Junos Space Security Director の概要
Security Directorは、ネットワークセキュリティポリシーの迅速で一貫性のある正確な作成、保守、適用を可能にするように設計されたJunos Space管理アプリケーションです。直感的なGUIにより、基盤となるJunos Spaceプラットフォームから分離できるため、セキュリティアーキテクト、アナリスト、セキュリティオペレーターは、それぞれの業務に集中できます。Security Directorは、アプリケーション、ユーザー、IPアドレス、脅威に対する可視性、管理の簡素化、実用的なセキュリティインテリジェンスを提供し、ネットワーク管理者が情報に基づいたセキュリティ上の意思決定を行えるよう支援します。
Security Director は、セキュリティを重視する管理者にタブ付きインターフェイスを提供します。 GUI の上部にあるタブは、管理者が特定のタスクを実行できるワークスペースを提供します。 表 1 は、タブの名前と、そのワークスペースでアクセスできる内容の簡単な説明を示しています。
| タブ名 |
アクセス |
|---|---|
| ダッシュボード |
ユーザーごとに追加、削除、再配置できるグラフィカルなセキュリティウィジェット。これらのウィジェットは、ネットワークセキュリティのカスタマイズされたビューをユーザーごとに提供します。 |
| モニター |
ライブ脅威マップとビジュアル分析:
|
| デバイス |
デバイスの検出とデバイス管理。 |
| 構成 |
以下を含むセキュリティ関連の管理:
|
| レポート |
事前定義されたセキュリティレポートとカスタムレポートを作成する機能。 |
| 行政 |
ユーザーとロールの管理、ログ管理、インフラストラクチャ管理。 |
Junos Space Security Director のメリット
-
管理者は、ステートフルファイアウォール、コンテンツセキュリティ、侵入防御、アプリケーションファイアウォール(AppFW)、VPN、NATなど、セキュリティポリシーライフサイクルのすべての段階を管理できる単一の集中管理インターフェイスを提供します。
-
新規ユーザーがすぐに習熟できるシンプルなユーザーインターフェイスを提供します。
-
Policy Enforcer機能により、最新のポリシー更新の展開を自動化します。ネットワーク管理者はシンプルで簡潔なルールセットを使用して作業を進めることができるため、侵害やヒューマンエラーのリスクが軽減されます。
-
詳細なデータアクセスとユーザーのアクティビティに関するレポートを作成しながら、効果的な脅威管理を可能にします。アクション指向の設計により、ネットワーク管理者は、ネットワーク全体の脅威を発生時に検出し、特定の地域を行き来するトラフィックを迅速にブロックし、ワンクリックで即座に是正措置を適用できます。
-
管理者は、各ファイアウォールルールオプションは、ファイアウォールルールの有効性を評価し、使用されていないルールを迅速に特定できるため、ファイアウォール環境の管理が向上します。
-
メタデータベースのポリシーにより、ポリシーの作成と保守のワークフローを簡素化し、動的なポリシーアクションにより、脅威修復のワークフローを合理化します。
-
数百のノードにわたるペタバイトのデータを相互に関連付ける際に、シームレスな検索機能を提供します。
アクセスとログイン
Junos Spaceプラットフォームで作業している場合は、 図1の左側に示すように、Space GUIの左上隅にある[アプリケーション]ドロップダウンリストから[Security Director]を選択して、Security Directorにアクセスできます。
Security Director GUIからログアウトした後(またはSecurity Directorにいる間にログインタイマーが切れた場合)、次にログインすると、 図1の右側に示すようにSecurity Directorログイン画面が表示されます。Security Directorのログイン画面を使用すると、Space PlatformのURLに移動するか、Space PlatformのGUIに戻ってログアウトするか、ログインタイマーが終了するまで、デフォルトのログイン場所のままになります。
Security Directorアプリケーションに初めてアクセスすると、スタートガイドがSecurity Directorダッシュボードページにオーバーレイされます。このガイドは、新しいGUI内の機能がどこにあるかへのクイックリファレンスを提供することにより、新規および長年のユーザーを支援するように設計されています。ガイドは、その後のログインで閉じて、後でバナーの右側にあるヘルプボタンからアクセスできます。
ナビゲーション要素の使用
よりパーソナルで、便利で、カスタマイズ可能なユーザーエクスペリエンスを提供するために、ジュニパーネットワークスはGUI内でいくつかの支援を提供しています。表 2 は、ナビゲーション、カスタマイズ、およびヘルプ アイコンの例を示しています。
| 要素 |
アイコン |
場所 |
|---|---|---|
| ブレッドクラム—GUIで位置をトレースします。ブレッドクラムは、6 つの開始タブ (ダッシュボード、モニター、デバイス、構成、レポート、管理) のいずれかに戻るパスを提供します。 |
|
