...

データシート:Symantec Network Access Control

by user

on
Category: Documents
6

views

Report

Comments

Transcript

データシート:Symantec Network Access Control
データシート:エンドポイントセキュリティ
TM
Symantec Network Access Control
包括的なエンドポイントコンプライアンス
概要
・エンタープライズクラスの一元管理アーキテクチャの導入により、TCO
Symantec Network Access Controlは、エンドツーエンドのネットワーク
(総所有コスト)
を最小化
アクセスコントロールソリューションです。既存のネットワークインフラと統
・アンチウイルスやクライアントファイアウォールなどの資産の有効活用を
合することにより、企業ネットワークへのアクセスを効率的かつセキュアに
促進
制御できます。Symantec Network Access Controlは、さまざまな方法
・ Symantet Endpoint Protectionとのシームレスな統合
でネットワークへ接続するエンドポイントに対して、セキュリティ要件に合致
しているかどうかを検出して評価し、適切なネットワークアクセスを提供しま
す。そして、必要に応じて矯正を行います。また、エンドポイントのセキュリ
ティ状況に変化がないかどうかを継続的に監視します。これにより、企業
主な機能
のネットワーク環境ではセキュリティインシデント数が大幅に減少し、ITセ
Discover
キュリティポリシーを徹底することができます。
Symantec Network Access Controlによって、ネットワークアクセスコント
Monitor
ユーザーだけではなくエンドポイントを認証
IT Policy
Enforce
ロールの導入と管理、そして費用対効果の向上が実現できます。
今日のコンピューティング環境では、ユーザーの拡大にともない、企業リ
Re
ソースへのアクセスについてどのように対処していくかということが企業お
よびネットワーク管理者の課題です。ユーザーは、オンサイトおよびリモー
m e diate
トサイトの従業員に加え、ゲストユーザー、契約社員、派遣社員などがい
ます。このため、ネットワーク環境の安全性を維持するために、企業はか
つてないほど大きな課題に直面しています。ネットワークへの無制限のア
Symantec Network Access Contolのプロセス
クセスは、もはや許されません。企業のシステムにアクセスするエンドポイ
ネットワークアクセスコントロールは、
あらゆる種類のエンドポイント、
あらゆ
ントの数や種類が著しく増加するに伴って、リソースに接続する前だけで
る種類のネットワークに強制するプロセスです。このプロセスは、
ネットワー
なく、接続後も継続的にエンドポイントの健全性と状況を検証することが
クへ接続する前から始まり、接続中も継続されます。企業内のすべてのプ
必要です。Symantec Network Access Controlでは、企業のLAN、
ロセスと同様に、ポリシーに基づいて評価を行い、
アクションを起こします。
WAN、無線 LAN、またはVPNへの接続を許可する前に、エンドポイント
ネットワークアクセスコントロールのプロセスには次の4つのステップがあり
を確実にセキュリティ要件に合致させることができます。
ます。
1. エンドポイントの検出と評価
主な利点
エンドポイントがネットワークに接続するとき、
およびデータリソースにア
クセスする前にエンドポイントを検出します。既存のネットワークインフ
Symantec Network Access Controlを導入する利点は次のとおりです。
ラに統合し、
インテリジェントなエージェントソフトウェアを使用すること
・ウイルス、
ワーム、
スパイウェア、
その他のさまざまなクライムウェアを含む
により、
ネットワーク管理者は、
ネットワークに接続される新しいデバイス
マリシャスコードの拡散を抑制
が ITポリシーの最小要件を確実に満たすようにできます。
・ 企業ネットワークへアクセスする管理下および非管理下のエンドポイン
トへのコントロールを強化しリスクを軽減
2. ネットワークアクセス
評価を経て、ITポリシーを遵守していると判断された場合にのみ、
エンドポ
・ネットワークのアベイラビリティを向上し、
エンドユーザーへのサービス中
イントのネットワークへの完全なアクセスが許可されます。ポリシーを遵守
断時間を低減
していないエンドポイントや組織のセキュリティ最小要件を満たしていな
・エンドポイントのリアルタイムのコンプライアンスデータに基づき、組織
いエンドポイントは隔離され、
ネットワークへのアクセスを制限または拒否さ
全体のコンプライアンス情報を検証可能に
れます。
データシート:エンドポイントセキュリティ
Symantec Network Access Control
TM
3. セキュリティ要件に合致しないエンドポイントの矯正
ポリシー管理とレポーティング機能の一元化
セキュリティ要件に合致しないエンドポイントの自動矯正機能を使用する
どのようなソリューションにおいても効果的な運用にはエンタープライズク
ことにより、管理者はエンドポイントコンプライアンスを迅速に確保し、
それ
ラスの管理コンソールが必要です。Symantec Endpoint Protection
に応じてエンドポイントがネットワークへアクセスできるようにします。矯正
Managerは、Javaベースのコンソールで、
エージェントやエンフォーサの
プロセスをすべて自動化し、
エンドユーザーに負荷のかからないプロセス
アクティビティの生成、配備、管理、およびレポートを一元管理します。ま
にすることができます。あるいは、手動で矯正できるようにユーザーに情報
