Policy Enforcer
データシートのダウンロード製品概要
Juniper Connected Securityは、境界ファイアウォールだけでなく、ネットワーク全体を脅威の検知とセキュリティの強化の領域として活用します。Junos Space Security DirectorのコンポーネントであるPolicy Enforcerは、ジュニパーの仮想および物理SRXシリーズファイアウォール、EXシリーズおよびQFXシリーズスイッチ、MXシリーズルーター、サードパーティのスイッチと無線ネットワーク、ContrailやVMware NSXなどのプライベートクラウド/ SDNソリューション、およびパブリッククラウド導入において、脅威の修復とマイクロセグメンテーションのポリシーを実施します。Juniper ATP Cloudのクラウドベースのマルウェア検知、コマンドアンドコントロール、GeoIP識別フィードと、信頼できるカスタムフィードは、Policy Enforcerの脅威検知メカニズムとして機能し、修復ワークフローをオーケストレーションします。
製品説明
企業ネットワークへの攻撃によって、従来の「境界線のみ」のセキュリティアーキテクチャの欠点を露呈し、完全かつ全体的な保護を提供するには不十分であることが証明されました。境界のみに対するソリューションが不適切である主な理由としてはいくつかあげられます。
- 境界内のアプリケーションやエンドポイントが1つでも侵害されると、境界内の攻撃はブロックできないため、ネットワーク全体が脆弱な状態になります。
- ネットワークは、インサイダー攻撃に対して非常に脆弱です。マルウェアに感染したエンドポイントは、ネットワーク接続元で隔離し、横方向の攻撃伝播の可能性を制限することが最適です。
- 内部攻撃が企業内で横方向に動き始めると、境界デバイスからの可視性とインテリジェンスでは、悪意のある活動の証拠が得られません。この可視性がなければ、セキュリティチームがネットワークを効果的に保護することはできません。
Juniper Networks® Connected Securityは、これらのセキュリティ上の懸念に対応する包括的なアプローチを提供します。Juniper Connected Securityが提供する具体的な機能は次のとおりです。
- 死角のないセキュリティ:ジュニパーのConnected Securityは、ネットワーク全体にわたる死角のないセキュリティを実現します。オンプレミスでは、物理スイッチおよび仮想スイッチの両方、ルーター、セキュリティデバイスをサポートし、ジュニパーネットワークスのContrailやVMware NSXなどのSDNソリューションを活用して、必要に応じてネットワーク機能をオーケストレーションし、Amazon Web Services(AWS)やMicrosoft Azureなどのパブリッククラウドプラットフォームでホストされるアプリケーションと連動させます。また、各ネットワーク要素がセキュリティセンサーとして機能し、ネットワーク内およびネットワーク間の通信を可視化し、インテリジェンスを提供します。
- ポリシーのオーケストレーション:ユーザー、ユーザーグループ、地理的な位置、デバイス、サイト、テナント、アプリケーション、脅威などのビジネス指向の項目に基づいたシンプルなポリシーのフレームワークのソリューションで、スイッチ、ルーター、ファイアウォールおよびその他のネットワークデバイスがデータやリソースを共有しながら連携し、ネットワーク内で修復アクションをオーケストレーションできます。
- SecIntel:Juniper Connected Securityは、複数のローカル(セキュリティ情報やイベント管理など)、クラウドベース(Juniper ATP Cloudなど)、さらにはサードパーティの脅威検知ソリューションからの脅威情報を集約する機能を提供します。
Junos® Space Security DirectorのコンポーネントであるPolicy Enforcerは、より分かりやすく、ユーザーの意図に基づいた脅威管理ポリシーの修正および配布ツールとなります。ジュニパーネットワークスのEXシリーズイーサネットスイッチやQFXシリーズスイッチ、ジュニパーの仮想および物理SRXシリーズファイアウォールに、更新したポリシーを展開できます。
アーキテクチャと主要コンポーネント
Policy Enforcerを備えることで、情報セキュリティはセキュリティソフトウェアによって制御および管理されます。他のソリューションのようにIPアドレスを特定するのではなく、新しいデバイスが自動的にセキュリティポリシーの対象となります。このようなソフトウェアを定義する環境は、すでに導入されているセキュリティポリシーや制御に影響を与えることなく移動することができます。その他のメリットは次のとおりです。
- 向上した、より詳細にわたるセキュリティ:ネットワークアクティビティの可視性を高めることで、複数のソースからの脅威インテリジェンスを活用し、サイバー脅威やその他のセキュリティインシデントをより迅速に検知し、対応することができます。
- 拡張性とコスト削減:ソフトウェアベースのモデルにより、 購入と維持にコストがかかるハードウェアを追加または削減することなく、当面のニーズに応じて迅速かつ容易にセキュリティを拡大または縮小することができます。
