このページの目次
Policy Enforcerのリリースノート
新機能と変更された機能
このセクションでは、Policy Enforcerリリース21.3R1の新機能と既存機能の強化について説明します。
NSX-T enhancements—Policy Enforcer Release 21.3R1より、NSX-Tの東西トラフィックのサポートが提供されます。
製品の互換性
このセクションでは、Policy Enforcerでサポートされているハードウェアおよびソフトウェアのバージョンについて説明します。Security Directorの要件については、Security Director 21.3R1リリースノートを参照してください。
- サポートされているSecurity Directorソフトウェアバージョン
- サポートされているデバイス
- サードパーティの有線および無線アクセスネットワーク
- ジュニパーネットワークス Contrail、Microsoft Azure、AWS の仕様
- 仮想マシン
- サポートされているブラウザバージョン
- アップグレードのサポート
サポートされているSecurity Directorソフトウェアバージョン
Policy Enforcerは、 表1に示すように、特定のSecurity Directorソフトウェアバージョンでのみサポートされています。
Policy Enforcerソフトウェアバージョン |
Security Directorソフトウェアバージョンとの互換性 |
Junos OSリリース(ジュニパーATPクラウドがサポートするデバイス) |
---|---|---|
21.3R1 |
21.3R1 |
Junos OS リリース 15.1X49-D120 または Junos OS リリース 17.3R1 以降 |
Security DirectorとPolicy Enforcerに設定するタイムゾーンは同じである必要があります。
サポートされているデバイス
表2 は、Juniper ATPクラウドをサポートするSRXシリーズデバイスと、これらのデバイスがサポートする脅威フィードの一覧です。
プラットフォーム |
モデル |
Junos OSリリース |
サポートされている脅威フィード |
---|---|---|---|
vSRX |
2個のvCPU、4GBのRAM |
Junos 15.1X49-D60 およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX300、SRX320 |
Junos 15.1X49-D90 およびそれ以降 |
C&C、GeoIP |
SRXシリーズ |
SRX340、SRX345、SRX550M |
Junos 15.1X49-D60 およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX1500 |
Junos 15.1X49-D60 およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX5400、SRX5600、SRX5800 |
Junos 15.1X49-D62 およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX4100、SRX4200 |
Junos 15.1X49-D65 およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX4600 |
Junos 18.1R1およびそれ以降 |
C&C、アンチマルウェア、感染ホスト、GeoIP |
SRXシリーズ |
SRX3400、SRX3600 |
Junos 12.1X46-D25 およびそれ以降 |
C&C、GeoIP |
SRXシリーズ |
SRX1400 |
Junos 12.1X46-D25 およびそれ以降 |
C&C、GeoIP |
SRXシリーズ |
SRX550 |
Junos 12.1X46-D25 およびそれ以降 |
C&C、GeoIP |
SRXシリーズ |
SRX650 |
Junos 12.1X46-D25 およびそれ以降 |
C&C、GeoIP |
表3 に、JATPと互換性のあるハードウェアおよびソフトウェアコンポーネントを示します。
プラットフォーム |
ハードウェア |
ソフトウェアバージョン |
---|---|---|
vSRX |
Junos 19.1R1.6およびそれ以降 |
|
SRXシリーズ |
SRX320、SRX300 |
Junos 19.1R1以上 |
SRXシリーズ |
SRX4100、SRX4200、SRX4600 |
Junos 15.1X49-D65およびそれ以降(SRX4100およびSRX4200向け) Junos 18.1R1以降(SRX4600向け) |
SRXシリーズ |
SRX340、SRX345、SRX550m |
Junos 15.1X49-D60 およびそれ以降 |
SRXシリーズ |
SRX5800、SRX5600、SRX5400 |
Junos 15.1X49-D50 およびそれ以降 |
SRXシリーズ |
SRX1500 |
Junos 15.1X49-D33およびそれ以降 |
