項目一覧

概要
構成
検証

例: IoT デバイスの検出とポリシー適用を構成する

この例では、IoT デバイスの検出とセキュリティポリシーの適用のためにセキュリティデバイスを構成します。

概要

ネットワーク内のIoTデバイス検出を開始するために必要なのは、Juniper ATP Cloudに接続されたセキュリティデバイスだけです。図 1 は、この例で使用されているトポロジーを示しています。

図1:IoTデバイスの発見とポリシー適用のトポロジー Network architecture diagram showing a vSRX managing traffic between Untrust, Trust, and Cloud zones; Wireless AP connects IoT devices.

Network architecture diagram showing a vSRX managing traffic between Untrust, Trust, and Cloud zones; Wireless AP connects IoT devices.

トポロジーに示されているように、ネットワークには、無線アクセスポイント(AP)を介してSRXシリーズファイアウォールに接続された一部のIoTデバイスが含まれています。セキュリティデバイスは、Juniper Cloud ATPサーバーとホストデバイスに接続されています。

セキュリティデバイスは、IoTデバイスのメタデータを収集し、関連情報をJuniper ATP Cloudにストリーミングします。IoT メタデータのストリーミングを有効にするには、セキュリティメタデータストリーミングポリシーを作成し、これらのポリシーをセキュリティポリシーにアタッチする必要があります。Juniper CloudサーバーにIoTデバイスを分類するのに十分な詳細がある場合、IoTデバイストラフィックのストリーミングは自動的に一時停止します。

Juniper ATPクラウドがIoTデバイスを検出して分類します。検出された IoT デバイスのインベントリを使用して、動的なアドレスグループの形式で脅威フィードを作成します。セキュリティデバイスが動的アドレスグループをダウンロードすると、動的アドレスグループを使用して IoT トラフィックのセキュリティポリシーを作成および適用できます。

表 1 と表 2 は、この例で使用されるパラメーターの詳細を示しています。

表 1:セキュリティゾーンの設定パラメータ
ゾーン	インターフェイス	の接続先
信託	ge-0/0/2.0	クライアントデバイス
信頼できない	ge-0/0/4.0 と ge-0/0/3.0	IoTトラフィックを管理するためのアクセスポイント
雲	ge-0/0/1.0	インターネット(Juniper ATPクラウドに接続するため)

表 2: セキュリティポリシー設定パラメータ
ポリシー	タイプ	アプリケーション
P1の	セキュリティポリシー	trustゾーンからuntrustゾーンへのトラフィックを許可します
P2の	セキュリティポリシー	untrustゾーンからtrustゾーンへのトラフィックを許可します
P3の	セキュリティポリシー	trustゾーンからクラウドゾーンへのトラフィックを許可します
P1の	メタデータストリーミングポリシー	untrustゾーンからtrustゾーンへのトラフィックメタデータをストリーミング
P2の	メタデータストリーミングポリシー	trustゾーンからclodゾーンへのトラフィックメタデータのストリーミング
Unwanted_Applications	グローバルセキュリティポリシー	グローバルなコンテキストで、脅威フィードとセキュリティポリシーに基づいてIoTトラフィックを防止

必要条件

SRXシリーズファイアウォールまたはNFXシリーズデバイス
IoT セキュリティはプレミアム ATP 機能であり、エンタイトルメントにはプレミアムライセンス(プレミアム 1 またはプレミアム 2)が必要です。詳細については、 ATP Cloudのソフトウェアライセンスを確認してください。
Junos OS リリース 22.1R1 以降
Juniper Advanced Threat Preventionクラウドアカウント Juniper Advanced Threat Preventionクラウドアカウントの登録を参照してください。

ジュニパーでは、Junos OS リリース 22.1R1 の vSRX仮想ファイアウォールインスタンスを使用して、構成を検証およびテストしました。

構成

SRXシリーズファイアウォールとJuniper ATP Cloudを連携させる

Juniper ATP Cloud Webポータルと通信するには、SRXシリーズファイアウォールを設定する必要があります。SRXシリーズファイアウォールがインターネットに接続されていることを確認します。以下の初期設定を完了して、SRXシリーズファイアウォールをインターネットに設定してください。

インターフェイスを設定します。この例では、SRXシリーズファイアウォールのインターネットに接続するインターフェイスとしてインターフェイスge-0/0/1.0を使用しています。

インターフェイスをセキュリティゾーンに追加します。

DNSを設定します。

NTPを設定します。

SRXシリーズがge-0/0/1.0インターフェイスを介してインターネットにアクセスできるようになったら、次のステップに進みます。

必要なライセンスとアプリケーションシグネチャパッケージの確認
セキュリティデバイスをJuniper ATP Cloudに登録する
IoT トラフィックストリーミング設定の構成
SRXシリーズファイアウォールを設定する
ATP Cloudで検出されたIoTデバイスを表示する
脅威フィードの作成
適応型脅威プロファイリングフィードを使用したセキュリティポリシーの作成
業績

