Japan [変更] |アカウント |ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

Cisco NAC アプライアンス (Clean Access)

Cisco NAC アプライアンス(Clean Access)
ダウンロード

データ シート




Cisco NAC アプライアンス

Cisco® NAC アプライアンス(Clean Access)は、導入が容易な NAC(ネットワーク アドミッション コントロール)製品です。Cisco NAC アプライアンスにより、ネットワーク管理者は、事前に有線、無線、およびリモートのユーザとマシンを認証し、権限の付与、評価、および修復を行ってから、そのユーザに対してネットワークへのアクセスを許可することができます。このアプライアンスは、ネットワーク接続されたデバイス(ノート型パソコン、デスクトップ パソコン、その他の企業資産など)がセキュリティ ポリシーに適合しているかどうかを識別し、ネットワークへのアクセスを許可する前に脆弱性の修復を行います。


製品概要

Cisco NAC アプライアンスは、エンドツーエンドのネットワーク登録およびポリシー適用ソリューションです。 Cisco NAC アプライアンスにより、ネットワーク管理者は、事前にユーザとマシンを認証し、権限の付与、評価および修復を行ってから、そのユーザに対してネットワークへのアクセスを許可することができます。この高度なネットワーク セキュリティ製品は、次の機能を備えています。

  • ネットワーク内のユーザ、デバイス、およびそのロールを認識できます。最初のステップは認証を行う時点で実行され、悪意あるコードによってダメージを受ける心配がありません。
  • マシンがセキュリティ ポリシーに適合しているかどうかを評価します。セキュリティ ポリシーは、ユーザ タイプ、デバイス タイプ、または OS(オペレーティング システム)ごとに設定できます。
  • セキュリティ ポリシーを適用し、適合していないマシンを遮断、隔離、および修復します。適合していないマシンは検疫エリアへ入れられ、管理者の判断に応じて修復されます。

Cisco NAC アプライアンスの導入により、次の条件に関係なく、すべてのデバイスに対してポスチャ評価および修復サービスを行うことができます。

  • デバイスのタイプ:Cisco NAC アプライアンスを使用すると、Windows マシン、Mac マシン、Linux マシン、ノート型パソコン、デスクトップ パソコン、PDA、その他の企業資産(プリンタや IP フォン)など、すべてのネットワーク接続されたデバイスに対してセキュリティ ポリシーを適用できます。
  • デバイスの所有者:Cisco NAC アプライアンスを使用すると、企業、社員、請負業者、およびゲストが所有するシステムにセキュリティ ポリシーを適用できます。
  • デバイスのアクセス方法:Cisco NAC アプライアンスは、LAN、WLAN、WAN、または VPN 経由で接続するデバイスにネットワーク アドミッション コントロールを実施します。

Cisco NAC アプライアンスは、別の製品や追加モジュールを用意することなく、すべての運用シナリオに対してポリシーを適用可能な独自の機能を備えています。


機能と利点

ネットワークに Cisco NAC アプライアンスを導入すると、主に次のような利点があります。

  • アクセス条件に準拠することで、ネットワーク ヘルスを維持する
  • ウイルス、ワーム、スパイウェア、およびその他の悪意あるアプリケーションへの予防的な防御が可能
  • 定期的に評価および修復することで、ユーザ マシンの脆弱性を最小限に抑える
  • ユーザ マシンの修復および更新プロセスを自動化することで、コストを大幅に削減する

認証の統合とシングル サインオン

Cisco NAC アプライアンスは、ほとんどの認証方式で認証プロキシとして機能します。 Kerberos、Lightweight Directory Access Protocol(LDAP)、RADIUS、Active Directory、S/Ident などの認証方式と統合可能です。エンド ユーザの利便性を向上させるために、Cisco NAC アプライアンスでは、VPN クライアント、無線クライアント、および Windows Active Directory ドメインのシングル サインオンをサポートしています。管理者は、ロールベースのアクセス コントロールを実行することで、さまざまな権限レベルの複数のユーザ プロファイルを維持できます。

脆弱性の評価

Cisco NAC アプライアンスは、すべての Windows ベースの OS、Mac OS、Linux ベースの OS およびマシン、およびゲーム コンソール、PDA、プリンタ、IP フォンなどの PC 以外のネットワーク接続されたデバイスのスキャニングをサポートしています。Cisco NAC アプライアンスではネットワークベースのスキャンを実施しますが、必要に応じてカスタムビルトのスキャンを実施することもできます。Cisco NAC アプライアンスでは、レジストリ キーの設定、稼働中のサービス、またはシステム ファイルによって特定されるすべてのアプリケーションをチェックできます。

