 |
≫ |
|
|
|
|
各企業ではネットワーク環境の発達によって情報の伝達や共有などが容易になり、業務の効率化やビジネススピードの加速など多くの利益がもたらされている反面、様々なセキュリティ脅威に直面しています。それらの脅威に対する対策のひとつとして、認証・検疫ソリューションが注目されています。 |
|
|
|
|
本記事では、日本ヒューレット・パッカードの認証・検疫ソリューション製品である HPE Quarantine Systemについて、内部構成の概要と、実際に導入を行う際の手順について簡単にご紹介いたします。
|
| |
|
| 企業が直面するネットワークセキュリティ脅威 |
|
|
HPE Quarantine System(以下「Quarantine System」)とは、企業が直面するネットワークセキュリティの脅威への対策となる、認証と検疫の両課題を解決するための検疫ネットワーク製品です。
本製品は日本ヒューレット・パッカードによる国内開発の製品であるため、機能・サポートの両面できめ細やかなケアを行うことが可能です。また、専門エンジニアによる構築支援サービスも用意しておりますので、設計・構築・導入まで安心してお使いいただけます。
Quarantine System製品の全体的な概要については、併せてこちらも参照して下さい。 |
|
以下の図は、Quarantine Systemにおける典型的なサーバの構成の一例を示しています。Quarantine Systemはセンター拠点で動作するQuManagerとQuController Central、各拠点で動作するQuController Live OS、および各PCクライアントで動作するモジュールであるQuAgentから構成されます。Quarantine Systemを構成するサーバには、この他にQuController for LAN、QuController for Remoteなどがありますが、本記事では省略しています。
|
| |
|
| Quarantine Systemのサーバ構成例 |
|
| |
以降に各サーバがどのように検疫ネットワークを実現しているかを簡単に説明します。 |
|
WEBの管理画面による検疫ネットワークの運用管理を行います。端末の認証を行うのに必要なMACアドレスリストの管理、ホワイトリストの管理、検疫を行うのに必要なポリシーセットの管理を行います。
|
- MACアドレスリスト
管理されている端末をMACアドレス毎に登録します。MACアドレスリストに登録された端末は認証DHCPの対象となり、後述の不正クライアント検出の対象からは除外されます。
WEB画面でリストを操作するだけでなく、CSV形式ファイルのエクスポート・インポートが可能です。
- ホワイトリスト
固定IPアドレスで運用する端末をIPアドレス毎に登録します。ホワイトリストに登録された端末は、不正クライアント検出の対象から除外されます。
WEB画面でリストを操作するだけでなく、CSV形式ファイルのエクスポート・インポートが可能です。
- ポリシーセット
OSパッチポリシー/アンチウィルスポリシー/ファイルポリシー/レジストリポリシーを組み合わせて、端末のクライアントPCが満たすべきセキュリティポリシーを定義します。
WEB画面でリストを操作するだけでなく、CSV形式ファイルのエクスポート・インポートが可能です。
|
|
QuController Central(以下「QuCC」)、QuController Live OS(以下「Live OS」)
|
|
|
|
|
QuControllerは認証および検疫を実行するサーバで、センター拠点に設置するQuCCと、拠点毎に設置するLive OSで機能を分担しています。1セットのQuCC配下に複数セットのLive OSを配置する事ができます。
QuCCはセンター拠点で認証DHCP機能および検疫検査機能を実行します。また各Live OSの構成情報を管理します。
Live OSは各拠点で不正クライアント検出機能およびセキュアゲートウェイ機能を実行します。CDブートで起動しIPアドレスを取得後、QuCCから必要な構成情報をダウンロードして運用状態へ移行します。
|
- 認証DHCP機能
QuCCで動作するDHCPサーバがMACアドレス認証を行い、結果にもとづいてIPアドレスを払い出します。認証だけでなく検疫も行うPCクライアントについては、払い出しの判断にMACアドレス認証の結果にプラスして検疫検査結果も使用されます。認証と検疫に合格した端末へはユーザネットワーク(通常のネットワーク)のIPアドレスが、不合格になった端末には隔離ネットワーク(後述)のIPアドレスを払い出します。
- 検疫検査機能
QuMにてあらかじめ登録されているポリシーセットと各PCクライアントより定期的にアップロードされるインベントリー情報(OSパッチ/アンチウィルス/ファイル/レジストリ)とを比較して、PCクライアントがセキュリティポリシーを満たしているかを検査し、データベース上の検疫検査結果の更新を行います。検疫検査結果はMACアドレス毎に保持されます。
- 隔離ネットワーク
検疫検査に不合格になった端末には隔離ネットワークのIPアドレスが払いだされます。隔離ネットワークのIPアドレスはネットマスク長が30bitになっていて、他のホストとの通信ができないようになり、後述のセキュアゲートウェイを介した通信によって、治療環境へのアクセスや検疫検査に必要な通信のみが可能になります。
- 不正クライアント検出機能
ネットワーク上に各端末から送出されるARPパケットの監視を行い、MACアドレスリストにもホワイトリストにも登録されていない不正な端末を検知します。検知した端末に対しては、ARPテーブルの書き換えを利用した通信阻害を行うことも可能で、その場合には不正な端末から他のどの端末との通信もできなくなります。
Live OSは、検知されたARPパケットが、MACアドレスリスト/ホワイトリストに登録されているか、QuCCに問い合わせを行います。
- セキュアゲートウェイ機能
隔離ネットワークのデフォルトゲートウェイとして動作し、隔離ネットワークのIPアドレスが割り当てられた端末からの通信について、通信先ホストの制限を行います。
Live OSは隔離ネットワークの端末からのAPR要求を検知するとQuCCに問い合わせを行います。QuCCは自分がIPアドレスを払い出した端末のデフォルトゲートウェイのARP要求の場合にはLive OSにARP応答するよう指示します。
|
|
PCクライアントに常駐し、QuControllerへインベントリー情報を通知し、ユーザに検疫検査の結果を表示するモジュールです。検疫検査結果が不合格の場合、強制的に隔離ネットワークに接続させられます。
| ※ |
HPE Quarantine Systemの機能詳細については、併せてこちらも参照してください。 |
|
|
