Comments
Description
Transcript
Symantec Network Access Control
Symantec の検疫ソリューション Symantec Network Access Control Symantec Network Access Controlは、 エンドポイントがネットワークにアクセスする前に セキュリティ要件に適合した状態で接続しようとしているかをチェック。 適合しない場合は通信を制御し セキュリティ要件へ適合した状態に矯正します。 多彩なネットワーク環境に対応 Symantec のアンチウイルス製品との連携 Introduction エンドポイントコンプライアンスソリューション 社内ネットワーク環境がどんなにセキュアに保たれていても そこへアクセスするエンドポイントのセキュリティレベルが低ければ 簡単にネットワークの脅威の侵入を許してしまいます。 Symantec Network Access Control(SNAC)は、4 つのステップで 常に企業の定められたセキュリティポリシーをエンドポイントに強制させることができます。 01 エンドポイントへ課す セキュリティ要件を決定 まず要件を定義 広範囲に渡る健全性のチェックにより エンドポイントのセキュリティコンプライアンスを実現 ホストインテグリティ アンチウイルスソフトは動作している ? 定義ファイルは最新 ? クライアントファイアウォールは動作している ? 監視例 ホストインテグリティは、ファイルやレジストリの状態が定めた パッチやサービスパックは要件を満たしている ? ポリシーと一致しているかどうかを確認します。 レジストリなどの設定は要件を満たしている ? ● ホストインテグリティの対象 ほとんどのアンチウイルス製品 OS のパッチ OS のサービスパック ほとんどのパーソナル(クライアント)ファイアウォール 独自のポリシーテンプレート ● シマンテックセキュリティレスポンスから提供される ポリシーテンプレート ● オンラインでのアップデート可能 ● パッチ管理システムのようなサードパーティのツールとの親和性 カスタムホストインテグリティチェック ● 企業の複雑なセキュリティポリシーに沿った 柔軟なルール設定を実現する機能 「AND/OR および IF_THEN_ELSE 構文でのルール条件設定」 端末の健全性をチェックするルール条件は、複数のルールを並列す IF_THEN_ELSE のカスタムスクリプト る AND/OR 条件だけでなく、IF_THEN_ELSE 構文によるルール設定 ウイルス対策ソフト をサポートしています。企業の複雑なセキュリティポリシーに対応 し、健全性のチェック、ユーザへの通知、治療までを柔軟な条件で自 ファイルの存在、日付、サイズ、チェックサムなど 適正 AV-2 バージョン パターンファイル ウイルス定義ファイルのバージョン、日付、サイズ OR OR AV-1 ● 多様なチェック可能項目 レジストリの存在、値など 常駐状態 OR 動化設定することができます。 古い AV-3 更新済 ダウンロード実行 未完了 完了 未完了 パターンファイル パッチの有無 更新済 パターンファイル 未更新 ダウンロード実行 完了 パターンファイル再チェック 更新済 ダウンロード実行 プロセスの動作状況 未更新 未更新 カスタムメッセージ通知 OS バージョン 他 PASS PASS PASS FAIL 検疫ネットワークの必要性 セキュリティレベル確保 健全性を欠いた端末による社内ウイルス拡散 不正ソフト使用による情報漏えい コンプライアンス ISMS 認証基準への適合 個人情報保護法への適合 各種ガイドラインへの対応 02 エンドポイントの セキュリティ要件をチェック ネットワーク攻撃の防衛 情報漏えい型ウイルスの増大 ゼロデイアタックの増加 ネットワーク経由のウイルス強化 ポリシー違反を探せ エンドポイントがネットワークに接続される前に、パッチや設定、アンチウイルスソフトの動作や 定義ファイルのバージョンなどがポリシー要件を満たしていることを確実に保証 ゲートウェイ検疫方式 DHCP 検疫方式 ゲートウェイより内部へのネットワークアクセス時に、端末の健全性を DHCP サーバとの連携により、ネットワーク接続時に端末の健全性を チェックし、不正端末の侵入を制限する方式です。DHCP エンフォー サを社内の DHCP サーバの手前に設置します。IP アドレスの割り当て を DHCP サーバで運用されている場合に、最適なソリューションです。 チェックし、不正端末の侵入を制限する方式です。Gateway エンフォ ーサをネットワーク上にインラインで設置します。リモートアクセス における検疫、あるいは特定のネットワークセグメントを保護する目 的に最適なソリューションです。 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager Client Client DHCP サーバ 検疫用 DHCP エンフォーサ IP アドレス 通常 ネットワーク リモートPC IPSec VPN Gateway LAN 上の PC 検疫 ネットワーク エンフォーサ 通常 ネットワーク もしくはワイヤレスPC 矯正用 サーバなど 矯正用 サーバなど IEEE802.1x 認証スイッチ連携検疫方式 セルフエンフォースメント検疫方式(※ SEP11.0 が必要) IEEE802.1x 規格に基づきネットワークスイッチの VLAN 制御機能と連 ホストインテグリティチェックにより健全性が満たされないエンドポ 携させ、スイッチへの接続時に端末の健全性をチェックし、不正端末 イントをパーソナルファイアウォールが自らの通信ポリシーを変更す の侵入を制限する方式です。