必要なライセンスとアプリケーションシグネチャパッケージの確認

適切なJuniper ATPクラウドライセンスがあることを確認します。ライセンスステータスを確認するには、 show system license コマンドを使用します。出力には、次のサンプルに示すように、SRX デバイスタイプ(SRXまたはvSRX)とJunosバージョンに基づくレガシー ATP Cloudブランディング(SkyATP)が表示される場合があります
手記：
エンタイトルメントがクラウドで管理されている場合、SRXシリーズファイアウォール上の show system license コマンドにATP Cloudライセンスが表示されないことがあります。これは、SRXシリーズデバイスにATP Cloudのライセンスキーをインストールする必要がないためです。代わりに、SRXシリーズシリアル番号と認証コードを使用してライセンスキーを生成すると、権利が自動的にクラウドサーバーに転送されます。vSRX仮想ファイアウォールの場合は、インストール済みのライセンスが必要です。
デバイスのセキュリティデバイスに最新のアプリケーションシグネチャパックがインストールされていることを確認します。
- アプリケーション識別ライセンスがデバイスにインストールされていることを確認します。
- 最新バージョンのアプリケーションシグネチャパックをダウンロードします。
- ダウンロード状況を確認してください。
- アプリケーション識別シグネチャパックをインストールします。
- インストールされているアプリケーション署名パックのバージョンを確認します。

セキュリティデバイスをJuniper ATP Cloudに登録する

まず、Juniper ATPクラウドにセキュリティデバイスを登録します。デバイスを既に登録している場合は、この手順をスキップして、 IoT トラフィックストリーミング設定の構成に直接ジャンプできます。そうでない場合は、次のいずれかの方法を使用してデバイスを登録します。

方法1:CLIを使用したセキュリティデバイスの登録
方法2:Juniper ATP Cloud Webポータルにセキュリティデバイスを登録する

方法1:CLIを使用したセキュリティデバイスの登録

SRXシリーズファイアウォールで、以下のコマンドを実行して登録プロセスを開始します。

既存のレルムを選択するか、新しいレルムを作成します。

オプション 1 を選択して、レルムを作成します。次の手順を使用します。

SRXシリーズをJuniper ATP Cloudに登録するために、既存のレルムを使用することもできます。

show services advanced-anti-malwareステータスCLIコマンドを使用して、SRXシリーズファイアウォールがクラウドサーバーに接続されていることを確認します。

方法2:Juniper ATP Cloud Webポータルにセキュリティデバイスを登録する

Junos OSオペレーション(op)スクリプトを使用して、Juniper Advanced Threat Preventionクラウドサービスに接続するようにSRXシリーズファイアウォールを設定できます。

Juniper ATP Cloud Web ポータルで、[デバイス] ページの [登録] ボタンをクリックします。
コマンドをクリップボードにコピーし、[OK]をクリックします。
運用モードで、SRXシリーズファイアウォールのJunos OS CLIにコマンドを貼り付けます。

show services advanced-anti-malware status コマンドを使用して、SRXシリーズファイアウォールからクラウドサーバへの接続が確立されていることを確認します。次のサンプルのサーバーホスト名は、あくまでも例です。

サンプルでは、接続ステータスは、クラウドサーバがセキュリティデバイスに接続されていることを示しています。

また、Juniper ATP Cloudポータルで登録済みのデバイスを表示することもできます。 [デバイス] > [すべてのデバイス ] ページに移動します。このページには、登録されているすべてのデバイスが一覧表示されます。

IoT トラフィックストリーミング設定の構成

この手順では、メタデータストリーミングポリシーを作成し、セキュリティデバイスでセキュリティサービスを有効にします。

クラウド接続の設定を完了します。

セキュリティメタデータストリーミングポリシーを作成します。
後で、これらのセキュリティメタデータストリーミングポリシーをセキュリティポリシーにアタッチして、セッションの IoT トラフィックストリーミングを有効にします。

アプリケーション追跡、アプリケーション識別、PKIなどのセキュリティサービスを有効にします。

SRXシリーズファイアウォールを設定する

インターフェイス、ゾーン、ポリシーを設定し、セキュリティデバイスでIoTパケットフィルタリングとストリーミングサービスを有効にするには、次の手順を使用します。

インターフェイスを設定します。

セキュリティゾーンを設定し、設定された各ゾーンのアプリケーショントラフィックを有効にします。

トポロジーに示されているように、untrust ゾーンは、ネットワーク内の IoT デバイスからトランジットトラフィックとホストバウンドトラフィックを受信します。クライアントデバイスはtrustゾーンにあり、Juniper ATP Cloudはクラウドゾーンにあります。

