Juniper Mist Access Assuranceデータシート

データシートのダウンロード

製品概要

Juniper Mist Access Assuranceは、エンドツーエンドのユーザエクスペリエンスの可視化と共に、ゼロトラスト、アイデンティティベースのネットワークアクセス、フルスタックポリシーとセグメンテーションアサインメントを確保するクラウドベースのサービスです。このサービスは、ゲスト、IoT、BYOD(Bring Your Own Device)、企業デバイスのオンボーディング向けに、柔軟性が高くシンプルな承認ポリシーフレームワークを備えた一連のアクセス制御機能を提供します。クライアント接続は、ユーザーとデバイスの識別に基づいて制御され、ネットワークに接続するデバイスのアクセスが規制されます。またAccess Assuranceでは、802.1X認証を活用したデバイスに対してはアクセス制御サービス、および802.1Xの許可リストに登録されていない有線IoTデバイスに対してはMACアドレスバイパスも提供しています。

 

製品説明

Juniper® Mist™ Access Assuranceは、マイクロサービスベースのクラウドネットワークアクセス制御(NAC)サービスであり、企業はゼロトラストセキュリティモデルを簡単に導入できます。Access Assuranceは、オンプレミスのサーバーハードウェアを不要にして、内在するサービスの高可用性、耐障害性、実行時の自動機能更新、セキュリティ、脆弱性修正を提供することで、従来のNAC製品に伴う多くの複雑な課題を解決します。ヘッドレスIoTやBYODデバイスのオンボーディングを簡素化するJuniper Mist IoT Assurance機能を拡張することで、Access Assuranceは、802.1X認証または非802.1Xデバイスの場合にはMAC認証バイパス(MAB)メソッドで、有線および無線デバイスへのサポートを拡張します。 

Access Assuranceは、X.509認証属性、ユーザーグループのメンバーシップ、デバイスのコンプライアンスメトリック、ロケーションコンテキストなど、数百もの異なるベクトルを使用して、ユーザーとデバイスの識別を照合します。これらのベクトルは、デバイスが接続すべきネットワークセグメントやマイクロセグメント、およびユーザーに動的に適用すべきネットワークポリシーなど、アイデンティティベースのネットワークアドミッション基準を決定するのに役立ちます。

 

Juniper Mist Access Assuranceの機能を示すグラフ図

図1:Juniper Mist Access Assurance クラウドサービスにより、 ネットワークアクセス制御を大幅に簡素化

Juniper Mist Access Assuranceユーザーインターフェイスのスクリーンショット

図2:柔軟なポリシー作成インターフェイスにより、 管理者はビジネス要件に基づいてポリシーを割り当て可能

ここで最も重要なことは、Access Assuranceは、クライアント、ネットワークインフラストラクチャ、アクセス制御の観点から、エンドツーエンドの接続トラブルシューティングを提供してくれるという点であり、Day 2のサポートが劇的に簡素化されます。IT管理者は、エンドユーザーエクスペリエンスの総合的なビューを得ることで、エクスペリエンスの質の低下が、クライアント構成、ネットワークインフラストラクチャ、認証、サービスのいずれに起因しているのかを判断することができます。

 

クライアントネットワークアクセス制御イベントを表示しているJuniper Mist Access Assuranceのスクリーンショット

図3:クライアントSLEは、ネットワークアクセス制御イベントを追跡可能

アーキテクチャと主要コンポーネント

Access Assuranceは、Juniper Mist Cloudを通じて提供され、Mist AIを搭載しています。マイクロサービスアーキテクチャは、高可用性、冗長性、オートスケーリングを組み合わせることで、有線Wi-Fi、およびワイドエリアネットワーク全体にわたって最適なネットワークアクセスを実現します。地域認識機能を使用して、Access Assuranceはさまざまな地域からの認証要求を最寄りのAccess Assuranceインスタンスに自動的にリダイレクトすることで、遅延を最小限にして最高のエンドユーザーエクスペリエンスを提供します。