メイン画面の左上部分の「モニター」タブの下。ダッシュボードには表示されません。 |
| 情報ヒント—使用可能な疑問符アイコンの上にマウスを置くと、すばやくポップアップガイダンスが表示されます。 |
|
GUIの周りのさまざまな場所。 |
| [左ナビゲーションの表示と非表示(Show and Hide Left-Nav)]:ハンバーガー アイコンをクリックして、左ナビゲーション セクションを表示または非表示にします。 |
|
タブバーの左側、ジュニパーネットワークスのロゴの下。 |
| [非表示の列を表示(Show Hide Columns)]:表形式表示では、アイコンをクリックし、メニューのチェックボックスをオンにすることで、表示する列を選択できます。 |
|
[レポート] タブや [デバイス] タブなどの一部の表形式表示ウィンドウの右上隅。 |
| [テーブル検索(Table Search)]:大きな表形式ビュー内でこの虫眼鏡アイコンをクリックすると、ディスプレイに表示されている任意のフィールド内の特定のテキストを検索できます。 |
|
表形式ビューの右上隅。[Show Hide Columns] アイコンの横。 |
バナーの概要
画面上部の濃い灰色のバーは、バナーと呼ばれます。Junos Spaceプラットフォームに戻るリンク、グローバル検索ユーティリティ、ドメインスイッチャー、通知センター、プロファイル管理アクセスメニュー、ヘルプボタンなど、システム全体のユーティリティにアクセスできます。
Junos Spaceプラットフォームリンク
Security DirectorのGUIは、セキュリティへのフォーカスを強化するように設計されています。したがって、セキュリティに関連しない管理やその他のタスクの場合は、Space Platform GUI に戻す方法が必要になります。Security Directorでは、バナーの左上隅にあるジュニパーネットワークスのロゴをクリックするだけで、これを実行できます。
検索ユーティリティ
時には、何かを検索する必要があります。企業管理ネットワークのアドレス オブジェクトは既に作成していますか?ギャンブルのURLカテゴリはありますか?検索機能が必要な場合は、グローバル検索ユーティリティがニーズを満たします。検索フィールドに用語を入力すると、Security Directorはその用語が見つかったすべての場所を表示します。結果リストはクリック可能なので、クリックするだけで見つかったオブジェクトに直接移動できます。
ドメインスイッチャー
Security Directorは、ドメイン形式でのマルチテナント機能をサポートしています。ドメインは、管理資産とその構成要素のカスタマイズ可能な分離を提供します。詳細については、「ドメインの概要」を参照してください。
通知センター
バナーの右側には、通知センターと呼ばれるベル型のアイコンがあります。このアイコンをクリックすると、Security Directorの上位のアラートとアラームのリストが表示されます。ドロップダウン メニューの下部にある [すべてのアラームの表示(View All Alarms)] または [すべてのアラートの表示(View All Alerts)] リンクをクリックすると、それぞれのトピックの詳細ページに移動します。
ユーザー機能メニュー
通知センターの右側には、頭のアイコンと、ログインしているユーザーを示すフィールドがあります。ユーザ名をクリックすると、ユーザプロファイルにアクセスしたり、Security Directorからログアウトしたりできます。
ヘルプボタン
オンラインヘルプシステムと入門ガイドにアクセスするには、バナーの右端にあるクエスチョンマークの形をしたアイコンをクリックします。ヘルプシステムには、サポートされているWebブラウザのリスト、ユーザーインターフェイスアシスタンス、テクニカルサポートやSecurity Directorドキュメントへのリンクが含まれています。
検索の概要
名前の一部または全部、IPアドレス、またはその他の値を使用して、さまざまなタブからオブジェクトやデバイスを検索できます。Security Director にはさまざまな検索カテゴリがあり、サポートされているパターンは正規表現、部分的な単語検索、特殊文字検索などです。
検索パターン
以下の正規表現を使用して、オブジェクトを検索できます。
-
*(複数文字検索)- オブジェクトのフルネームがわからない場合は、名前の先頭または末尾に「*」を使用します。
たとえば、[アドレス] ページで test* で検索すると、ILP では次の結果が表示されます。
-
test-2-srx
-
test_1-SRX
-
-
?(1 文字検索)- 1 文字を ?検索テキスト内。
たとえば、[アドレス] ページで test?org?net で検索すると、ILP test.org.net 結果が表示されます。
検索の制限
-
1 文字の置換による名前の部分検索は機能しません。検索テキストが - 、_ 、 /、 :、 .、 などの特殊文字で分割されている場合。また、名前の一部で検索しようとすると、結果は表示されません。
たとえば、アドレス オブジェクト名が test-2-SRX の場合、test?2 を検索しようとしても、結果は表示されません。
ただし、?名前の間には、たとえば test?2?S?Xです。
検索カテゴリ
グローバル検索
