Junos Space Security Director の概要
Security Directorは、ネットワークセキュリティポリシーを迅速かつ一貫して正確に作成、保守、適用できるように設計されたJunos Space管理アプリケーションです。直観的なGUI機能により、基盤となるJunos Spaceプラットフォームから切り離されているため、セキュリティアーキテクト、アナリスト、セキュリティオペレーターはそれぞれの業務に集中できます。Security Directorは、アプリケーション、ユーザー、IPアドレス、脅威に対する可視化、管理の簡素化、実用的なセキュリティインテリジェンスを提供し、ネットワーク管理者が情報に基づいたセキュリティ上の意思決定を行うのに役立ちます。
Security Directorは、セキュリティに重点を置いた管理者にタブ付きインターフェイスを提供します:GUIの上部にあるタブは、管理者が特定のタスクを実行できるワークスペースを提供します。 表 1 に、タブの名前と、そのワークスペースでアクセスできる内容の簡単な説明を示します。
タブ名 |
アクセス |
|---|---|
ダッシュ ボード |
ユーザーごとに追加、削除、再配置できるグラフィカルなセキュリティウィジェット。これらのウィジェットは、各ユーザーにネットワークセキュリティのカスタマイズされたビューを提供します。 |
モニター |
以下のライブ脅威マップとビジュアル分析:
|
デバイス |
デバイスの検出とデバイス管理。 |
構成 |
以下を含むセキュリティ関連の管理
|
レポート |
事前定義されたセキュリティレポートとカスタムレポートを作成する機能。 |
管理 |
ユーザーとロールの管理、ログの管理、インフラストラクチャの管理。 |
Junos Space Security Directorのメリット
ステートフルファイアウォール、コンテンツセキュリティ、侵入防御、アプリケーションファイアウォール(AppFW)、VPN、NATなど、セキュリティポリシーライフサイクルのすべてのフェーズを管理者が管理できる単一の集中管理インターフェイスを提供します。
新しいユーザーがすぐに習熟できるシンプルなユーザーインターフェイスを提供します。
Policy Enforcer機能を使用して、最新のポリシー更新の導入を自動化します。ネットワーク管理者はシンプルで簡潔なルールセットで解決できるため、侵害や人為的ミスのリスクが軽減されます。
詳細なデータアクセスとユーザーアクティビティレポートを作成しながら、効果的な脅威管理を可能にします。アクション指向の設計により、ネットワーク管理者は、発生したネットワーク全体の脅威を検知し、特定の地域に出入りするトラフィックを迅速にブロックし、ワンクリックで即座に是正措置を取ることができます。
管理者は、各ファイアウォールルールの有効性を評価し、使用されていないルールを迅速に特定することができるようになり、その結果、ファイアウォール環境をより適切に管理できるようになります。
メタデータベースのポリシーを通じてポリシーの作成とメンテナンスのワークフローを簡素化し、動的なポリシーアクションを通じて脅威修復ワークフローを合理化します。
数百のノードにまたがるペタバイト単位のデータを相互に関連付ける際に、シームレスな検索機能を提供します。
アクセスとログイン
Junos Space プラットフォームで作業している場合は、 図 1 の左側に示すように、Space GUI の左上隅にある [アプリケーション] ドロップダウン リストから [Security Director] を選択すると、Security Director にアクセスできます。
Security Director GUI からログアウトした後 (または Security Director 内でログイン・タイマーが満了した後)、次回ログインすると、 図 1 の右側に示すように、Security Director のログイン画面が表示されます。Security Directorのログイン画面を使用すると、スペースプラットフォームのURLに移動するか、スペースプラットフォームのGUIに戻ってそこからログアウトするか、ログインタイマーが期限切れにならない限り、デフォルトのログイン場所のままです。
Security Directorアプリケーションに初めてアクセスすると、入門ガイドがSecurity Directorダッシュボードページにオーバーレイされます。このガイドは、新しいGUI内の機能がどこにあるかを簡単に参照することにより、新規および長年のユーザーを支援するように設計されています。このガイドは、その後のログインのために閉じることができ、後でバナーの右側にあるヘルプボタンからアクセスできます。
ナビゲーション要素の使用
より個人的で、便利で、カスタマイズ可能なユーザーエクスペリエンスを提供するために、ジュニパーネットワークスはGUI内でいくつかの支援を提供しています。表 2 に、ナビゲーション、カスタマイズ、およびヘルプ アイコンの例を示します。
要素 |
アイコン |
場所 |
|---|---|---|
ブレッドクラム - GUI での位置をトレースします。階層リンクは、6 つの開始タブ (ダッシュボード、モニター、デバイス、構成、レポート、および管理) のいずれかに戻るパスを提供します。 |
