IceWallとarubaか切り開く新たな統合認証基盤

aruba ClearPassで実現するAdaptive Trust Network セキュリティ〜最新の認証・認可とシステム連携〜

日本ヒューレット・パッカード株式会社エンタープライズグループ事業統括ネットワーク事業統括本部水谷 雅洋

Hewlett Packard Enterprise Day 2016

Trust Nothing : モバイルセキュリティにおいて単一装置での信頼確保は困難

ユーザ、デバイスの検証、コンテキストの共有と適合

境界型防御からアクセスレイヤ防御へ

ポリシー適応は、Portレベルからデバイス、場所、アプリケーション(業務、役割、etc)ベースに

Adaptive Trust Network セキュリティ

信頼を積重ねることによって、より強固なセキュリティを実現

静的境界型防御

IDS/IPS

Firewalls

アダプティブ・トラスト・防御

Perimeter

Defense

Auth and

Automation

物理的な対策

アンチウイルスソフト

個々のユーザやグループに適応したセキュリティポリシー

マイクロセグメンテーション

Web

ゲートウエイ

新しいモビリティ環境に適した防御

INTERNET

境界型セキュリティ (perimeter security)によるレガシーなネットワーク

本社ビル

在宅勤務

本社

WAN

営業所

Firewall

Firewall

VPN

データセンター

社員

ゲスト

契約社員

境界型セキュリティ

INTERNET

HPEアルバか考えるモバイル時代のadaptive trust network セキュリティ

本社ビル

在宅勤務

本社

WAN

営業所

Firewall

Firewall

データセンター

ゲスト2

契約社員Project 1

パートナー

ゲスト1

契約社員Project 2

ゲスト1役員

開発部門

IT部門営業先BYOD

営業部門

様々なコンテキスト(情報)で信頼を確立し最適なネットワーク環境を提供

PEF(Policy Enforcement Firewall)/AppRF

–PEF (Policy Enforcement Firewall)

• コントローラに Stateful L4-7 firewallを装備

• アクセスコントロールをUser Roleで提供

–AppRF

• DPI (Deep Packet Inspection) による識別

• 約1,500種類のアプリケーション識別可能

• アプリケーション制御をUser Roleで提供

• アプリケーション利用のブロック

• アプリケーションベースのQoSの適用

• アプリケーションベースの帯域制御

まずは AAAの話から

– Authentication 認証

– ユーザネーム/パスワード, 証明証, SSO/SNS

– Authorization 認可

– 様々な条件・情報(役割、ドメイン、IPアドレス、、、)を基に最適なアクセスを適応

– レガシーなシステムでは、コンテキストか非常に限定

– Accounting アカウンティング

– レポーティング、管理、可視化

7

無線LANの代表的な認証方式

8

種類 認証対象 実装 セキュリティ 特徴

PSK共有鍵

※認証では無い易 低

共有鍵が漏洩したら不正アクセスだけで無く、暗号化トラフィックも簡単に解読されてしまう

鍵変更時に全てのユーザに通知しないといけない

MAC 認証 MACアドレス 中中

暗号化は無い

無線クライアントの認証機能がない場合に利用

MACアドレスは簡単に偽造できる

Web 認証ユーザ名・パスワード

中中

暗号化は無いブラウザが使えれば端末は問わない

802.1x EAP-PEAP

サーバ証明書・

ユーザ名・パスワード

中 高比較的手軽に利用が可能だが、端末が対応している必要がある。

802.1x EAP-TLS

サーバ証明書

クライアント証明書難 高

無線クライアントに証明書のインストールが必要。証明書/CAのための追加費用が必要

証明書インストール後はユーザはWi-Fiに接続するだけ

認可 - Authorization やってます？

–認可を計算するための情報-> コンテキスト

– 多い方かいい。

–認可の結果を反映する方法 -> エンフォースメント

– RBAC - Role ベース

– ダイナミックVLAN

– dACL

– その他

でも。。。。

9

• どうやって、コンテキストを集めるか？• どうやって、ポリシーを作成、管理するの？• どうやって、無線、有線、VPN多様なアクセス方式に対応するの？• どうやって、エンフォースメントを提供するか？• どうやって、可視化するの？• どうやって、マルチベンダーに対応するの？

