統合型 ClearPass 認証およびポリシー適用の概要
SRX シリーズおよびNFX シリーズデバイスを ClearPassに関連付け、ユーザー名またはデバイスのIPアドレスではなく、属するグループによってユーザーレベルからユーザーアクセスを制御します。
統合型 ClearPass 認証およびポリシー適用機能について
このトピックでは、ユーザーのアイデンティティ レベルでセキュリティを適用し、インターネットへのユーザー アクセスを制御することで、デバイスと Aruba ClearPass がコラボレーションしてネットワーク リソースを保護するための統合型 ClearPass 認証およびポリシー適用機能について紹介します。ClearPass Policy Manager(CPPM)は、有線、無線、VPNインフラストラクチャ全体のユーザーを認証できます。統合された ClearPass 機能により、CPPM とデバイスをまとめて導入する複数の環境で作業が可能になります。
統合型 ClearPass 認証およびポリシー適用機能を使用して環境を保護する必要がある理由
モバイル デバイスとクラウド サービスクラウドの急増とセキュリティ保護は、企業のサイバーセキュリティの戦略的な基本部分です。企業のスマートフォンを使用すると、企業の IT セキュリティ上の最大のリスクの 1 つが生み出されます。統合された ClearPass 機能は、モバイル デバイスと同時に接続された複数のデバイスを使用して導入される悪意のある侵入から保護します。
モバイル デバイスをサポートする作業環境では、デバイスが攻撃や脅威に関連付けられているユーザーのアイデンティティを知っているからといって、攻撃の発生源を特定し、同じ戦略に従う将来の潜在的な攻撃を食い止め、その利点を IT 管理者に提供できます。
攻撃者は、近くにある企業所有のモバイル デバイスにアクセスし、マルウェアをインストールして、いつでもデータをキャプチャすることができます。偵察でも悪意のある攻撃でも、今日のコンピューティング環境ではネットワーク リソースに対する攻撃が一般的に行き当たっています。攻撃者は情報収集ベンチャーを立ち上げ、ビジネス活動を停止し、機密性が高い企業データを盗み出す可能性があります。
今日のネットワーク環境は、さまざまな種類の攻撃に対してよりオープンです。それは、いつでもどこでもデバイスにアクセスできる場所やデバイスへのアクセス、さまざまな程度をサポートし、ユーザーがネットワークに接続された複数のデバイスを同時に使用できるからです。
統合された ClearPass 認証およびポリシー適用機能は、ユーザー名または属するグループによってユーザーを識別するセキュリティー ポリシーを設定することで、攻撃や侵入から保護します。また、ネットワーク環境に対する脅威や攻撃を特定し、その情報を CPPM に提供します。CPPM の管理者は、セキュリティポリシーの適用方法を調整して、今後と同様の攻撃から保護できます。ユーザーが複数のデバイスを使用してネットワークにログインした場合、デバイス以外のデバイスのアイデンティティに基づいてユーザーのアクティビティを追跡できます。意図するに関わる限り、ユーザーのネットワーク アクセスや悪質なアクティビティを代わりに簡単に制御できます。
統合型 ClearPass 認証およびポリシー適用機能によってネットワーク環境を保護する方法
統合された ClearPass 認証およびポリシー適用機能により、保護されたリソースとインターネットへのユーザー アクセスを通して、デバイスの IP アドレスではなくユーザー レベルできめ細かく制御できます。デバイスの管理者は、アイデンティティ認識型セキュリティ ポリシーの source-identity パラメーターで、CPPM がデバイスに投稿するユーザー名またはロール(グループ)名を指定できます。ユーザーを特定する手段として、デバイスの IP アドレスだけに頼る必要はなくなりました。デバイスだけでなく、デバイスのユーザーに磨き付け、セキュリティ適用の制御を強化します。
CPPMは、SRX シリーズデバイスに認証されたユーザー情報を提供するほか、デバイス タイプをロールにマップし、そのロールにユーザーを割り当てできます。ロールのマッピングをデバイスのSRX シリーズできますこの機能により、ユーザーが特定のタイプのデバイスを使用している場合にリソースにアクセスするセキュリティ ポリシー を制御できます。
たとえば、CPPM の管理者が marketing-company-device というロールを設定し、マーケティング部門のデバイスとマーケティング部門のメンバーの両方の役割にマッピングされたとします。デバイスの管理者は、セキュリティ ポリシー内でそのロールをグループのように指定できます。その後、セキュリティ ポリシーはロールにマッピングされているすべてのユーザーに適用され、そのタイプのデバイスを使用するときにネットワーク アクティビティを本質的に制御します。
ClearPassの統合機能は、スクリーン、IDP、UTMの機能を保護し、幅広い攻撃戦略からネットワークを防御します。企業のネットワークリソースを保護するほかに、攻撃や攻撃の脅威に対応してこれらの保護セキュリティ機能によって生成されたCPPMログレコードを利用できます。脅威と、発生した特定の攻撃について知っているなら、IT 部門が非準拠のシステムとネットワークの露出したエリアを特定する上で役立ちます。この情報を利用して、デバイスのコンプライアンスを強化し、リソースの保護を強化することで、セキュリティを強化できます。