Access Assuranceは、Google Workspace、Microsoft Azure AD、Okta Identityなどの外部ディレクトリサービスと統合された認証サービスを提供します。また、Jamf、Microsoft Intuneなどの外部公開キーインフラストラクチャ(PKI)とモバイルデバイス管理(MDM)プロバイダを統合することでユーザーとデバイスのきめ細かい識別を提供しており、アイデンティティベースのゼロトラストネットワークアクセス制御を実現します。

 

特長とメリット

クライアントエクスペリエンスファースト

Access Assuranceにより、クライアント接続エクスペリエンスを一元的に可視化して、容易に問題を特定し、根本的原因分析を実行できます。接続および認証の成功と失敗を含めたすべてのクライアントイベントは、Juniper Mist Cloudにキャプチャされます。このデータは、Juniper Mist Cloudがエンドユーザー側で発生している接続上の問題がクライアント構成ミスなのか、ネットワークインフラストラクチャおよびサービス上の問題なのか、あるいは認証ポリシー構成の問題なのかを簡単に特定するのに役立ち、日々の運用が簡素化されます。有線および無線クライアント向けJuniper Mistサービスレベル期待値(SLE)は、認証イベント、証明書検証などのネットワークアクセスイベントも含めるように強化されています。

 

クライアントSLEの障害と、既知の問題の説明を表示しているJuniper Mist Access Assuranceのスクリーンショット。

図4:クライアントSLE の障害は、既知の問題の詳細を提供

管理と運用を1つの画面から実行する

Access AssuranceはJuniper Mist Cloudと緊密に統合されており、Wi-Fi AssuranceWired Assurance、SD-WAN Assurance、Access Assuranceのフルスタック管理と日々の運用が単一のダッシュボードに表示されるため、エンドツーエンドの可視化が得られます。Marvis™AIエンジンは、複数のソースからのデータを活用して異常検知を行い、実用的なメトリックを提供します。ダッシュボードを通じて、ユーザーは以下を実行できます。

  • 承認済みのデバイスとユーザーのみに対してネットワークアクセスが許可されるようにする、アクセスポリシーを作成し適用する
  • ユーザーとデバイスを正しいネットワークセグメントに割り当てる
  • ユーザーとデバイスが制限されたリソースにアクセスするのを防止する
  • 証明書と認証局を追加および変更する
  • アイデンティティプロバイダを設定する
  • 企業全体のクライアントアクティビティを監視する

 

Juniper Mist Access Assuranceを示すスクリーンショット

図5:アクセス制御にハイライトした、 直感操作が可能なユーザインターフェース

ユーザーとデバイスの詳細な識別

Access Assuranceでは、X.509認証属性に基づいて、詳細な識別フィンガープリントを実行できます。また、グループメンバーシップ、ユーザーアカウントの状態、MDMコンプライアンス状態、クライアントリスト、ユーザーロケーションなどの侵入、検出、防止(IDP)情報もフィンガープリントに使用します。その結果、ユーザーとデバイスのフィンガープリントが、ゼロトラスト原則の中で正確なポリシー割り当てを行うためのアイデンティティベクトルとなります。

 

詳細なデバイス識別を示しているAccess Assuranceの図

図6:フィンガープリントは、複数の方法で実行可能

ネットワークポリシーの執行とマイクロセグメンテーション

ユーザーとデバイスの識別に基づいて、Access Assuranceは、特定のネットワークセグメント(VLANまたはグループベースのポリシータグ)にユーザーを割り当てるようにネットワークに指示し、ユーザー役割を割り当てることでネットワークポリシーを適用できます。このような役割は、Juniper MistのWxLANポリシーフレームワークまたはスイッチポリシーで活用できます。

 

VLAN、グループベースのポリシー、ユーザーロールに対して実行されているポリシーが表示されているAccess Assuranceユーザーインターフェイスのスクリーンショット

