Comments
Description
Transcript
25.今すぐ始めるネットワーク検疫
ITライブラリーより (pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ Windows Server® 2008 R2 今すぐ始めるネットワーク検疫 他の章は下記をクリックして PDF一覧からお入り下さい。 ITライブラリー (pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 270番 Windows Server Enterprise 2008 R2 完全解説 (再入門 ) 全26冊 2 ネットワーク検疫とは? ネットワークアクセス保護(NAP) ❑ ネットワーク検疫 とは クライアント PC が社内ネットワークに接続する際に、セキュリティチェックを行う仕組みです。 一定のセキュリティ要件(ポリシー)を満たしていないと社内ネットワークにアクセスさせないように強制できます。 ネットワーク検疫を導入することで次のメリットを期待できます。 ・機密情報の漏洩の防止:不正に接続された PC からのアクセスを制限 ・他の サーバー/ PC へのウィルス感染の防止:ウイルス対策が不十分、セキュリティ更新プログラムが未適用といった P C のアクセスを制限 ❑ Windows 標準の ネットワーク検疫機能: NAP NAP(ネットワークアクセス保護)は Windows Server 2008 /R2 に標準搭載されたネットワーク検疫機能です。 Windows クライアント(Windows XP SP3 / Vista / 7) に標準搭載された NAP クライアント機能と連携して動作します。 ❑ NAP の仕組みと特徴 PC がネットワークに接続された際に、自動でポリシーと適合するかをチェックします。 チェックに合格すれば、社内ネットワークにアクセスが許可されますが、不合格の場合はアクセスが拒否または制限されます。 制限された場合は、別の隔離されたネットワークに自動接続され、ポリシーを満たすよう修復させることができます。 制限ネットワーク (修復用) 社内ネットワーク Windows 標準でチェックできる項目 • ウィルス対策ソフト:有効、定義が最新か • スパイウェア対策ソフト:有効、定義が最新か • ファイアウォール:有効、定義が最新か • 自動更新の設定:有効 • セキュリティ更新プログラムの適用:重要度、最終更新 NAPサーバー 業務サーバー 3 セキュリティ違反の PC を排除 New 課題: 社内でのウィルス感染や不正アクセスを防ぎたい セキュリティの脆弱な PC や 不正な持ち込み PC が社内に 接続できてしまうと… ウィルス蔓延や情報漏えいのリスクが高まる 社内ネットワーク どうやって危険な PC を排除したらい いか… システム管理者 脆弱性あり 各種ネットワーク アクセス ポイント 解決策: NAP を使用して、セキュリティ ポリシー違反の PC を排除 PC の健康状態をアクセス ポイント 経由で検疫サーバーへ通知 ポリシーへの適合結果で接続を制限 社内ネットワーク 検疫サーバー (ネットワーク ポリシー サーバー) • • • • 更新プログラム未適用 ウィルス定義が古い ファイアウォール無効 etc… ネットワークアクセス保護(NAP) セキュリティ ポリシーへの適合度に応じて ネットワークへのアクセスを制限 4 検疫で問題のあった PC を自動修復 New 課題: 検疫 NG の結果、社内にアクセスできないと、問い合わせが殺到してしまう 検疫 NG の場合に、ネットワークから 遮断するだけだと… ユーザーからの問い合わせが 殺到してしまう! ring ring ring … 検疫 NG アクセス なんか繋がらないんですけど? ユーザーが PC の 更新を忘れるたびに 問い合わせがくるんじゃ、 対応してられないよ… システム管理者 解決策: 検疫 NG の PC を排除するだけでなく、自動的に問題を修復して再接続も可能 検疫で問題のあった PC は自動的に修復され、再度アクセスできる 社内ネットワーク ① アクセス ネットワーク ポリシー サーバー 検疫 NG ② 修復 ファイアウォール有効化 更新プログラム適用等 ③ 再アクセス 修復 サーバー 社内リソース 修復サーバー 検疫 NG の際に修復のため 誘導されるサーバー 自動的に更新プログラムを 適用できる 検疫 OK 5 既存環境に合わせて容易に導入 New 課題: 低コストで現実的に導入可能な検疫環境を構築したい 特定のハード・ソフトで固めればできるけど… 既存設備や標準ソフトの刷新が必要 社内ネットワーク ○○社製スイッチ ○○社製ソフト コストがかさむし、切り替えだって大変だよ… 解決策: 既存環境に合わせて構成を選択可能 クライアントは標準 構成の PC で OK 既存のネットワーク機器を利用可能 特定ベンダに依存しない DHCP方式 (DHCPサーバー) IPSec 方式 (IPsec 設定) 802.1x 方式 (対応スイッチ) (※ SP3以降) • 選択が可能 • 組み合わせが可能 • 段階的な導入も可能 導入コスト セキュリティ強化 不正接続防止 ◎ ◎ △ ○ ◎ ○ △ ◎ ◎ 多様なネットワーク(実施ポイント)選択 ネットワークの選択肢が広く、既存環境も活用可能 6 初期投資を抑えて段階的に導入 New 課題: 検疫を実施したいが、初期投資の負担が大きい 不正接続… 802.1x 対応に インフラを刷新? コストもかかりそうだし プランニングも大変だ… 社内リソース セキュリティ 脆弱性… コンプライアンス… 解決策: まずは低コストでセキュリティ強化を、次に不正接続の防止へ まずはネットワーク機器に依存しない DHCP 方式でセキュリティを強化 STEP 1 DHCP で検疫 そして 802.1x 対応機器を導入して 接続ポート単位で不正アクセス防止 STEP 2 802.1X の導入 ネットワーク ポリシー サーバー ネットワーク ポリシー サーバー DHCP サーバー ポリシー ポリシー 