デバイスの検疫

Cisco NAC アプライアンスは、ポリシーに適合していないマシンを検疫エリアへ入れます。 これによって、修復リソースへのマシンのアクセスを維持しながら、感染の拡大を防ぐことができます。検疫には、/30 程度のサイズの小さいサブネットを使用するか、検疫 VLAN を使用します。

セキュリティ ポリシーの自動更新

標準ソフトウェア メンテナンス パッケージの一部としてシスコシステムズが提供するセキュリティ ポリシーの自動更新機能では、重要な OS の更新、アンチウイルス ソフトウェアのウイルス定義の更新、およびアンチスパイウェアの定義更新をチェックするポリシーをはじめ、一般的なネットワーク アクセス条件に関するポリシーを事前に設定済みです。これによって、ネットワーク管理者の管理コストを軽減し、Cisco NAC アプライアンスを使用した最新のポリシーの維持を可能にします。

中央集中型の管理

管理者は、Web ベースの管理コンソールを使用して、ユーザが属するロールごとに必要なスキャンのタイプと、リカバリに必要な関連する修復パッケージを定義することができます。1 つの管理コンソールから複数のサーバを管理できます。

修復

検疫エリアに隔離されたデバイスには修復サーバへのアクセス権が与えられます。 修復サーバは、OS のパッチとアップデート、ウイルス定義ファイル、または Cisco Security Agent などのエンドポイント セキュリティ ソリューションを提供することができます。管理者は、オプションのエージェントを使用して自動修復を有効にしたり、一連の Web ページによって修復手順を指定したりできます。

柔軟な導入モード

Cisco NAC アプライアンスには、どんなネットワークにも対応できるよう幅広い導入モードが用意されています。仮想または実際の IP ゲートウェイとしてエッジまたは中央に配置できるほか、クライアントのレイヤ 2 またはレイヤ 3 アクセスに対応し、ネットワーク トラフィックにインバンドまたはアウトオブバンドで導入できます。


導入モード

Cisco NAC アプライアンスは、お客様のネットワークに最適な方法で導入できます。表 1 に詳しい導入オプションを示します。

表 1 Cisco NAC アプライアンスの導入オプション

導入モデル オプション
トラフィック通過モード
  • 仮想ゲートウェイ(ブリッジ モード)
  • 実際の IP ゲートウェイ/NAT ゲートウェイ(ルータ モード)
物理的な導入モデル
  • エッジ
  • 中央
クライアント アクセス モード
  • レイヤ 2(クライアントは NAC アプライアンス サーバに隣接)
  • レイヤ 3(クライアントは NAC アプライアンス サーバから複数ホップ離して配置)
トラフィック フロー モデル
  • インバンド(NAC アプライアンス サーバはユーザ トラフィックに対して常にインライン)
  • アウトオブバンド(NAC アプライアンス サーバは、認証、ポスチャ評価、および修復の場合のみインライン)



製品アーキテクチャ

Cisco NAC アプライアンスは、3 つのコンポーネントから構成されます。

  • Cisco Clean Access Server - エンドポイントがポリシーに適合しているかどうかに基づいて、評価を開始し、アクセス権限を決定するデバイスです。ユーザは、ポート単位でブロックされ、検査に合格するまで、信頼されるネットワークへのアクセスは制限されます。Cisco Clean Access Server には、オンラインの同時ユーザ数(100、250、500、1500 および 2500 ユーザ)に基づいて、5 つのサイズが用意されています。1 つの会社では、サイズの異なる複数のサーバを使用可能です。たとえば、本社ビルで 1500 ユーザの Cisco Clean Access Server を使用し、同じ会社のブランチ オフィスでは 100 ユーザの Clean Access Server を使用できます。
  • Cisco Clean Access Manager - ユーザのロール、チェック、ルール、およびポリシーを確立するための Web ベースのコンソールです。Cisco Clean Access Manager には 3 つのサイズが用意されています。Cisco Clean Access Lite Manager では、最大 3 台の Cisco Clean Access Server を管理できます。Cisco Clean Access Standard Manager では、最大 20 台の Cisco Clean Access Server を管理でき、Cisco Clean Access Super Manager では、最大 40 台の Cisco Clean Access Server を管理できます。
  • Cisco Clean Access Agent - ポスチャ評価機能を拡張し、修復を効率化するコンパクトな読み取り専用のエージェントです。Cisco Clean Access Agent はオプションであり、無料で配布されます。