グローバル検索を使用すると、ユーザーは名前またはIPアドレスでSRXシリーズデバイスを含む任意のSecurity Directorオブジェクトを検索できます。グローバル検索は、Security Director のすべてのオブジェクトまたはデバイスの検索テキストまたは IP アドレスをチェックし、その結果をユーザ インターフェイスに表示します。
たとえば、Security Directorで同じ名前のルールオプションは、ファイアウォールルール、スケジューラ、アドレス、およびサービスを作成し、グローバル検索テキストボックスを使用してその名前を検索すると、結果がドメインとともに表示されます。
グローバル検索結果は、オブジェクトの名前 |オブジェクトの型 |ドメイン名。
ILP検索
アドレス、サービス、ファイアウォールポリシー、ファイアウォールルールオプションは、ファイアウォールルールなどのすべてのオブジェクトとデバイスのページには、右上隅に検索ボックス(ILP検索ボックス)があります。名前やデバイスのIPアドレスなどを使用して検索できます。
たとえば、ファイアウォール ルール テーブルでは、名前、ゾーン、アドレス、スケジューラ名などを使用してルールを検索できます。
列検索
ファイアウォール、NAT、IPS、VPN ポリシー、ルール テーブル、デバイス テーブルなど、より多くのデータを含む複雑なテーブルで列レベルの検索を使用して、詳細なレベルの検索を実行できます。
テーブルの右上隅にある検索アイコンをクリックすると、検索アイコンの近くにある列検索テキストボックスがユーザーインターフェイスに表示されます。1 つ以上の列を使用してレコードをフィルター処理できます。
アイテムセレクタ検索
検索テキスト ボックスを使用して、ルールまたはポリシーに含める項目を選択できます。
たとえば、アドレスまたはサービスグループを作成する場合、最初にアドレスまたはサービスオブジェクトを検索できます。同様に、ファイアウォール、IPS、および NAT ルールの作成では、正規表現、フル ネーム、および部分的な名前を使用して、送信元アドレスと宛先アドレスをアイテム セレクターで検索できます。
区切り文字検索の制限事項
検索テキストには、コンマやハイフンなど、開始または終了を示す区切り文字を含めないでください。オブジェクトは、単語の一部またはテキストの末尾に * を付けて検索できます。
たとえば、オブジェクト名がtest-SRX、test-SRX-UK、test-SRX_USなどの場合、test-で検索することはできず、結果は表示されません。
ただし、「test」というテキストで検索すると、「test」という名前を含むオブジェクト(区切り文字の前または後)が表示されます。
検索インデックスの更新
グローバル検索、ILP、列検索など、任意のカテゴリで新しく追加されたオブジェクトまたは既存のオブジェクトの検索中に問題が発生した場合は、Junos Spaceネットワーク管理プラットフォームページから検索インデックスの更新をトリガーできます。Security Directorのアドレス数、サービス数、ファイアウォールポリシー数などのオブジェクト数によっては、検索インデックスの更新に時間がかかる場合があります。
Junos Spaceネットワーク管理プラットフォームページで、「 管理者 > アプリケーション」を選択します。[Security Director] を右クリックし、[ Refresh Search Index] をクリックします。 図 9 を参照してください。
の更新
約10〜15分待ってから、Security Directorでオブジェクトの検索を再試行します。
この操作は頻繁に実行しないでください。これは、Security Directorの全体的なパフォーマンスに影響を与える可能性があります。
メインワークスペースの概要
Security Directorのメインワークスペースは、ブラウザウィンドウの残りの部分を占め、バナーのすぐ下にある6つの水平タブで区切られています。6 つのタブは、[ダッシュボード(Dashboard)]、[モニタ(Monitor)]、[デバイス(Devices)]、[設定(Configure)]、[レポート(Reports)]、および [管理(Administration)] です。各ワークスペースとそのアクセス可能な機能については、このドキュメントの後半で説明します。
ダッシュボード
ダッシュボードは、Security Directorのメインのランディングページです。これは、ログインするたびに最初に表示されるものです。そこでジュニパーネットワークスでは、お客様が最も関心のあるネットワークセキュリティ情報を提示する手段を提供しています。ダッシュボードのワークスペースをカスタマイズするには、バナーの下のカルーセルからウィジェットを追加します。ウィジェットの配置と設定は保存されるため、デバイス情報からファイアウォールイベント情報、ブロックされた上位のウイルスからライブ脅威マップまで、すべてをユーザーごとに一意にすることができます。表示するウィジェットを決定したら、カルーセルを閉じて画面スペースを取り戻すことができます。
モニター
「監視」タブは、ネットワークトラフィック、ファイアウォールイベント、ライブ脅威、およびネットワークユーザーデータをグラフィカルに表示できるワークスペースを提供します。また、アラートやアラーム、ジョブ管理情報の詳細データもあります。このワークスペースでは、ネットワーク内の管理対象セキュリティ デバイスとトラフィックに何が起こっているかを理解するために必要な詳細情報を確認できます。