判定 セキュリティ 脆弱 ネットワーク 認証失敗 DHCP から 802.1x へ 段階的に導入 導入しやすい 仕組みから順に 展開できる 判定 802.1x 対応スイッチ セキュリティ脆弱 7 社外からの VPN アクセスを検疫 New 課題: 自宅や外出先からのアクセスを検疫したい リモートから仕事できるようにして 認証だけだとセキュリティが不安… 利便性を高めたいけど… 社内ネットワーク セキュリティ ポリシーに 違反した PC は接続させ たくない… Internet 解決策: VPN サーバー上でも検疫が可能 ポリシーに合致した PC のみ VPN アクセスが可能 合致しない PC は修復サーバーにのみ接続が可能 接続時に PC の健康状態を送信 ポリシー準拠 VPN サーバー ネットワーク ポリシー サーバー Internet • • • • 更新プログラム未適用 ウィルス定義が古い ファイアウォール無効 etc… 社内ネットワーク ポリシー判定 修復 制限エリア VPN 検疫 VPN でも接続時に 検疫&自動修復できる 修復サーバー 8 社外からのリモート デスクトップ接続を検疫 New 課題: 情報漏えいを防ぎつつ、社外から安全に仕事ができる環境を提供したい 社外からも仕事ができるように したいけど… セキュリティが不安だし、 情報漏えいも心配だなあ… 社内ネットワーク Internet アクセス元を検疫できて、かつ ローカルにデータを保存させない 仕組みはないかな… 解決策: リモート デスクトップも検疫できて、情報漏えいも防ぐ リモート デスクトップなら社内と同じ 操作性で、ローカルにデータを保存しない 社内ネットワーク ローカル PC への データ保存禁止 • • • • やりとりするのは 画面の情報だけ! 更新プログラム未適用 ウィルス定義が古い ファイアウォール無効 etc… RD ゲートウェイ リモート デスクトップ サーバー RD ゲートウェイ検疫 社外からのリモート デスクトップ接続を NAP で検疫 ネットワーク ポリシー サーバー ※ RD ゲートウェイ:インターネット経由でリモートデスクトップを利用するためのゲートウェイ 9 検疫の内容を強化 New 課題: 標準の検疫内容に、さらに機能を追加したい 標準でできる検疫内容に… さらに項目を追加したい ネットワーク ポリシー サーバー 標準の検疫内容 検疫/修復 • • • • 更新プログラムが最新 ウィルス定義が最新 ファイアウォール有効 etc… 修復サーバー 独自のルールを組み込みたい …ウィルス対策ソフトと連携したり、 あるプログラムのインストールを 必須にするとか… 解決策: アドインで検疫機能を強化できる 標準の検疫内容を… 他製品と連携して拡張!例えば… ・ウィルス対策ソフトが停止しても 強制起動 ・ウィルス定義ファイルの更新に 猶予期間を設定できる ・etc… •ウィルス対策 •スパイウェア対策 •ファイアウォール •自動更新 •更新プログラム + 更新プログラムに限らず、 任意のインストール条件を検査 さらに API でカスタム開発も可能 MSDN ライブラリ: Network Access Protection(英語) 拡張性の高さ 他製品またはカスタム製の アドオンを組み込み可能 NAP 対応パートナー情報 セキュリティー センター http://www.microsoft.com/japan/windowsserver2008/ nap-partners.mspx 10 検疫の実施ログとレポート New 課題: 検疫の実施状況をログで見たい、そこから手軽にレポートを作成したい 毎日たくさんの PC が アクセスしてきて… 検疫自体はちゃんと 機能していそうだけど… 実際のところ、検疫 NG って どれくらい検知してるんだろう? どのくらいの PC が NG になってい るのか監査ログを採りたい 社内リソース 脆弱性あり 解決策: 監査ログとレポート パックによる監査レポート データベースにログを貯めてレポート出力 検疫結果リアルタイムにログ採取 ポリシー判定 (ネットワーク ポリシー サーバー) 脆弱性あり 監査ログ レポート生成 (SQL Server) SQL Server + NAP レポート パック 検疫結果のログを取得してレポート (誰が/いつ/どの端末で NG になったか、etc…) NAP レポート パック http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx 11 参考構成例 Windows Server 2008 R2 Standard x 1, Windows Server 2008 R2 Enterprise × 4, Windows Server CAL × 1,000 参考価格: ¥ 8,463,300- 構成例 (DHCP による検疫実施) DHCP サーバー (冗長化構成) ネットワークポリシーサーバー (冗長化構成) クライアント PC x 1,000 台 Windows Server Update Services (WSUS) Active Directory (ドメイン コントローラー) • 記載の価格は、2009 年 10 月現在の参考価格です。 (参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております。) • お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます。 • 上記はあくまで参考情報であり、導入の際には実環境に合わせた構成を考慮する必要があります。 • 本構成例には ハードウェア、構築費用は含まれておりません。 • NAP 動作要件として Active Directory が必要になります。(本構成例では ドメインコントローラーの費用は含まれていません。) • Windows Server CAL は 2008 用のライセンスをお持ちであればその分の購入の必要はありません。 • クライアントPC(Windows 7、Windows Vista、Windows XP SP3)には、 NAP クライアント機能が標準で搭載されます。 