|
[モニター]タブの下のメイン画面の左上部分。ダッシュボードには表示されません。 |
情報のヒント - 使用可能な疑問符アイコンの上にマウスを置くと、ポップアップ ガイダンスをすばやく表示できます。 |
|
GUIの周りのさまざまな場所。 |
[左ナビゲーションの表示と非表示] - ハンバーガー アイコンをクリックして、左ナビゲーション セクションを表示または非表示にします。 |
|
タブバーの左側、ジュニパーネットワークスのロゴの下。 |
[列を非表示に表示] - 表形式表示では、アイコンをクリックしてメニューのチェック ボックスをオンにすることで、表示する列を選択できます。 |
|
[レポート] タブや [デバイス] タブなどの一部の表形式表示ウィンドウの右上隅。 |
[テーブル検索(Table Search)]:大きな表形式のビュー内でこの虫眼鏡アイコンをクリックすると、表示に表示されているフィールド内の特定のテキストを検索できます。 |
|
表形式ビューの右上隅。[非表示の列を表示] アイコンの横。 |
バナーの概要
画面上部の濃い灰色のバーはバナーと呼ばれます。Junos Space Platformへのリンク、グローバル検索ユーティリティ、ドメインスイッチャー、通知センター、プロファイル管理アクセスメニュー、ヘルプボタンなど、システム全体のユーティリティへのアクセスを提供します。
Junos Space プラットフォーム リンク
Security DirectorのGUIは、セキュリティを強化するように設計されています。したがって、セキュリティに関連しない管理またはその他のタスクの場合は、Space Platform GUI に戻す方法が必要になります。Security Directorでは、バナーの左上隅にあるジュニパーネットワークスのロゴをクリックするだけで、これを実行できます。
検索ユーティリティ
時々あなたはただ物事を探す必要があります。企業管理ネットワークのアドレス オブジェクトを既に作成しましたか?ギャンブルのURLカテゴリはありますか?検索機能が必要な場合は、グローバル検索ユーティリティがニーズを満たします。検索フィールドに用語を入力すると、Security Directorは、その用語が見つかったすべての場所を表示します。結果リストはクリック可能であるため、クリックするだけで見つかったオブジェクトに直接移動できます。
ドメインスイッチャー
Security Directorは、ドメインという形でのマルチテナンシーをサポートしています。ドメインは、管理資産とその構成要素のカスタマイズ可能な分離を提供します。詳細については、「ドメインの概要」を参照してください。
通知センター
バナーの右側には、通知センターと呼ばれるベル型のアイコンがあります。このアイコンをクリックすると、Security Directorの上位のアラートとアラームのリストが表示されます。ドロップダウンメニューの下部にある[すべてのアラームを表示]または[すべてのアラートを表示]リンクをクリックすると、それぞれのトピックの詳細ページに移動します。
ユーザー機能メニュー
通知センターの右側には、頭と肩のアイコンとログインしているユーザーを示すフィールドがあります。ユーザー名をクリックすると、ユーザープロファイルにアクセスしたり、Security Directorからログアウトしたりすることができます。
ヘルプボタン
オンライン ヘルプ システムとスタート ガイドにアクセスするには、疑問符のような形をしたバナーの右端のアイコンをクリックします。ヘルプシステムには、サポートされているWebブラウザのリストへのアクセス、ユーザーインターフェイスのサポート、テクニカルサポートへのリンク、Security Directorの全ドキュメントが含まれています。
検索の概要
さまざまなタブから、部分的または完全な名前、IP アドレスなどの値を使って、オブジェクトやデバイスを検索できます。Security Directorの検索にはさまざまなカテゴリーがあり、正規表現、単語の一部検索、特殊文字検索などのパターンがサポートされています。
検索パターン
次の正規表現を使用して、オブジェクトを検索できます。
*(複数文字検索)- オブジェクトの完全な名前がわからない場合は、名前の先頭または末尾に * を使用します。
たとえば、[アドレス] ページで test* を使用して検索すると、ILP は次の結果を表示します。
テスト-2-SRX
test_1-SRX
?(1 文字検索)- 1 文字を ?(検索テキスト内)。
たとえば、[アドレス] ページで test?org?net を使用して検索すると、ILP test.org.net 結果が表示されます。
検索の制限事項
1 文字置換による部分的な名前検索は機能しません。検索テキストが - 、 _ 、 /、 :、 .、 などの特殊文字で分割されている場合 ;また、部分的な名前で検索しようとすると、結果は表示されません。
たとえば、アドレス オブジェクト名が test-2-SRX の場合、test?2 を検索しようとすると、結果は表示されません。
ただし、同じ数を含む全文検索を実行できますか?名前の間に、たとえば test?2?S?X.
