製品概要

Juniper Connected Securityは、境界ファイアウォールだけでなく、ネットワーク全体を脅威の検知とセキュリティの強化の領域として活用します。Junos Space Security DirectorのコンポーネントであるPolicy Enforcerは、ジュニパーの仮想および物理SRXシリーズファイアウォール、EXシリーズおよびQFXシリーズスイッチ、MXシリーズルーター、サードパーティのスイッチと無線ネットワーク、ContrailやVMware NSXなどのプライベートクラウド/ SDNソリューション、およびパブリッククラウド導入において、脅威の修復とマイクロセグメンテーションのポリシーを実施します。Juniper ATP Cloudのクラウドベースのマルウェア検知、コマンドアンドコントロール、GeoIP識別フィードと、信頼できるカスタムフィードは、Policy Enforcerの脅威検知メカニズムとして機能し、修復ワークフローをオーケストレーションします。

 

製品説明

企業ネットワークへの攻撃によって、従来の「境界線のみ」のセキュリティアーキテクチャの欠点を露呈し、完全かつ全体的な保護を提供するには不十分であることが証明されました。境界のみに対するソリューションが不適切である主な理由としてはいくつかあげられます。

  • 境界内のアプリケーションやエンドポイントが1つでも侵害されると、境界内の攻撃はブロックできないため、ネットワーク全体が脆弱な状態になります。
  • ネットワークは、インサイダー攻撃に対して非常に脆弱です。マルウェアに感染したエンドポイントは、ネットワーク接続元で隔離し、横方向の攻撃伝播の可能性を制限することが最適です。
  • 内部攻撃が企業内で横方向に動き始めると、境界デバイスからの可視性とインテリジェンスでは、悪意のある活動の証拠が得られません。この可視性がなければ、セキュリティチームがネットワークを効果的に保護することはできません。

Juniper Networks® Connected Securityは、これらのセキュリティ上の懸念に対応する包括的なアプローチを提供します。Juniper Connected Securityが提供する具体的な機能は次のとおりです。

  • 死角のないセキュリティ:ジュニパーのConnected Securityは、ネットワーク全体にわたる死角のないセキュリティを実現します。オンプレミスでは、物理スイッチおよび仮想スイッチの両方、ルーター、セキュリティデバイスをサポートし、ジュニパーネットワークスのContrailやVMware NSXなどのSDNソリューションを活用して、必要に応じてネットワーク機能をオーケストレーションし、Amazon Web Services(AWS)やMicrosoft Azureなどのパブリッククラウドプラットフォームでホストされるアプリケーションと連動させます。また、各ネットワーク要素がセキュリティセンサーとして機能し、ネットワーク内およびネットワーク間の通信を可視化し、インテリジェンスを提供します。
  • ポリシーのオーケストレーション:ユーザー、ユーザーグループ、地理的な位置、デバイス、サイト、テナント、アプリケーション、脅威などのビジネス指向の項目に基づいたシンプルなポリシーのフレームワークのソリューションで、スイッチ、ルーター、ファイアウォールおよびその他のネットワークデバイスがデータやリソースを共有しながら連携し、ネットワーク内で修復アクションをオーケストレーションできます。
  • SecIntel:Juniper Connected Securityは、複数のローカル(セキュリティ情報やイベント管理など)、クラウドベース(Juniper ATP Cloudなど)、さらにはサードパーティの脅威検知ソリューションからの脅威情報を集約する機能を提供します。

Junos® Space Security DirectorのコンポーネントであるPolicy Enforcerは、より分かりやすく、ユーザーの意図に基づいた脅威管理ポリシーの修正および配布ツールとなります。ジュニパーネットワークスのEXシリーズイーサネットスイッチやQFXシリーズスイッチ、ジュニパーの仮想および物理SRXシリーズファイアウォールに、更新したポリシーを展開できます。

 

アーキテクチャと主要コンポーネント

Policy Enforcerを備えることで、情報セキュリティはセキュリティソフトウェアによって制御および管理されます。他のソリューションのようにIPアドレスを特定するのではなく、新しいデバイスが自動的にセキュリティポリシーの対象となります。このようなソフトウェアを定義する環境は、すでに導入されているセキュリティポリシーや制御に影響を与えることなく移動することができます。その他のメリットは次のとおりです。

