データ シートCisco NACCisco® NAC(ネットワーク アドミッション コントロール)ソリューションにより、ネットワーク管理者は、事前に有線、無線、およびリモートのユーザとマシンを認証し、権限の付与、評価、および修復を行ってから、そのユーザに対してネットワークへのアクセスを許可することができます。ネットワーク接続されたデバイス(ノート型パソコン、デスクトップ パソコン、その他の企業資産など)がセキュリティ ポリシーに適合しているかどうかを識別し、ネットワークへのアクセスを許可する前に脆弱性の修復を行います。 製品概要Cisco NAC は、導入が容易なエンドツーエンドのネットワーク登録およびポリシー適用ソリューションです。この高度なネットワーク セキュリティ製品は、次の機能を備えています。
Cisco NAC の導入により、次の条件に関係なく、すべてのデバイスに対してポスチャ評価および修復サービスを行うことができます。
Cisco NAC は、別の製品や追加モジュールを用意することなく、すべての運用シナリオに対してポリシーを適用可能な独自の機能を備えています。 機能と利点Cisco NAC ソリューションは次のようなさまざまな方法で、企業に恩恵をもたらします。
認証の統合とシングル サインオンCisco NAC は、ほとんどの認証方式で認証プロキシとして機能します。Kerberos、Lightweight Directory Access Protocol(LDAP)、RADIUS、Active Directory、S/Ident などの認証方式と統合可能です。エンド ユーザの利便性を向上させるために、Cisco NAC では、VPN クライアント、無線クライアント、および Windows Active Directory ドメインのシングル サインオンをサポートしています。管理者はロールベースのアクセス コントロールを実行することで、さまざまな権限レベルの複数のユーザ プロファイルを維持できます。 脆弱性の評価Cisco NAC は、すべての Windows、Mac OS、Linux ベースの OS およびマシン、そしてゲーム コンソール、PDA、プリンタ、IP フォンなどの PC 以外のネットワーク接続されたデバイスのスキャニングをサポートしています。NAC はネットワークベースのスキャンを実施しますが、必要に応じてカスタムビルトのスキャンを実施することもできます。Cisco NAC は、レジストリ キーの設定、稼働中のサービス、またはシステム ファイルによって特定されるすべてのアプリケーションをチェックできます。 デバイスの検疫Cisco NAC は、ポリシーに適合していないマシンを検疫エリアへ入れます。これによって、修復リソースへのマシンのアクセスを維持しながら、感染の拡大を防ぐことができます。検疫には、/30 程度のサイズの小さいサブネットを使用するか、検疫 VLAN を使用します。 セキュリティ ポリシーの自動更新標準ソフトウェア メンテナンス パッケージの一部としてシスコが提供するセキュリティ ポリシーの自動更新機能では、重要な OS の更新、アンチウイルス ソフトウェアのウイルス定義の更新、およびアンチスパイウェアの定義更新をチェックするポリシーを含め、一般的なネットワーク アクセス条件に関するポリシーが事前に設定されています。これにより、Cisco NAC によって常に最新のポリシーを維持できるため、ネットワーク管理者の管理コストが軽減します。 中央集中型の管理管理者は、Cisco NAC の Web ベースの管理コンソールを使用して、ユーザが属するロールごとに必要なスキャンのタイプと、リカバリに必要な関連する修復パッケージを定義することができます。1 つの管理コンソールから複数のサーバを管理できます。 修復検疫エリアに隔離されたデバイスには修復サーバへのアクセス権が与えられます。修復サーバは、OS のパッチとアップデート、ウイルス定義ファイル、または Cisco Security Agent などのエンドポイント セキュリティ ソリューションを提供することができます。管理者は、オプションのエージェントを使用して自動修復を有効にしたり、一連の修復手順を指定したりできます。また、Cisco NAC は監視モードやサイレント修復などの使いやすい機能を提供し、ユーザへの影響を最小にします。 柔軟な導入モードCisco NAC には、どんなネットワークにも対応できるよう幅広い導入モードが用意されています。仮想または実際の IP ゲートウェイとして、エッジまたは中央に配置できるほか、クライアントのレイヤ 2 またはレイヤ 3 アクセスに対応し、ネットワーク トラフィックにインバンドまたはアウトオブバンドで導入できます。 導入モードCisco NAC は、お客様のネットワークに最適な方法で導入できます。表 1 に詳しい導入オプションを示します。 表 1 Cisco NAC の導入オプション
製品アーキテクチャCisco NAC には、いくつかの中核的コンポーネントと、機能強化のための追加オプション コンポーネントがあります。
