icewallとarubaが 切り開く新たな統合認証基盤h50146. · icewallとarubaが...
TRANSCRIPT
IceWallとarubaか切り開く新たな統合認証基盤
aruba ClearPassで実現するAdaptive Trust Network セキュリティ〜最新の認証・認可とシステム連携〜
日本ヒューレット・パッカード株式会社エンタープライズグループ事業統括ネットワーク事業統括本部水谷 雅洋
Hewlett Packard Enterprise Day 2016
Trust Nothing : モバイルセキュリティにおいて単一装置での信頼確保は困難
ユーザ、デバイスの検証、コンテキストの共有と適合
境界型防御からアクセスレイヤ防御へ
ポリシー適応は、Portレベルからデバイス、場所、アプリケーション(業務、役割、etc)ベースに
Adaptive Trust Network セキュリティ
信頼を積重ねることによって、より強固なセキュリティを実現
静的境界型防御
IDS/IPS
Firewalls
アダプティブ・トラスト・防御
Perimeter
Defense
Auth and
Automation
物理的な対策
アンチウイルスソフト
個々のユーザやグループに適応したセキュリティポリシー
マイクロセグメンテーション
Web
ゲートウエイ
新しいモビリティ環境に適した防御
INTERNET
境界型セキュリティ (perimeter security)によるレガシーなネットワーク
本社ビル
在宅勤務
本社
WAN
営業所
Firewall
Firewall
VPN
データセンター
社員
ゲスト
契約社員
境界型セキュリティ
INTERNET
HPEアルバか考えるモバイル時代のadaptive trust network セキュリティ
本社ビル
在宅勤務
本社
WAN
営業所
Firewall
Firewall
データセンター
ゲスト2
契約社員Project 1
パートナー
ゲスト1
契約社員Project 2
ゲスト1役員
開発部門
IT部門営業先BYOD
営業部門
様々なコンテキスト(情報)で信頼を確立し最適なネットワーク環境を提供
PEF(Policy Enforcement Firewall)/AppRF
–PEF (Policy Enforcement Firewall)
• コントローラに Stateful L4-7 firewallを装備
• アクセスコントロールをUser Roleで提供
–AppRF
• DPI (Deep Packet Inspection) による識別
• 約1,500種類のアプリケーション識別可能
• アプリケーション制御をUser Roleで提供
• アプリケーション利用のブロック
• アプリケーションベースのQoSの適用
• アプリケーションベースの帯域制御
まずは AAAの話から
– Authentication 認証
– ユーザネーム/パスワード, 証明証, SSO/SNS
– Authorization 認可
– 様々な条件・情報(役割、ドメイン、IPアドレス、、、)を基に最適なアクセスを適応
– レガシーなシステムでは、コンテキストか非常に限定
– Accounting アカウンティング
– レポーティング、管理、可視化
7
無線LANの代表的な認証方式
8
種類 認証対象 実装 セキュリティ 特徴
PSK共有鍵
※認証では無い易 低
共有鍵が漏洩したら不正アクセスだけで無く、暗号化トラフィックも簡単に解読されてしまう
鍵変更時に全てのユーザに通知しないといけない
MAC 認証 MACアドレス 中中
暗号化は無い
無線クライアントの認証機能がない場合に利用
MACアドレスは簡単に偽造できる
Web 認証ユーザ名・パスワード
中中
暗号化は無いブラウザが使えれば端末は問わない
802.1x EAP-PEAP
サーバ証明書・
ユーザ名・パスワード
中 高比較的手軽に利用が可能だが、端末が対応している必要がある。
802.1x EAP-TLS
サーバ証明書
クライアント証明書難 高
無線クライアントに証明書のインストールが必要。証明書/CAのための追加費用が必要
証明書インストール後はユーザはWi-Fiに接続するだけ
認可 - Authorization やってます?
–認可を計算するための情報-> コンテキスト
– 多い方かいい。
–認可の結果を反映する方法 -> エンフォースメント
– RBAC - Role ベース
– ダイナミックVLAN
– dACL
– その他
でも。。。。
9
• どうやって、コンテキストを集めるか?• どうやって、ポリシーを作成、管理するの?• どうやって、無線、有線、VPN多様なアクセス方式に対応するの?• どうやって、エンフォースメントを提供するか?• どうやって、可視化するの?• どうやって、マルチベンダーに対応するの?
