統合されたClearPass認証と適用の概要
SRXシリーズおよびNFXシリーズデバイスは、ClearPassに関連付けられ、デバイスのIPアドレスではなく、ユーザー名または所属するグループに基づいて、ユーザーレベルからのユーザーアクセスを制御します。
統合されたClearPass認証および適用機能について
このトピックでは、デバイスとAruba ClearPassが連携して、ユーザーIDレベルでセキュリティを適用し、インターネットへのユーザー・アクセスを制御することで、ネットワーク・リソースを保護する、統合されたClearPass認証および実施機能について説明します。ClearPass Policy Manager(CPPM)は、有線、無線、VPNの各インフラストラクチャでユーザーを認証できます。統合されたClearPass機能により、CPPMとデバイスは、それらが一緒に展開されている複数の環境でコラボレーションできます。
統合されたClearPass認証および適用機能で環境を保護する必要がある理由
モバイルデバイスとクラウドサービスの急増とそれらのセキュリティ保護は、エンタープライズサイバーセキュリティの基本的な戦略的部分になっています。会社のスマートフォンの使用は、企業にとって最大のITセキュリティリスクの1つをもたらします。内蔵のClearPass機能は、モバイルデバイスや複数の同時接続されたデバイスの使用による悪意のある侵入から保護します。
モバイル デバイスをサポートする作業環境では、デバイスが攻撃または脅威に関連付けられているユーザーの ID を知ることで、IT 管理者は攻撃の原因を特定し、同じ戦略に従う将来の潜在的な攻撃を阻止する上で利点が向上します。
攻撃者は、近くの会社所有のモバイルデバイスにアクセスしてマルウェアをインストールし、いつでもデータを取得するために使用できます。偵察であろうと悪意であろうと、今日のコンピューティング環境では、ネットワークリソースに対する攻撃は一般的です。攻撃者は、情報収集ベンチャーを立ち上げ、事業活動を停止し、企業の機密データを盗むことができます。
今日のネットワーク環境は 、場所、時間、デバイス へのアクセスを多かれ少なかれサポートし、ユーザーがネットワーク接続された複数のデバイスを同時に使用できるため、さまざまな種類の攻撃に対してよりオープンになっています。
統合されたClearPass認証および適用機能により、ユーザー名または属するグループによってユーザーを識別するセキュリティポリシーを設定できるため、攻撃や侵入からユーザーを保護することができます。また、ネットワーク環境に対して実行された脅威と攻撃を特定し、この情報を CPPM に提供します。CPM の管理者は、今後起こりうる同種の攻撃から保護するために、セキュリティの適用をより適切に調整できます。ユーザーが複数のデバイスを使用してネットワークにログインしている場合、デバイスだけでなく、IDに基づいてユーザーのアクティビティを追跡でき、意図したかどうかにかかわらず、ユーザーに代わってネットワークアクセスと悪質なアクティビティをより簡単に制御できます。
統合されたClearPass認証および適用機能がネットワーク環境を保護する方法
統合されたClearPass認証および適用機能により、保護されたリソースやインターネットへのユーザーアクセスに対して、デバイスのIPアドレスではなく、ユーザーレベルでのきめ細かい制御が可能になります。デバイスの管理者は、 ID 対応 セキュリティポリシーの source-identity パラメータで、CPPM がデバイスに投稿するユーザ名またはロール(グループ)名を指定できるようになりました。ユーザーを識別する手段として、デバイスのIPアドレスのみに依存するように制限されなくなりました。デバイスだけでなく、デバイスのユーザーに焦点を当てることで、セキュリティの適用に対する制御が強化されます。
CPPMは、SRXシリーズファイアウォールに認証されたユーザー情報を提供するだけでなく、デバイスタイプをロールにマッピングし、ユーザーをそのロールに割り当てることができます。その後、そのロールマッピングをSRXシリーズファイアウォールに送信できます。この機能により、ユーザーが 特定の種類のデバイスを使用している場合のリソースへのアクセスをセキュリティ ポリシーを使用して制御できます。
例えば、CPPMの管理者がマーケティング会社デバイスという役割を設定し、会社のデバイスとマーケティング部門のメンバーの両方をその役割にマッピングしたとします。デバイスの管理者は、そのロールをグループであるかのようにセキュリティ ポリシーで指定できます。セキュリティポリシーは、ロールにマッピングされたすべてのユーザーに適用され、そのタイプのデバイスタイプを使用するときのネットワークアクティビティを本質的に制御します。
統合されたClearPass機能は、SCREENS、IDP、およびコンテンツセキュリティ機能の保護を提供し、さまざまな攻撃戦略からネットワークを保護します。デバイスは、会社のネットワークリソースを保護するだけでなく、攻撃または攻撃の脅威に対応して、これらの保護セキュリティ機能によって生成されたCPPMログレコードを利用できるようにすることができます。すでに発生している脅威や特定の攻撃について知ることは、IT部門がコンプライアンス違反のシステムやネットワークの公開領域を特定するのに役立ちます。この情報を使用して、デバイスのコンプライアンスを強化し、リソースの保護を強化することで、セキュリティを強化できます。