デバイス
[デバイス(Devices)] タブには、Security Director デバイスを追加および管理できるワークスペースがあります。デフォルトで使用できる情報の列はいくつかあります。これには、ライブCPUとメモリデータ、および実行中のソフトウェアバージョンとプラットフォーム情報が含まれます。スキーマの不一致は簡単に確認できるため、デバイスを更新する前に修正できます。
Security Directorで特定のデバイスを操作する前に、適切なDMIスキーマが使用可能であることを確認してください。デバイスのソフトウェアイメージと、Security Directorがデバイスの管理に使用しているスキーマバージョンが一致しない場合、予期しない動作が発生します。DMI スキーマの管理は、Junos Space プラットフォーム管理ワークスペースで行います。
構成
[構成] タブは、すべてのセキュリティ構成が行われるワークスペースです。ファイアウォール、IPS、NAT、コンテンツセキュリティポリシーの設定、デバイスへのポリシーの割り当て、ポリシースケジュールの作成と適用、VPNの作成と管理、ネットワークセキュリティの管理に必要なすべての共有オブジェクトの作成と管理を行うことができます。
レポート
「レポート」タブには、レポートを作成して他の関係者に送信できるワークスペースがあります。「ダッシュボード」タブで使用可能なレポートは、ここで使用可能なレポートのサブセットです。レポートエンジンを実行すると、グラフィックデータと数値データの両方が提供され、ログデータを完全に視覚化できます。Security Directorには事前定義された一連のレポートが付属しており、独自にカスタマイズしたレポートを最初から追加することも、事前定義されたレポートのいずれかを複製して追加することもできます。
行政
[管理(Administration)] タブには、ロールベースのアクセス制御(RBAC)の管理、監査ログの確認と管理、ロギングの管理、IPS 署名データベースの確認と更新、ログイン プロファイルの管理を実行できるワークスペースが用意されています。ドメインRBACを使用すると、システム管理者はSecurity Directorをドメインと呼ばれるセクションに論理的に分割できます。任意の1つのドメイン内のデバイスに対して作成されたポリシー、オブジェクト、ログ、およびサービスは、そのドメイン内でのみ使用できます。ユーザーアクセスを個々のドメインに制限することもできます。RBAC の詳細については、「 ドメイン RBAC の概要」を参照してください。
グローバル機能
Security Directorには、セキュリティ機能の一部をガイドする支援ワークフローウィザードが含まれています。これには、ルール作成ウィザードとデバイス プロファイルの追加ウィザードが含まれます。
公開ワークフローを使用すると、セキュリティ構成を作成または変更し、デバイスに割り当て、公開してから、それらのデバイスに対して更新できます。ポリシーの変更は、IPS、ファイアウォール、その他の管理ポリシーのいずれに対するものであれ、ネットワークオペレーションセンター(NOC)担当者がステージングし、ネットワーク管理者によってプレビューおよび承認され、個別に、またはメンテナンス期間中、または公開ワークフローを使用して必要に応じて何度でも、デバイスに対して個別に更新および更新できます。
クローン作成により、オブジェクトからルール、ポリシー全体に至るまで、あらゆるものをすばやく複製できます。複雑なルールやポリシーを扱う場合、複製して変更を加えることで、変更を行うための一貫した開始点を確保できます。
設定プレビューは、CLIコマンドまたはXMLとして使用できます。
結論
Security Directorは、スピードと拡張性を念頭に置いて設計されたセキュリティ管理アプリケーションです。共有オブジェクトは、多くのセキュリティポリシーやデバイスで作成および使用できます。ファイアウォールポリシーやNATポリシーなどは、作成、変更、管理、個々のデバイスまたはデバイスグループに適用することができます。
RBACおよびドメイン機能により、Security Director管理者は、機密性の高いセキュリティ情報に対する可視性を制限しながら、多くのレベルのユーザーにアクセスを許可することができます。1つのドメイン内のセキュリティデバイス、ユーザー、共有オブジェクト、およびポリシーは、そのドメインにアクセスできないユーザーはアクセスできません。したがって、サービスプロバイダは顧客を分離し、顧客基盤を多様化することができます。ユーザー管理は、Security Director内でローカルに実行することも、RADIUSなどの中央ユーザー管理システムを使用してリモートで実行することもできます。
そして最後に、Security Directorが受信したイベントはさまざまな方法で記録され、関連付けられるため、理解しやすく実用的なグラフィカルなチャートと数値チャートが得られます。この情報に基づくレポートは、組織内の利害関係者に直接実行および送信できます。レポートには、セキュリティとユーザーの傾向が時系列で示されるため、意思決定者は簡潔で正確なセキュリティポリシーを作成できます。