SRX シリーズポリシーを適用して会社のリソースを保護し、アクセスコントロールをきめ細かく適用し、CPPMからデバイスに送信されるユーザー認証とアイデンティティ情報を活用します。CPPM は認証ソースとして機能します。独自の内部管理サーバーを使用RADIUSユーザーを認証します。外部認証サーバーや Active Directory など、認証を実行する場合は外部RADIUSソースに依存することもできます。
CPPM 認証は、スイッチやアクセス コントローラなどのNAS要求によってトリガーされます。CPPMは、RESTful WebサービスのXML部分を使用して、デバイスが POST リクエスト メッセージでデバイスに送信し、認証されたユーザーアイデンティティとデバイスの姿勢情報を送信します。
デバイスとAruba ClearPassは、企業のリソースを保護し、モバイルデバイス用にインターネットアクセスポリシーを適用するために必要な複雑で複雑なセキュリティタスクを簡素化します。モバイル環境をサポートし、独自のシステム、スマートフォン、タブレットなど、幅広いデバイスを使用するユーザーの幅を広く知るネットワーク環境では、このセキュリティは不可欠です。
Junos OS リリース 15.1X49-D130から、SRX シリーズ デバイスはセキュリティ ポリシーで送信元 ID に関連付けられた IPv6 アドレスの使用をサポートしています。IPv4 または IPv6 エントリーが存在する場合、そのエントリーに一致するポリシーがトラフィックに適用され、アクセスが許可または拒否されます。
無効な認証テーブル エントリー タイムアウト設定について
- 無効な認証エントリーのタイムアウト設定
- Windows Active Directory の無効な認証エントリー タイムアウトの仕組み
- 無効な認証エントリー タイムアウトが Aruba ClearPass SRX シリーズおよびNFX シリーズする仕組み
無効な認証エントリーのタイムアウト設定
Junos OS リリース 15.1X49-D100、SRX シリーズ デバイスおよび vSRX では、無効なエントリーに固有のタイムアウト設定を設定してユーザーを検証する前に、認証テーブルの無効なユーザー認証エントリーが期限切れから保護できます。無効な認証エントリー タイムアウト設定は、有効なエントリーに適用される一般的な認証エントリー タイムアウト設定とは別です。
Windows Active Directory 認証テーブルおよび ClearPass 認証テーブルの両方の認証エントリーには、その後のエントリーの有効期限が切れるタイムアウト値が含まれます。この機能を導入する前に、有効な認証エントリーおよび無効な認証エントリーに、共通のタイムアウト設定が 1 つ適用された。つまり、これらのいずれかのテーブルに無効な認証エントリーが作成された場合、テーブルに共通のタイムアウトの現在の設定(すべてのテーブルのエントリーに適用)が適用されました。
Active Directory 認証テーブルと ClearPass 認証テーブルの両方で、ユーザーのアイデンティティを検証する前に、無効なエントリーが期限切れになる可能性があります。各ケースでこのイベントが発生する原因を以下に示します。
Windows Active Directory はメカニズムを使用して、非認証ユーザーのデバイスをプローブし、デバイスの IP アドレスに基づいてユーザー アイデンティティ認証情報を取得します。Windows がユーザーがログインする前に実行されるという理由で、WINDOWS が失敗した場合に、このプローブがトリガーされるのは珍しいことではありません。プローブが失敗すると、デバイスの IP アドレスに対して無効な状態の認証テーブル内のエントリーがシステムによって生成されます。無効なタイムアウト設定に値を設定した場合、そのタイムアウトがエントリーに適用されます。無効なエントリー タイムアウト設定の値が設定されていない場合、そのデフォルトの 30 分のタイムアウトが適用されます。
無効な認証エントリー タイムアウト設定は、有効なエントリーに適用される一般的な認証エントリー タイムアウト設定とは別です。
リリース Junos OS 17.4R1から、統合ユーザー ファイアウォールは Windows Active Directory 認証テーブルで IPv6 デバイス アドレスをサポートします。リリース前Junos OS、17.4R1は IPv4 アドレスのみサポートされました。
ClearPass機能では、認証されていないユーザーがネットワークへの参加を試み、ユーザーのデバイスのIPアドレスが見つかりません。つまり、パケット転送エンジンにはない場合、デバイスがAruba ClearPassにユーザーの情報をクエリーします。クエリーに失敗すると、ユーザーに無効な認証エントリーが生成されます。無効なタイムアウト設定に値を設定した場合、そのタイムアウトがエントリーに適用されます。無効なエントリー タイムアウトが設定されていない場合、デフォルトの 30 分のタイムアウトが新しいエントリーに適用されます。
無効なエントリー タイムアウトは、状態が有効または保留中から無効に変更されたエントリーにも適用されます。
