アイデンティティ ポリシーの概要
アイデンティティポリシーを使って、接続に関連付けられたユーザを検出できます。ユーザを特定することにより、脅威、エンドポイント、ネットワーク インテリジェンスとユーザ アイデンティティ情報を関連付けることができます。ネットワーク動作、トラフィック、イベントを個別のユーザに直接リンクすることにより、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。
たとえば、侵入イベントのターゲットになっているホストの所有者や内部攻撃またはポート スキャンを開始した人物を特定できます。高帯域幅ユーザや望ましくない Web サイトまたはアプリケーションにアクセスしているユーザを特定することもできます。
ユーザ検出には、分析のためのデータ収集以上のメリットがあります。ユーザ アイデンティティに基づいてリソースへのアクセスを選択的に許可またはブロックできるようユーザ名やユーザ グループ名に基づくアクセス ルールを作成することもできます。
ユーザ アイデンティティは、次の方法で取得できます。
-
パッシブ認証:すべてのタイプの接続で、ユーザ名とパスワードを求められることなく、その他の認証サービスからユーザ アイデンティティを取得します。
-
アクティブ認証:HTTP 接続でのみ、ユーザ名とパスワードの入力が求められ、送信元 IP アドレスのユーザ アイデンティティを取得するために指定のアイデンティティ ソースに対する認証が行われます。
ここでは、ユーザ アイデンティティについて詳しく説明します。
パッシブ認証経由のユーザ アイデンティティの確立
パッシブ認証では、ユーザにユーザ名とパスワードを求めることなくユーザ アイデンティティを収集します。システムは、指定したアイデンティティ ソースからマッピングを取得します。
ユーザと IP アドレスのマッピングは次のソースから受動的に取得できます。
-
リモート アクセス VPN ログイン。パッシブ アイデンティティについては次のユーザ タイプがサポートされています。
-
外部認証サーバで定義されたユーザ アカウント。
-
Device Manager で定義されたローカルユーザーアカウント。
-
-
Cisco Identity Services Engine(ISE)、Cisco Identity Services Engine Passive Identity Connector(ISE PIC)。
特定のユーザが複数のソースによって識別される場合は、RA VPN ID が優先されます。
アクティブ認証経由のユーザ アイデンティティの確立
認証は、ユーザのアイデンティティを確認する動作です。
アクティブ認証を使用すると、ユーザとアイデンティティのマッピングが存在しないシステムの IP アドレスから HTTP トラフィック フローが送られてきたときに、システム用に設定されたディレクトリに対してトラフィック フローを開始したユーザを認証するかどうかを判断できます。ユーザが正常に認証された場合、IP アドレスには、認証されたユーザのアイデンティティがあると見なされます。
認証に失敗しても、ユーザのネットワーク アクセスは阻止されません。最終的には、アクセス ルールがそのようなユーザへのアクセス権を決定します。
不明なユーザの処理
アイデンティティ ポリシーのためにディレクトリ サーバを設定する場合、システムはディレクトリ サーバからユーザおよびグループ メンバーシップ情報をダウンロードします。この情報は 24 時間ごとの真夜中に、またはディレクトリの設定を編集して保存するたびに(変更を何も加えていなくても)更新されます。
アクティブな認証用アイデンティティ ルールに求められた際に、ユーザが認証に成功しても、ユーザの名前がダウロードされたユーザのアイデンティティ情報にない場合、ユーザは「不明」としてマークされます。アイデンティティ関連のダッシュボードにはユーザの ID は表示されず、ユーザはグループ ルールにも一致しません。
ただし、不明ユーザ用のアクセス制御ルールはすべて適用されます。例えば、不明ユーザに対して接続をブロックする場合、これらのユーザは認証に成功した場合(つまりディレクトリ サーバがユーザを認識し、パスワードが有効である場合)でもブロックされます。
ユーザの追加または削除やグループ メンバーシップの変更など、ディレクトリ サーバに変更を加えた場合、システムがその更新をディレクトリからダウンロードするまで、これらの変更はポリシーに反映されません。
真夜中の日次更新まで待てず、すぐに更新を適用させる必要がある場合は、ディレクトリのレルム情報を編集します( をクリックして、変更を展開します。システムはただちに更新情報をダウンロードします。
に移動し、レルムを編集する)。[保存(Save)]![]() (注) |
システムに新しいユーザ情報や削除されたユーザ情報があるかを確認するには、 に移動し、[ルールの追加(+)(Add Rule (+))] ボタンをクリックし、[ユーザ(Users)] タブにあるユーザのリストを確認します。新しいユーザが見つからない、もしくは、削除されたユーザが見つかる場合、システムの情報は古いままです。 |