symantecの検疫ソリューション symantec network …symantec network access...
TRANSCRIPT
Symantec Network Access ControlSymantecの検疫ソリューション
Symantec Network Access Controlは、エンドポイントがネットワークにアクセスする前にセキュリティ要件に適合した状態で接続しようとしているかをチェック。適合しない場合は通信を制御しセキュリティ要件へ適合した状態に矯正します。
多彩なネットワーク環境に対応
Symantecのアンチウイルス製品との連携
01
エンドポイントコンプライアンスソリューション社内ネットワーク環境がどんなにセキュアに保たれていてもそこへアクセスするエンドポイントのセキュリティレベルが低ければ簡単にネットワークの脅威の侵入を許してしまいます。Symantec Network Access Control(SNAC)は、4つのステップで常に企業の定められたセキュリティポリシーをエンドポイントに強制させることができます。
Introduction
エンドポイントへ課すセキュリティ要件を決定 まず要件を定義
広範囲に渡る健全性のチェックによりエンドポイントのセキュリティコンプライアンスを実現
●ホストインテグリティの対象ほとんどのアンチウイルス製品OSのパッチOSのサービスパックほとんどのパーソナル(クライアント)ファイアウォール
●シマンテックセキュリティレスポンスから提供されるポリシーテンプレート
●オンラインでのアップデート可能
●パッチ管理システムのようなサードパーティのツールとの親和性
●企業の複雑なセキュリティポリシーに沿った柔軟なルール設定を実現する機能「AND/ORおよび IF_THEN_ELSE構文でのルール条件設定」端末の健全性をチェックするルール条件は、複数のルールを並列するAND/OR条件だけでなく、IF_THEN_ELSE構文によるルール設定をサポートしています。企業の複雑なセキュリティポリシーに対応し、健全性のチェック、ユーザへの通知、治療までを柔軟な条件で自動化設定することができます。
●多様なチェック可能項目レジストリの存在、値などファイルの存在、日付、サイズ、チェックサムなどウイルス定義ファイルのバージョン、日付、サイズパッチの有無プロセスの動作状況OSバージョン他
独自のポリシーテンプレート
カスタムホストインテグリティチェック
ホストインテグリティは、ファイルやレジストリの状態が定めたポリシーと一致しているかどうかを確認します。
ホストインテグリティ アンチウイルスソフトは動作している? 定義ファイルは最新?
クライアントファイアウォールは動作している?
パッチやサービスパックは要件を満たしている?
レジストリなどの設定は要件を満たしている?
監視例
IF_THEN_ELSEのカスタムスクリプト
ウイルス対策ソフト
常駐状態
AV-2AV-1 AV-3
バージョン
パターンファイル ダウンロード実行
パターンファイル
ダウンロード実行
適正 古い
未完了 完了
更新済 未更新
OR OROR
PASS PASS
ダウンロード実行
パターンファイル再チェック
カスタムメッセージ通知
未完了 完了
更新済 未更新
PASS
パターンファイル更新済 未更新
FAIL
02
検疫ネットワークの必要性セキュリティレベル確保
コンプライアンス
ネットワーク攻撃の防衛
エンドポイントのセキュリティ要件をチェック ポリシー違反を探せ
エンドポイントがネットワークに接続される前に、パッチや設定、アンチウイルスソフトの動作や定義ファイルのバージョンなどがポリシー要件を満たしていることを確実に保証
ゲートウェイより内部へのネットワークアクセス時に、端末の健全性をチェックし、不正端末の侵入を制限する方式です。Gatewayエンフォーサをネットワーク上にインラインで設置します。リモートアクセスにおける検疫、あるいは特定のネットワークセグメントを保護する目的に最適なソリューションです。
ゲートウェイ検疫方式DHCPサーバとの連携により、ネットワーク接続時に端末の健全性をチェックし、不正端末の侵入を制限する方式です。DHCPエンフォーサを社内のDHCPサーバの手前に設置します。IPアドレスの割り当てをDHCPサーバで運用されている場合に、最適なソリューションです。
DHCP検疫方式
IEEE802.1x規格に基づきネットワークスイッチのVLAN制御機能と連携させ、スイッチへの接続時に端末の健全性をチェックし、不正端末の侵入を制限する方式です。LANエンフォーサをRadius Proxyとして設置します。ポリシーに適合する端末は社内LANセグメントへの接続を許可、不正端末や適合しない端末は検疫セグメントに強制隔離する、などの高度なエンドポイントコントロールを行うことが可能です。
IEEE802.1x認証スイッチ連携検疫方式ホストインテグリティチェックにより健全性が満たされないエンドポイントをパーソナルファイアウォールが自らの通信ポリシーを変更することで、ネットワークから個体隔離を行う方式です。端末にClientをインストールすることで実現が可能なことから、ネットワーク構成の変更を必要としません。
セルフエンフォースメント検疫方式(※SEP11.0が必要)
健全性を欠いた端末による社内ウイルス拡散不正ソフト使用による情報漏えい
ISMS認証基準への適合個人情報保護法への適合各種ガイドラインへの対応
情報漏えい型ウイルスの増大ゼロデイアタックの増加
ネットワーク経由のウイルス強化