図 1 は、インバンド モードでの Cisco NAC アプライアンスを論理的に示した図です。この構成は、Cisco Aironet® アクセス ポイントを含むすべての 802.11 無線アクセス ポイントと連動して動作します。インバンド モードは、VPN トラフィックにも適した導入モードです。

図 1 インバンド モードでの Cisco NAC アプライアンスのアーキテクチャ

図 1 インバンド モードでの Cisco NAC アプライアンスのアーキテクチャ
※ 画像をクリックすると、大きく表示されます。popup_icon

図 2 は、アウトオブバンド モードでの Cisco NAC アプライアンスを論理的に示した図です。このモードでは、Cisco Clean Access Server は、認証、ポスチャ評価、および修復の処理中だけインバンドとなります。ユーザのデバイスが正常にログオンしたあとは、そのデバイスのトラフィックはスイッチ ポートへ直接送られます。

図 2 アウトオブバンド モードでの Cisco NAC アプライアンスのアーキテクチャ

図 2 アウトオブバンド モードでの Cisco NAC アプライアンスのアーキテクチャ
※ 画像をクリックすると、大きく表示されます。popup_icon


製品仕様

Cisco NAC アプライアンスは、ソフトウェアとハードウェアを別々に発注する必要がなくなりました。今回の変更に対処するため、シスコでは Clean Access Server および Clean Access Manager のベースとなる、3 つの新しいハードウェア オプションを用意しました。表 2 に、Cisco NAC アプライアンスのハードウェア アプライアンス バージョンの仕様を示します。

表 2 Cisco NAC アプライアンスのハードウェア仕様

  Cisco NAC アプライアンス 3310 Cisco NAC アプライアンス 3350 Cisco NAC アプライアンス 3390
製品 100、250 および 500 ユーザ向けの Cisco Clean Access Server
Cisco Clean Access Lite Manager		 1500 および 2500 ユーザ向けの Cisco Clean Access Server
Cisco Clean Access Standard Manager		 Cisco Clean Access Super Manager
プロセッサ デュアルコア Intel Xeon 2.33 GHz デュアルコア Intel Xeon 3.0 GHz デュアルコア Intel Xeon 3.0 GHz × 2
メモリ 1 GB PC2-4200(512 MB × 2) 2 GB PC2-5300(1 GB × 2) 4 GB PC2-5300(1 GB × 4)
メモリ バス クロック 1333 MHz FSB 1333 MHz FSB 1333 MHz FSB
コントローラ 内蔵 SATA RAID コントローラ Smart Array E200i コントローラ Smart Array E200i コントローラ
ハード ディスク 80 GB NPH SATA ドライブ 72 GB SFF SAS RAID ドライブ × 2 72 GB SFF SAS RAID ドライブ × 4
リムーバル メディア CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ
ネットワーク接続
イーサネット Network Interface Card(NIC; ネットワーク インターフェイス カード) Broadcom 10/100/1000 5708 NIC × 2 搭載
Intel e1000 Gigabit NIC(PCI-X)× 2		 Broadcom 10/100/1000 5721 NIC × 2 搭載
Intel e1000 Gigabit NIC(PCI-X)× 2		 Broadcom 10/100/1000 5721 NIC × 2 搭載
Intel e1000 Gigabit NIC (PCI-X)× 2
10BASE-T ケーブルのサポート カテゴリ(Cat)3、4、または 5 Unshielded Twisted Pair (UTP)、最大 100 m(328 フィート) Cat 3、4、または 5 UTP、最大 100 m(328 フィート) Cat 3、4、または 5 UTP、最大 100 m(328 フィート)
10/100BASE-TX/1000BASE-T ケーブルのサポート Cat 5 UTP、最大 100 m(328 フィート) Cat 5 UTP、最大 100 m(328 フィート) Cat 5 UTP、最大 100 m(328 フィート)
Secure Sockets Layer(SSL)アクセラレータ カード なし Cavium CN1120-NHB-E Cavium CN1120-NHB-E
インターフェイス
シリアル ポート 1 1 1
USB 2.0 ポート 4 (前面:2、背面:2) 4(前面:1、内蔵:1、背面:2) 4(前面:1、内蔵:1、背面:2)
キーボード ポート 1 1 1
ビデオ ポート 1 1 1
マウス ポート 1 1 1
外部 SCSI ポート なし なし なし
システム ユニット
フォーム ファクタ ラックマウント 1 RU ラックマウント 1 RU ラックマウント 1 RU
重量 15.87 kg(35 ポンド)、フル構成時 15.87 kg(35 ポンド)、フル構成時 15.87 kg(35 ポンド)、フル構成時
寸法 4.32 × 42.62 × 70.49 cm(1.70 × 16.78 × 27.75 インチ) 4.32 × 42.62 × 70.49 cm(1.70 × 16.78 × 27.75 インチ) 4.32 × 42.62 × 70.49 cm(1.70 × 16.78 × 27.75 インチ)
電源装置 650 W、自動切り替え、PFC デュアル 700 W(冗長) デュアル 700 W(冗長)
冷却ファン 6(ホットプラグ非対応の非冗長) 9(冗長) 9(冗長)
BTU 定格 2910 BTU/Hr@120 VAC、2870 BTU/Hr@240 VAC 2910 BTU/Hr@120 VAC、2870 BTU/Hr@240 VAC 2910 BTU/Hr@120 VAC、2870 BTU/Hr@240 VAC