認証、認可をシステムサービスでマッピングすると

RADIUSサーバー – 認証機能

Policyサーバー – 認可機能

Policyサーバー– コンテキストの関連付け

Policyサーバー – 認可要素を決定

RADIUS Server – 結果を実施

Web認証、802.1x認証、mac認証

認可ソースAD,LDAP,EndPointProfiling,SSO,MDM

ロールパッピング

エンフォースメントポリシーによるエンフォースメント決定

RADIUS応答HTTP, 外部連携など

ClearPass か提供するサービス

サービス基盤Policy エンジン

RADIUS/CoA

TACACS+

Profiling+

100以上のRADIUS

ディクショナリ

高機能レポート

IT ツールPolicy シミュレーション

アクセストラッキング

テンプレートベースのポリシー作成

LDAP ブラウザ

セッションログ

Insight レポート機能

ユーザーツールAirGroup

Bonjour/DLNA

デバイスの管理

証明書の管理

基本的なゲスト環境

ビルトインされた

アドオン機能

(初期25ライセンス)

-Onboard

-Guest

-OnGuard

Exchange

API

Syslog

• １時間に数千デバイスを認証可能なスケール性能

• すべてのサービスをClearPassの機能で提供

ClearPass プラットフォーム

Guest

ClearPass

Onboard OnGuard

ハードウエアアプライアンスとVM

(500, 5,000 or 25,000)

cluster構成 max40ノード

アプリケーションサービス

リーモートサイト

アクセスプラットフォームや外部ソースのコンテキストを使って、ネットワークポリシーをセット

•認証方法• (EAP-TLS,EAP-

PEAP, MAC auth etc )

•端末ベンダー• OS version• Macアドレス• Jailbreak ステータス

•有線・Wi-Fi•接続AP•接続ポート•ロケーション

•日時、曜日•期間

•ユーザ/グループ• AD情報• SSO/SAML• SNS

すべてのIPデバイス….

ClearPass -様々なコンテキストをポリシーに適応

Policy

様々な方法でコンテキストを入手

EMM/MDM

• 営業 太郎 [セールス]

• MDM enabled = true

• In-compliance = true

エンフォースメントポイント

• 営業 太郎 [セールス]

• タイトル – マネージャ• 部署 –営業第一• City – London

• 接続場所 – ビルディング10

• 階数 – 3

• バンドワイズ – 10MbpsIdentityストア

デバイスプロファイル• Samsung SM-G900

• Android

• “私のGalaxy”

• 個人所有• レジスト済み• OS アップデート情報• Android 4.4, Knox

• MDM enabled = true

• In-compliance = true

• ビルディング10, 3階• 21:22GMT, 2016/2/14

• 営業 太郎 [Sales]

• マネージャ• 東京• 自己所有の端末• Samsung SM-G900

Adaptive Trust Identity

IceWall SSO

様々な認証方式と認証ソースに対応

• 認証方式- MAC Auth- EAP

(FAST,PEAP,TLS,TTLS,MD2…)- CHAP- MSCHAP- PAP- SSO- More…

- 認証ソース- AD (マルチドメイン)- LDAP- ローカルDB

(endpoint,user,guest…)- 外部 SQL DB- More…

様々な認可ソースを適応し、ロールマッピング

• 収集したコンテキストを元にEnforcement（ポリシーの適用）で使いやすいようにRoleにマッピングする事ができる（タグ付けのようなもの）

• 利用できるソースオプション：- Radius/TACACS Attributes- Authentication Attributes- Authorization Attributes (from

any source)- Certificate Attributes- Endpoint Attributes- Date/Time Attributes- More…