リモートPC IPSec VPN Gatewayエンフォーサ
Client
SymantecEndpoint Protection Manager
通常ネットワーク
矯正用サーバなど
LAN上のPCもしくはワイヤレスPC
DHCPエンフォーサ
Client
SymantecEndpoint Protection Manager
通常ネットワーク
矯正用サーバなど
DHCPサーバ
検疫用IPアドレス
LAN上のPC
LANエンフォーサ
Client
SymantecEndpoint Protection Manager
通常ネットワーク
矯正用サーバなど
DHCPサーバ
検疫ネットワーク
Client
SymantecEndpoint Protection Manager
通常ネットワーク
矯正用サーバなど
検疫ネットワーク
検疫ネットワーク(隔離)
03
04
●クライアントログの監視、レポート作成が可能です。リアルタイム/デイリー/ウィークリーでのレポート作成
●トラフィックログ、パケットログ、セキュリティログ、システムログ、ビヘイビアログの取得・管理が可能です。また、ログのフィルタリング機能により、必要なログのみをモニタリングすることで、管理工数の削減を図ることが可能です。
●管理サーバで収集される各種ログを、外部のSyslogサーバへエクスポートする機能です。
●ドメイン一つのシステム上に複数のドメインを設定することが出来ますので、例えばシステムを会社別にそれぞれ管理するようなことが可能です。
●グループグループを複数設定することで、グループ毎にまったく異なったセキュリティポリシーによる運用が可能です。
●ロケーション接続環境ごとに複数のロケーション(社内/ VPN/ Internet等)を設定し、それぞれに異なるセキュリティポリシーでの運用が可能です。
●DHCPエンフォーサ/ Gatewayエンフォーサ/ LANエンフォーサの設定・管理
●エンフォーサログの監視●ルール設定も、SEPMにより一元管理が可能です。
STEP2の結果に基づいて矯正(治療) ポリシー適用実行
●定めたポリシーに一致しない場合には、必要な補完(治療)動作を行います。【補完(治療)動作】ダウンロード/コマンド/スクリプト自動実行レジストリ値の設定ポップアップメッセージの自動表示(カスタマイズ可能)
●OS毎/グループ毎のポリシー設定、柔軟な補完動作によってお客様のポリシーに合わせた最適なルール設定を実現します。
セキュリティ要件に合致しないエンドポイントを自動的に矯正するため、時間と労力を削減します。これにより、セキュリティ脅威の拡大を未然に防ぎ、重要な資産とビジネスを保護します。
エンドポイントのセキュリティ要件が保たれているか常時モニタリング ポリシー集中管理
すべてのセキュリティルール・ログ情報をSymantec Endpoint Protection Manager(SEPM)で一元管理・モニタリング
ドメイン/グループ/ロケーション エンフォーサ管理
ログ・モニタリング
外部Syslogサーバへのエクスポート(External Logging機能)
Symantec Endpoint Protection (SEP)
Symantec On-Demand Protection(SODP)オンデマンドエージェント
●WEBアプリケーション・WEBメール仮想デスクトップによる情報漏えい対策
●オンラインバンキング/ Eコマース仮想デスクトップによる情報漏えい対策マリシャスコード防御/不正通信の排除
●SSL-VPN仮想デスクトップによる情報漏えい対策マリシャスコード防御/不正通信の排除
●Wireless WEB認証アクセス仮想デスクトップによる情報漏えい対策
個人用デバイスや非管理下のエンドポイントがある場合は、Symantec Network Access ControlとSymantec On-Demand Protectionを組み合わせたソリューションが有効
仮想デスクトップ●暗号化されたセキュアな仮想デスクトップ環境の提供ローカルへのデータ保存制御リムーバブルメディアへのデータ書き出し制御(ON/ OFF)プリンタへのアクセス制御(ON/ OFF)マリシャスコードによる情報漏えいへの対策
●セッション終了時のデータ消去
●ウイルス
●スパイウェア
●ルートキットの検出、ブロック、削除
ウイルス対策とスパイウェア対策
ネットワーク脅威防止
プロアクティブ脅威防止
ネットワークアクセスコントロール
●ビヘイビアベースのマルウェア検出
●ポリシーによる-外部デバイス接続制御-アプリケーション制御
●ネットワーク型の脅威の検出とブロック
●クライアントファイアウォール
●脆弱性ベースのIPS
●不完全なセキュリティのエンドポイントの接続制御
●完全な状態への自動修復
Symantec Endpoint Protection
Symantec Network Access Control
※別売
Proactive Threat Protection
AntiVirus & AntiSpyware
Network Access Control
Network Threat Protection
ホストインテグリティ●チェック対象となる項目ウイルス定義ファイルのバージョン、日付などファイルの存在、日付、サイズなどレジストリの存在、値など他
●AND/OR条件によるルール条件設定が可能
ProactiveThreat
Protection
NetworkAccessControl
AntiVirus&
AntiSpyware
NetworkThreat
Protection
