[UA-1] 新しい働き方を支える企業ネットワーク – シスコ ユニファイド アクセス

eXperience Services

Cisco dCloud Japan Local Webinar

http://dcloud.cisco.com

Cisco dCloud:

パートナー先

anyone  anywhere  anytime

お客様先, シスコ社内 打ち合わせ, イベント

様々な用途

サポート

検証済み 24x5 電話, ウェブサポート ライブチャット

用意済みのスクリプト

すぐに利用可能 設定済み 任意の端末利用が可能

バーチャル

パートナー & シスコ社員が アクセス可能 ブラウザベース 同時複数セッションが可能

カスタマイズ

管理者権限 カスタマイズ, ローカライズ, 新規のスクリプト作成 保存, 共有, 再利用 dCloud Data Centers Americas, APJC, EMEAR お客様先

http://dcloud.cisco.com

dCloud は各ニーズに対応

• パートナーとシスコ社員向け • デモスクリプトの用意 • カスタマイズ, ローカライズ, 共有 可能 • 任意の端末利用が可能

• BYOD: Bring Your Own Devices

PC端末から直接

（AnyConnect VPN） VPNルータでローカル環境と接続

dCloud

Data Centers _{APJC, EMEAR}Americas,

• バーチャルデスクトップ • PC 上のローカルクライアント • デモルームの構築

• ローカルのサーバ追加 • 様々な利用用途

http://dcloud.cisco.com ローカルdCloud ローカルのラボLAN 自由自在に

dCloudが、あなたのビジネスを助けます!

クラウド上の 第三者のコンテンツ AMERICAS EMEAR APJC GC dCloud データセンター 第三者の ローカル コンテンツ インターネット

Cisco dCloudに関するQ&Aを 以下のシスコサポートコミュニティにて、日本語で受け付けております。

dCloud Webinarの資料及び、レコーディングも、以下のシスコサポートコミュニティにて、ご用意しております。

http://dcloud.cisco.com  dCloud: dcloud.cisco.com  Twitter: https://twitter.com/ciscodcloud  サポート (英語のみ) :  電話: 1.800.GO-CISCO or 1.408.853.1000  パートナー向け Web サポート: Support Net dCloud demo ロードマップ ダウンロードはこちら

各種リソース

日本語デモスクリプト

dcloudのトップページのHelp -> Localized Contents -> Cisco dCloud content translated to Japanese

https://communities.cisco.com/docs/DOC-52558(デモスクリプト) https://communities.cisco.com/docs/DOC-63997(ヘルプコンテンツ)

dCloudがサポートしているエンドポイントルータ一覧

dCloudによる Cisco Identity Services Engine

(ISE) ソリューションとデモシナリオのご紹介

2016年7月21日 シスコシステムズ合同会社 セキュリティ事業 豊島かおり

ネットワーク上で誰が何をしているか把握していますか？

?

見えない“リスク”への対応は困難

?

?

調査した企業の90％がネット

ワークに接続している端末を完

全には把握できていない

90%

500B

2030年には五千億ものデバイ

_{スが、ネットワークに接続される}

Cisco Identity Services Engine (ISE)

Anti-BYOD / BYOD

_{ゲストアクセス}

不正端末排除 私有端末利用

Cisco TrustSec

アクセス権限制御

昨今のワークスタイルに求められるマルチデバイス環境に対応した高機能認証サーバ

企業ネットワーク全体に共通ポリシーを適用 （有線・無線・VPNアクセスにおけるユーザ管理の統合） Cisco Family 3 rd_{Party Device}

ISEで実現するセキュアアクセス

Cisco ワイヤレス LAN コントローラ Ciscoスイッチ 内部リソース Cisco VPN 終端装置 Cisco ISE ポリシー サービス インターネット クラウドサービス 来訪者にはゲストアカウントを発行し インターネットアクセスを提供 従 業 員 は 支 給 モ バ イ ル 端 末 か ら VPN経由で一部社内サーバを閲覧 役員は私物端末を専用無線 LANに接続して業務に利用 従業員はコンプライアンス準拠PC端末から有 線経由で社内リソースへフルアクセス キャンパス ネットワーク Cisco アクセスポイント 組織のネットワークポリシーを 中央で統合管理・監視

※ISE2.0〜対応（Device Adminライセンスが必要）

サポート認証方式

802.1X

MAC Authentication Bypass (MAB)

Web Authentication

外部連携：

802.1xサプリカント有り 従業員端末 802.1xサプリカントなし ユーザインプット不可端末 802.1xサプリカントなし ゲストアクセス / 持込端末 ユーザディレクトリ - RADIUS - Active Directory - LDAP Servers - Token Servers ロギング - Syslog Servers モニタリング連携 - Prime Infrastructure (PI)

