以前、こちらの記事でご案内した、Paloalto Networks の次世代ファイアウォール(FW)との連携がもっともっと進化しています。
今は、ClearPassから次世代FWにコンテキスト情報を渡すだけでは無く、次世代FWがThreatを検知した時に、そのSyslogをClearPassに直接送信し、Threatにアクセスした端末をネットワークから隔離する事ができる様になっています。
単純な既知のThreatへのアクセスだけであれば、その時点で次世代FWがブロックしますが、未知のThreatの場合、WildFireを使ったSandboxによる検知が必要になり、その時点では端末はマルウェアなどをダウンロードしてしまいます。
ClearPassがあれば、次世代FWがSandboxによるThreatを検知したログを元に、自動的にその端末をRADIUS CoAを使って隔離する事ができます。
動作概要
- 端末がネットワークへアクセス(有線・無線LAN)
- ClearPassで認証
- 端末がインターネットへアクセス
- 次世代FWがThreatを検知
- 次世代FWがClearPassへログを送信
- ClearPassがログを元にEndpoint Repositoryの属性情報を書換え+ RADIUS CoAを使って端末のSession Terminate
- 端末が再認証時にClearPassが書換えられたEndpoint属性情報によって、quarantine roleを適用
- 端末が隔離される
動画での解説
今回確認したバージョン
ClearPass : 6.6.8.100017
次世代FW : PA-VM 8.0.5
細かな設定情報は、こちらのTech Note をご参照下さい。