インバンド モードの Cisco NAC アプライアンスはあらゆるネットワーク インフラストラクチャをサポートし、アウトオブバンド モードの Cisco NAC アプライアンスは、SNMP(簡易ネットワーク管理プロトコル)を使用してスイッチとやり取りします。

サポートされるスイッチの最新の一覧については、次の URL をご覧ください。この一覧表は頻繁に更新されます。
http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.htmlpopup_icon


システム要件

オプションの Cisco Clean Access Agent は、表 3 に示した要件を満たすシステム上で動作します。

表 3 エージェントのシステム要件

機能 最小要件
サポート対象 OS Windows XP Professional SP2 日本語版
Windows 2000 Professional SP4 日本語版
ハード ドライブの空き容量 ハード ドライブの空き容量 10 MB 以上
ハードウェア ハードウェアに関する最小要件はありません(各種クライアント マシンで稼働)。


Cisco NAC アプライアンスでは、特定の IP Security(IPSec)VPN および WebVPN クライアントを使用する無線およびリモート アクセス ユーザのシングル サインオンもサポートします。表 4 に、サポートされるコンポーネントを示します。

表 4 シングル サインオンでサポートされる VPN および無線コンポーネント

製品 クライアント
Cisco Wireless LAN Controller -
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス Cisco SSL VPN(トンネル)
Cisco IPSec VPN クライアント
Cisco WebVPN サービス モジュール(Cisco Catalyst® 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用)
Cisco VPN 3000 シリーズ コンセントレータ
Cisco PIX® セキュリティ アプライアンス


Cisco NAC アプライアンスは、50 のベンダーの 200 以上のアプリケーションについて、ポリシー チェックを行うように事前に設定されています。チェックの対象となるアプリケーションは定期的に追加されます。チェック対象のアプリケーションの最新の一覧については、次の URL をご覧ください(「Cisco NAC Appliance Supported AV/AS Product List」を参照)。 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html

Cisco Clean Access Agent の日本語 Windows 製品サポートに関しては、次の URL をご覧ください。
http://www.cisco.com/jp/product/hs/security/cca/info_01.shtml

注: すべての製品についてすべてのチェック タイプがサポートされているわけではなく、ベンダーによっては Windows 9x をサポートしていません。事前設定されたチェック以外に、Cisco NAC アプライアンスのルール エンジンではユーザによるフル アクセスが可能なため、他のサードパーティ製アプリケーション用にカスタム チェックやルールを作成できます。


サービスおよびサポート

シスコは、お客様がそのネットワーク サービスを最大限に活用するため、各種サービス プログラムを用意しています。これらのサービスは、スタッフ、プロセス、ツールをそれぞれに組み合わせて提供され、お客様から高い評価を受けています。ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化しネットワーク インテリジェンスの強化や事業拡張を進めていただくためにシスコのサービスを是非お役立てください。サービスについての詳細は、以下の URL を参照してください。

保証に関する情報は、以下の URL を参照してください。(英語)
http://www.cisco.com/en/US/products/prod_warranties_item09186a00805f005b.html

ライセンスに関する情報は、以下の URL を参照してください。 http://www.cisco.com/jp/product/hs/security/cca/prodlit/nacapp_og.shtml


関連情報

Cisco NAC アプライアンス(Clean Access)の詳細については、以下の URL をご覧ください。
http://www.cisco.com/jp/go/nac/appliance

お問い合わせ