日本語フォーラム

以前、こちらの記事でご案内した、Paloalto Networks の次世代ファイアウォール（FW）との連携がもっともっと進化しています。

今は、ClearPassから次世代FWにコンテキスト情報を渡すだけでは無く、次世代FWがThreatを検知した時に、そのSyslogをClearPassに直接送信し、Threatにアクセスした端末をネットワークから隔離する事ができる様になっています。

単純な既知のThreatへのアクセスだけであれば、その時点で次世代FWがブロックしますが、未知のThreatの場合、WildFireを使ったSandboxによる検知が必要になり、その時点では端末はマルウェアなどをダウンロードしてしまいます。

ClearPassがあれば、次世代FWがSandboxによるThreatを検知したログを元に、自動的にその端末をRADIUS CoAを使って隔離する事ができます。

動作概要

1. 端末がネットワークへアクセス（有線・無線LAN）
2. ClearPassで認証
3. 端末がインターネットへアクセス
4. 次世代FWがThreatを検知
5. 次世代FWがClearPassへログを送信
6. ClearPassがログを元にEndpoint Repositoryの属性情報を書換え+ RADIUS CoAを使って端末のSession Terminate
7. 端末が再認証時にClearPassが書換えられたEndpoint属性情報によって、quarantine roleを適用
8. 端末が隔離される

動画での解説

今回確認したバージョン

ClearPass :  6.6.8.100017

次世代FW : PA-VM 8.0.5

細かな設定情報は、こちらのTech Note をご参照下さい。

Tech Notesのリンクがきれていたので、直接ファイルを添付します。

Attachment(s)

CPPM TechNote - Ingress Event Engine V1.0.pdf   6.88 MB 1 version

ClearPass_Integration-Guide_Palo-Alto_v2018-07.pdf   10.57 MB 1 version