統合されたClearPass認証とポリシー適用の概要
SRX シリーズおよび NFX シリーズ のデバイスは ClearPass に関連付け、ユーザー名に基づいて、またはデバイスの IP アドレスではなく、所属するグループによってユーザー レベルからユーザー アクセスを制御します。
統合型 ClearPass 認証とポリシー適用機能について
このトピックでは、ユーザーアイデンティティレベルでセキュリティを適用し、インターネットへのユーザーアクセスを制御することで、デバイスとAruba ClearPassが協力してネットワークリソースを保護する統合型ClearPass認証および適用機能について説明します。ClearPass Policy Manager(CPPM)は、有線、無線、VPNの各インフラストラクチャでユーザーを認証できます。ClearPassの統合機能により、CPPMとデバイスを一緒に導入する複数の環境でコラボレーションが可能になります。
統合型 ClearPass 認証およびポリシー適用機能で環境を保護する必要がある理由
モバイル デバイスやクラウド サービスの急増とセキュリティ対策は、企業のサイバーセキュリティの基本的な戦略的要素となっています。企業のスマートフォンの使用は、企業にとって最大の IT セキュリティ リスクの 1 つとなっています。統合されたClearPass機能は、モバイルデバイスと同時に接続された複数のデバイスを使用して導入された悪意のある侵入から保護します。
モバイル デバイスをサポートする作業環境では、デバイスが攻撃や脅威に関連付けられているユーザーの身元を知ることで、IT 管理者は攻撃の原因を特定し、同じ戦略に従って将来発生する潜在的な攻撃を阻止する上で、より優れた優位性を得ることができます。
攻撃者は、会社が所有する近くのモバイル デバイスにアクセスしてマルウェアをインストールし、それを使用していつでもデータをキャプチャできます。偵察でも、悪意のあるものであれ、ネットワーク リソースに対する攻撃は、今日のコンピューティング環境で一般的に行われるものです。攻撃者は情報収集のベンチャー企業を立ち上げ、ビジネス活動を止め、機密性の高い企業データを盗むことができます。
今日のネットワーク環境は、場所を問 わず、あらゆるデバイス へのアクセスを大小さまざまなレベルでサポートし、ユーザーが複数のネットワーク接続デバイスを同時に使用できるため、さまざまな種類の攻撃に対してよりオープンになっています。
統合されたClearPass認証および適用機能は、ユーザー名またはユーザーが属するグループによってユーザーを識別するセキュリティポリシーを設定することで、攻撃や侵入からあなたを保護することができます。また、ネットワーク環境に対する脅威や攻撃を特定し、CPPMにこの情報を提供します。CPPM の管理者は、セキュリティ適用の調整を強化して、今後発生する可能性のある同種の攻撃から保護することができます。ユーザーが複数のデバイスでネットワークにログインしている場合は、デバイスだけでなく、アイデンティティに基づいてアクティビティを追跡できます。また、意図したかどうかにかかわらず、ネットワークアクセスと、その代わりの悪質なアクティビティをより簡単に制御できます。
組み込まれた ClearPass 認証およびポリシー適用機能によってネットワーク環境を保護する方法
ClearPass の認証およびポリシー適用機能を統合することで、保護されたリソースとインターネットへのユーザー アクセスを介して、デバイスの IP アドレスではなくユーザー レベルできめ細かい制御を行うことができます。デバイスの管理者は、 ID を認識 するセキュリティ ポリシーの送信元 ID パラメーターに、CPPM がデバイスに投稿するユーザー名またはロール(グループ)名を指定できるようになりました。ユーザーを特定する手段として、デバイスの IP アドレスのみに依存することに制限されることはありません。デバイスだけではなく、デバイスのユーザーに焦点を当てると、セキュリティの適用に対する制御が強化されます。
CPPMは、認証されたユーザー情報をSRXシリーズファイアウォールに提供するだけでなく、デバイスタイプをロールにマッピングし、ユーザーにそのロールを割り当てることができます。その役割マッピングをSRXシリーズファイアウォールに送信できますこの機能により、ユーザーが 特定のタイプのデバイスを使用している場合、リソースへのアクセスをセキュリティ ポリシーで制御できます。
たとえば、CPPM の管理者が marketing-company-device と呼ばれるロールを設定し、そのロールに会社のデバイスとマーケティング部門のメンバーの両方にマッピングしたとします。デバイスの管理者は、セキュリティ ポリシー内のロールをグループとして指定できます。その後、セキュリティポリシーは、ロールにマッピングされたすべてのユーザーに適用され、そのタイプのデバイスタイプを使用する際のネットワークアクティビティを本質的に制御します。
ClearPass の統合機能は、SCREENS、IDP、Content Security の機能を保護し、さまざまな攻撃戦略からネットワークを防御します。このデバイスは、企業のネットワークリソースを保護するだけでなく、攻撃や攻撃の脅威に対応するために、これらの保護セキュリティ機能によって生成されたCPPMログレコードを利用できるようにします。すでに発生している脅威と特定の攻撃を把握することで、IT 部門はネットワークの準拠していないシステムや露出したエリアを特定できます。この情報により、デバイスのコンプライアンスを強化し、リソースの保護を強化することで、セキュリティを強化できます。
