テナントシステム:セキュリティインテリジェンスおよびアンチマルウェアポリシー
テナントシステムでは、メモリやCPUなどの仮想システムリソースを論理グループに割り当てて、複数の仮想ファイアウォールを作成できます。これにより、各仮想ファイアウォールを、1つのコンピューティングシステム内のスタンドアロンシステムとして識別できます。Junos OS 18.4以降、SRXシリーズファイアウォールは、マルウェア対策とセキュリティインテリジェンス(SecIntel)ポリシーのテナントシステムをサポートします。ジュニパー ATP クラウドでテナント システムを組織に関連付けると、そのテナント システムは組織に設定された脅威管理機能を受け取ります。その後、SRXシリーズファイアウォールは、テナントシステムと関連するジュニパーATPクラウド組織に基づいてポリシーの適用を実行します。
SRXシリーズファイアウォールでテナントシステムを使用する方法については、 Junosのドキュメントを参照してください。
SecIntelフィードのテナントシステムサポート
Junos OS 18.4以降、テナントシステムにSecIntelプロファイルを設定できるようになりました。
関連するSRXシリーズファイアウォールが登録されると、テナントシステムはSRXシリーズクラウドに登録されます。アンチマルウェアまたはSecIntelポリシーが有効になっているすべてのテナントシステムは、他のSRXシリーズファイアウォールとともにATPクラウドの「登録済みデバイス」ページに表示されます。
登録されている組織に自動的に送信を行う物理デバイスとは異なり、テナントシステムの送信は、ジュニパー ATP クラウドWeb UIの組織管理ページを使用して組織に関連付けられるまで無視されます。手順については 、組織管理 を参照してください。
root-logical-systemは、SRXシリーズファイアウォールが登録されている組織に自動的に関連付けられることに注意してください。デフォルトでは、root-logical-systemのみが送信できます。そのため、root-logical-systemの関連付けを行う必要はありません。
次に、テナントシステムの SecIntel ポリシー設定用の CLI コマンドの例を示します。目的のデバイスにポリシーを適用するには、この例で使用するテナントシステム(TSYS1)がジュニパー ATPクラウドの正しい組織に関連付けられている必要があります。
set logical-systems TSYS1 services security-intelligence profile secintel_profile category CC set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10 set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9 set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule then action block close set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule then log set logical-systems TSYS1 services security-intelligence profile secintel_profile default-rule then action permit set logical-systems TSYS1 services security-intelligence profile secintel_profile default-rule then log set logical-systems TSYS1 services security-intelligence policy p1 CC secintel_profile set logical-systems TSYS1 services security-intelligence profile pf1 category Infected-Hosts set logical-systems TSYS1 services security-intelligence profile pf1 default-rule then action block drop set logical-systems TSYS1 services security-intelligence profile pf1 default-rule then log set logical-systems TSYS1 services security-intelligence policy p1 Infected-Hosts pf1
以下のコマンドを使用して、検査プロファイル用のSRXシリーズファイアウォールにセキュリティポリシーを作成します。
set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match application any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy p1
以下のコマンド例を使用して、テナントシステムの感染ホストフィードを表示します。
root@SRX> show security dynamic-address category-name Infected-Hosts logical-system TSYS1 No. IP-start IP-end Feed Address 1 10.1.32.131 10.1.32.131 Infected-Hosts/1 ID-2150001a 2 10.1.32.148 10.1.32.148 Infected-Hosts/1 ID-2150001a 3 10.1.32.183 10.1.32.183 Infected-Hosts/1 ID-2150001a 4 10.1.32.201 10.1.32.201 Infected-Hosts/1 ID-2150001a
または、以下を使用します。
User1@SRX:TSYS1> show security dynamic-address category-name Infected-Hosts No. IP-start IP-end Feed Address 1 10.1.32.131 10.1.32.131 Infected-Hosts/1 ID-2150001a 2 10.1.32.148 10.1.32.148 Infected-Hosts/1 ID-2150001a 3 10.1.32.183 10.1.32.183 Infected-Hosts/1 ID-2150001a 4 10.1.32.201 10.1.32.201 Infected-Hosts/1 ID-2150001a
AAMWのテナントシステムサポート
Junos OS 18.4以降、テナントシステムごとにアンチマルウェアポリシーを設定することもできます。以下に、テナントシステムのマルウェア対策ポリシー設定例を示します。
前述のように、目的のデバイスにポリシーを適用するには、この例で使用するテナントシステム(TSYS1)がATPクラウド内の正しい組織に関連付けられている必要があります。ATP Cloud Web UI設定の詳細については、「ATP Cloud Web UIの 組織管理」 を参照してください。
set logical-systems TSYS1 services advanced-anti-malware policy LP1 http inspection-profile ldom_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 http action block set logical-systems TSYS1 services advanced-anti-malware policy LP1 http notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 smtp inspection-profile default_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 smtp notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 imap inspection-profile default_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 imap notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 verdict-threshold 3
テナントシステムのマルウェア対策ポリシーを表示するには、次のコマンドを使用します。
root@SRX> show services advanced-anti-malware policy logical-systems TSYS1
Advanced-anti-malware configuration:
Policy Name: LP11
Default-notification : Log
Whitelist-notification: Log
Blacklist-notification: Log
Fallback options:
Action: block
Notification: No Log
Inspection-profile: ldom_profile
Applications: HTTP
Verdict-threshold: 3
Action: block
Notification: Log
または、以下を使用します。
User1@SRX:TSYS1> show services advanced-anti-malware policy
Advanced-anti-malware configuration:
Policy Name: LP1
Default-notification : Log
Whitelist-notification: Log
Blacklist-notification: Log
Fallback options:
Action: block
Notification: No Log
Inspection-profile: ldom_profile
Applications: HTTP
Verdict-threshold: 3
Action: block
Notification: Log
セキュリティプロファイルCLI
管理者は、単一のセキュリティプロファイルを設定して、特定のテナントシステムにリソースを割り当てたり、複数のテナントシステムに同じセキュリティプロファイルを使用したり、両方の方法を組み合わせて使用することができます。論理システムを実行しているSRXシリーズファイアウォールには、最大32のセキュリティプロファイルを設定できます。
セキュリティプロファイルを使用すると、さまざまな量のリソースをテナントシステム専用に割り当て、空きリソースの使用をめぐって競合させることができます。また、1つの論理システムが他のテナントシステムで同時に必要なリソースを使い果たしてしまうのを防ぎます。
以下のコマンドがセキュリティプロファイルCLIに追加されます。
aamwポリシー
例えば:
set system security-profile <name> aamw-policy maximum 32secintelポリシー
例えば:
set system security-profile <name> secintel-policy maximum 32
セキュリティプロファイルを表示するには、次のコマンドを使用します。
show system security-profile all-resource
論理システム向けの set system security-profile コマンドの詳細については、 Junosドキュメントを参照してください。