その他の NAC サービス中核をなす Cisco NAC Manager および Server のユーザ認証、デバイス準拠性評価、ロールベースのアクセス コントロールの機能に加え、いくつかの高度な Cisco NAC サービス オプションがさらなる運用上の利点とポリシー コントロールを提供します。
図 1 は、インバンド モードでの Cisco NAC を論理的に示した図です。この構成は、Cisco Aironet® アクセス ポイントを含むすべての 802.11 無線アクセス ポイントと連動して動作します。インバンド モードは、VPN トラフィックにも適した導入モードです。 ![]() 図 1 インバンド モードでの Cisco NAC アーキテクチャ 図 2 は、アウトオブバンド モードでの Cisco NAC を論理的に示した図です。このモードでは、Cisco NAC Server は、認証、ポスチャ評価、および修復の処理中だけインバンドとなります。ユーザのデバイスが正常にログオンしたあとは、そのデバイスのトラフィックはスイッチ ポートへ直接送られます。 ![]() 図 2 アウトオブバンド モードでの Cisco NAC アーキテクチャ トラフィック フロー モードのほか、お客様のネットワークに最適な方法で NAC を導入できるよう、多様な導入オプションがあります。表 2 に、その他の導入オプションの一覧を示します。 表 2 Cisco NAC ネットワーク モジュール導入オプション
インバンド モードの Cisco NAC はあらゆるネットワーク インフラストラクチャに対応しますが、アウトオブバンド モードは Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用してスイッチと通信します。対応しているスイッチの最新リストは、http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html [英語] を参照してください。このリストは頻繁に更新されます。 製品仕様NAC Server および NAC Manager のベースとなる 3 つの新しいハードウェア オプションを用意しました。表 3 に Cisco NAC のハードウェア アプライアンス バージョンの仕様を示します。 表 3 Cisco NAC アプライアンスのハードウェア仕様
システム要件オプションの Cisco NAC Agent は、表 4 に示した要件を満たすシステム上で動作します。 表 4 Cisco NAC Agent のシステム要件
Cisco NAC では、特定の IP Security(IPSec)VPN および WebVPN クライアントを使用する無線およびリモート アクセス ユーザのシングル サインオンもサポートします。表 5 に、サポートされるコンポーネントを示します。 表 5 シングル サインオンがサポートされる VPN および無線コンポーネント
Cisco NAC は、50 のベンダーの 350 以上のアプリケーションについて、ポリシー チェックを行うように事前に設定されています。チェックの対象となるアプリケーションは定期的に追加されます。チェック対象のアプリケーションの最新の一覧については、次の URL をご覧ください(「Cisco NAC Appliance Supported AV/AS Product List」を参照)。 注: すべての製品についてすべてのチェック タイプがサポートされているわけではなく、また、ベンダーによっては Windows 9x をサポートしていません。ユーザは、Cisco NAC のルール エンジンにフル アクセスできるため、事前設定されたチェック以外に、他のサードパーティ製アプリケーション用にカスタム チェックやルールを作成できます。 サービスおよびサポートシスコは、お客様がそのネットワーク サービスを最大限に活用できるよう、各種サービス プログラムを用意しています。これらのプログラムは、スタッフ、プロセス、ツール、パートナーを独自に組み合わせたかたちで提供され、お客様から高い評価を受けています。ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化しネットワーク インテリジェンスの強化や事業拡張を進めていただくために、シスコのサービスを是非お役立てください。シスコ サービスの詳細については、シスコ テクニカル サポートサービスまたはシスコ アドバンスド サービスを参照してください。 保証に関する情報は、http://www.cisco.com/go/warranty/ [英語] を参照してください。ライセンス情報については、http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/license.html [英語] を参照してください。 関連情報Cisco NAC の詳細については、http://www.cisco.com/jp/go/nac/ を参照するか、最寄りの代理店までお問い合わせください。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() |