SRXシリーズのセキュリティポリシーは、CPPMからデバイスに送信されるユーザー認証およびID情報を活用して、企業のリソースを保護し、きめ細かいレベルでアクセス制御を実施します。CPPM は認証ソースとして機能します。独自の内部 RADIUS サーバーを使用してユーザーを認証します。また、外部 RADIUS サーバーや Active Directory など、外部認証ソースに依存して認証を実行することもできます。
CPPM認証は、スイッチやアクセスコントローラなどのNASデバイスからの要求によってトリガーされます。CPPMは、デバイスが公開するRESTful WebサービスのXML部分を使用して、デバイスが認証したユーザーIDとデバイスの姿勢情報にPOSTリクエストメッセージを送信します。
デバイスとAruba ClearPassは、企業リソースを保護し、モバイルデバイスのインターネットアクセスポリシーを適用するために必要な複雑で複雑なセキュリティタスクを簡素化します。このセキュリティは、モバイルエクスペリエンスをサポートし、ユーザーが自分のシステム、スマートフォン、タブレットなど、幅広いデバイスを使用する緯度を与えるネットワーク環境では不可欠です。
Junos OSリリース15.1X49-D130以降、SRXシリーズファイアウォールは、セキュリティポリシーで送信元IDに関連付けられたIPv6アドレスの使用をサポートしています。IPv4 または IPv6 エントリーが存在する場合、そのエントリーに一致するポリシーがトラフィックに適用され、アクセスが許可または拒否されます。
無効な認証テーブルエントリのタイムアウト設定について
- 無効な認証エントリのタイムアウト設定
- Windows Active Directory に対する無効な認証エントリのタイムアウトの仕組み
- SRX シリーズおよび NFX シリーズ Aruba ClearPass で無効な認証エントリタイムアウトが機能する方法
無効な認証エントリのタイムアウト設定
Junos OS リリース 15.1X49-D100 以降、SRX シリーズ ファイアウォールおよび vSRX 仮想ファイアウォールでは、無効なエントリーに固有のタイムアウト設定を構成することで、ユーザーを検証する前に、認証テーブル内の無効なユーザー認証エントリを保護できます。無効な認証エントリーのタイムアウト設定は、有効なエントリーに適用される一般的な認証エントリーのタイムアウト設定とは別です。
Windows Active Directory 認証テーブルと ClearPass 認証テーブルの両方の認証エントリには、エントリの有効期限が切れるタイムアウト値が含まれています。この機能を導入する前に、有効および無効な認証エントリに 1 つの共通タイムアウト設定が適用されました。つまり、これらのテーブルのいずれかで無効な認証エントリが作成された場合、テーブルのすべてのエントリに適用されるテーブルの一般的なタイムアウトの現在の設定が適用されます。
Active Directory 認証テーブルと ClearPass 認証テーブルの両方で、ユーザーの ID を検証する前に無効なエントリが期限切れになる可能性があります。それぞれのケースでイベントが発生する原因は次のとおりです。
Windows Active Directory では、認証されていないユーザーのデバイスをプローブするメカニズムを使用して、デバイスの IP アドレスに基づいたユーザー ID 認証情報を確認します。ユーザーがログインする前に発生するため、Windows が失敗する WMI プローブをトリガーするのは珍しいことではありません。プローブの失敗後、システムは、デバイスの IP アドレスに対して無効な状態の認証テーブル内のエントリーを生成します。無効なタイムアウト設定に値を設定した場合、そのタイムアウトがエントリに適用されます。無効なエントリータイムアウト設定に値を設定しなかった場合、デフォルトのタイムアウトである30分が適用されます。
無効な認証エントリーのタイムアウト設定は、有効なエントリーに適用される一般的な認証エントリーのタイムアウト設定とは別です。
Junos OS リリース 17.4R1 以降、統合ユーザー ファイアウォールは、Windows Active Directory 認証テーブルで IPv6 デバイス アドレスをサポートします。Junos OS リリース 17.4R1 以前は、IPv4 アドレスのみがサポートされていました。
ClearPass機能では、認証されていないユーザーがネットワークへの参加を試み、ユーザーのデバイスのIPアドレスが見つからない場合(つまり、パケット転送エンジン内にない)、デバイスがAruba ClearPassにユーザー情報をクエリーします。クエリーが失敗した場合、システムはユーザーの無効な認証エントリを生成します。無効なタイムアウト設定に値を設定した場合、そのタイムアウトがエントリに適用されます。無効なエントリータイムアウトを設定しなかった場合、デフォルトのタイムアウト値である30分が新しいエントリーに適用されます。
無効なエントリータイムアウトは、状態が有効または保留中から無効に変更されたエントリーにも適用されます。