LAN エンフォーサを Radius Proxy とし ることで、ネットワークから個体隔離を行う方式です。端末に Client て設置します。ポリシーに適合する端末は社内 LAN セグメントへの接 をインストールすることで実現が可能なことから、ネットワーク構成 続を許可、不正端末や適合しない端末は検疫セグメントに強制隔離す の変更を必要としません。 る、などの高度なエンドポイントコントロールを行うことが可能です。 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager DHCP サーバ Client Client 通常 ネットワーク 通常 ネットワーク LAN 上の PC 検疫 ネットワーク (隔離) 検疫 ネットワーク LAN エンフォーサ 矯正用 サーバなど 矯正用 サーバなど 03 STEP2の結果に 基づいて矯正(治療) ポリシー適用実行 セキュリティ要件に合致しないエンドポイントを自動的に矯正するため、時間と労力を削減します。 これにより、セキュリティ脅威の拡大を未然に防ぎ、重要な資産とビジネスを保護します。 ● 定めたポリシーに一致しない場合には、必要な補完(治療) 動作を行います。 【補完(治療)動作】 ダウンロード/コマンド/スクリプト自動実行 レジストリ値の設定 ポップアップメッセージの自動表示(カスタマイズ可能) ● OS 毎/グループ毎のポリシー設定、柔軟な補完動作によって お客様のポリシーに合わせた最適なルール設定を実現します。 04 エンドポイントのセキュリティ要件が 保たれているか常時モニタリング ポリシー集中管理 すべてのセキュリティルール・ログ情報を Symantec Endpoint Protection Manager(SEPM)で一元管理・モニタリング ドメイン/グループ/ロケーション エンフォーサ管理 ●ドメイン ● 一つのシステム上に複数のドメインを設定することが出来ま すので、例えばシステムを会社別にそれぞれ管理するような ことが可能です。 DHCP エンフォーサ/ Gateway エンフォーサ/ L AN エン フォーサの設定・管理 ● エンフォーサログの監視 ● ルール設定も、SEPM により一元管理が可能です。 ● グループ グ ループを複数設定することで、グ ループ 毎にまったく異な ったセキュリティポリシーによる運用が可能です。 ● ロケーション 接続環境ごとに複数のロケーション(社内/ VPN / Internet 等)を設定し、それぞれに異なるセキュリティポリシーでの運 用が可能です。 ログ・モニタリング ● クライアントログの監視、 レポート作成が可能です。 リアルタイム/デイリー/ウィークリーでのレポート作成 ●トラフィックログ、パケットログ、セキュリティログ、システム ログ、ビヘイビアログの取得・管理が可能です。また、ログの フィルタリング機能により、必要なログのみをモニタリング することで、管理工数の削減を図ることが可能です。 外部 Syslog サーバへのエクスポート (External Logging 機能) ● 管理サーバで収集される各種ログを、外部の へエクスポートする機能です。 Syslog サーバ Symantec Endpoint Protection(SEP) Symantec AntiVirus Corporate Edition のアンチウイルス/アンチスパイウェア機能を継承すると同時に、大幅に機能を強化 SNAC と単一のエージェント、単一の管理コンソールで検疫を実現 Symantec Endpoint Protection AntiVirus & AntiSpyware ウイルス対策と スパイウェア対策 ※別売 ネットワーク 脅威防止 Network Threat Protection ● ウイルス ● ネットワーク型の脅威の検出とブロック ● スパイウェア ● クライアントファイアウォール ● ルートキットの検出、ブロック、削除 ● 脆弱性ベースの IPS Proactive Threat Protection ● ● AntiVirus & AntiSpyware Network Threat Protection Proactive Threat Protection Network Access Control ビヘイビアベースのマルウェア検出 ポリシーによる 外部デバイス接続制御 アプリケーション制御 Network Access Control ● プロアクティブ 脅威防止 ネットワーク アクセスコントロール ● 不完全なセキュリティの エンドポイントの接続制御 完全な状態への自動修復 Symantec Network Access Control Symantec On-Demand Protection(SODP) オンデマンドエージェント 個人用デバイスや非管理下のエンドポイントがある場合は、 Symantec Network Access Control と Symantec On-Demand Protection を組み合わせたソリューションが有効 ● WEB アプリケーション・WEB メール 仮想デスクトップによる情報漏えい対策 ● オンラインバンキング/ E コマース 仮想デスクトップによる情報漏えい対策 マリシャスコード防御/不正通信の排除 ● SSL-VPN 仮想デスクトップによる情報漏えい対策 マリシャスコード防御/不正通信の排除 ● Wireless WEB 認証アクセス 仮想デスクトップによる情報漏えい対策 ホストインテグリティ 仮想デスクトップ ● チェック対象となる項目 ● 暗号化されたセキュアな仮想デスクトップ環境の提供 ● ウイルス定義ファイルのバージョン、日付など ローカルへのデータ保存制御 ファイルの存在、日付、サイズなど リムーバブルメディアへのデータ書き出し制御(ON / OFF) レジストリの存在、値など