エンタープライズ ネットワーク セキュリティ

Network as an Enforcer

攻撃範囲を縮小

シスコのネットワークをエンフォーサとして使用することで、悪意のある攻撃を最小限に抑えます。(1:30 min)[英語]

攻撃範囲を縮小

ネットワークを使用してセキュリティ ポリシーを適用

ネットワークを使用してセキュリティ ポリシーを適用し、オンライン リソースへのアクセスを制御して攻撃をブロックする方法をご確認ください。

ネットワークに組み込まれたポリシー エンフォーサ機能についてご紹介します。

ソフトウェア定義型セグメンテーション

Cisco TrustSec と Cisco Identity Services Engine(ISE)を使用して、ネットワークをセグメント化し、トポロジとアクセスに依存しないロールベースのアクセス制御を実施します。Cisco TrustSec テクノロジーでは、ネットワーク セグメントおよびリソースへのアクセスを、御社のセキュリティ ポリシーに従ってコンテキスト、ユーザ、デバイス、場所ごとに制御できます。

たとえば、グループ ポリシーを設定して、セキュリティ グループ タグ(SGT)を持つ、許可された財務部門のユーザからのトラフィックだけが財務リソースにアクセスできるように設定できます。SGT により、メンテナンス契約業者の認証情報を持つユーザは、ネットワーク トポロジや、ネットワークへのアクセスに有線と無線のいずれを使用したかにかかわらず、財務データにアクセスすることはできません。

一元化されたポリシー エンジン

Cisco ISE は、一元化されたポリシー エンジンとして、シスコのスイッチ、ルータ、ワイヤレス デバイス、セキュリティ デバイスについてリアルタイムのアクセス制御を提供します。これにより、拡張性とポリシーの一貫性が向上します。さらに、Cisco ISE は(Lancope の StealthWatch などで)新しい脅威が特定されたときに、更新したポリシー決定を送信して、ネットワークが攻撃やウイルスに感染したデバイスをブロックできるようにします。このダイナミックなポリシー機能により、以下のことが可能になります。

  • 適切なユーザやデバイスに適切なレベルのアクセス権を付与する
  • ソフトウェア定義型セグメンテーションとリアルタイムの脅威への対応によって、データ漏洩の影響を抑える

また、一元化されたポリシーとネットワーク セグメンテーションの機能を使用して、法規制の遵守に必要な作業を簡略化することもできます。たとえば、一元管理のポリシーを適用して、財務データや医療情報データを処理するネットワーク部分を残りの部分と分離することができます。これにより、PCI DSS(クレジットカード データ保護基準)や 1996 年制定の HIPAA(医療保険の相互運用性と説明責任に関する法令)のネットワーク コンプライアンス監査に関わるスコープ、コスト、複雑さを軽減することができます。

関連資料

エンフォーサとしてのシスコ ネットワーク (PDF - 502 KB) Adobe PDF file