検索カテゴリ
グローバル検索
グローバル検索を使用すると、名前またはIPアドレスを持つSRXシリーズデバイスを含む任意のSecurity Directorオブジェクトを検索できます。グローバル検索では、Security Directorのすべてのオブジェクトまたはデバイスで検索テキストまたはIPアドレスがチェックされ、ユーザーインターフェイスに結果が表示されます。
たとえば、Security Directorで同じ名前のファイアウォールルール、スケジューラ、アドレス、およびサービスを作成し、グローバル検索テキストボックスを使用してその名前を検索すると、結果がドメインとともに表示されます。
グローバル検索結果は、オブジェクトの名前 |オブジェクトのタイプ |ドメイン名。
ILP検索
アドレス、サービス、ファイアウォール ポリシー、ファイアウォール ルールなどのすべてのオブジェクトとデバイス ページには、右上隅に検索ボックスがあります (ILP 検索ボックス)。名前、デバイスの IP アドレスなどを使用して検索できます。
たとえば、ファイアウォール規則テーブルでは、名前、ゾーン、アドレス、スケジューラ名などを使用して規則を検索できます。
列検索
ファイアウォール、NAT、IPS、VPN ポリシー、ルール テーブル、デバイス テーブルなど、より多くのデータを含む複雑なテーブルで列レベルの検索を使用して、きめ細かいレベルの検索を実行できます。
テーブルの右上隅にある検索アイコンの近くにある列検索アイコンをクリックすると、列検索テキスト ボックスがユーザー インターフェイスに表示されます。1 つ以上の列を使用してレコードをフィルター処理できます。
アイテムセレクター検索
検索テキスト ボックスを使用して、ルールまたはポリシーに含める項目を選択できます。
たとえば、住所またはサービスグループを作成するときに、最初に住所またはサービス対象を検索できます。同様に、ファイアウォール、IPS、およびNATルールの作成では、正規表現、フルネーム、および部分的な名前を使用して、アイテムセレクターで送信元アドレスと宛先アドレスを検索できます。
区切り文字の検索の制限
検索テキストには、コンマやハイフンなど、開始または終了を示す区切り記号を含めないでください。オブジェクトは、部分的な単語またはテキストの最後にある*で検索できます。
たとえば、オブジェクト名が test-SRX、test-SRX-UK、test-SRX_US などの場合、test- で検索すると、結果は表示されません。
ただし、テキスト test を使用して検索すると、test として名前を含むオブジェクト (区切り文字の前または後) が表示されます。
検索インデックスの更新
グローバル検索、ILP、列検索など、いずれかのカテゴリに新しく追加されたオブジェクトまたは既存のオブジェクトの検索中に問題が発生した場合は、Junos Spaceネットワーク管理プラットフォームページから検索インデックスの更新をトリガーできます。Security Directorのアドレス数、サービス数、ファイアウォールポリシー数などのオブジェクト数によっては、検索インデックスの更新に時間がかかる場合があります。
Junos Space ネットワーク管理プラットフォーム ページで、[ 管理者 ] > [アプリケーション] を選択します。Security Directorを右クリックし、「 検索インデックスの更新」をクリックします。 図9を参照してください。
の更新
約 10 分から 15 分待ってから、Security Director でオブジェクトの検索を再試行してください。
この操作は頻繁に実行しないでください。これは、Security Directorの全体的なパフォーマンスに影響を与える可能性があります。
メインワークスペースの概要
Security Directorのメインワークスペースは、ブラウザウィンドウの残りの部分を占め、バナーのすぐ下にある6つの水平タブで分割されています。6 つのタブは、[ダッシュボード]、[モニター]、[デバイス]、[構成]、[レポート]、および [管理] です。各ワークスペースとそのアクセス可能な機能については、このドキュメントの後半で説明します。
ダッシュ ボード
ダッシュボードは、Security Directorのメインのランディングページです。これは、ログインするたびに最初に表示されるものです。そのため、ジュニパーネットワークスは、お客様が最も関心を持っているネットワークセキュリティ情報を提示するための手段を提供しています。ダッシュボードのワークスペースをカスタマイズするには、バナーの下のカルーセルからウィジェットを追加します。ウィジェットの配置とその中にの設定が保存されるため、デバイス情報からファイアウォールイベント情報、または上位ブロックされたウイルスからライブ脅威マップまで、あらゆるものをユーザーごとに一意にすることができます。表示するウィジェットを決定したら、カルーセルを閉じて画面スペースを取り戻すことができます。
モニター
[監視] タブには、ネットワーク トラフィック、ファイアウォール イベント、ライブ脅威、およびネットワーク ユーザー データをグラフィカルに表現できるワークスペースがあります。アラートとアラーム、およびジョブ管理情報の詳細データもあります。このワークスペースでは、ネットワーク内の管理対象セキュリティデバイスとトラフィックに何が起こっているかを理解するために必要な詳細情報を確認できます。