プリンタへのアクセス制御(ON / OFF) 他 マリシャスコードによる情報漏えいへの対策 AND/OR 条件によるルール条件設定が可能 ● セッション終了時のデータ消去 ネットワーク構成 ● 全社の PC を対象に端末の健全性チェックの仕組みを構築し、 端末のセキュリティレベル維持やコンプライアンスに効果を発揮 ● 拠点やリモートアクセスにおける不正な PC(健全性不適合端末、管理外端末)の接続を排除でき、 社内ネットワークにおけるセキュリティ強化を実現 本社 拠点 ルータ DHCP サーバ DHCP エンフォーサ Client データセンター Gateway エンフォーサ 802.1 xスイッチ LAN WSUS エンフォーサ Client Client なし Client システム要件 Symantec AV Corporate Server Symantec Endpoint Protection Manager Network Access Control 11.0 Symantec Endpoint Protection Manager Symantec Network Access Control Enforcer 6100 Series OS Appliance Option(Gateway / LAN / DHCP) ・シャーシサイズ(cm) :44.7W × 4.27H × 54.61D(1U) ・プロセッサ:Intel Pentium® 4 2.8GHz × 1 ・メモリー:1GB ・ディスク容量:160GB × 1(SATA) ・ネットワークインターフェース× 2: ・Windows® 2000 ■ Base Professional / Server / Advanced Server with Service Pack 3 or later ・Windows XP Professional with Service Pack 1 or later ・Windows Server 2003 Web / Standard / Enterprise / Datacenter Editions ・Windows XP Professional x64 Edition with Service Pack 1 or later ・Windows Server 2003 x64 Edition with Service Pack 1 or later Database ・Microsoft SQL 2005 ・Embedded Database Symantec Network Access Contol Client OS ・Windows® 2000 Professional / Server / Advanced Server with Service Pack 3 or later ・Windows XP Home / Professional / Tablet PC Editions ・Windows Server 2003 Web / Standard / Enterprise / Datacenter Editions Vista(x86) XP Professional x64 Edition with Service Pack 1 or later Server 2003 x64 Edition Vista(x64) ・Windows ・Windows ・Windows ・Windows Dual Port Ethernet NIC Intel Pro 1000MT Gbit Network Adapter ・プラットフォーム:Pre-hardened Linux® ■ Fail Open Appliance Option(Gateway / LAN / DHCP) ・シャーシサイズ(cm) :44.7W × 4.27H × 54.61D(1U) ・プロセッサ:Intel Pentium4 2.8GHz × 1 ・メモリー:1GB ・ディスク容量:160GB × 1(SATA) ・ネットワークインターフェース× 4: Quad Port 10/100/1000 Copper Network Interface Card with Bypass ・プラットフォーム:Pre-hardened Linux オプション機能 脆弱性のリモートスキャン Symantec Network Access Control Scanner はエンドポイントの脆弱性をエージェントレスでリモートからスキャンし、スキャン結果に基づくコンプライアンス情報を Symantec Network Access Control のエンフォーサに 提供します。リモートスキャンでは、エージェントをインストールすることができないエンドポイントからも情報を収集することができます。 ※システム要件については弊社までご相談ください。 ●システムの実際の構成やネットワークの設計にあたっては、弊社までご相談ください。 ● 必要なライセンス、詳細な動作環境、価格等については、弊社までお問合わせください。 http:/ /www.macnica.net/symantec/ ● 取扱店 マクニカネットワークス株式会社 本社 〒 222-8562 横浜市港北区新横浜 1-5-5 TEL.045-476-1973 FAX.045-476-1976 大阪営業所 〒 532-0003 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 17 階 TEL.06-6397-1055 FAX.06-6397-1056 2007 年 9 月 ©2007 Macnica Networks Corp. ● 本書の仕様は予告なく変更する場合があります。● 本書に記載の社名および製品名は、 各社の商標または、登録商標です。