認証、認可をシステムサービスでマッピングすると
RADIUSサーバー – 認証機能
Policyサーバー – 認可機能
Policyサーバー– コンテキストの関連付け
Policyサーバー – 認可要素を決定
RADIUS Server – 結果を実施
Web認証、802.1x認証、mac認証
認可ソースAD,LDAP,EndPointProfiling,SSO,MDM
ロールパッピング
エンフォースメントポリシーによるエンフォースメント決定
RADIUS応答HTTP, 外部連携など
ClearPass か提供するサービス
サービス基盤Policy エンジン
RADIUS/CoA
TACACS+
Profiling+
100以上のRADIUS
ディクショナリ
高機能レポート
IT ツールPolicy シミュレーション
アクセストラッキング
テンプレートベースのポリシー作成
LDAP ブラウザ
セッションログ
Insight レポート機能
ユーザーツールAirGroup
Bonjour/DLNA
デバイスの管理
証明書の管理
基本的なゲスト環境
ビルトインされた
アドオン機能
(初期25ライセンス)
-Onboard
-Guest
-OnGuard
Exchange
API
Syslog
• 1時間に数千デバイスを認証可能なスケール性能
• すべてのサービスをClearPassの機能で提供
ClearPass プラットフォーム
Guest
ClearPass
Onboard OnGuard
ハードウエアアプライアンスとVM
(500, 5,000 or 25,000)
cluster構成 max40ノード
アプリケーションサービス
リーモートサイト
アクセスプラットフォームや外部ソースのコンテキストを使って、ネットワークポリシーをセット
•認証方法• (EAP-TLS,EAP-
PEAP, MAC auth etc )
•端末ベンダー• OS version• Macアドレス• Jailbreak ステータス
•有線・Wi-Fi•接続AP•接続ポート•ロケーション
•日時、曜日•期間
•ユーザ/グループ• AD情報• SSO/SAML• SNS
すべてのIPデバイス….
ClearPass -様々なコンテキストをポリシーに適応
Policy
様々な方法でコンテキストを入手
EMM/MDM
• 営業 太郎 [セールス]
• MDM enabled = true
• In-compliance = true
エンフォースメントポイント
• 営業 太郎 [セールス]
• タイトル – マネージャ• 部署 –営業第一• City – London
• 接続場所 – ビルディング10
• 階数 – 3
• バンドワイズ – 10MbpsIdentityストア
デバイスプロファイル• Samsung SM-G900
• Android
• “私のGalaxy”
• 個人所有• レジスト済み• OS アップデート情報• Android 4.4, Knox
• MDM enabled = true
• In-compliance = true
• ビルディング10, 3階• 21:22GMT, 2016/2/14
• 営業 太郎 [Sales]
• マネージャ• 東京• 自己所有の端末• Samsung SM-G900
Adaptive Trust Identity
IceWall SSO
様々な認証方式と認証ソースに対応
• 認証方式- MAC Auth- EAP
(FAST,PEAP,TLS,TTLS,MD2…)- CHAP- MSCHAP- PAP- SSO- More…
- 認証ソース- AD (マルチドメイン)- LDAP- ローカルDB
(endpoint,user,guest…)- 外部 SQL DB- More…
様々な認可ソースを適応し、ロールマッピング
• 収集したコンテキストを元にEnforcement(ポリシーの適用)で使いやすいようにRoleにマッピングする事ができる(タグ付けのようなもの)
• 利用できるソースオプション:- Radius/TACACS Attributes- Authentication Attributes- Authorization Attributes (from
any source)- Certificate Attributes- Endpoint Attributes- Date/Time Attributes- More…
Role Mappingの例Device
Context
Auth
Context
User
Context
Cert
ContextMDM
Context
Onboard
Context
ClearPass Policy Enforcement:様々なポリシーの適用方法に対応
適用方法• Radius• Radius CoA• SNMP• CLI• HTTP• Entity Update• OnGuard Agent• TACACS
ネットワーク機器
Enforcement Policy(ポリシー適用)の例
Using Roles for
User and Device
Using Roles and Posture
ClearPass Exchange様々なネットワーク、セキュリテイ、認証システムとの連携で、よりセキュアなネットワークを実現
20
