User-ID: ユーザーとグループをセキュリティポリシーに紐付けます。

User-IDは、パロアルトネットワークスの次世代ファイアウォールをさまざまなユーザーリポジトリやターミナルサービスの環境とシームレスに統合します。ユーザのアイデンティティをIPアドレスにマッピングする際、ネットワーク環境に応じてさまざまな手法をご利用いただけます。主な手法は次のとおりです。

  • 認証イベント
  • ユーザー認証
  • ターミナルサービス監視
  • クライアントプローブ
  • ディレクトリサービスの統合
  • Syslog Listenerと強力なXML API

ユーザーのアイデンティティをアプリケーションの動きと紐付けると、利用パターンをさらに詳細に把握できるほか、高度なポリシー制御、きめ細かいログ作成、レポート発行、攻撃証拠保全が可能になります。 

 

file

ユーザーの特定に役立つ認証イベント

User-IDの設定を変更することで、Microsoft Active Directory、Microsoft Exchange、Novell eDirectoryの各環境向けの認証イベントが監視できます。User-IDでネットワーク上の認証イベントを監視し、ユーザーをログイン元端末のIPアドレスに紐付けると、ファイアウォールにポリシーを適用可能になります。

  • Microsoft Exchange Server: User-IDの設定によっては、Microsoft Exchangeのメールにクライアントがアクセスするたびに発生するログオンイベントを監視することも可能です。この方法を応用すれば、Microsoft Active Directoryでは直接認証できないMAC OS X、Apple iOS、Linux/UNIXのクライアントシステムでも発見・特定が可能になります。

  • Novell eDirectory: User-IDは、Novell eDirectoryサーバーの標準LDAPクエリを介してログオン情報を照会・監視し、ユーザーやグループのメンバーシップを識別できます。

  • Microsoft Active Directory: User-IDは、ドメインコントローラのイベントログを常時監視して、ドメインへのログオン時にユーザを特定します。ユーザーがWindowsのドメインにログオンすると、対応するWindowsドメインコントローラに新しい認証イベントが記録されます。Windowsドメインコントローラ上の認証イベントをリモート監視しているUser-IDが認証イベントを認識して、ネットワーク上のユーザーを特定したうえで、ポリシーを作成・適用します。この情報を基にポリシーを作成・適用できます。

ディレクトリの統合によるグループ メンバーシップ情報の取得

User-IDは標準準拠のLDAPプロトコルや自由度の高い設定により、Microsoft Active Directoryなどほぼすべてのディレクトリサーバーと連携できます。このため、ユーザーグループごとにセキュリティルールを定め、自動的にグループメンバーの名前解決が可能になります。 User-IDの設定が完了すると、パロアルトネットワークスのファイアウォールは自動的にユーザーやユーザーグループの情報を検索して情報を更新します。ユーザーベースや所属組織が変更された場合には、自動的に対応します。

ユーザー認証イベントでWindowsドメイン以外のユーザーも取り込み可能

ユーザー認証イベントを通じてWeindowsドメイン以外のユーザーを取り込み、チャレンジ レスポンス方式の認証シーケンスを設定してユーザーやIPアドレスの情報を収集できます。

  • キャプティブポータル:ユーザーがインターネットにアクセスする際に、まずファイアウォールでの認証が必要なルールを設定する場合や、他の方法ではユーザーを特定できない場合には、キャプティブポータルを導入できます。ユーザー名とパスワードの入力を求める方式のほか、認証プロセスをユーザが意識しないですむようにするために、NTLM認証リクエストをWebブラウザに送信する方法も可能です。後者の場合、ユーザーが認証プロセスを一切意識せずに済みます。いずれもキャプティブポータルで設定します。

  • GlobalProtect: リモートユーザーがGlobalProtectでネットワークにログインする際、ユーザーとホストの情報をファイアウォールに渡す必要があります。この情報を基にポリシー制御を実行します。

ターミナルサービスの統合

Citrix XenAppやMicrosoftのターミナルサービスでユーザーのアイデンティティが確認が隠蔽されている環境では、User-IDのターミナルサービス・エージェントで、ユーザーがアクセスしているアプリケーションを特定できます。また、Microsoft WindowsのターミナルサービスやCitrixでIPアドレスを共有しているユーザーも特定できます。どのユーザーセッションも、サーバー上で特定のポート範囲に必ず割り当てられます。なお、ユーザーが意識することはまったくありません。この結果、ネットワーク上で1つのホストを共有するユーザーやグループとネットワーク接続を紐付けることができます。カスタム仕様や非標準仕様のターミナルサービスを採用した環境では、XML APIを使ってユーザーのアイデンティティ情報を収集できます。 

Windowsユーザー情報を取得するクライアントとホストのプローブ

Windowsのクライアントまたはホストを監視し、収集したIDをIPアドレスに紐付けるUser-ID設定としては、次の2つの方法があります。

  • クライアントプローブC: 認証イベントを監視してもユーザーを特定できない場合、User-IDが能動的にネットワーク上のMicrosoft Windowsクライアントを調査して、現在ログオンしているユーザーの情報を収集します。この方法であれば、有線接続と無線接続を切り替えて使っているラップトップPCユーザーも確実に特定できます。

  • ホストプローブ: User-IDの設定により、Microsoft Windowsサーバーのプローブを実行して、任意のユーザーが利用中のネットワーク セッションを探すことも可能です。ユーザーがサーバー上で共有されているネットワークにアクセスすると、User-IDが即座に送信元IPアドレスを特定し、セッション開始時に使われたユーザー名に紐付けます。

Syslog ListenerとXML APIによる非標準リポジトリとの統合

ユーザー自身やユーザーが現在しているIPアドレスの情報を格納するユーザーリポジトリやアプリケーションがすでに用意されている場合もあります。その場合、ファイアウォールはこうしたサービスからsyslogメッセージを取得するため、User-IDエージェントがログから認証イベントを抽出できるようになります。あらかじめSyslogフィルターを定義しておくと、User-IDはメッセージを解析し、外部サービスへの認証が完了したユーザーのIPアドレスとユーザー名を抽出し、この情報をIPアドレスに追加し、ユーザー名の紐付けを実現します。現在、syslogリスナーは、BlueCoat Proxy、Citrix Access Gateway、Aerohive AP、Cisco ASA、Juniper SA Net Connect、Juniper Infranet Controllerをネイティブでサポートしています。 

  • XML API: Syslogリスナーが適用できない場合、User-IDのXML APIは、他のユーザーディレクトリやターミナルサービス、認証方式のセキュリティポリシーにユーザー情報を統合できます。 

 

参考資料

User-IDの詳細はこちら
User-IDによるエンタープライズ ディレクトリやターミナルサービスとのシームレスな統合方法のほか、ポートやIPアドレスだけの場合よりも効果的なネットワーク保護方法について、詳しい情報をご覧いただけます。

ユーザー可視化の詳細はこちら
ユーザー可視化の効果、アプリケーションの役割・リスクや、アプリケーションごとの利用者の迅速な解析、さらにこうした情報をアプリケーション運用ポリシーに反映させる手法について、詳しい情報をご覧いただけます。