SRXシリーズのセキュリティポリシーは、CPMからデバイスに送信されるユーザー認証情報とID情報を利用して、会社のリソースを保護し、きめ細かいレベルでアクセス制御を実施します。CPPMは認証ソースとして機能します。独自の内部RADIUSサーバーを使用してユーザーを認証します。また、外部の RADIUS サーバーや Active Directory など、外部の認証ソースを利用して認証を実行することもできます。
CPPM認証は、スイッチやアクセスコントローラなどのNASデバイスからの要求によってトリガーされます。CPPMは、デバイスが公開するRESTful WebサービスのXML部分を使用して、POSTリクエストメッセージをデバイス認証済みユーザーIDおよびデバイスポスチャ情報に送信します。
デバイスとAruba ClearPassは、企業のリソースを保護し、モバイルデバイスにインターネットアクセスポリシーを適用するために必要な複雑で複雑なセキュリティタスクを簡素化します。このセキュリティは、モバイルエクスペリエンスをサポートし、ユーザーが独自のシステム、スマートフォン、タブレットを含むさまざまなデバイスを自由に使用できるネットワーク環境に不可欠です。
Junos OSリリース15.1X49-D130以降、SRXシリーズファイアウォールは、セキュリティポリシーでソースIDに関連付けられたIPv6アドレスの使用をサポートしています。IPv4 または IPv6 エントリが存在する場合、そのエントリに一致するポリシーがトラフィックに適用され、アクセスが許可または拒否されます。
無効な認証テーブルエントリのタイムアウト設定について
- 無効な認証エントリのタイムアウト設定
- 無効な認証エントリのタイムアウトが Windows Active Directory でどのように機能するか
- SRXシリーズとNFXシリーズAruba ClearPassでの無効な認証エントリータイムアウトの仕組み
無効な認証エントリのタイムアウト設定
Junos OSリリース15.1X49-D100以降、SRXシリーズファイアウォールおよびvSRX仮想ファイアウォールでは、無効なエントリーに固有のタイムアウト設定を構成することで、認証テーブル内の無効なユーザー認証エントリーが期限切れにならないように保護できます。無効な認証エントリのタイムアウト設定は、有効なエントリに適用される一般的な認証エントリのタイムアウト設定とは別のものです。
Windows Active Directory 認証テーブルと ClearPass 認証テーブルの両方の認証エントリには、エントリの有効期限が切れるまでのタイムアウト値が含まれています。この機能が導入される前は、有効な認証エントリと無効な認証エントリに共通のタイムアウト設定が 1 つ適用されていました。つまり、これらのテーブルのいずれかに無効な認証エントリが作成された場合、テーブルの共通タイムアウトの現在の設定 (テーブルのすべてのエントリに適用されている) がそのテーブルに適用されました。
Active Directory 認証テーブルと ClearPass 認証テーブルの両方で、ユーザーの ID が検証される前に無効なエントリが期限切れになる可能性があります。それぞれの場合にそのイベントが発生する原因は次のとおりです。
Windows Active Directory は、デバイスの IP アドレスに基づいて、認証されていないユーザーのデバイスでユーザー ID 認証情報をプローブするメカニズムを使用します。Windows が WMI プローブをトリガーすることは珍しくありませんが、これはユーザーがログインする前に発生するために失敗します。プローブが失敗すると、システムはデバイスの IP アドレスに対して INVALID 状態のエントリを認証テーブルに生成します。無効なタイムアウト設定の値を設定した場合、そのタイムアウトがエントリーに適用されます。無効なエントリータイムアウト設定の値を構成しなかった場合は、デフォルトのタイムアウトである30分が適用されます。
無効な認証エントリのタイムアウト設定は、有効なエントリに適用される一般的な認証エントリのタイムアウト設定とは別のものです。
Junos OS リリース 17.4R1 以降、統合ユーザー ファイアウォールは、Windows Active Directory 認証テーブルで IPv6 デバイス アドレスをサポートします。Junos OS リリース 17.4R1 以前は、IPv4 アドレスのみがサポートされていました。
ClearPass機能では、認証されていないユーザーがネットワークに参加しようとしたときに、ユーザーのデバイスのIPアドレスが見つからない(つまり、パケット転送エンジンにない場合)場合、デバイスはAruba ClearPassにユーザーの情報を照会します。クエリが失敗した場合、システムはユーザーに対して無効な認証エントリを生成します。無効なタイムアウト設定の値を設定した場合、そのタイムアウトがエントリーに適用されます。無効なエントリ タイムアウトを設定しなかった場合、デフォルトのタイムアウトである 30 分が新しいエントリに適用されます。
無効なエントリのタイムアウトは、状態が [有効または保留中] から [無効] に変更されたエントリにも適用されます。
