ソリューションの概要

F5 BIG-IP プラットフォーム特権ユーザー アクセス ソリューション

連邦政府機関のデータを保護し、リスクを軽減します。

F5 BIG-IP プラットフォーム特権ユーザー アクセス ソリューション

強力な認証の重要性

管理リソースへの従来のユーザー名とパスワードによるアクセスは、今日のネットワークにおける大きなセキュリティ上の脆弱性です。 この優先事項をサポートするために、国防総省 (DoD) のサイバーセキュリティ規律実施計画の第一の取り組みは、特権ユーザーに対する強力な認証です。

取り組み内容: 強力な認証

匿名性を低減し、国防総省の情報ネットワークでの行動の信頼性と説明責任を強化することで、国防総省のセキュリティ体制が向上します。認証の弱さとアカウント乗っ取りの関係は十分に確立されています。 強力な認証は、特権管理者になりすまして大規模なネットワーク侵害を引き起こすなど、不正アクセスを防ぐのに役立ちます。 指揮官と監督者は、サーバーやルーターなどの高価値資産や特権システム管理者のアクセスの保護に重点を置きます。 この取り組みは、国防総省サイバー戦略の目標 3-4 をサポートし、国防総省 CIO に既知の脆弱性を軽減することを求めています。

さらに、最新のDISA ネットワーク デバイス管理セキュリティ要件ガイド(DoD ネットワーク デバイスの管理に適用されるセキュリティの実践と手順の詳細) では、ネットワーク デバイスにアクセスする特権ユーザー アカウントに対して多要素認証を使用しなかった場合に CAT 2 (中程度) の判定が下されると規定されています。

  • 発見ID: V-55105
  • 重大度: 高い
  • 詳細: …国防総省は、HSPD 12 の対象となるシステムの ID 管理と個人認証をサポートするために、共通アクセス カード (CAC) トークン/資格情報の使用を義務付けています。 DoD が推奨するネットワーク デバイスのアーキテクチャでは、システム管理者は DoD 承認の PKI を備えた DoD CAC 資格情報を使用して認証サーバーで認証します。

ただし、管理リソースに対する CAC 認証を実現するのは難しい場合があります。 強力な認証やスマート カード アクセスに対応するように構築されていないデバイスやシステムが多数存在します。 従来、オプションは次のように制限されていました。

  1. 組織に対するリスクを受け入れます。
  2. デバイスを削除するか交換します。

主なメリット

攻撃対象領域を減らす

F5 特権ユーザー アクセスは、脆弱なデバイスと管理インターフェイスの周囲にシェルを作成します。 あらゆるアクセスには、個々のリソースへのアクセスを許可する CAC/PIV の使用が必要です。

改造のインストールは不要

F5 ソリューションでは、バックエンドの重要なシステムへのソフトウェアのインストールや変更は必要ありません。

監査証跡を提供する

このソリューションは、セキュリティ チームに監査証跡を提供し、セキュリティ ポリシーに俊敏性をもたらします。企業がセッション/パスワードの有効期間を決定します。

F5 特権ユーザー アクセス

F5 特権ユーザー アクセス ソリューションでは、この機能をネイティブにサポートしていないネットワーク インフラストラクチャに CAC 認証または別の強力な認証方法を追加できる追加オプションが提供されるようになりました。 これは、環境内のどこにもクライアント ソフトウェアやエージェントを必要とせずに実行され、レガシー システムや非準拠システムを安全かつセキュアな方法で最大限に活用できます。 これは DoD PKI システムに直接統合され、既存の RADIUS、TACACS、Active Directory、またはさまざまなサードパーティ認証データベースと連携して動作するように構成できます。


図1: F5 特権ユーザー アクセス ソリューションは、この図で強調表示されている強力な認証プロセスを通じて、適切なユーザーが機密データにアクセスできるようにします。

このソリューションには、F5 BIG-IP プラットフォーム、BIG-IP アクセス ポリシー マネージャー (APM)、一時認証、Web SSH クライアントの 4 つの主要コンポーネントがあります。

BIG-IP プラットフォーム

BIG-IP プラットフォームは、 FIPS 準拠、Common Criteria 認定、UC APL 承認済みの製品であり、物理フォーム ファクターと仮想フォーム ファクターの両方で利用できます。 F5 特権ユーザー アクセス ソリューションのすべての機能は、BIG-IP プラットフォーム内で実行されます。 BIG-IP は、DoD ネットワーク全体に広く導入されているセキュリティ製品であり、すでに何千もの重要なアプリケーションに対して強力な認証を実行しています。 この追加ソリューションは、既存の機能を特権ユーザーの要件に単純に適用します。

BIG-IP アクセス ポリシー マネージャー

アプリケーションにアクセスする特権ユーザーは、まず BIG-IP Access Policy Manager (APM) によって認証されます。 BIG-IP APM はまず米国を表示します。 認証に進む前に同意する必要がある、ユーザーへの政府 (USG) 警告バナー。