SMTP 電子メール添付ファイルのスキャン機能は、Junos OS リリース 15.1X49-D80 以降が実行されている SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。vSRXは、SMTP電子メール添付ファイルスキャン機能をサポートしていません。
Policy Enforcerリリース18.3R1では、Policy EnforcerはJunos OSリリース17.3R1以降を実行するSRXシリーズデバイスをサポートします。
表 4 は、サポートされる EX シリーズおよび QFX シリーズ スイッチの一覧です。
プラットフォーム |
モデル |
Junos OSリリース |
---|---|---|
EXシリーズ |
EX4200、EX2200、EX3200、EX3300、EX4300 |
Junos 15.1R6 およびそれ以降 |
EXシリーズ |
EX9200 |
Junos 15.1R6 およびそれ以降 |
EXシリーズ |
EX3400、EX2300 |
Junos 15.1R6 およびそれ以降 Junos 15.1X53-D57 およびそれ以降 |
QFX シリーズ |
QFX5100、QFX5200 vQFX |
Junos 15.1R6 およびそれ以降 Junos 15.1X53-D60.4 |
表 5 に、DDoS および C&C フィード タイプをサポートする、サポートされる MX シリーズ ルーターを示します。
プラットフォーム |
モデル |
Junos OSリリース |
サポートされているフィードの種類 |
---|---|---|---|
MX シリーズ |
MX240、MX480、MX960 |
Junos 14.2R1およびそれ以降 |
Ddos |
MX240、MX480、MX960 |
Junos 18.4R1およびそれ以降 |
C&C (Mark MX Series router as perimeter device in secure fabric). C&Cフィードはグローバルであり、C&CカスタムフィードがPolicy Enforcerに設定されている場合は上書きされます。 |
|
Vmx |
Junos 16.2R2.8 |
- |
表 6 に、サポートされている SDN およびクラウド プラットフォームを示します。
コンポーネント |
仕様 |
---|---|
VMware NSX for vSphere |
6.3.1 以降
メモ:
vSphere 6.5 を実行しているサイトの場合、vSphere 6.5a は vSphere 6.3.0 の NSX でサポートされている最小バージョンです。 |
VMware NSXマネージャ |
6.3.1 以降 |
サードパーティの有線および無線アクセスネットワーク
表 7 に、サードパーティーのサポートと必要なサーバーを示します。
スイッチ/サーバー |
ノート |
---|---|
サードパーティ製スイッチ |
RADIUS IETF属性に準拠し、ClearPassからのRADIUS認証変更をサポートするスイッチモデルは、脅威を修復するためのPolicy Enforcerでサポートされています。 |
ClearPass RADIUS サーバー |
ソフトウェア バージョン 6.6.0 を実行している必要があります。 |
Cisco ISE |
ソフトウェア バージョン 2.1 または 2.2 を実行している必要があります。 |
Forescout CounterACT |
ソフトウェア バージョン 7.0.0 を実行している必要があります。
メモ:
Policy Enforcerで使用するために、CounterACTの評価版を入手する。 |
パルスセキュア |
ソフトウェア バージョン 9.0R3 が実行されている必要があります。 |
ジュニパーネットワークスEX4300イーサネットスイッチを使用してサードパーティー製スイッチと統合する場合、EX4300はJunos OSリリース15.1R6以降を搭載している必要があります。
ジュニパーネットワークス Contrail、Microsoft Azure、AWS の仕様
表 8 に、ジュニパーネットワークスの Contrail に必要なコンポーネントを示します。
モデル |
ソフトウェアバージョン |
サポートされるPolicy Enforcerモード |
---|---|---|
ジュニパーネットワークス Contrail |
5.0 |
vSRXを使用したマイクロセグメンテーションと脅威の修復 |
vSRX |
Junos OS 15.1X49-D120 およびそれ以降 |
vSRXを使用したマイクロセグメンテーションと脅威の修復 |
表 9 は、AWS に必要な Policy Enforcer コンポーネントを示しています。
モデル |
ソフトウェアバージョン |
サポートされるPolicy Enforcerモード |
---|---|---|
vSRX |
Junos OS 15.1X49-D100.6 およびそれ以降 Junos OS 19.2R1およびそれ以降 |
ワークロードディスカバリに基づくvSRXポリシー AWS with JATP |
Microsoft Azure の使用を開始するには、「 Microsoft Azure の使用を開始する」を参照してください。
表10 は、Microsoft Azureに必要なPolicy Enforcerコンポーネントを示しています。
モデル |
ソフトウェアバージョン |