TACACS+

ネットワーク機器の アクセス管理

RADIUS

コンテキストベースの統合ポリシー管理

端末 場所

ISE2.0〜 ロケーションベースのアクセス制御

ロケーションベースのアクセス権変更 ユーザが移動した場所（ロケー ション）に応じて、自動的にネッ トワークへのアクセス権限を変 更・強制できます。 特長 ISE 2.0 新機能 ユーザがどの場所にいるかに応じて、 ネットワークのアクセスポリシーを自動的 に変更できます。 セキュリティポリシーの中核を担う ISE(Identity Service Engine)と、 無線 LANの位置情報エンジンMSE(Mobility Services Engine) が連携したCiscoソ リューションです。 ポリシーの強制 定期的にロケーションを確認し、場 所の変更により自動的に再認証 シンプルに管理 ISEの管理画面でロケーションの制 御を設定 細やかなコントロール 個々のユーザに対し、今いる場所 に応じたロケーションベースのネッ トワークアクセス制御 ISE の機能概要 • ユーザが位置している部屋やエリアに応じたアクセス権を設定（必要に応じて部屋の階層的な定義も可能） • MSEのロケーション属性値を、ISEのアクセス制御ポリシーで利用 • ロケーションの変更を定期的にMSEに確認 • ユーザが新しい場所に移動した際に自動で再認証し、新しいアクセス制御ポリシーを強制

セキュリティポリシーと無線LANロケーション - Cisco Mobility Services Engine (MSE) 連携

ロビー 患者の 入院部屋 ラボ ER 医者 閲覧不可 アクセス 可能 閲覧不可 アクセス 可能 患者の 個人情報 資料 患者の個人情報 のアクセス場所 患者の 入院部屋 ER ラボ ロビー

ISEが提供する接続端末への各種サービス

接続端末の可視化 端末管理・証明書配布サービス セキュアなゲストアクセスサービス コンプライアンス準拠 IT管理者の個別対応 利用者のセルフサービス MDM管理 端末検疫 ※MDM: モバイルデバイスマネジメント 無線ルータ不正利用 WiFi固定キーの流出 申請者向け 一時アクセス

マルチデバイス環境を実現するための様々な課題に対応します

ゲストアクセス環境が不整備だと・・・

?

IP:192.168.83.242. MAC:xxx 13時に東京ビルの2階会議室に接続 ユーザAさんのiPad (ver 6.0) BYODのためポリシーアクセス拒否 ポリシー違反端末

•

ISE上のエンドポイントプロファ

イリングポリシーに基づき端末

をプロファイル

• フィードサービスによる更新 • カスタムポリシー対応 •

複数のプローブを使用して端

末情報を収集

• DHCP / DHCP SPAN • HTTP / HTTP SPAN • RADIUS • Network Scan • DNS • SNMP Trap / Query

デバイスプロファイリング

Cisco Feed

プロファイリングデータの利活用

 接続端末の可視化

 端末種別に応じた認可

PC ACL Mobile ACL Voice VLAN 同一ユーザアカウント ネットワーク上の端末種別を可視化 ユーザ毎の接続端末をモニタリング 端末種別に応じて異なるアクセス権を付与 （例：ダイナミックVLAN, ダウンローダブルACL）

デバイスオンボーディング

Cisco ISE Certificate Authority エンタープライズ ルートCA （オプション） • セルフサービスの端末登録フローを提供 • 多様な端末設定オプション • 無線・有線サプリカント設定 • 証明書配布（外部CAサーバ連携連携、内部認証局機能※ISE 1.3〜）

• サポート端末：iOS, Android, Windows, MAC

※ Androidでは専用App (Network Setup Assistant)、Windows, MACでは専 用ウィザードを使用

端末登録ポータル 自動設定ウィザード 端末管理ポータル

認証時のユーザIDおよび、申請端末のMACアドレスを

属性に持つユーザ証明書を動的に発行

•

登録端末の編集・削除機能を提供する専用ポータル

•

紛失時にも、端末ごとに、すばやく企業ネットワークへの接続拒否 / リモートワイプ（MDM連携時

のみ）設定が可能

•

ISE 1.4〜

•

BYODフローが実行できないデバイス

に対してAPIを利用して証明書を発

行・取得できます

•

ISE 2.0 〜

•

ユーザおよび管理者が簡単に証明書を発

行・ダウンロードできる、証明書プロビジョ

ニングポータルに対応

ISE 認証局機能 証明書発行機能拡張

PC

: 検疫

OS, パッチ

AV/ASインストール

アプリケーション / プロセス起動

Cisco AnyConnect Agent Postureモジュール

モバイル

: MDM連携

MDMポリシーチェック  デバイス登録有無  コンプライアンス準拠  ディスク暗号化  PINロック  ジェイルブレイク  Manufacturer  モデル  IMEI / UDID  シリアルナンバー  OS バージョン  電話番号 6.2 8.0 2013/4 5.5 2.3 7 SP3 App Center 4.1.10

