無線LANでは様々なセキュリティを提供し、セキュリティに強いイメージのあるArubaですが、(そう信じています)
Branch Gatewayにも様々なセキュリティ機能実装している点は、まだ知られていないケースもあるので、
今回、簡単に紹介したいと思います。
Branch GatewayにはIDS/IPSの機能も実装し、UTMとして利用することができるようになっています。
ArubaのUTMはIDS/IPS以外にも多くのセキュリティ機能を実装しているので、様々なアプローチでセキュアなBranchの展開を可能としています。
それぞれの機能を簡単に紹介します。
IDS/IPSSignatureベースで不正なトラフィックをGatewayで検知・ブロックします。
複雑な設定は不要で、監視もCentralのDashboardで簡単に行うことができます。
※IDS/IPSは9000シリーズコントローラで対応し、Security Subscriptionが必要です。
Cloud管理でSignatureを最新に保つことで、ランサムウェアなど新たな脅威きに迅速に対応することができます。
Stateful FirewallとDPIこれは、無線LAN時代のMobility Controllerから持っていた機能です。
無線LANにStateful Firewallが含まれているのは革新的でした。
この機能をそのままUTMとしても活用でき、Centralで管理することでセッション(datapath session)のモニタリングもGUIで簡単にできるようにもなっています。
ネットワークのRBACとDynamic SegmentationこれはArubaのオハコと言っても過言ではないと思います。
ネットワークのRBACはSD-BranchとしてSwitchやAPで実装する方が適していますが、
小さな拠点であれば、Gatewayの有線ポートで認証し、GatewayでRBACを適用することもできるようになっています。
ネットワークのRBACについては
こちらでも少しふれていますので、こちらをご参照下さい。
Dynamic SegmentationもコンセプトはRBACと同じです。
加えて、SwitchからGatewayにトンネル接続することで、社内LANのセグメンテーションを柔軟に実現することができるようになります。
SD-WAN+クラウドセキュリティとの連携SD-Branch Gatewayなので、もちろんSD-WANとして機能します。
その中でも、ZscalerのようなSWGを提供しているクラウドセキュリティへの接続も容易に実現することができるので、
SWG単体では難しいIoTデバイスへのセキュリティの適用を実現することができます。
クラウドセキュリティとの連携については、
こちらの記事もご参照ください。
Device Insight こちらは、ClearPass Device Insightとして単独で提供していた機能がCentralに統合される予定です。
Japan Clusterでは2021年10月頃に提供予定です。
これがどういった機能かというと、ネットワークに接続している端末の情報をプロファイリング、自動収集、MLを使ってカテゴライズし、
社内LANにどういった端末が接続しているのか可視化することができます。
今後、可視化した情報を元にClearPassと連携して接続解除をするといったことも予定していますので、
今後の発展にご期待ください。
また、ClearPass Device Insight単独機能の場合は、専用のコレクターがトラフィック情報を収集していましたが、
Centralに統合されると、APやGatewayのTelemetry情報を使って、端末の情報を収集することができるので、それも大きなメリットになると思います。
こちらの機能はあらためて解説する機会を作ろうと思います。
このように、ArubaのBranch Gatewayの
UTMは、まさに
Unified Threat Managementとして、
WAN、LANのセキュリティをマルっと提供することができるので、
CentralでBranchのネットワークセキュリティを一元的に管理し、シンプル、且つ高いセキュリティを実現しましょう。
#Blog #SD-Branch #Security
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------