Role Mappingの例Device

Context

Auth

Context

User

Context

Cert

ContextMDM

Context

Onboard

Context

ClearPass Policy Enforcement:様々なポリシーの適用方法に対応

適用方法• Radius• Radius CoA• SNMP• CLI• HTTP• Entity Update• OnGuard Agent• TACACS

ネットワーク機器

Enforcement Policy（ポリシー適用）の例

Using Roles for

User and Device

Using Roles and Posture

ClearPass Exchange様々なネットワーク、セキュリテイ、認証システムとの連携で、よりセキュアなネットワークを実現

20

アダプテイブ・トラストClearPass Exchangeによるシステム連携

SIEM等

MDM

セキュリティー

認証 Identity ストア

HTTP API Call

RESTful/ XML,Json

Syslog

AD,LDAP,SQL,SAML,Oauth

ユーザ情報の更新

デバイス情報の更新

マルチベンダーインテグレーション✔

コンテキストの共有✔

オープンなAPIとスタンダード✔

Aruba PaloAlto ClearPass Exchange連携

Controller, Access Point ユーザアクセス ポリシーに基づいたLANのアク

セス制御 デバイス識別ClearPass: ユーザの認証 デバイスの識別 ポリシーの作成

Next Generation Firewall L7レベルで、アプリケーション、

ユーザ、コンテキストベースのトラフィック制御

XML API での連携 デバイス毎の細かなトラフィック制御も可能になる

MobileIronとの連携~EMM Profile 削除時のワークフロー~

Helpdesk用のチケットを自動オープン

ユーザにSMSなどで通知

IT管理者へメールで通知

EMM Profileだけ再度エ

ンロールできる、制限付きネットワーク

ClearPassからネットワーク機器へポリシーを適用する

ユーザが社内ポリシーを無視してEMM Profileを削除してしまう

ネットワークアクセス時にClearPassがProfileが削除されていることを検知

ClearPass

EMM Profile

Integration with MDM - Endpoint Context Server

Integration with MDM – エンドポイントデータベース

Manufacturer, Model

OS version, UDID*, Serial

Number*

IMEI

Phone #, Carrier

Owner

Display Name

Ownership

Corporate, Personal

MDM Identifier

MDM Enabled

Security Status

Compromised, Blacklist or

Required App Encryption

enabled, Last Check-inMobileIronの情報をClearPassで活用が可能

SIEM連携によるエンドポイント制御

Syslog

splunk app

1. Log Search - Alart作成2. Script の設定3. API連携による端末切断

デバイス情報

RADUS:CoA

terminate 切断要求

SIEMNGFW/ATD/etc Wi-Fi, Wired

X

Syslogでthreat等のAlart メッセージを提供

Alart scriptは、ClearPass APIを使用してデバイス情報の共有とRADIUS CoAによる遮断リクエストを送信

Access Network SSO – ClearPassはSAML SPとして動作

– ClearPass (SPとして動作)

Web ページにアクセス

IdPへリダイレクト

ユーザ

Identity

Provider

(IdP)

IceWall

ClearPass

Policy Manager

①

②

Service

Provider

(SP)

認証のためClearPassへリダイレクト

③

SAML iDPにアクセスし認証実施④

SAML

Response⑤

HTTPS

SAML Assertion

⑥

1-time User/Pwd⑦

HTTPS POST

1-time User/Pwd

⑧

RADIUS

リクエスト⑨

認証

SAML – IceWall 連携によるGUST ログイン (1)

28

SSID選択www.arubanetworks.com入力

IceWallサーバ(IdP)で認証するためリダイレクト

SAML – IceWall 連携によるGUST ログイン (2)

29

IceWall(IdP)で管理するユーザ(admin)とパスワードで認証

認証成功、目的のWebページへリダイレクト

IceWallポータルへもSSO

ClearPass 実績

@ArubaNetworks

Over 4300

CUSTOMERS WORLDWIDE

Gartner NAC MAGIC

QUADRANT

INDUSTRY LEADER

2013 & 2014

IN OVER 25

INDUSTRY VERTICALS

ClearPass の導入で。。。

–ネットワークに接続するすべてのPC, Tablet, SmartPhone, IoTの最適化、可視化、管理か可能

–ネットワーク機器、セキュリティ機器、アプリケーション、SNS等の相互接続による信頼構築で、多層防御と自動化を実現

–無線、有線、VPN問わず、マルチベンダー環境における共通のポリシーマネージメントか可能

–ビジネスや経営方針に基づいた最適なネットワークポリシーを構築する基盤

–オープンなAPI、業界標準・スタンダードサポートのコミットで、将来的な機能拡張と強化か可能

– HPEワールドワイドのサポート網によりグローバルでの共通基盤として展開か可能

– And More !!

31

ありかとうございましたAccelerating next ― 未来を加速する

32