Junos OSの概要

1つのオペレーティングシステム

共通の名前を共有しながら多くの異なるプログラムに分裂する他のネットワークオペレーティングシステムとは異なり、Junos OSは、すべてのネットワークデバイスと製品ラインで共有される単一のまとまりのあるオペレーティングシステムです。これにより、ジュニパーネットワークスのエンジニアは、ソフトウェア機能を開発しただけで、すべての製品ラインで同時に機能を共有できます。機能は単一のソースに共通であるため、通常はすべての製品ラインで同じ方法で実装され、製品ごとに異なるツールと方法を学ぶために必要なトレーニングが削減されます。すべてのジュニパーネットワークス製品が同じコードベースを使用しているため、製品間の相互運用性は問題になりません。

1つのモジュラーソフトウェアアーキテクチャ

Junos OSの個々のモジュールは明確に定義されたインターフェイスを介して通信しますが、各モジュールは独自の保護されたメモリスペースで動作するため、1つのモジュールが他のモジュールを中断することはありません。この分離により、必要に応じて各モジュールを個別に再起動できます。これは、1 つのモジュールの誤動作が他のモジュールに波及し、システム全体のクラッシュや再起動を引き起こす可能性があるモノリシック オペレーティング システムとは対照的です。このモジュラー式アーキテクチャは、他のオペレーティングシステムにはない高性能、高可用性、セキュリティ、デバイスの拡張性を提供します。

Junos OSは、工場出荷時にジュニパーネットワークスデバイスに事前インストールされています。したがって、デバイスの電源を初めてオンにすると、すべてのソフトウェアが自動的に起動します。デバイスがネットワークに参加できるようにソフトウェアを設定するだけです。

新機能が追加されたり、ソフトウェアの問題が修正されたりすると、デバイスソフトウェアをアップグレードできます。通常、新しいソフトウェアを入手するには、ジュニパーネットワークスサポートWebページからデバイスまたはローカルネットワーク上の別のシステムにソフトウェアインストールパッケージをダウンロードします。その後、デバイスにソフトウェアアップグレードをインストールします。

ジュニパーネットワークスルーティングプラットフォームは、ジュニパーネットワークスが提供するバイナリのみを実行し、現在サードパーティのバイナリをサポートしていません。各 Junos OS イメージには、署名が検証できる場合にのみシステムに登録される実行可能ファイルのデジタル署名マニフェストが含まれています。Junos OSは、登録済みのシグネチャがないとバイナリを実行しません。この機能は、デバイスの整合性を損なう可能性のある不正なソフトウェアやアクティビティからシステムを保護します。

セキュアブートとブートローダー

システムの起動プロセスには、ブートプロセッサとしてCPUを起動することから始まり、PCHと通信してシステムを起動することから始まり、いくつかの段階が含まれます。CPUは、プライマリSPIフラッシュに保存されているBIOSルーチンにジャンプします。プライマリ フラッシュに障害が発生した場合、ブート FPGA は回復のためにセカンダリ フラッシュに切り替わりますが、ブートローダーは読み込みません。

ブートローダーはシステムの起動プロセスにおいて重要な役割を果たし、オペレーティング システムの安全かつ秩序ある実行を保証します。セキュア ブート、USB、SSD、PXE ブートなどのブート順序とメカニズムにより、システムの起動手順に柔軟性と回復力を提供します。さらに、GRUB構成により、ユーザーは必要に応じてブートプロセスのカスタマイズやトラブルシューティングを行うことができます

セキュア ブートは、UEFI 標準に基づく重要なシステム セキュリティ機能強化です ( Unified Extensible Firmware Interface Forum の Web サイトを参照)。これは、BIOS 自体を改ざんや変更から保護し、ブート プロセス全体を通じてその保護を維持することで機能します。

セキュアブートプロセスはセキュアフラッシュで始まり、ファームウェアに不正な変更が加えられないようにします。Junos OSの認定リリースには、ジュニパーネットワークス直接または認定パートナーのいずれかが作成したデジタル署名が付随します。起動プロセスの各時点で、各コンポーネントは、バイナリが変更されていないことを確認するためにシグネチャをチェックして、次のリンクが健全であることを確認します。シグネチャが正しくないと、ブート プロセスを続行できません。この「信頼の連鎖」は、オペレーティングシステムが制御するまで続きます。このようにして、システム全体のセキュリティが強化され、一部のファームウェアベースの持続的な脅威に対する耐性が高まります。

図1は、この「信頼の連鎖」の簡略版を示しています。

セキュアブートを実装するのにユーザー側でのアクションは必要ありません。デフォルトでは、サポートされているハードウェアに実装されます。

セキュアブートをサポートするJunos OSリリースとハードウェアの詳細については、 機能エクスプローラー を参照して Secure Bootを入力してください。

ハードウェアのルートオブトラスト

ハードウェア ルート オブ トラスト (HRoT) は、システムに統合されたハードウェアベースのセキュリティ機能であり、ファームウェアの整合性を検証し、安全な動作を保証するための信頼できる基盤として機能します。この機能は、ハードウェアから始まる不変の信頼のルートを提供し、システム内の潜在的なセキュリティ脆弱性から保護します。HRoT は、システム ファームウェアと構成の信頼性を保証するための重要なコンポーネントとして機能します。

ソフトウェアベースの信頼メカニズムとは異なり、HRoTはハードウェアに直接実装されるため、改ざんに対する耐性が高くなります。HRoT の主な機能は、ファームウェアの整合性を検証し、ファームウェアが侵害されたり、不正に変更されたりしていないことを確認することです。この機能は、検証済みで信頼できるファームウェアのみをロードできるセキュア ブート プロセスを実装するために使用されます。

FIPS 140-2セキュリティコンプライアンス

高度なネットワークセキュリティ向けに、Junos-FIPS 140-2と呼ばれるJunos OSの特別バージョンが利用可能です。Junos-FIPS 140-2は、FIPS環境でジュニパーネットワークスデバイスのネットワークを設定するためのソフトウェアツールをお客様に提供します。FIPSサポートには以下が含まれます。

• Junos OSをJunos-FIPS 140-2に変換するためのアップグレードパッケージ

• 改訂されたインストールおよび設定手順

• リモートアクセスに対するセキュリティの強化

• FIPS ユーザー ロール(Crypto Officer、User、Maintenance)

• FIPS 固有のシステム ロギングとエラー メッセージ

• ルーティングエンジン間通信のためのIPsecルーティングエンジン設定

• パスワードの作成と暗号化の強化

Junos-FIPS は国内イメージのみでパッケージ化されており、単一の Junos OS イメージで国内機能と FIPS 機能の両方をサポートします。FIPSの認証情報とログイン権限を持つユーザーは、通常のJunosイメージとFIPSイメージを切り替えることができます。