Windows Active Directory 認証テーブルと ClearPass 認証テーブルの無効な認証エントリーに、タイムアウト設定を個別に適用設定します。タイムアウト設定を設定していない場合、無効な認証エントリー タイムアウトのデフォルト値である30分が適用されます。タイムアウト値のアプリケーションと効果は、これらの認証ソースで異なる方法で決定されます。
Windows Active Directory の無効な認証エントリー タイムアウトの仕組み
Windows Active Directory 認証テーブル内のエントリーに対して無効な認証エントリー タイムアウト設定を構成するには、次のコマンドを使用します。この例では、無効な認証エントリー タイムアウト値が 40 分に設定されています。このタイムアウト値は、新しい無効なエントリーに適用されます。
user@host# set services user-identification active-directory-access invalid-authentication-entry-timeout 40
新しいタイムアウト値は、既存の無効なエントリーにも適用されますが、現在割り当てられたタイムアウト値とタイムアウトの状態の中で適用されます。認証テーブルに、無効な認証エントリー タイムアウト設定またはデフォルトが以前に適用された、既存の無効なエントリーが含まれているとします。この場合、新しい無効なエントリー タイムアウト設定は、これらのエントリーのタイムアウトに影響しますが、別の方法で行います。これらのエントリーに対して、元のタイムアウト設定(元のタイムアウト値が適用された後に有効期限が切れた時間)と、新しいタイムアウト設定が照合され、結果のタイムアウト値が既存のエントリーに適用されます。
表 1 に示すように、結果のタイムアウトが拡張される場合があります。場合によっては、タイムアウトが短縮され、場合によっては元のタイムアウトが期限切れになる場合や、適用されている無効な認証エントリーが削除される場合もあります。
既存エントリーの無効なエントリー タイムアウト設定の無効な元 |
経過時間 |
無効なエントリー タイムアウト設定の新しい設定 |
既存の無効なエントリーに対する結果のタイムアウト設定 |
|---|---|---|---|
20 分 |
5 分 |
50 分 |
45 分 |
50 分 |
10 分 |
20 分 |
10 分 |
50 分 |
40 分 |
20 分 |
タイムアウトが期限切れになった場合、認証テーブルからエントリーが削除される |
40 分 |
20 分 |
0 |
0 |
古い無効なエントリーに対して新しい無効なタイムアウト エントリーが適用され、さまざまな固有の結果が生成されるのと同様に、新しい無効なエントリーは、無効なエントリー タイムアウト値が変更された場合と同じルールと効果の対象となります。
無効な認証エントリー タイムアウトが Aruba ClearPass SRX シリーズおよびNFX シリーズする仕組み
次のコマンドを使用して、ClearPass認証テーブル内のエントリーに対して無効な認証エントリー タイムアウトを設定します。この例では、ClearPass認証テーブルの無効な認証エントリーは、作成から22分で期限切れとなります。
user@host# set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 22
ClearPassの無効な認証エントリー タイムアウト値を最初に設定すると、ClearPassの設定後に生成される無効な認証 エントリーに適用 されます。ただし、既存の無効な認証エントリーのすべてでは、デフォルトのタイムアウトは 30 分保持されます。
無効な認証エントリー のタイムアウト設定が設定されていない場合、デフォルトの 30 分のタイムアウトが、無効なすべての認証エントリーに適用されます。
無効な認証エントリ のタイムアウト設定を設定して後で削除すると、そのデフォルト値が削除後に生成された新しい無効な認証エントリーに適用されます。ただし、設定済みの値が以前に適用された既存の無効な認証エントリーは、その値を保持します。
無効な認証エントリー タイムアウト値の設定を変更すると、値の変更後に作成された無効なすべての認証エントリーに新しい値が適用されます。ただし、既存の無効な認証エントリーはすべて、以前の無効な認証エントリー タイムアウト設定が適用された状態を保持します。デフォルト値の 30 分が適用されたエントリーは、その設定を保持します。
エントリーの保留中または有効な状態が無効に変更されると、無効な認証エントリ のタイムアウト設定が適用されます。
無効な認証エントリーの状態が保留中または有効に変更された場合、無効な認証エントリ のタイムアウト設定は適用されません。共通認証エントリー タイムアウトのタイムアウト値が適用される
表 2 は、 新しいエントリー タイムアウト値が新しいエントリーおよび既存の無効なエントリーに与える影響を示しています。
無効なエントリー タイムアウト設定 |
無効なエントリー タイムアウト設定 |
経過時間 |
無効なエントリー タイムアウト設定の新しい設定 |
既存の無効なエントリーの最終タイムアウト設定 |
|---|---|---|---|---|
新しい無効な認証エントリ |
|
|
50 |
50 |
既存の無効なエントリー タイムアウト |
20 |
5 |
50 |
15 |
既存の無効なエントリー タイムアウト |
0 |
40 |
20 |
0 |
既存の無効なエントリー タイムアウト |
40 |
20 |
0 |
20 |