タイムアウト設定は、Windows Active Directory 認証テーブルと ClearPass 認証テーブル内の無効な認証エントリに別々に適用するように構成します。タイムアウトを設定しない場合、無効な認証エントリのタイムアウトのデフォルト値である30分が適用されます。タイムアウト値の適用と効果は、これらの認証ソースによって異なる方法で決定されます。
無効な認証エントリのタイムアウトが Windows Active Directory でどのように機能するか
次のコマンドを使用して、Windows Active Directory 認証テーブルのエントリの無効な認証エントリのタイムアウト設定を構成します。この例では、無効な認証エントリのタイムアウト値は 40 分に設定されています。このタイムアウト値は、新しい無効なエントリに適用されます。
user@host# set services user-identification active-directory-access invalid-authentication-entry-timeout 40
新しいタイムアウト値は、既存の無効なエントリにも適用されますが、それらに割り当てられた現在のタイムアウト値とタイムアウト状態のコンテキスト内に適用されます。認証テーブルに、無効な認証エントリのタイムアウト設定またはデフォルトが以前に適用された既存の無効なエントリが含まれているとします。この場合、新しい無効なエントリのタイムアウト設定は、これらのエントリのタイムアウトに影響しますが、方法は異なります。これらのエントリでは、元のタイムアウト設定 (元のタイムアウト値が適用されてから経過した時間) と新しいタイムアウト設定が共謀して、既存のエントリに適用される結果のタイムアウト値が生成されます。
表 1 に示すように、結果のタイムアウトが延長される場合もあれば、短縮される場合もあります。また、元のタイムアウトが満了し、適用される無効な認証項目が削除される場合もあります。
既存のエントリに対する元の無効なエントリのタイムアウト設定 |
経過時間 |
新しい無効なエントリのタイムアウト構成設定 |
既存の無効なエントリに対するタイムアウト設定の結果 |
---|---|---|---|
20分 |
5 分 |
50分 |
45分 |
50分 |
10分 |
20分 |
10分 |
50分 |
40分 |
20分 |
タイムアウトの期限が切れ、認証テーブルからエントリが削除されます |
40分 |
20分 |
0 |
0 |
新しい無効なタイムアウトエントリが古い無効なエントリのエントリに課され、さまざまな一意の結果を生成するのと同じように、無効なエントリのタイムアウト値が変更されたときに、新しい無効なエントリにも同じルールと効果が適用されます。
SRXシリーズとNFXシリーズAruba ClearPassでの無効な認証エントリータイムアウトの仕組み
次のコマンドを使用して、ClearPass 認証テーブル内のエントリの無効な認証エントリのタイムアウトを構成します。この例では、ClearPass 認証テーブル内の無効な認証エントリは、作成されてから 22 分後に有効期限が切れます。
user@host# set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 22
ClearPass の無効な認証エントリのタイムアウト値を最初に構成すると、構成 後に 生成された無効な認証エントリに適用されます。ただし、既存の無効な認証エントリはすべて、既定のタイムアウトである 30 分を保持します。
無効な認証エントリのタイムアウト設定を構成しない場合、デフォルトのタイムアウトである 30 分がすべての無効な認証エントリに適用されます。
無効な認証エントリのタイムアウト設定を行い、後で削除すると、削除後に生成された新しい無効な認証エントリにデフォルト値が適用されます。ただし、以前に設定された値が適用された既存の無効な認証エントリは、その値を保持します。
無効な認証エントリのタイムアウト値の設定を変更すると、値の変更 後に 作成されたすべての無効な認証エントリに新しい値が適用されます。ただし、既存の無効な認証エントリはすべて、それらに適用された以前の無効な認証エントリのタイムアウト設定を保持します。既定値の 30 分が以前に適用されていたエントリは、その設定を保持します。
エントリの保留中または有効な状態が無効に変更されると、無効な認証エントリのタイムアウト設定が適用されます。
無効な認証エントリの状態が保留中または有効に変更されると、無効な認証エントリのタイムアウト設定は適用されなくなります。共通認証エントリのタイムアウトに設定されたタイムアウト値が適用されます
表 2 は、新しい無効なエントリーのタイムアウト値が新規および既存の無効なエントリーにどのように影響するかを示しています。
無効なエントリのタイムアウト設定 |
初期無効なエントリのタイムアウト設定 |
経過時間 |
新しい無効なエントリのタイムアウト構成設定 |
既存の無効なエントリに対する最終タイムアウト設定 |
---|---|---|---|---|
新しい無効な認証エントリ |
|
|
50 |
50 |
既存の無効なエントリのタイムアウト |
20 |
5 |
50 |
15 |
既存の無効なエントリのタイムアウト |
0 |
40 |
20 |
0 |
既存の無効なエントリのタイムアウト |
40 |
20 |
0 |
20 |
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。