セキュリティポリシーP1を設定します。

この設定では、trustゾーンからuntrustゾーンへのトラフィックを許可します。

セキュリティポリシーP2を設定します。

この構成では、untrust ゾーンから trust ゾーンへのトラフィックを許可し、セキュリティメタデータストリーミングポリシー p1 を適用して、セッションの IoT トラフィックストリーミングを有効にします。

セキュリティポリシーP3を設定します。

この設定では、trustゾーンからクラウドゾーンへのトラフィックを許可し、セキュリティメタデータストリーミングポリシーp2を適用して、セッションのIoTトラフィックストリーミングを有効にします。

設定をコミットします。
これで、セキュリティデバイスが IoT トラフィックをJuniper ATP Cloudにストリーミングする準備が整いました。

検出されたすべてのIoTデバイスをJuniper ATP Cloudポータルで確認しましょう。

ATP Cloudで検出されたIoTデバイスを表示する

検出された IoT デバイスをJuniper ATP Cloudポータルで表示するには、 Minotor > IoT デバイスページに移動します。

Dashboard interface for monitoring IoT devices with 3859 total devices. Most are Microsoft, running Windows Kernel. One device is Android.

クリックして、デバイスのカテゴリ、製造元、オペレーティングシステムの種類に基づいて IoT デバイスをフィルター処理できます。

Dashboard for monitoring IoT devices: 3,859 total devices, 3,522 Microsoft, 3,456 Windows Kernel, 402 Linux, 1 Android.

次の画像では、Android OS を搭載したデバイスをフィルタリングしています。

Device info: 1 phone categorized as Phone Tablet or Wearable; Model: LG Phoenix 4; Android OS 7.1.2; IP: 203.0.113.2; Host: null; Last seen: Feb 10 2022 11:38.

このページには、IP アドレス、タイプ、製造元、モデルなどの詳細を含む IoT デバイスが一覧表示されます。これらの詳細を使用して、脅威フィードを監視および作成し、セキュリティポリシーを適用できます。

脅威フィードの作成

Juniper ATP CloudがIoTデバイスを識別したら、脅威フィードを作成できます。セキュリティデバイスが動的アドレスグループの形式で脅威フィードをダウンロードすると、フィードのセキュリティポリシーを使用して、これらの IoT デバイスの受信トラフィックと送信トラフィックに対して強制アクションを実行できます。

[Minotor > IoT デバイス] ページに移動し、[フィードの作成] オプションをクリックします。
プラス記号 (+) をクリックします。[Add New Feed] ページが表示されます。

この例では、TTL(Time-to-live)が 7 日間のフィード名 android_phone_user を使用します。

次のフィールドの設定を完了します。
- フィード名：
  
  脅威フィードの一意の名前を入力します。フィード名は英数字で始める必要があり、文字、数字、アンダースコアを含めることができます。スペースは使用できません。長さは 8 から 63 文字です。
- 種類：フィードのコンテンツタイプとして [IP] を選択します。
- データソース:フィードを IOT として作成するデータソースを選択します。
- 存続時間:必要なフィードエントリをアクティブにする日数を入力します。フィードエントリが Time-to-live(TTL)値を超えると、フィードエントリは自動的に削除されます。使用可能な範囲は 1 日から 365 日です。
[ OK ] をクリックして変更を保存します。
適応型脅威プロファイリングの設定>に移動します。このページには、作成されたすべての脅威フィードが表示されます。脅威フィードのandroid_phone_userがページに一覧表示されます。

脅威フィードをクリックすると、脅威フィードに含まれる IP アドレスが表示されます。

セキュリティデバイスがフィードをダウンロードしていることを確認します。ダウンロードは一定の間隔で自動的に行われますが、数分かかる場合があります。

次のコマンドを使用して、脅威フィードを手動でダウンロードできます。

では、ダウンロードした脅威フィードを使用してセキュリティポリシーを作成しましょう。

適応型脅威プロファイリングフィードを使用したセキュリティポリシーの作成

セキュリティデバイスが脅威フィードをダウンロードすると、セキュリティポリシーで動的アドレスグループとして参照できます。動的アドレスとは、特定のドメインに属するIoTデバイスのIPアドレスの集まりです。

この例では、Android フォンからのトラフィックを検出し、トラフィックをブロックするポリシーを作成します。

セキュリティポリシーの一致条件を定義します。

セキュリティポリシーアクションを定義します。

この例では、設定をコミットすると、セキュリティデバイスは特定のドメインに属する IoT デバイスの HTTP トラフィックをブロックします。

詳細については、適応型脅威プロファイリングの構成を参照してください。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

セキュリティゾーンを確認します。

サービスを表示

デバイスでの機能の設定が完了したら、設定モードから「commit」と入力します。

検証

フィードの概要とステータスを確認する

目的：セキュリティデバイスが動的アドレスグループの形式で IP アドレスフィードを受信しているかどうかを確認します。

アクション：次のコマンドを実行します。

意味出力には、Juniper ATP Cloudサーバーの接続ステータスとその他の詳細が表示されます。