  • 向上した、より詳細にわたるセキュリティ:ネットワークアクティビティの可視性を高めることで、複数のソースからの脅威インテリジェンスを活用し、サイバー脅威やその他のセキュリティインシデントをより迅速に検知し、対応することができます。
  • 拡張性とコスト削減:ソフトウェアベースのモデルにより、 購入と維持にコストがかかるハードウェアを追加または削減することなく、当面のニーズに応じて迅速かつ容易にセキュリティを拡大または縮小することができます。
  • よりシンプルなソリューション:ハードウェアセキュリティアーキテクチャは、サーバーや特殊な物理デバイスが必要となるため、複雑なものになることがあります。ソフトウェアモデルでは、セキュリティはポリシーに基づいています。Policy Enforcerは、物理的な場所に関係なく、どこにいても情報を保護します。

 

特長とメリット

表1. Policy Enforcerの特徴とメリット
特長説明メリット
感染したホストのブロックSecIntelを通じてJuniper ATP Cloudから提供される脅威情報に基づき、トラフィックをブロックしますお客様は、境界ファイアウォールで感染したエンティティからのトラフィックをブロックするだけでなく、隔離などのネットワーク指向のアクションを取ることで、ネットワーク内部での脅威の横方向への動きを抑制することができます。
感染したホストの追跡ユーザーやアプリケーションのモビリティによって発生する、ネットワークIDに関連したよくある課題の変化に対応します感染したホストの基盤となるネットワークID(IPアドレスなど)が変更された場合でも、エンティティに対して一貫したセキュリティポリシーを実施します。セキュアネットワークがネットワーク全体の感染ホストの動きを追跡し、セキュリティ制御を回避しようとする試みを特定します。
カスタム脅威フィードカスタム/サードパーティの脅威フィードをConnected Securityフレームワークに統合し、自動化されたインシデントレスポンスを実現します感染したホストの基盤となるネットワークID(IPアドレスなど)が変更された場合でも、エンティティに対して一貫したセキュリティポリシーを実施します。セキュアネットワークがネットワーク全体の感染ホストの動きを追跡し、セキュリティ制御を回避しようとする試みを特定します。
メタデータベースの動的なアクセス制御ポリシープライベートクラウドやパブリッククラウドの展開で一般的な俊敏なワークロードを可能にするクラウド対応ポリシーモデルを提供しますオンプレミスだけでなく、異なるクラウドの導入にも対応した一貫したセキュリティポリシーモデルを実装し、ドメインごとに異なるルールセットを維持するために必要となる運用コストを削減します。
プライベートクラウド展開向けのマイクロセグメンテーションVMware NSXおよびJuniper Contrail SDNプラットフォームと統合し、プライベートクラウドのワークロードをセグメント化しますJuniper ContrailおよびVMware NSXプラットフォームとの統合により、プライベートクラウド上のアプリケーションのワークロードをきめ細かくセグメント化し、高度なセキュリティを提供します。
パブリックおよびプライベートクラウドのワークロードとメタデータの検出クラウド固有のメタデータを含む動的なクラウドのワークロードを検出します俊敏で動的なワークロードであっても、ファイアウォール上で最新のポリシーを提供し、クラウドワークロードのセキュリティをサポートするために必要となる時間を短縮します。
プライベートおよびパブリッククラウドの導入における脅威の緩和AWS、Google Cloud、Microsoft Azure、VMware、KVM、Hyper-V、Juniper Contrailクラウドプラットフォームと統合し、マルチクラウドでの脅威修復を実現します感染したアプリケーションのコンポーネントを、アプリケーションが動作している場所であればどこでも特定し、ネットワーク内部での脅威の横方向への伝搬を抑制します。
DDoSの緩和Juniper MXシリーズルーターと統合しますMXシリーズルーターのBGP Flowspecを更新し、トラフィックをスクラビングセンターに転送したり、ネットワーク内の被害を受けたホストにトラフィックが到達しないようにブロックしたりして、アクティブなDDoS攻撃を緩和します。
ダッシュボードの監視ネットワーク全体の脅威の状況を容易に把握できる、脅威に関するダッシュボードを提供しますお客様は、ネットワークに侵入する脅威や感染したエンドポイントをいつでも確認することができます。
自動化向けのRESTful API自動化ツールと組み合わせて使用するRESTful APIを提供します物理、論理および仮想SRXシリーズデバイスの設定と管理と、EXシリーズとQFXシリーズスイッチのセキュリティ機能を自動化します。

 

仕様

表2は、Policy Enforcerの最新リリースで、Juniper ATP Cloudを通じて提供され、さまざまなJuniper SRXシリーズファイアウォールでサポートされているJuniper SecIntel脅威フィードの概要を示しています。

表2. SRXシリーズデバイスでサポートされるJuniper SecIntel脅威フィード
モデル/プラットフォームサポートされている脅威フィード
vSRX:2 VCPU、4 GB RAM(サーバー要件)CC、アンチマルウェア、感染ホスト、GEO IP
SRX4100、SRX4200
SRX4600
SRX340, SRX345, SRX380, SRX550M, SRX1500
SRX5400、SRX5600、SRX5800
SRX300、SRX320 CCCC、GEO IP

