ユーザー識別 (User-ID)
User-IDとは
User-IDは、Palo Alto Networks 次世代ファイアウォールとMicrosoft社のActive Directoryサーバーをシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザー名およびユーザーグループのデータを使用できるようになる機能です。これにより、例えば従業員や部門IDごとに、アプリケーションやコンテンツの監視と制御を行えるということです。
Active Directory連携
Active Directory連携の仕組みは、Palo Alto Networks 次世代ファイアウォールに付属しているUser Identification Agent(ユーザー識別エージェント)を用いてActive Directoryのドメインコントローラーと通信を行い、ある特定の時点でユーザーが使用しているIPアドレスにそのユーザー情報をマッピングします。User Identification Agent(ユーザー識別エージェント)は、以下の場合に、複数の技術を使用してユーザーとIPアドレスの関係を確認し、維持します。
-
ログイン監視:
ログイン活動を監視し、ユーザーがドメインにログインする際に、IPアドレスとユーザーおよびユーザーグループの情報を関連付けます。
-
エンドステーションポーリング:
ユーザーがドメインの再認証を行わずにネットワーク内を移動した場合に、マッピングの正確性を維持するためにアクティブなPCのポーリングを行い、IPアドレスを確認します。
-
Captive Portal:
ホストがドメインに含まれていない場合、ウェブページベースの認証フォームでユーザーとIPアドレスを関連付けます。例えば、この機能を使用し、Active Directory以外の認証サーバー(Radius、LDAPなど)と連携することが可能になります。
さらに、User Identification Agent(ユーザー識別エージェント)はユーザーにマッピングされた最新のロールやグループを維持します。User-IDは既存のインフラ上で動作し、別のデバイスにユーザーやグループの情報を複製したり、PCにエージェントをインストールしたりする必要はありません。
上記で識別したユーザー情報をもとにする、ユーザーベースのポリシー制御は、アプリケーション、カテゴリーとサブカテゴリー、秘匿技術、アプリケーション特性を組み合わせて構成されます。ポリシーを使用することで、特定のユーザーやグループのアプリケーションアクセスを通信方向に関わらず管理できるようになります。例えば、次のような例があります。
- ヘルプデスクサービスグループにはYahoo Messengerの使用を許可する。
- サーバー運用グループにはMS-RDPの使用を許可する。ただし、デフォルトポートのみ。
- ファイル転送目的でBitTorrentの使用を許可されているA氏以外に対しては、P2Pテクノロジーを使用したファイル共有アプリケーションの使用をブロックする。
さらに、App-IDTMテクノロジーによりネットワーク上に不審なアプリケーションが発見された場合に、このUser-IDは効力を最大限に発揮します。
上記のように、アプリケーション名をマウスでクリックするだけで、そのアプリケーションを利用しているユーザーを素早く判断できます。また、アプリケーションのユーザーを表示するだけでなく、関連する脅威、帯域消費やセッション数、アプリケーショントラフィックの送受信場所も閲覧できます。さらに、ユーザー名をクリックしてドリルダウンすることで、そのユーザーがアクセスしているその他のアプリケーションを簡単に調査することができます。すると、管理者はそのユーザーが使用中の他のアプリケーション、帯域消費、セッション数、脅威までも確認することが可能になります。