- よりシンプルなソリューション:ハードウェアセキュリティアーキテクチャは、サーバーや特殊な物理デバイスが必要となるため、複雑なものになることがあります。ソフトウェアモデルでは、セキュリティはポリシーに基づいています。Policy Enforcerは、物理的な場所に関係なく、どこにいても情報を保護します。
特長とメリット
| 特長 | 説明 | メリット |
| 感染したホストのブロック | SecIntelを通じてJuniper ATP Cloudから提供される脅威情報に基づき、トラフィックをブロックします | お客様は、境界ファイアウォールで感染したエンティティからのトラフィックをブロックするだけでなく、隔離などのネットワーク指向のアクションを取ることで、ネットワーク内部での脅威の横方向への動きを抑制することができます。 |
| 感染したホストの追跡 | ユーザーやアプリケーションのモビリティによって発生する、ネットワークIDに関連したよくある課題の変化に対応します | 感染したホストの基盤となるネットワークID(IPアドレスなど)が変更された場合でも、エンティティに対して一貫したセキュリティポリシーを実施します。セキュアネットワークがネットワーク全体の感染ホストの動きを追跡し、セキュリティ制御を回避しようとする試みを特定します。 |
| カスタム脅威フィード | カスタム/サードパーティの脅威フィードをConnected Securityフレームワークに統合し、自動化されたインシデントレスポンスを実現します | 感染したホストの基盤となるネットワークID(IPアドレスなど)が変更された場合でも、エンティティに対して一貫したセキュリティポリシーを実施します。セキュアネットワークがネットワーク全体の感染ホストの動きを追跡し、セキュリティ制御を回避しようとする試みを特定します。 |
| メタデータベースの動的なアクセス制御ポリシー | プライベートクラウドやパブリッククラウドの展開で一般的な俊敏なワークロードを可能にするクラウド対応ポリシーモデルを提供します | オンプレミスだけでなく、異なるクラウドの導入にも対応した一貫したセキュリティポリシーモデルを実装し、ドメインごとに異なるルールセットを維持するために必要となる運用コストを削減します。 |
| プライベートクラウド展開向けのマイクロセグメンテーション | VMware NSXおよびJuniper Contrail SDNプラットフォームと統合し、プライベートクラウドのワークロードをセグメント化します | Juniper ContrailおよびVMware NSXプラットフォームとの統合により、プライベートクラウド上のアプリケーションのワークロードをきめ細かくセグメント化し、高度なセキュリティを提供します。 |
| パブリックおよびプライベートクラウドのワークロードとメタデータの検出 | クラウド固有のメタデータを含む動的なクラウドのワークロードを検出します | 俊敏で動的なワークロードであっても、ファイアウォール上で最新のポリシーを提供し、クラウドワークロードのセキュリティをサポートするために必要となる時間を短縮します。 |
| プライベートおよびパブリッククラウドの導入における脅威の緩和 | AWS、Google Cloud、Microsoft Azure、VMware、KVM、Hyper-V、Juniper Contrailクラウドプラットフォームと統合し、マルチクラウドでの脅威修復を実現します | 感染したアプリケーションのコンポーネントを、アプリケーションが動作している場所であればどこでも特定し、ネットワーク内部での脅威の横方向への伝搬を抑制します。 |
| DDoSの緩和 | Juniper MXシリーズルーターと統合します | MXシリーズルーターのBGP Flowspecを更新し、トラフィックをスクラビングセンターに転送したり、ネットワーク内の被害を受けたホストにトラフィックが到達しないようにブロックしたりして、アクティブなDDoS攻撃を緩和します。 |
| ダッシュボードの監視 | ネットワーク全体の脅威の状況を容易に把握できる、脅威に関するダッシュボードを提供します | お客様は、ネットワークに侵入する脅威や感染したエンドポイントをいつでも確認することができます。 |
| 自動化向けのRESTful API | 自動化ツールと組み合わせて使用するRESTful APIを提供します | 物理、論理および仮想SRXシリーズデバイスの設定と管理と、EXシリーズとQFXシリーズスイッチのセキュリティ機能を自動化します。 |
仕様
表2は、Policy Enforcerの最新リリースで、Juniper ATP Cloudを通じて提供され、さまざまなJuniper SRXシリーズファイアウォールでサポートされているJuniper SecIntel脅威フィードの概要を示しています。
| モデル/プラットフォーム | サポートされている脅威フィード |
| vSRX:2 VCPU、4 GB RAM(サーバー要件) | CC、アンチマルウェア、感染ホスト、GEO IP |
| SRX4100、SRX4200 | |