 

同様に、表3に示すように、他のJuniper EXシリーズおよびQFXシリーズスイッチプラットフォームでも、さまざまなPolicy Enforcerの導入がサポートされています。

表3. EXシリーズおよびQFXシリーズデバイスでサポートされているPolicy Enforcer導入モード
モデルサポートされるPolicy Enforcerモード
EX2200、EX3300、EX4200、EX4300、EX9200、EX2300、EX3400、QFX5100、QFX5200、vQFXPEを使用するJuniper ATPクラウド(ファブリックの一部)

 

Policy Enforcerは、表4に示すように、サードパーティのスイッチプラットフォームに接続されたエンドポイントでの脅威の修復をサポートしています。

表4. サポートされているサードパーティスイッチプラットフォーム*
モデルサポートされるPolicy Enforcerモード
Cisco ISEPEを使用するATPクラウド(ファブリックの一部)
HP Aruba Clearpass
Forescout CounterAct

* NACソリューションの機能に基づく一部のスイッチおよび無線デバイス。


Policy EnforcerとVMware NSXとの統合には、表5に記載されている以下のコンポーネントが必要です。

表5. VMware NSXサポート
モデルサポートされるPolicy Enforcerモード
VMware NSXvSRXを使用したマイクロセグメンテーションと脅威の修復
VMware vCenterおよびESXi
vSRXバージョン

 

Policy EnforcerとJuniper Contrailとの統合には、表6に記載されている以下のコンポーネントが必要です。

表6. Juniper Contrailサポート
モデルサポートされるPolicy Enforcerモード
Juniper ContrailvSRXを使用したマイクロセグメンテーションと脅威の修復
vSRXバージョン

 

パブリッククラウド向けPolicy Enforcerには、表7に記載されている以下のコンポーネントが必要です。

表7. AWSサポート
モデルサポートされるPolicy Enforcerモード
vSRXバージョンワークロードディスカバリに基づくvSRXポリシー

 

ジュニパーネットワークスのサービスとサポート

ジュニパーネットワークスは、ネットワークの高速化、拡張、最適化を実現する高度なパフォーマンスサービスに対応するリーダーです。当社のサービスをご利用いただくと、コストを削減し、リスクを最小限に抑えながら、業務効率を最大限に高めることが可能となり、早期にネットワーク投資の価値を高めることができます。ジュニパーネットワークスは、必要なレベルのパフォーマンス、信頼性、および可用性を維持するようにネットワークを最適化することで、オペレーショナルエクセレンスを確保します。詳細については、www.juniper.net/jp/ja/products-servicesをご覧ください。

 

注文情報

Junos Spaceアプライアンス

Junos Spaceバーチャルアプライアンスには、Junos OSオペレーティングシステムだけでなく、Junos Spaceソフトウェアパッケージ一式が含まれています。アプライアンスを展開するためには、ユーザーが仮想マシンを作成する必要があります。バーチャルマシンの推奨仕様は、物理アプライアンスの仕様と同等です。www.juniper.net/documentation/product/en_US/security-directorを参照してください。ご注文情報については、ジュニパーの営業担当者にお問い合わせください。

 

Policy Enforcer

Policy Enforcerソフトウェアは、セキュアなネットワークで管理するネットワークとセキュリティデバイスの数に基づいてライセンスされます。例えば、管理するデバイスがSRXシリーズのファイアウォール20台、EXシリーズのスイッチ80台までの場合は、SDSN-PE-100を1ライセンス購入することになります。AWSの場合、vSRXをゲートウェイとして活用する各VPCに対して、脅威の修復とワークロードの検出シナリオに対応するため、vSRX用とVPC自体の2つのデバイス単位が使用されます。

:高可用性(HA)用に別途ライセンスを購入する必要はありません。ご注文情報については、ジュニパーの営業担当者にお問い合わせください。

 

ジュニパーネットワークスについて

ジュニパーネットワークスは、世界をつなぐ製品、ソリューション、サービスを通じて、ネットワークを簡素化します。エンジニアリングのイノベーションにより、クラウド時代のネットワークの制約や複雑さを解消し、お客様とパートナー様の日々直面する困難な課題を解決します。ジュニパーネットワークスは、ネットワークを世界に変革をもたらす知識の共有や人類の進歩のリソースであると考えています。私たちは、ビジネスニーズにあわせた、拡張性の高い、自動化されたセキュアなネットワークを提供するための革新的な方法の創造に取り組んでいます。

 

 

1000602 - 011 - JP 2022年 9月