セキュリティ|検疫ネットワーク
Cisco NAC
開発元:Cisco Systems
概要~Cisco NACとは
Cisco NAC(Network Admission Control)
Cisco NACとは、シスコシステムズが提唱するエンドポイントセキュリティソリューションです。NACに対応したエージェント、ネットワークアクセスデバイス、認証サーバ、ポリシーサーバで検疫ネットワークを構築します。
○ 検疫ネットワーク
ユーザ認証と検疫ポリシー検査を通過したクライアントのみに、組織のネットワークリソースへのアクセスを許可します。
検疫ポリシーの例としては、OSのパッチ番号・アンチウイルスソフトのパターン番号・導入必須のソフトウェア・導入不可のソフトウェア等があります。検疫ネットワークの導入により、セキュリティポリシーにもとづく認証作業や検疫後の治癒などが実行されます。
検疫ポリシーの例としては、OSのパッチ番号・アンチウイルスソフトのパターン番号・導入必須のソフトウェア・導入不可のソフトウェア等があります。検疫ネットワークの導入により、セキュリティポリシーにもとづく認証作業や検疫後の治癒などが実行されます。
○ Cisco NACフレームワーク
必要なコンポーネント:
- 端末側:Cisco Trust Agent(CTA)、Posture Plug-in(アンチウイルス、資産管理など)
- デバイス側: Cisco Router, VPN3000等 NAC対応 OS搭載デバイス
- 認証サーバ: Cisco Secure ACS
- ポリシーサーバ:各 Posture Plug-inベンダ提供のもの(ない場合は ACSで制御)
- 端末側:Cisco Trust Agent(CTA)、Posture Plug-in(アンチウイルス、資産管理など)
- デバイス側: Cisco Router, VPN3000等 NAC対応 OS搭載デバイス
- 認証サーバ: Cisco Secure ACS
- ポリシーサーバ:各 Posture Plug-inベンダ提供のもの(ない場合は ACSで制御)
○ Cisco NACの動作
End-Point PC
- ネットワークアクセスに対してシームレスなオペレーションを提供
- セキュリティポリシー準拠性確認に必要なコンポーネント
- Cisco Trust Agent
- 各種Posture Plug-in
- Cisco Security Agent
- アンチウイルスクライアント
- すべてのエンドポイントに対してポリシー適用が可能
Network Access Device
- Ciscoデバイス
- Ciscoルータ、スイッチ、Wirelsssアクセスポイント、各種セキュリティアプライアンス(FW、VPN他)
- ソフトウェアアップグレードによる Cisco デバイスの投資保護
- 基本的な動作
- 検証用セキュリティ情報 (Credential) の受け渡し
- ポリシー適用 (ACL、VLAN、URL redirect、VPNポリシー他)
認証 Server/ Policy Server
- フロントエンド・ポリシーインフラ (RADIUS)
- Cisco Secure Access Control Server (ACS)
- NADからの 「Credential」 情報の評価 (Credential Validation) に基づき、NADに適用するべきアクセスポリシーを決定する
- NADに適当なアクセスポリシー(許可、不許可、制限付き許可、隔離)を適用する
各種 Posture Plug-in に対応した Policy Server
- バックエンド・ポリシーインフラ
- HCAP (Host Credential Authentication Protocol)
- 各種 Posture Plug-in に特化した Credential Validation とポリシー決定が可能
- ポリシーを集中管理
- 最新ポリシーテンプレートの利用
- ネットワークアクセスに対してシームレスなオペレーションを提供
- セキュリティポリシー準拠性確認に必要なコンポーネント
- Cisco Trust Agent
- 各種Posture Plug-in
- Cisco Security Agent
- アンチウイルスクライアント
- すべてのエンドポイントに対してポリシー適用が可能
Network Access Device
- Ciscoデバイス
- Ciscoルータ、スイッチ、Wirelsssアクセスポイント、各種セキュリティアプライアンス(FW、VPN他)
- ソフトウェアアップグレードによる Cisco デバイスの投資保護
- 基本的な動作
- 検証用セキュリティ情報 (Credential) の受け渡し
- ポリシー適用 (ACL、VLAN、URL redirect、VPNポリシー他)
認証 Server/ Policy Server
- フロントエンド・ポリシーインフラ (RADIUS)
- Cisco Secure Access Control Server (ACS)
- NADからの 「Credential」 情報の評価 (Credential Validation) に基づき、NADに適用するべきアクセスポリシーを決定する
- NADに適当なアクセスポリシー(許可、不許可、制限付き許可、隔離)を適用する
各種 Posture Plug-in に対応した Policy Server
- バックエンド・ポリシーインフラ
- HCAP (Host Credential Authentication Protocol)
- 各種 Posture Plug-in に特化した Credential Validation とポリシー決定が可能
- ポリシーを集中管理
- 最新ポリシーテンプレートの利用
○ Cisco NACフレームワークのバージョンによる対応レベル
バージョン1:Ciscoルータ、VPN3000シリーズ
- ルーティングポイントでのアクセス制御が可能 (L3-IPモード)
バージョン2:Catalystシリーズ, Aironetシリーズ
- スイッチポートでのアクセス制御が可能 (L2-802.1xモード、L2-IPモード)
- ルーティングポイントでのアクセス制御が可能 (L3-IPモード)
バージョン2:Catalystシリーズ, Aironetシリーズ
- スイッチポートでのアクセス制御が可能 (L2-802.1xモード、L2-IPモード)
導入メリット
(1) アンチウイルスのパターンファイルや OSのパッチレベル等セキュリティポリシーを
システムとして統一させることが可能
(2) NAC管理下にない端末を排除可能
(3) 既に NAC対応機器で構成されたネットワークの場合、新たな追加投資を軽減することが可能
システムとして統一させることが可能
(2) NAC管理下にない端末を排除可能
(3) 既に NAC対応機器で構成されたネットワークの場合、新たな追加投資を軽減することが可能
導入パターン
○パターン1: L3-IP
セキュリティ担当を常駐できない拠点のセキュリティレベル確認
2. IT部門の管理下にない端末確認
パートナー企業の端末のセキュリティレベル確認
3. インターネットアクセス時の確認
ブラウズ前に端末のセキュリティレベル確認
4. ラボ環境のセキュリティ確認
セキュリティ対策が施された端末だけ社内ネットワークアクセスを許可
5. データセンタ保護
重要なデータを管理しているサーバへアクセスする端末のセキュリティ対策確認
○パターン 2: L2-IP
L3スイッチ上で検疫をし、IPアドレス単位での制御を行う。L3スイッチ配下にHUB等で複数の端末が接続されている場合に有効です。
○パターン 3: L2-802.1x
1. 支店の準拠性
L3 ルータとファイアウォールによる
2. リモートアクセスの準拠性
“Are You There” の拡張機能による
3. ダイアルアップの準拠性
4. ワイヤレス構内の保護
ACL/ VLANS による検疫
802.1X の拡張機能
5. キャンパスアクセスおよびデータセンタの保護
ACL/ VLANS による検疫
802.1X の拡張機能