た、拡張性に優れ、大規模なネットワーク環境にも適応できます。さらに、
を提供することもできます。
高いアベイラビリティを保ちつつあらゆる管理タスクを詳細にコントロール
4. エンドポイントのコンプライアンスをプロアクティブに監視
することができます。
セキュリティ要件の遵守は常時監視する必要があります。そのため、
Symantec Network Access Controlは、管理者が設定した時間間
エンドポイントの評価
隔ですべてのエンドポイントのコンプライアンス状況をアクティブに監
Symantec Network Access Controlは、悪意のあるコードや未知のエン
視します。監視中にエンドポイントのコンプライアンス状態が変化した
ドポイント、不正なエンドポイントからネットワークを保護します。さらに、
ネット
場合、
そのエンドポイントのネットワークアクセス権も変更されます。
ワークに接続済みのエンドポイントがオンライン攻撃から保護されるように
正しく設 定されているかどうかを確 認します。どのような場 合でも、
エンドポイントを広範囲に網羅
ネットワークの中には、新しいエンドポイントや古いエンドポイント、請負業者
のエンドポイント、ゲストPC、公共の場にあるキオスク端末、
ビジネスパート
ナーのエンドポイント、
およびいくつもの未知のエンドポイントがあります。多
くの場合、管理者はこれらのエンドポイントをほぼ全く制御できない状況に
ありながら、
ネットワークのセキュリティとアベイラビリティを保証する責任が
あります。Symantec Network Access Controlを導入すれば、
ネットワーク
アクセスコントロールのプロセスを、管理下および非管理下、古いエンドポ
Symantec Network Access Controlのプロセスはエンドポイントの評
価から始まります。通常、
ネットワークアクセスを許可するための最小要件
は、
アンチウイルス、
アンチスパイウェア、パッチの適用の確認などですが、
企業での導入後、段階的にセキュリティ要件が追加されていくのが一般
的なパターンです。
Symantec Network Access Controlには、
エンドポイントコンプライアン
スを確認するためのエンドポイントの評価テクノロジーが3つあります。
・ 常駐エージェント
イントおよび新しいエンドポイント、既知/未知のエンドポイントに適用するこ
企業が所有するエンドポイントやその他の管理下のエンドポイントでは、
とができます。
あらかじめインストールされた常駐エージェントを使用してコンプライアン
ス状況を確認します。アンチウイルス、
アンチスパイウェア、パッチのイン
あらゆるネットワークに導入可能
企業内のユーザーは、
さまざまなアクセス方法によりネットワークに接続しま
す。そのため、接続の方法に関わらず、常に一貫した方法で評価や接続制
御が適用されるような柔軟性が必要です。Symantec Network Access
Controlを導入すると、
ネットワーク装置のアップグレードを行わなくても、
ネッ
トワークインフラ内の過去の投資を活かしてエンドポイントにセキュリティ要
件を徹底させることができます。
ストールだけでなく、
レジストリのエントリ、実行中のプロセス、
ファイル属
性など、複雑なエンドポイントのステータス特性も確認します。常駐エー
ジェントは、詳細、
かつ正確で信頼できるエンドポイントコンプライアンス
情報を提供すると同時に、評価オプションにおいても非常に柔軟な矯
正および修復機能を提供します。
・ オンデマンドエージェント
個人用デバイスや非管理下のエンドポイントがある場合は、Symantec
ネットワークと連動するSymantec Network Access Control Enforcer
Network Access ControlとSymantec On-Demand Protection
を使用していても、
ネットワークとの連動を必要としない、ホストのみのエン
を組み合わせたソリューションが有効です。Symantec On-Demand
フォースメントオプションを使用していても、
あるいはWebアプリケーション
ProtectionではJava™ベースのエージェントがオンデマンドで提供され、
環境でオンデマンドエージェントを使用していても、企業ネットワークへの
管理者権限がなくてもエンドポイントのコンプライアンス状況を評価する
接続ポイントにおいてエンドユーザーとエンドポイントがポリシーに確実に
ことができます。オンデマンドエージェントは、
セッションの終了時に自動
準拠するようにすることができます。
的にエンドポイントから削除されます。
Symantec Network Access Controlのアーキテクチャ
Symantec Network Access Controlのアーキテクチャには、ポリシー管
理、
エンドポイント評価、
およびネットワークエンフォースメントの3つのコア
コンポーネントが含まれます。これら3つのコンポーネントは、外部の機能に
依存することなく、1つのソリューションとして連携して機能します。
・ 脆弱性のリモートスキャン
Symantec Network Access Control Scannerはエンドポイントの脆弱
性をエージェントレスでリモートからスキャンし、
スキャン結果に基づくコンプ
ライアンス情報をSymantec Network Access Controlのエンフォーサに
提供します。
リモートスキャンでは、
エージェントをインストールすることがで
きないエンドポイントからも情報を収集することができます。
エンフォースメント
・ セルフエンフォースメント
企業のネットワーク環境が拡張される経緯はそれぞれ異なります。そのた
セルフエンフォースメントでは、Symantec Endpoint Protection内のホ