エンドポイントセキュリティ連携

企業端末の識別、コンプライアンスチェックおよび修復

ネットワークを問わず（無線・有線・VPN） 一貫性のある端末コンプライアンスを提供 パッチマネジメント システム Windows, MACの検疫に対応

ゲストアクセスサービス

 マルチデバイス、マルチランゲージ対応  無線・有線で共通インターフェイスを提供  利用規約の同意やパスワード変更、アカウント 申請などの追加オプション  シンプルかつ詳細な画面カスタマイズ  有効期限付き一時アカウントの簡単発行  ユーザ権限に応じた発行ポリシーの制御（有効 期限・アクセス権限等）  メール・印刷での発行アカウント通知  ゲストアカウントおよび発行者のトラッキング  利用・発行履歴のレポート

ゲストポータル

スポンサーポータル

セキュリティシステムとISEの連携

無線LANコントローラ / アクセススイッチ サーバ 侵害された 端末 PC PC 侵害された端末の情報をISE に通知 ①

②

ISE

Firepower / Firesight

Firepowerがネットワーク内で発生する 攻撃やマルウェア拡散を監視

③

ネットワーク機器と連携し、該当 端末を隔離 ※ ISE 1.3以降およびFirepower 5.4, 6.1でサポート （注：Firepower 6.0では非サポート）

•

Cisco ISE 2.0 For BYOD and Guest Management v1.1

ISE 2.0 でサポートする、デバイス管理（TACACS+）、デバイスオンボーディング、ゲストアク

セス、ロケーションベースサービスの４つの機能それぞれでデモシナリオが用意された環境

• Demo Guide - ISE 2.0 Device Administration v1.1

• Demo Guide - ISE 2.0 Device Onboarding v1.1

• Demo Guide - ISE 2.0 Guest Access v1.1

• Demo Guide - ISE 2.0 Location Based Services v1.1

•

Cisco Rapid Threat Containment v1

エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離

•

Splunk Enterprise 6.2 with Cisco Security Suite v1

• SpPKUNK

• Splunk Cisco Appを利用した各種シスコセキュリティ機器の監視

•

Cisco AnyConnect 4.1 with Advanced Malware Protection v1

• AnyConnect ポスチャモジュールを利用した、ISE検疫機能のデモンストレーションを含む

•

Cisco Network as a Sensor and Enforcer v1

•

Cisco Firepower Threat Defense Lab v1

•

Cisco Stealthwatch 6.7 v2

• Cisco Stealthwatchのデモにて、ISEが取得したコンテキスト情報の閲覧や、端末隔離連携が可能

•

Cisco Prime Infrastructure X.X

•

Cisco ISE 2.0 For BYOD and Guest Management v1.1

ISE 2.0 でサポートする、デバイス管理（TACACS+）、デバイスオンボーディング、ゲストアク

セス、ロケーションベースサービスの４つの機能それぞれでデモシナリオが用意された環境

• Demo Guide - ISE 2.0 Device Administration v1.1

• Demo Guide - ISE 2.0 Device Onboarding v1.1

• Demo Guide - ISE 2.0 Guest Access v1.1

• Demo Guide - ISE 2.0 Location Based Services v1.1

•

Cisco Rapid Threat Containment v1

エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離を実

施する

環境と事前設定

推奨エンドポイントルータ/AP  Cisco dCloud 用に登録および 構成された 819Wルータ  Cisco Aironet シリーズアクセ スポイント（3000、2000、また は 1000 シリーズ）

※ Device Onboarding, Guest Access, Location Based Services のデモでは、実際にエンドポイント をデモ環境のWLANに接続します。このためルータ またはAPを環境に接続する事前設定が必要です。

Device Administrationデモ画面イメージ

IOSの場合

Device Administrationデモ画面イメージ

ISE設定画面の確認

Location Based Services デモ画面イメージ

Prime Infrastructure の Map上にAPを配置し、位置情報を取得

Location Based Services デモ画面イメージ

ISE設定画面

•

Cisco ISE 2.0 For BYOD and Guest Management v1.1

ISE 2.0 でサポートする、デバイス管理（TACACS+）、デバイスオンボーディング、ゲストアク

セス、ロケーションベースサービスの４つの機能それぞれでデモシナリオが用意された環境

• Demo Guide - ISE 2.0 Device Administration v1.1

• Demo Guide - ISE 2.0 Device Onboarding v1.1

• Demo Guide - ISE 2.0 Guest Access v1.1

• Demo Guide - ISE 2.0 Location Based Services v1.1

•

Cisco Rapid Threat Containment v1

エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離を実

施する

Rapid Threat Containment デモ画面イメージ

エンドポイント端末の感染

ISE Live Log : ステータス変更の確認