Download ISEシリーズ - 日本電気
Transcript
ISE (Identity Services Engine) シリーズ Ver. 2 ISE (Identity Services Engine) シリーズ 利用シーン ■ 許可端末以外の社内ネットワークへの接続防止 許可端末 社員 社員 ポリシー管理アプライアンス 接続許可 社内 ネットワーク 同じユーザID、 パスワード、 SSIDで接続 × 未許可私物端末 接続拒否 プリンタなどへの なりすまし ※ 端末やネットワークに流れる情報をもとに機種を識別する ため、MACアドレス詐称等の偽装にも対応可能。 悪意のあるユーザによるプリンタなどのデバイスへのなりす ましも防御可能です。 悪意のあるユーザ ISE (Identity Services Engine) シリーズ ■ ワークスタイルに応じた柔軟なアクセス制御 製品ラインナップ 型番 : 最大同時管理デバイス数 SNS-3415-K9 : 最大5,000台 SNS-3495-K9 : 最大20,000 ※ ISEアプライアンスで利用する機能および管理するデバイス数に応じたライセンスが必要です。 ※ 仮想アプライアンス版もございます。 ★本製品の設置・接続・使用に際しましては、取扱説明書などに記載されて 安全に関するご注意 おります注意事項や禁止事項をあらかじめ熟読のうえ、必ずお守りください。 人と地球にやさしい情報社会へ SNS-3415-K9 SNS-3495-K9 お問い合わせは、下記のNECへ スマートネットワーク事業部 URL:http://jpn.nec.com/datanet/cisco/ Specialization ● Advanced Data Center Architecture Specialization ● Advanced Borderless Network Architecture Specialization ●Advanced Collaboration Architecture Specialization ●本製品の製造元はシスコシステムズ合同会社です。 ●Cisco、Cisco Systems、およびCiscoロゴは米国およびその他の国におけるCisco Systems,Inc.の商標または登録商標です。 ●その他の社名および商品名は、各社の商標または登録商標です。 ●本製品の輸出(非居住者への役務提供等を含む)に際しては、外国為替及び外国貿易法等、関連する輸出管理法令等をご確認の上、必要な手続きをお取りください。 ご不明な場合、または輸出許可等申請手続きにあたり資料等が必要な場合には、お買い上げの販売店またはお近くの弊社営業拠点にご相談ください。 ●本カタログに掲載されている内容は、改良のため予告なくデザイン・仕様を変更することがあります。 日本電気株式会社 〒108-8001 東京都港区芝五丁目7-1(NEC本社ビル) 2015年4月現在 Ver.2 20150407BCC461 一貫したポリシーの作成/管理により社内ネットワークへの アクセスを制御。多様化するビジネススタイルに柔軟に対応。 Nexus9000シリーズ ネットワークへの接続要求に一貫した アクセスポリシーを提供し、セキュリティ と管理性向上に貢献 ISE (Identity Services Engine) は、認証/認可/アカウンティングのAAA機能、プロファイリング(デバイス識別)、 ゲスト管理など、様々なサービスを組み合わせて強力で柔軟性の高いアクセス制御を実施するセキュリティ製品 です。ユーザ/端末のネットワークへの接続状況を可視化し、セキュリティと管理性の向上に貢献します。 認証/ 認可 ユーザ情報 Cisco Secure ACS 状況 管理者 同一ユーザが複数の 端末を利用 + ゲスト ISE 端末 場所 アクセス 検疫 方式 会社支給PC 利用許可のある社員私物端末は 社内リソースに限定的アクセス 利用許可 『なし』 端末の種類に応じたアクセス制御を可能にするデバイス識別 認証中に得られる情報だけでなく、ネットワーク上に流れる有用な情報も含めて収集、分析することで端末の種類を識別する ことが可能です。端末ごとにアクセス制御が可能なため、同一人物が異なる端末を利用する場合でも適切なアクセス管理を 実現します。 DHCP DNS ? HTTP DHCP HTTP RADIUS SNMP 端末種別 SNMP Windows7 全てにアクセス NetFlow ① 収 集 ③ 識 別 ISE NetFlow ネットワーク機器 から得られる情報 端末の種類に 応じたアクセス制御 RADIUS インターネット Mailサーバ ■ ユーザ自らが利用端末をISEに登録。 BYOD (※) 環境における管理者の負担を軽減します。 BYODに利用する端末をユーザ自らISEに登録させることにより、BYOD環境における管理者の工数を軽減します。 登録された端末には予め管理者が設定したアクセスポリシーが適用されるため、セキュリティも確保されます。 Windows7 iPad iPad Printer 一部にアクセス Printer 社内通信のみ ②分析 デバイスの入れ替わりが激しく、 管理負担が大きい 管理者 ゲストへのネットワークアクセスを提供するゲスト管理機能 ゲストアカウント発行権限の委譲やアカウントの有効期限の設定などにより管理者の負担を軽減。またゲストは簡単な認証 手続きでアクセス権を取得できます。 ISE ファイルサーバ 利用許可のない私物端末やゲスト 端末はインターネットアクセスのみ スマートデバイスB DNS × × 利用許可 『あり』 ユーザ情報+状況を基にアクセスポリシーを定義。多要素認証によるアクセス制御。 端末の通信から 得られる情報 機密サーバ スマートデバイスA アクセス拒否 ※ ACS = Access Control Serverl ネットワークへの 接続要求 企業で管理されている端末は 社内リソースにフルアクセス 一部にアクセス ゲスト用 NAC Profiler NAC Guest 同一ユーザが複数端末を利用している場合でも企業ポリシーに応じた柔軟なアクセス制御が可能です。 端末種別によりアクセス先を制御するため、ユーザIDやSSIDを分離させる必要がなく、管理者の工数を削減します。 全てにアクセス 正社員 ゲスト 管理 ■ 同一ユーザが複数端末を利用している場合にも、適切なアクセス制御を実施。 セキュリティ確保、管理工数削減に貢献します。 アクセスポリシー 時間・曜日 デバイス 識別 特長 社員 ゲストアカウントを発行 ユーザ名・パスワードの通知 端末の登録・ 変更・削除 端末へのアクセス ポリシー適用 etc 申請 管理者はISEにポリシーを設定し、 監視を実行 ポリシー 適用 ISEを導入 自ら 登録 システム管理者 社員(アカウント発行者)の認証・権限の設定 ゲストアカウントの認証・権限の設定を行う ※ Bring Your Own Deviceの略で、従業員が私物の情報端末などを持ち込んで業務に利用すること ゲスト ISEにログインし、ネットワークへのアクセス権を取得