図7:VLAN、グループベースのポリシー、ユーザーロールに対して実行されているポリシーを容易に確認可能

ポリシーとグループベースのタグが表示されているユーザーインターフェイスのスクリーンショット

図8:グループに基づくタグでポリシー認識を迅速に実施

高可用性とジオアフィニティ(地理的な親和性)を搭載

Access Assuranceを使用することで、企業はシングルサイトおよびマルチサイトの展開において、信頼性が高く低遅延のネットワークアクセス制御を得ることができます。ジュニパーは、ネットワークアクセス制御クラウドサービスのクラウドインスタンスを複数の地域に配置しています。マルチサイト展開では、ネットワークインフラストラクチャから送信される認証トラフィックは、自動的に最寄りのAccess Assuranceインスタンスへと送信されます。遅延が最小限に抑えられるため、ユーザーは優れた無線エクスペリエンスを楽しめます。この自動化プロセスは、ユーザーに対して完全に可視化されているので、IT運用チームが操作や監視などする必要はありません。企業は、近くの場所のインスタンスの状態に関係なく、クライアントデバイスに対して、信頼性の高い冗長ネットワークアクセスを確保できます。

機能とセキュリティの自動更新

Juniper Mistのマイクロサービスベースのクラウドアーキテクチャにより、Access Assuranceは最先端テクノロジーで継続的に最適化されます。新機能、セキュリティパッチ、更新が隔週で自動的にAccess Assuranceに追加されます。サービスの中断やダウンタイムが発生することはありません。この機能により、長時間にわたるソフトウェアアップグレードやサービスのダウンタイムが解消され、ネットワークIT管理者のサービス運用が大幅に簡略化および改善されます。ジュニパーは、クラウドベースのサービスに新しい機能を簡単に展開できるため、市場投入が迅速化され、お客様のクライアントからクラウドへのエクスペリエンスを継続的に向上させることができます。  

 

Access AssuranceでJuniper Mist IoT Assuranceを拡張

Access Assuranceに、Juniper Mist IoT Assuranceを組み合わせることで、802.1X認証による企業デバイスのオンボーディングと、802.1X非対応IoTおよびBYODデバイスのMACレスオンボーディングの管理を構築できます。IoT AssuranceはIT運用を簡素化し、複数の事前共有キー(MPSK)メカニズムを介して、ヘッドレスIoTおよびBYODデバイスの接続を保護します。MPSKまたはプライベート事前共有キー(PPSK)を新しいタイプの識別情報およびポリシーベクトルとして活用するフルセットのアクセス制御機能を搭載しています。

IoT Assuranceではまた、ユーザーの識別情報に基づいてPSK生成を自動化することで、BYODオンボーディングのワークフローを実現するPSKポータル作成も提供されており、Security Assertion Markup Language(SAML)を活用したSSOエクスペリエンスが得られます。クライアントソフトウェアをインストールすることなく、モバイルQRコードを介して、またはパーソナライズされたパスフレーズを入力することで、シームレスなクライアントデバイスのオンボーディングを実現します。

 

仮想ネットワークアシスタント「Marvis」

仮想ネットワークアシスタント「Marvis」はMist AIを使用しています。IT運用チームのネットワークの操作などをサポートします。Marvis AIエンジンが、Access AssuranceをWired Assurance、Wi-Fi Assurance、WAN AssuranceなどのJuniper Mistクラウドベースのサービスと結びつけてくれるため、運用チームはトラブルシューティングとパフォーマンス分析を簡略化して、Self-Driving Network™の実現に一歩近づくことができます。

Mist AI を搭載した機能により、ヘルプデスクのスタッフやネットワーク管理者はMarvisの会話インターフェイスから人に話しかけるような自然言語で質問するだけで、ネットワークの問題の特定と解決に役立つ、実用的なインサイトを得ることができます。Marvisはプロアクティブな異常検知をSLEダッシュボードにもたらします。Marvis Actionsを使用することで、スタッフはプロアクティブで実用的なインサイトを得て、フルスタックにわたるネットワーク アクセスの問題を特定し、ユーザーの接続性の問題に対する推奨事項を提供します。これにより、ネットワークスタックと認証サービス全体にわたる根本原因分析が容易にお客様に提供されます。 