タイムアウト設定は、Windows Active Directory 認証テーブルと ClearPass 認証テーブル内の無効な認証エントリに個別に適用するように構成します。タイムアウト設定を行わない場合、無効な認証エントリのタイムアウトデフォルト値である30分が適用されます。これらの認証ソースについて、タイムアウト値の適用と効果は異なります。
Windows Active Directory に対する無効な認証エントリのタイムアウトの仕組み
次のコマンドを使用して、Windows Active Directory 認証テーブル内のエントリに対して無効な認証エントリのタイムアウト設定を構成します。この例では、無効な認証エントリのタイムアウト値は 40 分に設定されています。このタイムアウト値は、新しい無効なエントリーに適用されます。
user@host# set services user-identification active-directory-access invalid-authentication-entry-timeout 40
新しいタイムアウト値は、既存の無効なエントリーにも適用されますが、割り当てられた現在のタイムアウト値とタイムアウト状態のコンテキスト内に適用されます。認証テーブルに、無効な認証エントリーのタイムアウト設定または以前にデフォルトが適用された既存の無効エントリーが含まれているとします。この場合、新しい無効なエントリーのタイムアウト設定は、これらのエントリーのタイムアウトに影響しますが、別の方法で有効になります。これらのエントリーでは、元のタイムアウト設定(元のタイムアウト値が適用されてから有効期限が切れた時間)と新しいタイムアウト設定が一元化されて、結果として既存のエントリーに適用されるタイムアウト値が生成されます。
表 1 に示すように、結果のタイムアウトが拡張される場合もあり、場合によっては短縮され、元のタイムアウトが期限切れになり、適用される無効な認証エントリが削除される場合もあります。
既存エントリの元の無効なエントリ タイムアウト設定 |
経過時間 |
新しい無効なエントリータイムアウト設定 |
既存の無効なエントリの結果のタイムアウト設定 |
|---|---|---|---|
20 分 |
5 分 |
50 分 |
45 分 |
50 分 |
10 分 |
20 分 |
10 分 |
50 分 |
40 分 |
20 分 |
タイムアウトが期限切れになり、認証テーブルからエントリが削除されます。 |
40 分 |
20 分 |
0 |
0 |
古い無効なエントリの新しい無効なタイムアウトエントリーが適用され、さまざまな一意の結果が生成されるように、無効なエントリのタイムアウト値が変更された場合、新しい無効なエントリには同じルールと効果が適用されます。
SRX シリーズおよび NFX シリーズ Aruba ClearPass で無効な認証エントリタイムアウトが機能する方法
ClearPass 認証テーブルのエントリに無効な認証エントリ タイムアウトを設定するには、次のコマンドを使用します。この例では、ClearPass 認証テーブルの無効な認証エントリは作成された 22 分後に期限切れになります。
user@host# set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 22
ClearPass の無効な認証エントリのタイムアウト値を最初に設定すると、構成 後 に生成された無効な認証エントリに適用されます。ただし、既存の無効な認証エントリーはすべて、デフォルトのタイムアウトである30分を保持します。
無効な認証エントリのタイムアウト設定を構成しない場合、すべての無効な認証エントリに 30 分のデフォルトのタイムアウトが適用されます。
無効な認証エントリのタイムアウト設定を構成し、後で削除した場合、削除後に生成された新しい無効な認証エントリにデフォルト値が適用されます。ただし、設定された値が以前に適用されていた既存の無効な認証エントリでも、その値は保持されます。
無効な認証エントリのタイムアウト値の設定を変更した場合、値を変更した 後 に作成されたすべての無効な認証エントリに新しい値が適用されます。ただし、既存の無効な認証エントリはすべて、以前の無効な認証エントリのタイムアウト設定が適用された状態を保持します。デフォルト値の 30 分が適用されていたエントリは、以前はその設定を保持していました。
エントリーの保留中または有効な状態が無効に変更された場合、無効な認証エントリーのタイムアウト設定が適用されます。
無効な認証エントリの状態が保留中または有効に変更された場合、無効な認証エントリのタイムアウト設定は適用されなくなります。一般的な認証エントリのタイムアウトに設定されたタイムアウト値がそれに適用されます
表 2 は、新しい無効なエントリ タイムアウト値が新しいエントリと既存の無効なエントリーに与える影響を示しています。
無効なエントリータイムアウト設定 |
無効なエントリータイムアウトの設定 |
経過時間 |
新しい無効なエントリータイムアウト設定 |
既存の無効なエントリの最終タイムアウト設定 |
|---|---|---|---|---|
新しい無効な認証エントリ |
|
|
50 |
50 |
既存の無効なエントリータイムアウト |
20 |
5 |
50 |
15 |
既存の無効なエントリータイムアウト |
0 |
40 |
20 |
0 |
既存の無効なエントリータイムアウト |
40 |
20 |
0 |
20 |