アダプテイブ・トラストClearPass Exchangeによるシステム連携
SIEM等
MDM
セキュリティー
認証 Identity ストア
HTTP API Call
RESTful/ XML,Json
Syslog
AD,LDAP,SQL,SAML,Oauth
ユーザ情報の更新
デバイス情報の更新
マルチベンダーインテグレーション✔
コンテキストの共有✔
オープンなAPIとスタンダード✔
Aruba PaloAlto ClearPass Exchange連携
Controller, Access Point ユーザアクセス ポリシーに基づいたLANのアク
セス制御 デバイス識別ClearPass: ユーザの認証 デバイスの識別 ポリシーの作成
Next Generation Firewall L7レベルで、アプリケーション、
ユーザ、コンテキストベースのトラフィック制御
XML API での連携 デバイス毎の細かなトラフィック制御も可能になる
MobileIronとの連携~EMM Profile 削除時のワークフロー~
Helpdesk用のチケットを自動オープン
ユーザにSMSなどで通知
IT管理者へメールで通知
EMM Profileだけ再度エ
ンロールできる、制限付きネットワーク
ClearPassからネットワーク機器へポリシーを適用する
ユーザが社内ポリシーを無視してEMM Profileを削除してしまう
ネットワークアクセス時にClearPassがProfileが削除されていることを検知
ClearPass
EMM Profile
Integration with MDM - Endpoint Context Server
Integration with MDM – エンドポイントデータベース
Manufacturer, Model
OS version, UDID*, Serial
Number*
IMEI
Phone #, Carrier
Owner
Display Name
Ownership
Corporate, Personal
MDM Identifier
MDM Enabled
Security Status
Compromised, Blacklist or
Required App Encryption
enabled, Last Check-inMobileIronの情報をClearPassで活用が可能
SIEM連携によるエンドポイント制御
Syslog
splunk app
1. Log Search - Alart作成2. Script の設定3. API連携による端末切断
デバイス情報
RADUS:CoA
terminate 切断要求
SIEMNGFW/ATD/etc Wi-Fi, Wired
X
Syslogでthreat等のAlart メッセージを提供
Alart scriptは、ClearPass APIを使用してデバイス情報の共有とRADIUS CoAによる遮断リクエストを送信
Access Network SSO – ClearPassはSAML SPとして動作
– ClearPass (SPとして動作)
Web ページにアクセス
IdPへリダイレクト
ユーザ
Identity
Provider
(IdP)
IceWall
ClearPass
Policy Manager
①
②
Service
Provider
(SP)
認証のためClearPassへリダイレクト
③
SAML iDPにアクセスし認証実施④
SAML
Response⑤
HTTPS
SAML Assertion
⑥
1-time User/Pwd⑦
HTTPS POST
1-time User/Pwd
⑧
RADIUS
リクエスト⑨
認証
SAML – IceWall 連携によるGUST ログイン (1)
28
SSID選択www.arubanetworks.com入力
IceWallサーバ(IdP)で認証するためリダイレクト
SAML – IceWall 連携によるGUST ログイン (2)
29
IceWall(IdP)で管理するユーザ(admin)とパスワードで認証
認証成功、目的のWebページへリダイレクト
IceWallポータルへもSSO
ClearPass 実績
@ArubaNetworks
Over 4300
CUSTOMERS WORLDWIDE
Gartner NAC MAGIC
QUADRANT
INDUSTRY LEADER
2013 & 2014
IN OVER 25
INDUSTRY VERTICALS
ClearPass の導入で。。。
–ネットワークに接続するすべてのPC, Tablet, SmartPhone, IoTの最適化、可視化、管理か可能
–ネットワーク機器、セキュリティ機器、アプリケーション、SNS等の相互接続による信頼構築で、多層防御と自動化を実現
–無線、有線、VPN問わず、マルチベンダー環境における共通のポリシーマネージメントか可能
–ビジネスや経営方針に基づいた最適なネットワークポリシーを構築する基盤
–オープンなAPI、業界標準・スタンダードサポートのコミットで、将来的な機能拡張と強化か可能
– HPEワールドワイドのサポート網によりグローバルでの共通基盤として展開か可能
– And More !!
31
ありかとうございましたAccelerating next ― 未来を加速する
32