次に、BIG-IP APM はユーザーに CAC または強力な資格情報を要求し、それを証明書失効リスト (CRL) またはオンライン証明書ステータス プロトコル (OCSP) サーバーと照合して、資格情報が失効していないことを確認します。 オプションで、BIG-IP APM は、Microsoft Active Directory (AD) または Lightweight Directory Access Protocol (LDAP) サーバー、Security Assertion Markup Language (SAML) プロバイダー、またはさまざまなサードパーティ ディレクトリなどのディレクトリ サーバーにクエリを実行し、ユーザーの ID をさらに確立できます。

BIG-IP APM は、特権ユーザーがシステムにアクセスすることを許可されていることを確認すると、追加の属性を照会して、特権ユーザーがアクセスできるリソースを判断します。 最後に、特権ユーザーには、アクセスが許可されているリソースのポータル ページが表示されます。 BIG-IP APM は、クライアントが政府支給機器 (GFE) であること、ホスト ベース セキュリティ システム (HBSS) に準拠していること、サポートされているオペレーティング システムを実行していることなどを確認するなど、クライアントの整合性を保証する高度な機能も提供します。

一時認証

一時認証は、本質的には、ユーザー名とパスワードのみで認証できるシステム用の閉回路のワンタイム パスワードです。 システム全体は F5 BIG-IP 内に存在し、BIG-IP APM と連携して、認証情報の再生の可能性を排除しながら、安全なエンドツーエンドの暗号化接続を保証します。 プロセス中のどの時点でも、ユーザーまたはクライアントはこの一時的なパスワードを知ることはなく、このパスワードが侵害された場合でも、攻撃者や悪意のある行為者にとってはまったく価値がありません。 これにより、F5 は、認証にユーザー名とパスワードの使用が制限されているシステムに対しても、CAC または多要素認証を提供できるようになります。

Web SSHクライアント

Web SSH クライアントは、政府が提供する任意の Web ブラウザーで実行され、クライアント側コンポーネントのインストールを必要としない HTML5 クライアントです。 これにより、現在および将来の米国のどこからでも即座にアクセスできるようになります。 Web ブラウザを備えた連邦政府システム。 このクライアントは、完全な端末エミュレーション、マウス イベント、カット アンド ペースト、およびクライアント上の接続をログに記録する機能を提供します。 このクライアントは、ホストごとまたはグローバルに指定できる分類バナーをオーバーレイする機能もサポートしており、また、従来のデバイスとの互換性を確保するためにホストごとに暗号オプションを提供する機能もサポートしています。

特権ユーザー アクセスの統合

F5 特権ユーザー アクセス ソリューションは、レガシー システムや非準拠システムの重大なセキュリティ ギャップを補うだけでなく、最新のシステムへのアクセスを集約する効果的な方法でもあります。 F5 は、特権ユーザー アクセスを必要とする多くのシステムを保護できます。 例としては次のようなものがあります:

  • テレフォニー管理インターフェース(例:Cisco Communications Manager Administration)
  • ファイアウォール、IDS/IPS、DLP 管理インターフェース (例: Palo Alto Web インターフェース)
  • プロキシ管理インターフェース(例:BlueCoat ProxySG)
  • ストレージアレイインターフェース(NetApp OnCommand、Pure Storageなど)
  • VDI 管理インターフェイスと VDI クライアント認証要件 (例: VMWare Horizon、Citrix XenDesktop、Windows リモート デスクトップ)

管理者のアクセス制御を統合することで、BIG-IP APM の広範な認証および制御機能を活用できます。 これにより、信頼できないネットワーク全体で TLS 暗号化標準の使用を強制できるようになります。 また、BIG-IP APM のログ機能を使用して、これらのシステムへの管理アクセスをログに記録および監査するための単一のポイントを提供したり、コンプライアンスの目的でレポートおよびログ システムと統合したりすることもできます。

認証の未来

F5 は、将来必要となる可能性のある機能を追加するためのフレームワークを提供します。 政府および国防総省の指導者が検討している認証機能には、派生資格情報、生体認証、および追加の認証要素などがあります。 政府が現在一般的に使用されている CAC または認証方法の使用をやめることを選択した場合、F5 ソリューションは、定義された追加機能をサポートするように拡張できる柔軟性を提供します。

F5 ソリューションは認証フェデレーション モデルをサポートし、DoD による SAML およびクラウド テクノロジーの導入を促進します。 F5 は、クラウド内、または将来どこに存在する場合でも、DoD 環境内のアプリケーション、デバイス、管理インターフェイス、およびシステムに強力な認証を提供できます。

詳細については、 www.f5.com/solutions/us- federal-government にアクセスするか、連邦政府機関に影響を与えるサイバーセキュリティのトレンドの詳細をご覧ください。