サポートされるPolicy Enforcerモード |
---|---|---|
vSRX |
Junos OS 15.1X49-D110.4 およびそれ以降 |
ワークロードディスカバリに基づくvSRXポリシー |
仮想マシン
Policy Enforcerは、オープンな仮想アプライアンス(OVA)またはカーネルベースの仮想マシン(KVM)パッケージとして提供され、以下の構成でVMware ESXまたはQuick Emulator(QEMU)/KVMネットワーク内に導入されます。
2 CPU
8 GB RAM(16 GB を推奨)
256 を超えるカスタム動的アドレス、許可リスト、またはブロックリストを構成する場合は、RAM を 16 GB に増やす必要があります。
120 GB のディスク容量
仮想マシン |
バージョン |
---|---|
Vmware |
VMware ESX サーバー バージョン 4.0 以降または VMware ESXi サーバー バージョン 4.0 以降 |
QEMU/KVM |
CentOS リリース 6.8 以降 |
サポートされているブラウザバージョン
Security DirectorおよびPolicy Enforcerは、以下のブラウザーで最適に表示できます。
ブラウザー |
バージョン |
---|---|
グーグルクローム |
75.x |
インターネットエクスプローラ |
ウィンドウズ7上の11 |
Firefox |
67.0 以降 |
アップグレードのサポート
Policy Enforcerのアップグレードは、Security Directorのアップグレードと同じルールに従います。以前にリリースされたバージョンからのみアップグレードできます。これにはマイナーリリースが含まれます。例えば、Policy Enforcerリリース20.1R1からのみPolicy Enforcerリリース21.3R1にアップグレードできます。ただし、Policy Enforcer 20.1R1は、19.1R1 -> 19.1R2 -> 19.2R1->19.3R1-> 19.4R1-> 20.1R1 または 18.1R2 -> 18.2R1 -> 18.3R1 -> 18.4R1 -> 19.1R1 -> 19.1R2 -> 19.2R1 -> 19.3R1 -> 19.4R1 -> 20.1R1 -> 20.3R1 ->21.1R1 ->21.2R1 ->21.3R1。
完全なアップグレード手順については、 Policy Enforcerソフトウェアのアップグレードを参照してください。
Security Directorのアップグレードパスの詳細については、 Security Directorのアップグレードを参照してください。
既知の動作
このセクションでは、Policy Enforcer リリース 21.3R1 の既知の動作を示します。
東西トラフィックに対してホストベースモードでvSRXを展開すると、vCenterのタスクペインの[ステータス]列にエラーが表示されることがあります。このリソースプールエラーを克服するには、vSRXデバイスを展開するクラスターでDRSモードを有効にする必要があります。
vCenter から vSRX コンソールを開いた場合、表示される警告は無視してください。
テナントは 1 つの VRF インスタンスにのみ関連付けることができます。
レルムには、テナントを含むサイトまたはテナントのないすべてのサイトを含めることができます。
テナントとVRFベースのフィードは、MXシリーズデバイスでのみサポートされます。
Policy Enforcerからのフィードに対してアクションを実行するには、Security Directorからではなく、CLIを介してMXシリーズデバイスのポリシーを設定する必要があります。
Junos Spaceの証明書ベースの認証モードで使用するPolicy Enforcerの証明書をアップロードするには、Junos Spaceをパスワード認証モードにしてPolicy Enforcer設定ワークフローを完了する必要があります。このモードは、Policy Enforcerの設定が完了した後に、証明書ベースの認証に切り替えることができます。
Policy Enforcerは、Junos Spaceネットワーク管理のデフォルトグローバルドメインのみをサポートします。
サード パーティ製デバイス用のコネクタを作成する場合は、コネクタに少なくとも 1 つの IP サブネットを追加する必要があります。サブネットを追加せずに構成を完了することはできません。
RMA の一環としてデバイスを交換し、そのデバイスがすでにセキュア ファブリック内にある場合は、セキュア ファブリックからデバイスを削除し、再度追加する必要があります。それ以外の場合、フィードは交換されたデバイスにダウンロードされません。
JATP ゾーンの作成または割り当ては、一般セットアップ ウィザードでは実行できません。
登録の失敗を回避するため、JATPデバイスとSRXシリーズデバイスの時間差が20秒未満であることを確認してください。
vSRXデバイスをJATPに登録解除し、再度登録すると、Security Directorのフィードソースページにデバイスが2回表示されることがあります。
