久しぶりの投稿になってしまいました。
HPEとJuniperの統合後、前から試そうと思っていたClearPassとSRX連携について確認できたので少し紹介したいと思います。
ネットワークのRBAC (Role Base Access Control) はArubaの得意なLANセキュリティで、LANの世界でMicrosegmentationを実現できます。
Arubaが言っているネットワークのRBACについては、こちらに投稿しているので是非ご覧ください。
このネットワークのRBACは、APやSwitchの機能なので、ClearPassは必須ではありませんが、
「誰にどのRoleを適用するのか」といったポリシー制御を実装するのにClearPassはとても便利です。
さらにClearPassは様々な外部のセキュリティソリューションと連携することができる点がとてもユニークです。
今回は、Juniper SRX Firewall との連携例を紹介します。
ClearPass + SRX でここまでできる Role Base のゼロトラストセキュリティ!
Firewall はインターネットゲートウェイとして設置しているので、ユーザ情報を持っていないことが多いです。
この場合、誰が何をしているのかを把握する場合の「誰が」の部分は、端末のIPアドレスベースになります。
また、Firewallの様々な機能(Web Filtering, Anti Malware, IDS/IPS, Application制御)も、Zoneベースや端末が属するIPセグメントベースでポリシーを設定することになります。
もちろんそれでも十分な場合もありますが、ゼロトラストのコンセプトを実装する場合、ポリシーの適用単位はできるだけ小さい値(必要最小限のアクセス権)が求められます。極論、ユーザ単位、現実的にはユーザグループ(属性)単位で、これが Role Base になります。
SRXでも、Captive Portal などのユーザ認証を行なったり、Active Directoryと連携したりする方法がありますが、ユーザ側に手間がかかったり、ADに属していないユーザがいたりと、昨今の環境では制限が多くなります。
それを解決するのが ClearPass + SRX です!
Wi-Fi アクセス時に認証は必須で、そこで ClearPass を使っていれば、
Wi-Fi 認証時に ClearPass がユーザ、端末(Client)、属性情報などを API を通じて SRX に送ることができます。
ClearPassやSRX に追加のライセンスは不要、端末に特別な要件は不要なので、サクッと連携できてしまいます。
今までのLAN (AP/Switch) のセキュリティに加え、SRX での高度なApplicationベースの制御(AppSecure), Web Filter, IDS/IPS, ATP(Sandbox) などを Role Base で適用することができます。
実際に Lab で設定して動作確認をしてみました。
SRX (JUNOS) は Automation を前提にしたアーキテクチャになっているので、API 連携はとてもスムーズに設定、動作確認ができました。
設定ガイドはこちらを参照ください:ClearPass, SRX
細かな設定、動作、ログの解説は、また改めて記載しようと思います。
今回のように、Juniperのポートフォリオが加わったことで、HPEとしてワンストップで提供できるソリューションが増えてきました。
これからも HPE (Aruba) + Juniper 関連のポストも少しずつ増やしていこうと思います!
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------