APIドリブンアーキテクチャ

Access Assuranceサービスは、公開されているRepresentational State Transfer(REST)APIに完全に基づいており、構成とポリシー割り当ての両方において、外部のセキュリティ情報およびイベント管理(SIEM)またはITサービス管理システムまたは他のプラットフォームと簡単に統合できます。このAPIは、ユーザーイベントや外部イベントに基づいてアクションを呼び出す機能だけでなく、クラウドネイティブのWebhookフレームワークを使用する機能も提供します。Juniper Mistプラットフォームでは総合的に、オープンAPIを使用して100%プログラム可能であり、補完的なジュニパーアクセス、有線、無線、WAN、セキュリティ、ユーザーエンゲージメントアセットロケーションソリューションで、完全な自動化とシームレスな統合を実現します。

 

仕様

特長説明
X.509証明書の管理外部PKIサポート
自動CRL/OSCP証明書失効チェック
外部アイデンティティプロバイダとの統合

ユーザー検索とデバイスの状態情報を取得するために、任意のアイデンティティプロバイダと統合できるように以下のプロトコルがサポートされています。

  • セキュアLightweight Directory Access Protocol (LDAP)
  • OAuth2
  • RADIUS over TLS(RadSec)クライアント
802.1X認証方式

セキュアな802.1Xアクセスでは、以下のEAP方式がサポートされています。

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
  • Protected Extensible Authentication Protocol PEAP TLS Tunnel
  • Extensible Authentication Protocol (TEAP) (TLS/TLS) Extensible Authentication Protocol-Tunneled TLS (EAP-TTLS (PAP)
非802.1X認証方式MAC Authentication Bypass (MAB)
Multi Pre-Shared Key (MPSK)
ネットワークポリシーとマイクロセグメンテーションユーザー識別情報に基づいたVLAN、ロール、グループベースポリシータグの動的な割り当て
サードパーティネットワークインフラストラクチャのサポートMist Edge Auth Proxyアプリケーションを介してサポートされており、サードパーティベンダーのデバイスは、標準のRADIUSを介してMist Edge Auth Proxyと通信可能
Juniper Mist IoT Assurance
(Access Assuranceサブスクリプションに含まれます)

IoTおよびBYODクライアントデバイスのオンボーディング

  • PSKおよびMPSKの作成、ローテーション、自動失効
  • ダイナミック トラフィック エンジニアリング
  • キーベースのWxLANポリシー
  • パーソナルWLANの作成と管理
  • PSK ごとのアクティブ デバイス使用追跡
  • カギの自動プロビジョニングと更新

 

注文情報

Access Assuranceサービスは、7日間にわたって確認された、同時にアクティブになったクライアントデバイスの平均数に基づいて、サブスクリプションとして提供されます。 

SKU説明
S-CLIENT-S-1Standard Access Assuranceサブスクリプション(1クライアント、1年間)
S-CLIENT-S-3Standard Access Assuranceサブスクリプション(1クライアント、3年間)
S-CLIENT-S-5Standard Access Assuranceサブスクリプション(1クライアント、5年間)

 

ジュニパーネットワークスについて

ジュニパーネットワークスは、世界をつなぐ製品ソリューションサービスを通じて、ネットワークを簡素化します。エンジニアリングのイノベーションにより、クラウド時代のネットワークの制約や複雑さを解消し、お客様とパートナー様の日々直面する困難な課題を解決します。ジュニパーネットワークスは、ネットワークを世界に変革をもたらす知識の共有や人類の進歩のリソースであると考えています。私たちは、ビジネスニーズにあわせた、拡張性の高い、自動化されたセキュアなネットワークを提供するための革新的な方法の創造に取り組んでいます。

 

1000769 - 002 - 2023年5月