| SRX4600 | |
| SRX340, SRX345, SRX380, SRX550M, SRX1500 | |
| SRX5400、SRX5600、SRX5800 | |
| SRX300、SRX320 CC | CC、GEO IP |
同様に、表3に示すように、他のJuniper EXシリーズおよびQFXシリーズスイッチプラットフォームでも、さまざまなPolicy Enforcerの導入がサポートされています。
| モデル | サポートされるPolicy Enforcerモード |
| EX2200、EX3300、EX4200、EX4300、EX9200、EX2300、EX3400、QFX5100、QFX5200、vQFX | PEを使用するJuniper ATPクラウド(ファブリックの一部) |
Policy Enforcerは、表4に示すように、サードパーティのスイッチプラットフォームに接続されたエンドポイントでの脅威の修復をサポートしています。
| モデル | サポートされるPolicy Enforcerモード |
| Cisco ISE | PEを使用するATPクラウド(ファブリックの一部) |
| HP Aruba Clearpass | |
| Forescout CounterAct |
Policy EnforcerとVMware NSXとの統合には、表5に記載されている以下のコンポーネントが必要です。
| モデル | サポートされるPolicy Enforcerモード |
| VMware NSX | vSRXを使用したマイクロセグメンテーションと脅威の修復 |
| VMware vCenterおよびESXi | |
| vSRXバージョン |
Policy EnforcerとJuniper Contrailとの統合には、表6に記載されている以下のコンポーネントが必要です。
| モデル | サポートされるPolicy Enforcerモード |
| Juniper Contrail | vSRXを使用したマイクロセグメンテーションと脅威の修復 |
| vSRXバージョン |
パブリッククラウド向けPolicy Enforcerには、表7に記載されている以下のコンポーネントが必要です。
| モデル | サポートされるPolicy Enforcerモード |
| vSRXバージョン | ワークロードディスカバリに基づくvSRXポリシー |
ジュニパーネットワークスのサービスとサポート
ジュニパーネットワークスは、ネットワークの高速化、拡張、最適化を実現する高度なパフォーマンスサービスに対応するリーダーです。当社のサービスをご利用いただくと、コストを削減し、リスクを最小限に抑えながら、業務効率を最大限に高めることが可能となり、早期にネットワーク投資の価値を高めることができます。ジュニパーネットワークスは、必要なレベルのパフォーマンス、信頼性、および可用性を維持するようにネットワークを最適化することで、オペレーショナルエクセレンスを確保します。詳細については、www.juniper.net/jp/ja/products-servicesをご覧ください。
注文情報
Junos Spaceアプライアンス
Junos Spaceバーチャルアプライアンスには、Junos OSオペレーティングシステムだけでなく、Junos Spaceソフトウェアパッケージ一式が含まれています。アプライアンスを展開するためには、ユーザーが仮想マシンを作成する必要があります。バーチャルマシンの推奨仕様は、物理アプライアンスの仕様と同等です。www.juniper.net/documentation/product/en_US/security-directorを参照してください。ご注文情報については、ジュニパーの営業担当者にお問い合わせください。
Policy Enforcer
Policy Enforcerソフトウェアは、セキュアなネットワークで管理するネットワークとセキュリティデバイスの数に基づいてライセンスされます。例えば、管理するデバイスがSRXシリーズのファイアウォール20台、EXシリーズのスイッチ80台までの場合は、SDSN-PE-100を1ライセンス購入することになります。AWSの場合、vSRXをゲートウェイとして活用する各VPCに対して、脅威の修復とワークロードの検出シナリオに対応するため、vSRX用とVPC自体の2つのデバイス単位が使用されます。
注:高可用性(HA)用に別途ライセンスを購入する必要はありません。ご注文情報については、ジュニパーの営業担当者にお問い合わせください。
ジュニパーネットワークスについて
ジュニパーネットワークスは、世界をつなぐ製品、ソリューション、サービスを通じて、ネットワークを簡素化します。エンジニアリングのイノベーションにより、クラウド時代のネットワークの制約や複雑さを解消し、お客様とパートナー様の日々直面する困難な課題を解決します。ジュニパーネットワークスは、ネットワークを世界に変革をもたらす知識の共有や人類の進歩のリソースであると考えています。私たちは、ビジネスニーズにあわせた、拡張性の高い、自動化されたセキュアなネットワークを提供するための革新的な方法の創造に取り組んでいます。
1000602 - 011 - JP 2022年 9月