め、単一のエンフォースメント方法であらゆる企業のネットワーク上のすべて
ストベースのファイアウォール機能を利用し、
エンドポイントのコンプライ
のエンドポイントへのアクセスを効果的に制御することはできません。ネット
アンス状況に応じてエンドポイント内でネットワーク接続を制御します。
ワークアクセスコントロールソリューションは、管理費やメンテナンス費用を
これにより管理者は、複数のネットワーク間を日常的に移動するノート
増大させることなく、既存の環境に複数のエンフォースメント方法を簡単に
ブックPCなどのデバイスに、企業ネットワークの内外を問わず、
あらゆる
導入できるように、十分な柔軟性を備えている必要があります。
ネットワークへのアクセスをコントロールできるようになります。
Symantec Network Access Controlを使用すると、複雑なオペレーショ
ンやコストを増大させることなく、
ネットワークのさまざまな部分に適したエン
フォースメント方法を選択できます。ネットワークベースのエンフォースメント
方法は、
ソフトウェアのみの場合と、
アプライアンスを利用する場合とがあ
ります。
・ Peer to Peerエンフォースメント
管理下のクライアント/サーバ上で許可する通信を、
セキュリティ要件に
合致している管理下のクライアントおよびサーバのみに限定します。つ
まり、管理外、
セキュリティ要件に合致しないクライアント/サーバからの通
信を制限することができます。
・ LANエンフォーサ
LANエンフォーサは802.1X RADIUSプロキシソリューションで、802.1X規
格に対応する主要ベンダーのスイッチと連動します。LANエンフォーサは、
ユーザーとエンドポイントを認証する既存のアイデンティティ管理アーキテ
クチャへ組み込むことができます。あるいは、
エンドポイントのコンプライア
ンス検証のみを必要としている環境であれば、単独のRADIUSとして機
能させることも可能です。LANエンフォーサは、接続されたエンドポイントの
認証結果に応じて、
スイッチポートの接続を制御します。
・ DHCPエンフォーサ
DHCPエンフォーサは、
エンドポイントと既存のDHCPサービスインフラ
との間にインライン配備され、DHCPのプロキシとして機能します。エン
フォース対象となるすべてのエンドポイントに、ポリシーコンプライアンス
が確認されるまでは制限付きのIPアドレスが割り当てられます。そして、
ポリシーコンプライアンスが確認された時点で、新たなIPアドレスがエンド
ポイントに割り当てられます。DHCPエンフォーサプラグインをMicrosoft
DHCPサーバに統合すると、
ネットワークに新しいデバイスを追加するこ
となく、
ネットワークアクセスコントロールを迅速に導入できます。
・ Gatewayエンフォーサ
Symantec Network Access Control プロダクトファミリー
Gatewayエンフォーサは、
ネットワークの接続ポイントで使用されるイン
ラインのエンフォースメントデバイスで、
エンドポイントのポリシーコンプラ
Symantec
Network Access Control
Symantec
Network Access Control
Starter Edition
⃝
⃝
イアンス状況に応じてトラフィックフローを制御します。接続ポイントが
管理サーバー
WANリンクやVPNなどの外部との境界にある場合と、
クリティカルなビ
Symantec Endpoint
Protection Manager
ジネスシステムにアクセスする企業内のセグメント上にある場合のいず
エンフォースメント方式
れでも、Gatewayエンフォーサはリソースへのアクセスコントロールや、
LAN 802.1X
⃝
矯正サービスを効率よく実現できます。
DHCP
⃝
Gateway
⃝
⃝
Microsoft NAP
⃝
⃝
Symantec Network Access Controlを組み合わせることで、Microsoft
セルフエンフォースメント
⃝
⃝
NAPの機能を補完/強化し、
より幅広いエンドポイントのチェック項目や
Peer to Peerエンフォースメント
⃝
⃝
・ Microsoft¤ Network Access Protection(NAP)エンフォーサ
カスタムチェック機能を利用することができます。また、Symantec
Endpoint Protection Managerを使って一元管理ができるので、NAP
環境を迅速に導入することができます。
データシート:エンドポイントセキュリティ
Symantec Network Access Control
TM
システム要件
- Intel Pentium III 1 GHz 以上(32bit 版)
Symantec Network Access Control 11.0
- Intel Xeon / Pentium IV EM64T、AMD 64bit Opteron /
Athlon 1 GHz 以上(64bit 版)
Symantec Network Access Control クライアント
- 1 GB 以上のRAM(2 GB 以上を推奨)
・Windows Vista Home Basic / Home Premium / Business / Enterprise / Ultimate *1
- 4 GB 以上のハードディスク空き容量
(さらにデータベース用に 4 GB の空き容量が必要)
・Windows XP Home / Professional / Tablet PC / Media Center *1
・Microsoft Internet Explorer 6.0 以降
・Windows 2000 Professional / Server / Advanced Server /
・Microsoft IIS 5.0 以降
