィード、許可リストとブロックリストの操作、ファイル送信用の API。詳細については、 『脅威インテリジェンス オープン API セットアップ ガイド 』を参照してください。
-
ATPクラウドプレミアムライセンスをお持ちの場合は、DNS、暗号化されたトラフィックのインサイト(ETI)、IoTセキュリティなどの機能を提供します。詳細については、 『ライセンス ガイド 』を参照してください。
図2 は、Juniper ATPクラウドのコンポーネントの一覧です。
表1 では、Juniper ATPクラウドの各コンポーネントの動作を簡単に説明しています。
コンポーネント |
操作 |
---|---|
コマンド&コントロール(C&C)クラウドフィード |
C&Cフィードは、基本的にボットネットの既知のコマンドアンドコントロールであるサーバーのリストです。このリストには、マルウェアのダウンロードの既知のソースであるサーバーも含まれています。 |
GeoIPクラウドフィード |
GeoIP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングすることができます。 |
感染したホストのクラウドフィード |
感染したホストは、C&Cネットワークの一部であるように見えるか、他の症状を示すために侵害された可能性のあるローカルデバイスを示します。 |
許可リスト、ブロックリスト、カスタムクラウドフィード |
許可リストは単に信頼できる既知のIPアドレスのリストであり、ブロックリストは信頼できないリストです。 |
SRX シリーズ ファイアウォール |
抽出されたファイルコンテンツを分析用に送信します。お客様のネットワーク内でC&Cヒットが検出されました。 Juniper ATP Cloudが提供するファイルシグネチャデータベースに基づいてインラインブロックを実行します。 |
マルウェア検査パイプライン |
マルウェア分析と脅威検出を実行します。 |
内部侵害の検出 |
ファイル、メタデータ、およびその他の情報を検査します。 |
サービス ポータル (Web UI) |
お客様のネットワーク内で検知された脅威に関する情報を表示するグラフィックインターフェイス。 お客様が処理のためにクラウドに送信できるファイル カテゴリを微調整できる構成管理ツール。 |
暗号化されたトラフィックのインサイト |
暗号化されたトラフィックのインサイトにより、TLS/SSLによる完全な暗号化解除の負荷をかけることなく暗号化トラフィックの脅威を可視化することができます。 |
SecIntel |
精選されたセキュリティインテリジェンスを、既知の攻撃で使用されていた悪意のあるドメイン、URL、IPアドレスが含まれる脅威フィードという形式で提供します。また、SecIntelでは、お客様はインラインブロック向けに、独自の脅威インテリジェンスをフィードして配信することもできます。 |
適応型脅威プロファイリング |
ネットワークを攻撃している人や現在攻撃している対象に基づいて、セキュリティインテリジェンス脅威フィードを自動的に作成し、新たな脅威の継続的な攻撃に対抗します。適応型脅威プロファイリングでは、ジュニパーセキュリティサービスを利用してエンドポイントの動作を分類し、複数の実施ポイントでさらなる検査やブロックに使用できるカスタム脅威インテリジェンスフィードを構築します。 |
DNSセキュリティ |
DGA や DNS トンネリング技術を利用した攻撃から脅威を防御します。さまざまな技術を使用してDNSを悪用するC&C通信、データ漏洩、フィッシング攻撃、ランサムウェアなどのDNS悪用から保護します。 |
IoT脅威防止 | ATPクラウドは、IoTデバイスを特定して分類する簡単な方法を提供するため、お客様はネットワーク上のIoT攻撃対象領域を制御することができます |
SRXシリーズファイアウォールがトラフィックを修復する方法
SRXシリーズファイアウォールは、Juniper ATP Cloudが提供するインテリジェンスを使用して、セキュリティポリシーを使用することにより、悪意のあるコンテンツを修復します。構成されている場合、セキュリティ ポリシーによって、宛先アドレスに配信される前にそのコンテンツがブロックされる場合があります。
インバウンドトラフィックの場合、SRXシリーズファイアウォールのセキュリティポリシーは、.exeファイルなどの特定の種類のファイルを検査対象として探します。検出されると、セキュリティポリシーにより、検査のためにファイルがJuniper ATP Cloudクラウドに送信されます。SRXシリーズファイアウォールは宛先クライアントからのファイルの最後の数KBを保持しますが、Juniper ATPクラウドはこのファイルがすでに分析されているかどうかを確認します。その場合、判定が返され、ファイルの脅威レベルと適用されているユーザー定義ポリシーに応じて、ファイルがクライアントに送信されるかブロックされます。クラウドがこのファイルをこれまでに検査したことがない場合、ファイルはクライアントに送信され、ジュニパーATPクラウドが徹底的な分析を実行します。ファイルの脅威レベルがマルウェアを示している場合(ユーザー定義の構成によって異なります)、クライアントシステムは感染ホストとしてマークされ、送信トラフィックからブロックされます。詳細については、「 マルウェアの分析方法と検出方法」を参照してください。
図3 は、クライアントがJuniper ATP Cloudでファイルのダウンロードを要求するフローの例を示しています。
歩 |
形容 |
---|---|
1 |
SRXシリーズファイアウォールの背後にあるクライアントシステムが、インターネットからのファイルダウンロードを要求します。SRXシリーズファイアウォールは、そのリクエストを適切なサーバーに転送します。 |
2 |
SRXシリーズファイアウォールは、ダウンロードしたファイルを受信し、セキュリティプロファイルをチェックして、追加のアクションが必要かどうかを確認します。 |
3 |
ダウンロードしたファイルタイプは、検査が必要なファイルのリストにあり、分析のためにクラウドに送信されます。 |
4 |
ジュニパーATPクラウドは、このファイルを以前に検査し、分析結果をキャッシュに保存しています。この例では、ファイルはマルウェアではないため、脅威レベルの判定がSRXシリーズファイアウォールに送り返されます。 |
5 |
ユーザー定義のポリシーと脅威レベルの判定に基づいて、SRXシリーズファイアウォールがファイルをクライアントに送信します。 |
アウトバウンドトラフィックについては、SRXシリーズファイアウォールが受信したC&Cフィードに一致するトラフィックを監視し、これらのC&Cリクエストをブロックして、Juniper ATPクラウドに報告します。感染したホストのリストを表示できるため、SRXシリーズファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックをブロックできます。
ジュニパーATPクラウドの使用例
ジュニパーATPクラウドは、SRXシリーズ導入環境のどこからでも使用できます。 図4を参照してください。
キャンパスエッジファイアウォール:Juniper ATP Cloudが、インターネットからダウンロードしたファイルを分析し、エンドユーザーのデバイスを保護します。
データセンターエッジ:キャンパスエッジファイアウォールと同様に、Juniper ATP Cloudは、感染したファイルやアプリケーションマルウェアがコンピュータに侵入するのを防ぎます。
ブランチルーター:ジュニパーATPクラウドが、分割トンネリング導入からの保護を提供します。分割トンネリングの欠点は、ユーザーが会社のインフラストラクチャによって設定されたセキュリティをバイパスできることです。
ライセンス
ジュニパーATPクラウドには、無料、ベーシック(フィードのみ)、プレミアムの3つのサービスレベルがあります。無料版にはライセンスは必要ありませんが、ベーシックレベルとプレミアムレベルのライセンスを取得する必要があります。
Juniper ATP Cloudライセンスの詳細については、 Juniper Advanced Threat Prevention(ATP)クラウドのライセンスを参照してください。ライセンス管理に関する一般的な情報については、 『ライセンスガイド』 を参照してください。詳細については、製品のデータシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。