フィードソースが JATP の場合は、JATP ポータルで感染ホストの状態を変更する必要があります。Security Directorには、JATP関連の脅威や感染したホストを表示するダッシュボードウィジェットはありません。
JATPの登録時に、Juniper ATPクラウドライセンスが存在しないと表示される場合があります。この警告は無視してかまいません。
シャーシクラスタ内のSRXシリーズデバイスの場合、セキュアファブリックに追加する前に、プライマリおよびセカンダリシャーシクラスタノードの両方をSecurity Directorで検出する必要があります。1 つのシャーシ クラスタ ノードのみが検出され、セキュア ファブリックに追加された場合、セカンダリ ノードへのフェイルオーバー後にフィードのダウンロードは機能しません。
既知の問題
このセクションでは、Policy Enforcer Release 21.3R1の既知の問題について説明します。
解決済みのPolicy Enforcerの不具合のほとんどを網羅した最新の情報を得るには、ジュニパーネットワークスのオンライン Junos問題レポート検索 アプリケーションを使用してください。
[Policy Enforcer コネクタ] ページで ClearPass コネクタのパスワードを編集できない場合があります。
回避策: コネクタを削除し、正しい資格情報を使用して再度追加します。 PR1464446
テナントに関連付けられているサイト(マルチテナント サイト)は、ポリシー適用グループの作成時に表示されます。これは、ガイド付きセットアップにも適用できます。UC-334
証明書ベースの認証が有効になっている場合、モードを変更した後は、サイトに適用ポイントを追加できなくなります。UC-368
Policy Enforcer 設定ページで Policy Enforcer モードを変更した後、 Junos Space® ネットワーク管理プラットフォーム > ユーザー > pe_user に移動し、クライアント証明書を手動でアップロードします。
または
Junos Spaceネットワーク管理プラットフォームに移動し、モードをパスワード認証に変更して、Policy Enforcerの設定を再度実行します。
レルムが削除され、Policy Enforcerで再度追加された後にフィードをデバイスにダウンロードすると、内部サーバーエラーが識別されます。
回避 策:
SRXシリーズデバイス上のJunos OS CLIで、 コマンドを実行
request services security-intelligence download
します。 PR1586287クラウドフィードのみモードでPolicy Enforcerを追加しているときに表示されるエラー。 PR1585381
解決された問題
このセクションでは、Policy Enforcer リリース 21.3R1 で修正された問題を示します。
解決済みのPolicy Enforcerの不具合のほとんどを網羅した最新の情報を得るには、ジュニパーネットワークスのオンライン Junos問題レポート検索 アプリケーションを使用してください。
SRXシリーズデバイスのJunos OSリリース19.2R1以降のリリースの新しいHTTPS/サーバー名表示(SNI)機能で、Policy Enforcerによって作成されたブロックリストカスタムフィードはブロックされません。 PR1626127。
ホットパッチリリース
このセクションでは、Policy Enforcer リリース 21.3R1 ホットパッチ v1 の新機能、インストール手順、解決済みの問題について説明します。
セキュリティの脆弱性は、Policy Enforcerリリース21.3R1ホットパッチv1で修正されています。
インストール手順
ホット パッチのインストール中に、スクリプトは次の操作を実行します。
Policy Enforcerのコントローラ、フィードコレクター、フィードプロバイダーサービスを停止します。
既存の構成ファイルとライブラリをバックアップします。
Policy Enforcer の Red Hat パッケージマネージャー (RPM) ファイルを更新します。
コントローラ、フィードコレクター、フィードプロバイダーを再起動します。
ホットパッチは、Policy Enforcerリリース21.3R1-1274または以前にインストールされたホットパッチにインストールする必要があります。ホットパッチインストーラは、ホットパッチのインストール中に変更または置換されたすべてのファイルをバックアップします。
CLI で次の手順を実行します。
ダウンロードサイトからPolicy Enforcer 21.3R1パッチPolicy_Enforcer-21.3R1-XX-PE-Upgrade.rpmをダウンロードします。
XXこちらはホットパッチ版です。
Policy_Enforcer-21.3R1-XX-PE-Upgrade.rpm ファイルを /tmp の場所にコピーします。
ホットパッチのデータ整合性のチェックサムを確認します。
md5sum Policy_Enforcer-21.3R1--PE-Upgrade.rpmXX.
次のコマンドを使用してrpmをインストールします。
rpm -Uvh Policy_Enforcer-21.3R1-XX-PE-Upgrade.rpm
利用可能な最新のホットパッチ バージョン (累積的なパッチ) をインストールすることをお勧めします。