12 導入事例 栗山米菓 新社屋移転にともない、NAP 対応スイッチ (802.1x)を導入 PC のセキュリティチェックと 持ち込み PC 対策のコストを削減 「情報漏えいなどのリスクは常に存在します。しかし、外部で利用した PC を社内に持ち込むことは、業務上必要な 場合もあります。それを禁止してしまうと逆に業務に支障が出たり、効率が悪くなるということがありました。反面、 自宅などでダウンロードしたファイルでウイルスに感染するといった可能性もあり、これらの課題を解決できるのが NAP だったのです」 公開事例 http://www.microsoft.com/japan/windowsserver2008/casestudies/kuriyamabeika.mspx 国内 製造業 7000 台のクライアント PC を DHCP 方式にて検疫 ネットワーク ポリシーサーバー x 2 台、DHCP サーバー x 2 台(冗長構成) マイクロソフト 全世界 13 万台のクライアントを IPsec 方式にて検疫 System Center Configuration Manager との連携でソフトウェアの更新を実施 公開事例 http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000000983 http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000002160 Windows Server 2008 導入事例はこちらからアクセス http://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx 13 もっと知りたい方は デモンストレーションでよくわかる Windows Server 2008 R2 Webcast 「ネットワークアクセス保護 (NAP) 」 Webcast Windows Server 2008 R2 に搭載されたネットワーク アクセス保護 (NAP) 機能と その強化点 (Windows 7 クライアントのサポート、管理機能の強化、 DHCP フィルターなど) についてご紹介します。 ご都合のよい時間に視聴下さい。 http://www.microsoft.com/japan/windowsserver2008/r2/webcast/default.mspx Windows Server 2008 : ネットワーク アクセス保護 (NAP) 製品情報 ポータル ネットワーク アクセス保護(NAP)に関する製品情報のポータル サイトです。 協賛パートナーの一覧や、無償の NAP レポート パックのダウンロードも 下記のサイトより案内があります。 http://www.microsoft.com/japan/windowsserver2008/network-accessprotection.mspx Windows Server 2008 TechCenter 本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が 掲載されています。機能説明、ステップ バイ ステップ ガイドなど、 Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。 技術情報 http://technet.microsoft.com/ja-jp/library/cc754521(WS.10).aspx 「Windows Server 2008 TechCenter」で検索 14 サポート ライフサイクル マイクロソフトは、ビジネス製品および開発用製品について、 最短でも 10 年間 (メインストリーム サポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。 1年 2年 3 年 4年 5年 6年 7年 メインストリーム サポート 8年 9年 10 年 メインストリーム サポート 延長サポート オンライン セルフ ヘルプ サポート • 上記はビジネス製品および開発用製品についての情報です。 • コンシューマ製品、 ハードウェア製品、 マルチメディア製品、 および Microsoft Dynamics 製品については、 最短でも 5 年間のメインストリーム サポートを提供します。 • 詳細については、マイクロソフトのサポート ライフサイクルの Web サイトをご覧ください。http://support.microsoft.com/lifecycle/ •製品の仕様変更、 機能追加 •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト •無償サポート •有償サポート オンライン セルフ ヘルプ サポート 延長サポート •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト (別途契約が必要) •有償サポート •マイクロソフトの Web サイトでの 製品情報提供 Windows Server のサポート ライフサイクルは以下のとおりです。 Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。 2009 年 2010 年 延長サポート メインストリーム サポート + 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2010 年 7 月終了 延長サポート メインストリーム サポート 2015 年 7 月終了 延長サポート Windows Server 2008 R2 をお勧めします 15 他の章は下記をクリックして PDF一覧からお入り下さい。 ITライブラリー (pdf 100冊) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 270番 Windows Server Enterprise 2008 R2 完全解説 (再入門 ) 全26冊 16