Symantec AntiVirus Corporate Editionのアンチウイルス/アンチスパイウェア機能を継承すると同時に、大幅に機能を強化
SNACと単一のエージェント、単一の管理コンソールで検疫を実現
●取扱店
http:/ /www.macnica.net/symantec/
マクニカネットワークス株式会社本社
大阪営業所
〒222-8562 横浜市港北区新横浜1-5-5TEL.045-476-1973 FAX.045-476-1976〒532-0003 大阪市淀川区宮原3-4-30 ニッセイ新大阪ビル17階TEL.06-6397-1055 FAX.06-6397-1056
2007年 9月 ©2007 Macnica Networks Corp.●本書の仕様は予告なく変更する場合があります。●本書に記載の社名および製品名は、各社の商標または、登録商標です。
●システムの実際の構成やネットワークの設計にあたっては、弊社までご相談ください。●必要なライセンス、詳細な動作環境、価格等については、弊社までお問合わせください。
ネットワーク構成
●全社のPCを対象に端末の健全性チェックの仕組みを構築し、端末のセキュリティレベル維持やコンプライアンスに効果を発揮
●拠点やリモートアクセスにおける不正なPC(健全性不適合端末、管理外端末)の接続を排除でき、社内ネットワークにおけるセキュリティ強化を実現
Symantec Endpoint Protection ManagerOS ・Windows® 2000
Professional / Server / Advanced Server with Service Pack 3 or later・Windows XP Professional with Service Pack 1 or later・Windows Server 2003
Web / Standard / Enterprise / Datacenter Editions・Windows XP Professional x64 Edition with Service Pack 1 or later・Windows Server 2003 x64 Edition with Service Pack 1 or later
Database ・Microsoft SQL 2005・Embedded Database
Symantec Network Access Contol ClientOS ・Windows® 2000
Professional / Server / Advanced Server with Service Pack 3 or later・Windows XP Home / Professional / Tablet PC Editions・Windows Server 2003
Web / Standard / Enterprise / Datacenter Editions・Windows Vista(x86)・Windows XP Professional x64 Edition with Service Pack 1 or later・Windows Server 2003 x64 Edition・Windows Vista(x64)
システム要件 Symantec Network Access Control 11.0
Symantec Network Access Control Enforcer 6100 Series■ Base Appliance Option(Gateway / LAN / DHCP)・シャーシサイズ(cm):44.7W×4.27H×54.61D(1U)・プロセッサ:Intel Pentium® 4 2.8GHz×1・メモリー:1GB・ディスク容量:160GB×1(SATA)・ネットワークインターフェース×2:
Dual Port Ethernet NIC Intel Pro 1000MT Gbit Network Adapter・プラットフォーム:Pre-hardened Linux®
■ Fail Open Appliance Option(Gateway / LAN / DHCP)・シャーシサイズ(cm):44.7W×4.27H×54.61D(1U)・プロセッサ:Intel Pentium4 2.8GHz×1・メモリー:1GB・ディスク容量:160GB×1(SATA)・ネットワークインターフェース×4:
Quad Port 10/100/1000 Copper Network Interface Card with Bypass・プラットフォーム:Pre-hardened Linux
オプション機能
脆弱性のリモートスキャンSymantec Network Access Control Scannerはエンドポイントの脆弱性をエージェントレスでリモートからスキャンし、スキャン結果に基づくコンプライアンス情報をSymantec Network Access Controlのエンフォーサに提供します。リモートスキャンでは、エージェントをインストールすることができないエンドポイントからも情報を収集することができます。 ※システム要件については弊社までご相談ください。
DHCPサーバ
DHCPエンフォーサ
ルータ
Client
LANエンフォーサ
802.1xスイッチ
Client Clientなし
Gatewayエンフォーサ
WSUS
AV CorporateServer
Symantec EndpointProtection Manager
本社 拠点
データセンター
Client