デバイス
「デバイス」タブには、Security Directorデバイスを追加および管理できるワークスペースがあります。既定では、複数の情報列を使用できます。これには、ライブCPUとメモリデータ、および実行中のソフトウェアバージョンとプラットフォーム情報が含まれます。スキーマの不一致は簡単に表示されるため、デバイスを更新する前に修正できます。
Security Directorで特定のデバイスを操作する前に、適切なDMIスキーマが利用可能であることを確認してください。デバイスのソフトウェアイメージと、Security Directorがデバイスの管理に使用しているスキーマのバージョンが一致しない場合、予期しない動作が発生します。DMIスキーマ管理は、Junos Spaceプラットフォーム管理ワークスペースで実行されます。
構成
[構成] タブは、すべてのセキュリティ構成が行われるワークスペースです。ファイアウォール、IPS、NAT、およびコンテンツセキュリティポリシーの設定、デバイスへのポリシーの割り当て、ポリシースケジュールの作成と適用、VPNの作成と管理、およびネットワークセキュリティの管理に必要なすべての共有オブジェクトの作成と管理を行うことができます。
レポート
[レポート] タブには、レポートを作成して他の関係者に送信できるワークスペースがあります。[ダッシュボード] タブで使用できるレポートは、ここで使用できるレポートのサブセットです。レポートエンジンを実行すると、ログデータを完全に視覚化するためのグラフィックデータと数値データの両方が提供されます。Security Directorには定義済みのレポートセットが付属しており、独自にカスタマイズしたレポートを最初から追加したり、事前定義レポートのクローンを作成したりできます。
管理
[管理(Administration)] タブには、ロールベースのアクセス制御(RBAC)の管理、監査ログの確認と管理、ロギングの管理、IPS シグニチャ データベースの確認と更新、およびログイン プロファイルの管理を行うことができるワークスペースがあります。ドメインRBACを使用すると、システム管理者はSecurity Directorをドメインと呼ばれるセクションに論理的に分割することができます。1 つのドメイン内のデバイス用に作成されたポリシー、オブジェクト、ログ、およびサービスは、そのドメイン内でのみ使用できます。ユーザー アクセスを個々のドメインに制限することもできます。RBAC の詳細については、「 ドメイン RBAC の概要」を参照してください。
グローバルな機能
Security Directorには、一部のセキュリティ機能をガイドする支援ワークフローウィザードが含まれています。これには、ルール作成ウィザードとデバイス プロファイルの追加ウィザードが含まれます。
公開ワークフローを使用すると、セキュリティ構成の作成または変更、デバイスへの割り当て、公開、およびそれらのデバイスへの更新を行うことができます。ポリシーの変更は、IPS、ファイアウォール、またはその他の管理ポリシーのいずれに対するものかを問わず、Network Operations Center(NOC)の担当者がステージングし、ネットワーク管理者によってプレビューおよび承認され、メンテナンスウィンドウ中に個別に、または一度にすべて、または公開ワークフローを使用して必要な頻度でデバイスに対して更新できます。
クローンを作成すると、オブジェクトからルール、ポリシー全体まで、あらゆるものをすばやく複製できます。複雑なルールやポリシーを扱う場合、変更を加えるためのクローンを作成することで、変更を行うための一貫した開始点を確保できます。
コンフィギュレーション プレビューは、CLI コマンドまたは XML として利用できます。
結論
Security Directorは、スピードと拡張性を念頭に置いて設計されたセキュリティ管理アプリケーションです。共有オブジェクトは、多くのセキュリティポリシーやデバイスで作成および使用できます。ファイアウォールポリシー、NATポリシーなどを作成、変更、管理し、個々のデバイスまたはデバイスグループに適用することができます。
RBACおよびドメイン機能を使用すると、Security Director管理者は、機密性の高いセキュリティ情報に対する可視性を制限しながら、多くのレベルのユーザーにアクセスを許可することができます。1 つのドメイン内のセキュリティ デバイス、ユーザー、共有オブジェクト、およびポリシーは、そのドメインにアクセスできないユーザーにはアクセスできません。したがって、サービスプロバイダー組織は顧客を分離し、顧客ベースを多様化することができます。ユーザー管理は、Security Director内でローカルで実行することも、RADIUSなどの中央ユーザー管理システムを使用してリモートで実行することもできます。
最後に、Security Directorが受信したイベントは、さまざまな方法でログに記録され、関連付けられるため、理解可能で実用的なグラフィカルおよび数値チャートが提供されます。この情報に基づくレポートを実行して、組織内の利害関係者に直接送信できます。このレポートには、セキュリティとユーザーの傾向を時系列で示し、意思決定者が簡潔で正確なセキュリティ ポリシーを作成するのに役立ちます。