Datacenter Server(SP3以降)*2
*1
・Microsoft SQL Server 2000(SP3以降)
Windows Small Business Server 2000(SP1a以降)*2
・Microsoft SQL Server 2005 Workgroup / Standard / Enterprise *1 *4
・Windows Server 2008 Standard / Enterprise / Datacenter /
Windows Web Server 2008 *1(Server Coreにも対応)
Symantec Network Access Control Scanner
TM
英語版OSのみ対応
・Windows Server 2003 Web / Standard / Enterprise / Datacenter *2
Windows Server 2003 R2 Standard / Enterprise / Datacenter
・Windows 2000 Server(SP4以降)
*2
・Windows Server 2003(SP1)
Windows Server 2003 Standard x64 / Enterprise x64 / Datacenter x64 *3
・Pentium 4 1.8 GHz 以上
・1 GB以上のRAM
Windows Server 2003 R2 Standard x64 / Enterprise x64 / Datacenter x64 *3
Windows Small Business Server 2003 / 2003 R2
・1 GB以上のハードディスク空き容量
*2
・Internet Explorer 5.5以降
Windows Storage Server 2003 / 2003 R2 *1
Symantec Network Access Control Enforcer 6100 Series
Windows Compute Cluster Server 2003 *3
Base Appliance Option(Gateway / LAN / DHCP)
- Intel Pentium III 400 MHz 以上(32bit 版)
600 MB 以上のハードディスク空き容量(32bit 版)
・シャーシサイズ(cm)
:44.7 W × 4.27 H × 54.61 D(1U) ・プロセッサ:Intel Pentium® 4 2.8 GHz × 1
- Intel Xeon / Pentium IV EM64T、AMD 64bit Opteron /
Athlon 1 GHz 以上(64bit 版)
700 MB 以上のハードディスク空き容量(64bit 版)
・RAM:1 GB
・ディスク容量:160 GB × 1(SATA)
- 256 MB 以上のRAM
Fail Open Appliance Option(Gateway / LAN / DHCP)
・Microsoft Internet Explorer 6.0 以降
・シャーシサイズ(cm)
:44.7 W × 4.27 H × 54.61 D(1U) ・プロセッサ:Intel Pentium 4 2.8 GHz × 1
Symantec Endpoint Protection Manager
・RAM:1 GB
*1
・Windows XP Professional(SP1以降)
・ディスク容量:160 GB × 1(SATA)
*2
・Windows 2000 Professional / Server / Advanced Server(SP3以降)
*2
Windows Small Business Server 2000(SP1a以降)
Microsoft DHCP Server Plug-in Option
*2
・Windows 2000 Server
・Windows Server 2003 Web / Standard / Enterprise(SP1以降)
Windows Server 2003 R2 Standard / Enterprise
*2
・Windows Server 2003 Standard / Enterprise
*3
・Microsoft DHCP Server
Windows Server 2003 Standard x64 / Enterprise x64(SP1以降)
Windows Server 2003 R2 Standard x64 / Enterprise x64
*3
*1 32bit /64bit 版対応 *2 32bit 版対応 *3 64bit 版対応
Windows Small Business Server 2003 / 2003 R2 *2
Windows Compute Cluster Server 2003
*4 管理対象のクライアント数が5,000を超える場合に必要
*3
※Windows Vistaでの動作はWindows Vistaの最小システム要件を満たしている必要
があります。
製品に関する最新の情報
シマンテックのWebサイトをご覧ください。
http: //www.symantec.com/jp/business
Copyright ©2010 Symantec Corporation. All rights reserved. SymantecとSymantecロゴは、Symantec Corporationまたは関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2010年10月現在のものです。
株式会社シマンテック
お問い合わせ
〒107- 0052 東京都港区赤坂1-11-44 赤坂インターシティ
www.symantec.com/jp
E1010DS5-nk-SNAC110
Fly UP